1. Cover Story 加强敏感数据泄 防护斩断I IjI 网络诈骗源头 文I北京神州绿盟信息安全科技股份有限公司数据安全产品总监李贺 李贺 技术 全和 t于甲骨文和华为 工商、房,、 ,.、快递等鄢门棚行 I 『共计40余类。只耍有 ;年从事于网络安 产品设计研究工 扇“ ”没天牢,公l 个人 息就叫 能“裸奔”。 破获的公 个人 犯罪案件中,凿遍存 作, 产品 注于 的研 亿枣通数据安全 守自盗现象。从今年4月~9月底,机关共 抓获 行、敫 、【 、怏递、证券、电商网站等行 计研究工作,专 £据泄婶防护产品 ,在自然语言学 业“内鬼”2 /(]余人,非法窃瞅、倒卖公民个人信息, 隐喻 j 公民个人 息黑色 :业链已偷偷地向一些部 门的管理层f【}J延.这是一个 注意的新动向。别以 西嚼 习、 大数据、1)I l、终 瑞蚤 方面有丰富宴 为倒卖公民个人信息的利润不高,都是“临时工”所 为,“b・26侵犯公民个人 息案”完全颠植这一印象。 、广两年,产业信息化、数字化、 络化进程加速, 、其中6 余份征信报告,每份价格存35~40元之问, 总额超过2()f)余万元 还有2b /万份信息未来得及出 ,[互联网云计算、大数据带来更新式, 互 联网+金融”成为传统金融行业转型“触电”的靳模式, 然后新形式下的数据安全状况变得越发严亟,金融行 业已经沦为数据泄密的重灾区.再次给人们敲响数据 安全的警钟。麦肯锡公司存其发布的《中围银行业创 这简直恐一门无水生意,个圳定力不够的管理人 员破 额非法利益拉F水完全 出奇。 存b・26 件中,充分疑 了当前安全防范需要 进一步提高的现状,比如加入一些新的防御手段就可 以避免币惰的发生,如“ 内刚中,加入终湍到系统 的点到点的准入,以防』h BY( )D设备的接入和系统的 访问”,“存系统导出文件日、』候,埘于生成的文档进行 加密,以防止其脱离内网时无法使用,即使卖到外面, 也足无效数据”,“对于大 查向和导出的异常行为进 行阻断和告臀,有效的防池批 l数据泄密”等等方法 都_白『以对简单的内鄢泄密进行防御。 新系列报告》中指出,2015年底,中国互联网金融的 市场规模达剑12万~15厅亿元.占GDP的近20%。 互联网金融用户人数厂I经超过b亿,这样庞大的用户 群和涉及面,如果信息安全 件愈演愈烈甚至失控, 将会对同家和社会造成不可估量的损失。其中直接由 于电信网络诈骗导致信息泄露的风险案例更是不胜枚 举,越来越引起同人的重视。 由内及外,筑牢信息安全堤坝 银行系统就像一座堡拿,尤时无刻不受到内外夹 击。外部力量包括黑客入侵窃取、钓鱼网站骗取、扫 号软件扫取等,令用户防不胜防。更大风险来自堡牟 内部,掌樨大 公K个人信息的行业或部门的内部人 员充当“内鬼”。据门透露,存在泄 公民个人 信息风险的领域广泛,包括金融、电信、教育、医疗、 数据挖据与分析 关联分析 机器学习&密码技术 —争妊电;出I 59 提供数据防泄漏的三种保护 当然,随着科技的创新、人工智能和机器学习的 发展,大数据技术n勺深入研究,传统的数据泄嚆防护 系统也存向着智能化发展,下一代数据防护系统也正 ■墨墨翻■ 应用系统数据 —豳衄数据授索 :鸯巍 网络敏感数据 傩 “ ‘: 威胁检测 ‘●.‘ 存成为一种趋势溅各大币业单位采用。 按照金融行业的安全体系要求,绿盟科技全资子 _%终端数据 口 日 大数据技术 报表 公司亿赛通推出的Next Generation DLP下一代数据 童 关联分析 可视化技术 异常行为 t 泄嘏防扩r系统,完全可以满足行业需求。该系统融合 机器学习、大数据、关联分析、密码、访问控带l-、数 据标识技术,对结构化和非结构化数据进行数据治理、 安全管控、态势感矢口,以达到数据泄露防护效果的解 图2数据 治理示意图 为审汁、系统数据防护;网络传输中的敏感数据防护 和脱敏、存储中敏感数据发现和访问控制。形成立体化、 层次化的综合管控体系,通过数榍等级、操作行为和 决方案(见罔1昕示)。 数据.『厶理模块:一直以来,数据资产的管理都是 银行的难题,数据量大,文件类型多,内容类别多的 问题导致银行无法精细化管理和布防。因此数据治理 t 员工属性三维的动态策略进行管控.有效的提高业务 与安全的耦合度,并降低员工使用影响,达到动态的 布防。 态势感矢¨模块:包含趋势分析、风险预 、溯源、 风险人员画像,通过银行资 信息、员丁行为信息以 模块主耍通过自然焉青f ̄j1]、机器学习、数据清洗对 数据资 统计、分类、聚类、分级以及密级标识数据, h箭辉者更,J1]明确自身的数据资产和价值,更明确管 理的对象和内容(见冈2所示)。 及分级数据的使耳j信息和频度,对此进彳l亍大数据的分 析和挖掘,动态感知风险,并对银行资产订勺风险进行 预测,对风险员工进行画像,与运营僻理相结合,达 到持续的防护、及时的可见悱、递增的安全能力和降 低的维护成本(见图3昕示)。 综上,通过上述的宴践,可以达到银行内部敏感 数据泄露防护的事前感知、 瓷产分类 安全管控模块:明确数据资产的情况后,方可对 数据进行 细化管控,如非结构化数据的密级标识、 数据加密、权限管理;结构化数据的敏感数据脱敏; 敏感数据的边界防护,业务系统的应用准入控制、行 中控制以及 后审汁, 使得数据泄嘏行为无处遁形,敏感数据无径可出,犯 蕞 日 蕞 建几 ^ 钿 罪分子无法拿到公民的敏感信息,进而封锁电信 络 诈骗的源头,降低电信网络诈骗的成功率,冈此银行 务必建立完善的数据泄 防护系统,并对其拥有的个 §_ 裂雠 - ◆ l ◆ I1●■■■●■一 人信息数据进行重点防护, 电佶网络诈骗源头处建 国且 。 :哑.一 E囫 立第一道防线。四 ●\.二/// ● ■■■■‘_ …Kevin l_).Mintick.The Art off)eceptio ̄qM1.Job】Wil% &Sons.2fl(t2.2…一25I l21 ̄q"- ̄可席小吃.现代密码学fMI.人民邮电出版社.2(}{)9.15—3() I3I Eric(hmllet Magk’Qttadrallt (knitchf—A、 ̄’al e Data LossPreVCI]tio】UI_(;artne ̄ .2【113—12 1一 4 I4l Anton Chu x,a 】.Trent Henry Eutm-prise( 0t]tellt—Aware 1)1 P Solution Co1npaI i 11 a1H{Sele{’t Vrndol 1)r(] 。 I (:il1。t1]Cl .2(】13-4 1—71 蚰l 2O16年11月
