近年來，各類型數(shù)據(jù)泄露事件接二連三爆發(fā)，互聯(lián)網(wǎng)、運營商、銀行、制造業(yè)等各行業(yè)企業(yè)中都有失蹄者，其中銀行業(yè)更是數(shù)據(jù)泄露事件的重災(zāi)區(qū)。

　　如何通過信息化方式幫助城市商業(yè)銀行遠(yuǎn)離不合規(guī)或數(shù)據(jù)泄露風(fēng)險是日前召開的“第九屆中國區(qū)域性商業(yè)銀行信息化發(fā)展戰(zhàn)略高峰年會”的核心議題之一，也是全球領(lǐng)先的整合Web、數(shù)據(jù)和電子郵件內(nèi)容安全解決方案提供商Websense能夠給大中型企業(yè)帶來的核心價值。日前，Websense中國區(qū)總經(jīng)理穆軍作為第九屆中國區(qū)域性商業(yè)銀行信息化發(fā)展戰(zhàn)略高峰年會的演講嘉賓，與來自全國40多家城市商業(yè)銀行主管科技的副行長，信息科技部及電子銀行部負(fù)責(zé)人圍繞城市商業(yè)銀行的數(shù)據(jù)泄露防護話題展開了深入探討。

　　對比各大國有銀行、股份制銀行以及外資銀行等金融企業(yè)，我國的城市商業(yè)銀行發(fā)展較慢，信息化起步也較晚，但是他們所面對的網(wǎng)絡(luò)威脅環(huán)境卻是相似的。高級持續(xù)攻擊(APT)、先進的惡意軟件，針對性攻擊不斷泛濫，伴隨云安全以及日益升級的移動安全問題一同嚴(yán)重地沖擊著現(xiàn)代企業(yè)的安全防線。而且在大型銀行不斷升級安全防護水平的同時，不少黑客已經(jīng)將視線投向了可能較容易被攻擊的城市商業(yè)銀行。眾所周知，銀行中的數(shù)據(jù)敏感度極高，一旦產(chǎn)生數(shù)據(jù)泄露事件其所受到的影響和損失必將是巨大的，同時監(jiān)管部門的處罰也會非常嚴(yán)厲。所以，在當(dāng)前的環(huán)境下，防止數(shù)據(jù)泄露儼然已經(jīng)成為了城市商業(yè)銀行發(fā)展過程中保持競爭力需應(yīng)對的關(guān)鍵難題之一。

　　同時，保護數(shù)據(jù)安全也是監(jiān)管部門在商業(yè)銀行合規(guī)性條款中對所有銀行的要求。目前中國商業(yè)銀行GRC(信息治理、信息風(fēng)險和信息法規(guī)遵從)需要滿足的合規(guī)性要求有《商業(yè)銀行信息科技風(fēng)險管理指引》、《企業(yè)內(nèi)部控制基本規(guī)范》、《中央企業(yè)商業(yè)秘密保護暫行規(guī)定》、《個人信息保護法》、《信息安全等級保護》等。

　　面對內(nèi)外雙重壓力，加強安全防護系統(tǒng)并且部署適當(dāng)?shù)臄?shù)據(jù)泄露防護(DLP)產(chǎn)品應(yīng)該是城市商業(yè)銀行最佳的應(yīng)對決策之一。作為安全行業(yè)的資深人士，穆軍指出一個好的數(shù)據(jù)泄露防護產(chǎn)品不僅能夠提升企業(yè)安全性，同時還能為企業(yè)實現(xiàn)以下價值：

　　–改善內(nèi)部管理 數(shù)據(jù)防泄漏項目不僅僅是一個數(shù)據(jù)安全保護項目，同時也是一個信息安全風(fēng)險控制項目。通過數(shù)據(jù)防泄漏的平臺搭建，一是可以有效保障數(shù)據(jù)安全管理制度的落地，同時也可以對數(shù)據(jù)安全管理制度進行重新梳理，通過實際環(huán)境的運行進一步發(fā)現(xiàn)制度中存在的各種問題

　　–提高客戶滿意度 目前客戶越來越重視私人信息的機密性，隨著公司業(yè)務(wù)的不斷拓展，客戶信息越來越多的集中到數(shù)據(jù)中心以及相關(guān)的業(yè)務(wù)平臺，如果通過數(shù)據(jù)防泄漏體系能夠有效保護客戶的私人信息，不但使公司兌現(xiàn)了不泄漏客戶信息的承諾，也可以大大提升公司在客戶心目中的形象以及同行業(yè)中的領(lǐng)先地位

