如何通過信息化方式幫助城市商業(yè)銀行遠(yuǎn)離不合規(guī)或數(shù)據(jù)泄露風(fēng)險是日前召開的“第九屆中國區(qū)域性商業(yè)銀行信息化發(fā)展戰(zhàn)略高峰年會”的核心議題之一,也是全球領(lǐng)先的整合Web、數(shù)據(jù)和電子郵件內(nèi)容安全解決方案提供商Websense能夠給大中型企業(yè)帶來的核心價值。日前,Websense中國區(qū)總經(jīng)理穆軍作為第九屆中國區(qū)域性商業(yè)銀行信息化發(fā)展戰(zhàn)略高峰年會的演講嘉賓,與來自全國40多家城市商業(yè)銀行主管科技的副行長,信息科技部及電子銀行部負(fù)責(zé)人圍繞城市商業(yè)銀行的數(shù)據(jù)泄露防護(hù)話題展開了深入探討。
對比各大國有銀行、股份制銀行以及外資銀行等金融企業(yè),我國的城市商業(yè)銀行發(fā)展較慢,信息化起步也較晚,但是他們所面對的網(wǎng)絡(luò)威脅環(huán)境卻是相似的。高級持續(xù)攻擊(APT)、先進(jìn)的惡意軟件,針對性攻擊不斷泛濫,伴隨云安全以及日益升級的移動安全問題一同嚴(yán)重地沖擊著現(xiàn)代企業(yè)的安全防線。而且在大型銀行不斷升級安全防護(hù)水平的同時,不少黑客已經(jīng)將視線投向了可能較容易被攻擊的城市商業(yè)銀行。眾所周知,銀行中的數(shù)據(jù)敏感度極高,一旦產(chǎn)生數(shù)據(jù)泄露事件其所受到的影響和損失必將是巨大的,同時監(jiān)管部門的處罰也會非常嚴(yán)厲。所以,在當(dāng)前的環(huán)境下,防止數(shù)據(jù)泄露儼然已經(jīng)成為了城市商業(yè)銀行發(fā)展過程中保持競爭力需應(yīng)對的關(guān)鍵難題之一。
同時,保護(hù)數(shù)據(jù)安全也是監(jiān)管部門在商業(yè)銀行合規(guī)性條款中對所有銀行的要求。目前中國商業(yè)銀行GRC(信息治理、信息風(fēng)險和信息法規(guī)遵從)需要滿足的合規(guī)性要求有《商業(yè)銀行信息科技風(fēng)險管理指引》、《企業(yè)內(nèi)部控制基本規(guī)范》、《中央企業(yè)商業(yè)秘密保護(hù)暫行規(guī)定》、《個人信息保護(hù)法》、《信息安全等級保護(hù)》等。
面對內(nèi)外雙重壓力,加強(qiáng)安全防護(hù)系統(tǒng)并且部署適當(dāng)?shù)臄?shù)據(jù)泄露防護(hù)(DLP)產(chǎn)品應(yīng)該是城市商業(yè)銀行最佳的應(yīng)對決策之一。作為安全行業(yè)的資深人士,穆軍指出一個好的數(shù)據(jù)泄露防護(hù)產(chǎn)品不僅能夠提升企業(yè)安全性,同時還能為企業(yè)實(shí)現(xiàn)以下價值:
–改善內(nèi)部管理 數(shù)據(jù)防泄漏項(xiàng)目不僅僅是一個數(shù)據(jù)安全保護(hù)項(xiàng)目,同時也是一個信息安全風(fēng)險控制項(xiàng)目。通過數(shù)據(jù)防泄漏的平臺搭建,一是可以有效保障數(shù)據(jù)安全管理制度的落地,同時也可以對數(shù)據(jù)安全管理制度進(jìn)行重新梳理,通過實(shí)際環(huán)境的運(yùn)行進(jìn)一步發(fā)現(xiàn)制度中存在的各種問題
–提高客戶滿意度 目前客戶越來越重視私人信息的機(jī)密性,隨著公司業(yè)務(wù)的不斷拓展,客戶信息越來越多的集中到數(shù)據(jù)中心以及相關(guān)的業(yè)務(wù)平臺,如果通過數(shù)據(jù)防泄漏體系能夠有效保護(hù)客戶的私人信息,不但使公司兌現(xiàn)了不泄漏客戶信息的承諾,也可以大大提升公司在客戶心目中的形象以及同行業(yè)中的領(lǐng)先地位
