如何保障数据实现企业内集中云存储,且实现便携交换传输的同时又能防止因数据外泄而引发安全事件,同时做到内控追溯审计并达到外部监管要求,是当前企业在数据云存储建设方面面临的一个重要课题。
一、当前背景
随着银行业金融创新的快速发展和信息科技的日新月异,银行积累的数据量呈现几何倍数的增长,除了日益增长的办公数据外,还包括大量的客户信息和交易数据。私密信息的外泄可能会引发法律诉讼、安全事件、负面新闻等多方面不利影响。在金融行业,中国人民银行已于2020年发布了《个人金融信息保护技术规范》,该规范对个人金融、个人隐私等重要信息数据的保护方面提出了明确的管理要求。
目前,银行针对外部攻击的安全建设,已通过部署诸如防火墙、入侵检测、抗DDOS攻击等安全产品,用以进行安全事件监测和阻止未授权的外部访问。因此,因遭受到外部攻击而引发信息泄露等安全隐患事件的概率已经很低,而内部用户在进行数据传输的行为正在成为信息泄漏中的主要安全隐患,因为内部用户采用类似FTP形式的文件传输设备可以进行跨网文件拷贝,无论是主动违反(如批量把客户信息、运营数据及源码等敏感文件从内网传至外网)安全政策还是无意识造成的信息丢失(如U盘丢失),都会造成信息泄漏的风险。
因此,如何保障数据实现企业内集中云存储,且实现便携交换传输的同时又能防止因数据外泄而引发安全事件,同时做到内控追溯审计并达到外部监管要求,是当前企业在数据云存储建设方面面临的一个重要课题。
二、业务现状
企业现有文件交换方式需要采用U盘、FTP方式,虽然能够解决临时性数据交互和数据存储问题,但在安全上、管理上存在一定的局限性,主要体现为:
无法对存储的交互文件进行敏感信息检测与匹配。
采用ftp方式进行拷贝流转,交互效率不高,且缺乏必要的审核。
U盘存储无法对文件携带病毒等情况及时感知,容易携带病毒木马。
当前的方式不适用于大网络、终端分散环境下的数据存储需求管理,需要在每一个部门、网点部署此类设备才能满足行内办公过程中文件存储需求。
无法实现部门内部文件共享、员工回家办公等相关应用场景。
三、设计要求
基于企业业务现状,在建立行内数据存储平台的意义在于在现有安全管理的基础上,需进一步完善企业内网安全建设与数据安全治理,既保证行内业务网、互联网和开发测试网终端及数据安全,又最大程度为终端用户提供便捷使用网络与终端办公。
图1:数据交换平台架构图
为最大化的促进企业对于文件存储的需求,为员工提拱一套高效、安全、可控、唯一的文件存储平台,将企业IT网络打造成为一个可信网络,对企业内部人员在生产网与非生产网的数据实现“可管、可控、可审”的目标,同时,建设可信的数据云存储平台还需要考虑平台自身的安全性和集成度,因此对平台需要具备如下能力:
数据存储平台系统满足上级监管单位的网络隔离要求。
提供高效、便捷的网间数据存储平台。
具备敏感信息检测、防护、审批、阻断机制,并能够与OA系统实现审批流的对接,建立并完善银行系统文件外出的审批机制。
在文件入网前实现精准查杀,有效缓解病毒木马传播。
系统、完善的文件交互审计信息,能够做到事后可追溯、可审计。
对存放数据安全加密。
图2 :部署示意图
1、数据云存储业务控制
数据存储业务安全控制,具体包括三个方面,一是业务操作的控制,即每次数据摆渡的操作须经过审核控制;二是业务内容的控制,在审核控制的同时应采取信息技术实现对交换数据的格式和内容的控制(配合用户定义的安全策略),同时交换过程应避免由于交换内容引入恶意代码,从而导致银行内部网络的机密性、完整性、可用性受影响,例如在交换过程被恶意人员利用导致将病毒传入内部敏感网络区域;三是业务主体要素控制,可信的数据摆渡必须保证数据摆渡的操作主体的相关要素是可控的,包括操作人、操作设备、操作位置等,必须满足操作主体要素是可信任且处于平台管控范围之内。
2、数据云存储业务审计
除了对数据存储的事中控制外,每次存储的过程均应保留相关记录以满足内外部审计要求,交换业务操作记录应当足够完整以便于审计的需要,包括由谁发起,为何发起,何时发起,何处发起,交换的内容等等。同时,由于审计记录包括了数据存储的内容,因此,还必须保障审计信息的完整性和机密性,以免由于审计信息的外泄导致更大批量的敏感信息外泄。
3、数据云存储业务管理
