中国工商银行股份有限公司信息科技部 张晓丹
随着信息技术的快速发展,金融企业内部拥有大量的商业秘密信息和客户资料信息。这些信息不仅是金融企业核心竞争力的基础,也是被服务客户的重要敏感信息。一旦发生信息泄漏事件,会对金融企业经济效益、社会声誉、客户利益造成严重影响。最新的业界权威互联网安全威胁报告显示,自2007年下半年以来,全球有关客户身份信息泄露事件中, 金融服务行业(FSI) 占总数的三分之一,因此,信息保护越来越受到金融企业高管层重视。
一、金融企业内部信息保护技术
信息保护管理是信息安全管理的重要组成部分。企业信息保护管理只研究信息在企业内部客户端上存储、使用、传递以及在企业网络边界传送、存储、访问过程中的安全问题。企业信息安全管理除了研究信息保护管理问题外, 还要研究企业各个信息系统内部信息存储、处理、通信、展示、维护等过程中的安全问题。目前,业界主流的信息保护技术主要有三种:网络及存储介质加密、EDRM(企业数字版权管理)、DLP(数据泄露防护)。
1.网络及存储介质加密技术
网络及存储介质加密技术是指对计算机硬盘、U盘、DVD盘等存储介质上的电子文档进行加密存储,或对需要在网络通信线路上传送的电子信息进行加密传输。该技术存在以下局限性:①实施专有加密硬盘、U盘、DVD盘后,会因为额外的加解密操作降低信息处理性能。同时,当需要与外界进行明文信息交换时,存在需要检查审批、指定设备中转、记录审计等问题。
②如果不同的人使用不同的密钥,密钥的使用管理非常复杂且成本很高。如果不同的人使用相同的密钥,则每个人都可以对密文进行解密,导致解密后对明文的后续操作缺乏约束和记录。
2.EDRM技术
EDRM技术是指为每个客户端上安装一个EDRM软件,可以根据用户需求随时独立对各种重要敏感信息进行加密存储和最小授权访问;也可以和企业内部电子公文等应用系统整合,在各种重要文件公文生成、审批、流转过程进行加密存储和最小授权访问。企业内部授权用户只有连接到内网服务器通过身份认证并获取解密密钥后,才能在权限范围内进行访问、查询、修改、打印、转授权等文档操作,并能对每个重要敏感信息在企业内部的访问情况进行全面审计。该技术的局限性为: ① 不能控制实施EDRM技术前发布的电子文档,不能控制电子文档作者保留的明文副本,不能控制对文档有高级权限的人员的主动泄密; ②授权操作会改变用户日常文档操作习惯,使用不便且影响访问性能。当人数和文档数都很多时,权限控制矩阵规模很大,管理落实最小授权原则工作很困难;③不能对结构化数据(数据库数据)、OFFICE、PDF等以外的图片、公式、源代码、TXT等复杂多变的文档格式进行授权处理。
3.DLP技术
DLP技术是指在客户端、网络边界部署专用检查软件,对客户端本地硬盘、U盘、DVD盘等外设、互联网和外单位网络访问的内容,以及网络存储、网络出口流量中的内容进行识别检查、告警阻断和记录审计,以检测控制企业内部重要敏感信息的未授权使用和传送。该技术的局限性为:①DLP技术的有效实施,取决于企业内部各部门用户是否能够及时提取各种重要信息的特征,以便形成精细化的识别检查策略和告警阻断等控制策略;②DLP的三种内部识别检查技术中,DCM(指基于关键字和正则表达式特征的检测)方法性能开销和用户参与要求最少,但准确度低,需要通过不断总结调整特征组合以提高检查准确性;EDM(指针对结构化数据特征的检测方式)和IDM(指针对非结构化文档提取“指纹”特征的检测方式)方法准确度高,但性能开销较大,不适宜在客户端实施,只能在网络边界部署;③DLP技术只能针对主要的网络边界和客户端的主要操作进行检查, 不能覆盖用户所有网络访问和外设操作行为, 不能覆盖所有信息泄露风险点。
二、EDRM和DLP两种主流信息保护技术的对比分析