–有效增加投資回報 Forrester公司曾經(jīng)在全球范圍內(nèi)做過統(tǒng)計,數(shù)據(jù)泄漏的代價多少不一,主要是取決于數(shù)據(jù)的重要性以及公司的規(guī)范性。以金融行業(yè)為例,數(shù)據(jù)泄漏事件對于公司直接反映出的損失就是企業(yè)客戶的流失、公司信譽(yù)的下降,而間接反映出的就是公司業(yè)務(wù)受損,因此通過數(shù)據(jù)防泄漏體系有效控制和降低數(shù)據(jù)泄漏的風(fēng)險,其實(shí)間接地為企業(yè)提高了投資回報
– 滿足國家/監(jiān)管部門法令法規(guī) 已有的最佳實(shí)踐和策略, 可以幫助快速實(shí)施全球化、行業(yè)性的法規(guī)遵從;DLP可以減少與法規(guī)遵從相關(guān)的直接成本, 使審計更容易, 同時減少違規(guī)的風(fēng)險
Websense的數(shù)據(jù)泄露防護(hù)解決方案不僅能滿足以上需求,在Websense統(tǒng)一安全架構(gòu)Triton的支持下,Websense數(shù)據(jù)泄漏防護(hù)解決方案還能與Websense領(lǐng)先的Web安全、電子郵件安全和移動安全解決方案整合,它們既能作為整體的解決方案部署,也能作為單一通道的安全產(chǎn)品部署,但是與其他同類產(chǎn)品不同的是,這個單一通道產(chǎn)品已經(jīng)嵌入了Websense領(lǐng)先的數(shù)據(jù)泄露防護(hù)功能。以Websense Email Security Gateway Anywhere為例,它就是業(yè)界首個能夠防止基于郵件通道數(shù)據(jù)泄露的電子郵件安全產(chǎn)品,如此精心的設(shè)計,不僅幫助用戶提升安全級別,更幫助用戶有效節(jié)約安全擁有成本。
此外,穆軍還表示:“在多起銀行業(yè)數(shù)據(jù)泄露案例中,內(nèi)部員工的惡意行為和粗心行為才是造成數(shù)據(jù)泄露的罪魁禍?zhǔn)。在防止非技術(shù)層面的數(shù)據(jù)偷竊行為時,一方面是加強(qiáng)對敏感數(shù)據(jù)的可視性,這一點(diǎn)Websense數(shù)據(jù)泄露防護(hù)解決方案可以幫您實(shí)現(xiàn);另一方面也需要銀行加強(qiáng)對員工的管理和教育。”
Websense以一年為階段,為銀行業(yè)企業(yè)推薦的數(shù)據(jù)泄露防護(hù)的實(shí)踐如下:
·一月至四月:偵測階段:Websense 技術(shù)偵測敏感數(shù)據(jù)的位置,并監(jiān)控員工濫用行為。此階段的安全警報數(shù)量極多。
·五月:員工教育:向?yàn)E用敏感數(shù)據(jù)的員工(如將密碼發(fā)送到Gmail 帳戶)發(fā)出違規(guī)通知。在教育階段,警報的數(shù)量立減 50%。
·六月至十二月:策略實(shí)施階段:此階段啟用自動電子郵件加密、攔截違規(guī)事件、保護(hù)數(shù)據(jù)、警報數(shù)量繼續(xù)下降,讓IT 違規(guī)事件調(diào)查人員可以輕松控制。
銀行所擁有的信息與公眾利益直接掛鉤,即使惡意份子只是獲得了銀行卡用戶的聯(lián)系方式而非卡號與密碼,也已經(jīng)足夠使其進(jìn)一步通過目標(biāo)攻擊獲取更多的信息。例如:郵箱地址可以用來發(fā)送“釣魚”信息,索取其他敏感信息;還可以通過電話進(jìn)行釣魚攻擊,打電話冒充某個權(quán)威機(jī)構(gòu)的工作人員,使受害者相信自己正在與一個正規(guī)金融機(jī)構(gòu)的代表通話,并提供一些用戶的敏感信息。維護(hù)銀行品牌形象,提升儲戶信任度,防止各種銀行信息詐騙,城市商業(yè)銀行保護(hù)儲戶個人信息和企業(yè)自身關(guān)鍵信息勢在必行。