由于业务需要,各部门往往存在很多业务数据存储的需求,在实现安全控制与审计的同时,必须提供相应手段,以方便业务部门人员在保障安全性的同时可以方便快捷的开展数据存储业务操作,包括信息化技术实现数据存储的自动化流程,数据存储操作支持、用户权限管理、交换区域管理等等、并对用户进行数据存储业务提供必要和灵活的资源保证(如存储空间、网络流量保障、系统可靠性等),尽量无需用户干涉,方便用户快捷的执行数据存储业务操作,从而在安全性和易用性之间的获得平衡。
4、平台本身安全性
由于数据云存储的业务特点,行内数据存储平台必然需要通过某种方式连接不同等级的安全区域,因此平台必须提供足够的技术保障,以确保本身不能被作为一个攻击业务敏感区域的网络攻击渗透节点。理想目标是,即使平台被恶意人员攻破,也无法获取到交换过程中的敏感数据,同时,也无法利用平台渗透到高等级安全区域。
四、安全设计
1、通讯安全
通过虚拟化隔离技术,在一台硬件设备上启动2到多个虚拟机和共享文件系统,且虚拟机之间的IP协议是断开的,虚拟机之间的数据存储通过共享文件系统和私有的共享内存指令来进行,从架构方面保障在网络隔离的情况下实现安全的数据存储。通常情况下使用私有的交换指令完成虚拟机与宿主机、虚拟机与虚拟机之间的安全数据交换。
2、后台程序安全
通常采用私有应用层协议,防止利用已知漏洞进行攻击;涉及密码部分内容应以加密方式存储;应用程序日志中禁止输出敏感信息;所有后台进程全部以普通用户权限运行。
3、敏感信息监测
对通过数据存储和交换平台进行上传、分享、外发文档进行内容检查、添加文档标签,对根据数据流转安全规则禁止外发或需要审批的文档,自动阻止、审批等相对应的流程,防止内网文件外传泄密。
4、病毒扫描监测
数据存储平台需要实现文件上传实时查杀,内置防病毒引擎的功能,也可与第三方防病毒系统联动,支持在线更新和离线更新,统计分析防病毒审计信息,判断某终端是否中病毒,从而控制风险文件蔓延。
5、数据加密
可采用各类加密技术对存储数据进行加密,如隐私计算等可以保证其加密运算的高安全性与高效率运行的同时,实现数据可用可见、可用不可见、数据泄露自动失效等不同安全级别。
五、应用场景
1、用户文件存储备份
通过应用集成,实现用户账号的统一创建与认证,由企业为用户发放个人账号,并统一配置一定配额个人使用空间(按需分配逻辑空间),用户可以随处通过任何设备访问文件。
用户可以用云端的“个人空间”来存储自己的各类企业企业数据、各种资料、企业材料课件和研究素材等,用户上课时就无须用移动存储设备来使用数据,通过云端可以电脑手机等可以随时随地访问数据。用户日常出差在外的用户也可以使用云盘服务。
用户将个人的文件或者文件夹共享给企业机构内部或者系统内部的用户,随时把资料共享给机构内部的其他教研室用户或者教研组。可以将个人数据或者有权限访问的“公共资源”的数据,通过链接或者“二维码”分享给外部用户(包括供应商、出差同事),外部用户通过链接实现快速的文件访问查看。
如果用户分享的是“文件夹”,可以通过分享时设置“上传”权限,实现外部用户通过“链接或者“二维码””将外部的数据快速汇总到指定的云端存储位置。
2、文件分享、协同办公
多人在线协同编辑功能,可以实现了多人同时在线编辑同一文件,协助用户实现协同编辑文档的需求。
3、跨网文件交换
实现在多个隔离网络直接进行文件交换,并针对文件上传下载文件进行DLP内容检测与审计,涉及到敏感文件后自动匹配策略进行阻断、审批、审计等管控措施。
六、效益和价值
云架构存储平台能够实现多个隔离网络之间的数据安全交互员工日常办公的文件存储与备份需求,既保证了数据高效、便捷交换传输流转使用,又建立起了网间的数据防泄漏体系。打破高价值链数据孤岛,无缝支撑高通量、高价值数据安全、高效的共享、流转和使用,实现可观经济效益。
在确保网络隔离的前提下,在数据安全治理“堵”的同时,提供可靠、安全高效“疏”的通道,实现网间数据防泄漏管理体系。通过内嵌的防病毒引擎,可以使文件网间流转过程中降低病毒木马传播风险。实现多个网络进行数据交换。加之详细的行为审计和内容审计,通过灵活的审批流程,实现对文件多级审批和人工审批,支持与OA进行审批对接,建立并完善了数据出网的审批机制。大大提升了企业数据安全能力。