　　–有效增加投資回報 Forrester公司曾經(jīng)在全球范圍內(nèi)做過統(tǒng)計，數(shù)據(jù)泄漏的代價多少不一，主要是取決于數(shù)據(jù)的重要性以及公司的規(guī)范性。以金融行業(yè)為例，數(shù)據(jù)泄漏事件對于公司直接反映出的損失就是企業(yè)客戶的流失、公司信譽的下降，而間接反映出的就是公司業(yè)務(wù)受損，因此通過數(shù)據(jù)防泄漏體系有效控制和降低數(shù)據(jù)泄漏的風(fēng)險，其實間接地為企業(yè)提高了投資回報

　　– 滿足國家/監(jiān)管部門法令法規(guī) 已有的最佳實踐和策略, 可以幫助快速實施全球化、行業(yè)性的法規(guī)遵從;DLP可以減少與法規(guī)遵從相關(guān)的直接成本, 使審計更容易, 同時減少違規(guī)的風(fēng)險

　　Websense的數(shù)據(jù)泄露防護解決方案不僅能滿足以上需求，在Websense統(tǒng)一安全架構(gòu)Triton的支持下，Websense數(shù)據(jù)泄漏防護解決方案還能與Websense領(lǐng)先的Web安全、電子郵件安全和移動安全解決方案整合，它們既能作為整體的解決方案部署，也能作為單一通道的安全產(chǎn)品部署，但是與其他同類產(chǎn)品不同的是，這個單一通道產(chǎn)品已經(jīng)嵌入了Websense領(lǐng)先的數(shù)據(jù)泄露防護功能。以Websense Email Security Gateway Anywhere為例，它就是業(yè)界首個能夠防止基于郵件通道數(shù)據(jù)泄露的電子郵件安全產(chǎn)品，如此精心的設(shè)計，不僅幫助用戶提升安全級別，更幫助用戶有效節(jié)約安全擁有成本。

　　此外，穆軍還表示：“在多起銀行業(yè)數(shù)據(jù)泄露案例中，內(nèi)部員工的惡意行為和粗心行為才是造成數(shù)據(jù)泄露的罪魁禍?zhǔn)�。在防止非技術(shù)層面的數(shù)據(jù)偷竊行為時，一方面是加強對敏感數(shù)據(jù)的可視性，這一點Websense數(shù)據(jù)泄露防護解決方案可以幫您實現(xiàn);另一方面也需要銀行加強對員工的管理和教育。”

　　Websense以一年為階段，為銀行業(yè)企業(yè)推薦的數(shù)據(jù)泄露防護的實踐如下：

　　·一月至四月：偵測階段：Websense 技術(shù)偵測敏感數(shù)據(jù)的位置，并監(jiān)控員工濫用行為。此階段的安全警報數(shù)量極多。

　　·五月：員工教育：向濫用敏感數(shù)據(jù)的員工(如將密碼發(fā)送到Gmail 帳戶)發(fā)出違規(guī)通知。在教育階段，警報的數(shù)量立減 50%。

　　·六月至十二月：策略實施階段：此階段啟用自動電子郵件加密、攔截違規(guī)事件、保護數(shù)據(jù)、警報數(shù)量繼續(xù)下降，讓IT 違規(guī)事件調(diào)查人員可以輕松控制。

　　銀行所擁有的信息與公眾利益直接掛鉤，即使惡意份子只是獲得了銀行卡用戶的聯(lián)系方式而非卡號與密碼，也已經(jīng)足夠使其進一步通過目標(biāo)攻擊獲取更多的信息。例如：郵箱地址可以用來發(fā)送“釣魚”信息，索取其他敏感信息;還可以通過電話進行釣魚攻擊，打電話冒充某個權(quán)威機構(gòu)的工作人員，使受害者相信自己正在與一個正規(guī)金融機構(gòu)的代表通話，并提供一些用戶的敏感信息。維護銀行品牌形象，提升儲戶信任度，防止各種銀行信息詐騙，城市商業(yè)銀行保護儲戶個人信息和企業(yè)自身關(guān)鍵信息勢在必行。