(1)EDRM技术是一种强控制工具,符合管理人员的管理习惯,可以事前对客户端和应用系统中重要敏感文档进行加密,同时授权需要的人员进行有限操作,避免文档被非授权人员使用。可以自动为打印出来的重要文档增加“水印”,提醒纸质重要文档不要被非授权使用。可以自动记录一份电子文档在企业内部所有授权用户之间的使用传递过程,便于事后审计分析。但不能在事中控制各用户的授权范围、授权大小,容易出现误授权和滥授权等现象,也不能对OFFICE、PDF文档格式以外的其他类型文档进行管理。该技术改变了用户的使用习惯,使用传递过程要不断进行加解密和授权操作。随着被管理文档、用户数量的增加,对应的使用管理成本将很大。
(2)DLP技术是一种强检查工具, 可以利用关键字和正则表达式、结构化数据格式、非结构化数据指纹等文档特征,事前识别发现服务器和客户端硬盘、网络边界数据流量中,是否存在重要敏感内容,以便发现和改进存在安全缺陷的文档,提高员工的安全保密意识以避免疏忽造成信息泄露,发现或阻止恶意信息泄露行为。该技术可以事中识别检查客户端的主要内外网访问和外设使用过程是否传递了重要敏感信息,及时进行监控告警和阻断审计。该技术不改变用户日常文档使用习惯,能够对300多种格式的文档内容进行事中检查,还可以事后审计每个用户或文档的所有相关安全事件。DLP易于对用户互联网访问、特殊部门U盘等外设操作实施控制策略,但难以对用户内网文档使用传递制定控制策略。
(3)EDRM偏重事前加密授权控制和事后审计,DLP偏重搜索发现企业内部客户端和服务器上存储的重要敏感内容, 并实施事中的检查告警阻断和事后审计控制;EDRM技术难以对所有重要文档都进行有效加密和最小授权处理,DLP技术难以对所有用户使用的所有渠道都进行准确有效的检查控制;EDRM实施使用的有效性取决于业务部门和用户在文档生成后是否及时进行加密和授权处理,并且不保留传递明文副本,以及是否能够对不同级别的文档事前制定明确的有限授权的要求标准,以避免过度授权,DLP实施使用的有效性取决于用户是否可以准确全面的定义重要敏感信息的特征,以及是否可以针对这些特征制定客户端本地存储、外设使用、网络访问过程中的检查控制策略。
三、金融企业综合利用各种信息保护技术的实践
各种信息保护技术都有其局限性。在实际应用环境中,上述三种技术经常被结合在一起使用, 以全面满足企业内部各种信息保护需求。下面,就介绍一种建设金融企业信息保护技术体系的实践思路。
(1)企业所有客户端安装加解密软件,强制自动对所有U盘、DVD盘等存储设备的存储信息进行加密。对重要的移动笔记本电脑实施硬盘全盘加密技术, 避免企业各种信息存储介质丢失后造成信息外泄。
(2)企业所有客户端安装EDRM软件, 实现电子文档级加密存储和授权访问功能。所有被EDRM加密授权的电子文档,只能被企业内部实时联网的授权客户端解密使用,其他行内外非授权客户端和离线脱机的客户端不能解密这些文件。
(3)企业所有客户端安装DLP软件,定期扫描检查客户端存储的各种电子文档,检查各种重要敏感信息是否按规定进行了EDRM管理。严格检查客户端离线或接入公网或外单位网络时向外传送的各种信息内容; 在企业外网邮件服务器、互联网代理服务器、U盘中转机上安装DLP软件, 对企业内部外发邮件、互联网访问、行外U盘明文传送的内容实施严格的信息泄露检查告警和阻断审计;在企业内部互联网、EXTRANET等高风险网络出口部署基于网络流量检查的DLP检查工具, 实施信息保护最后一道防线, 发现各种内部主动泄密或系统被入侵后被动信息泄露行为。通过全面分析各种信息保护的主流技术, 可以看出, 对于大型信息化金融企业来说, 需要以管理视角为导向, 根据组织的管理文化、职责分工、流程要求、客户端规模等制定各种信息保护制度和控制管理策略,配套使用存储介质加密、DRM、DLP三种信息保护技术,才能全面做好信息保护工作。
|
