项目背景及目标

项目背景：

省联社信息科技部在行内数据安全的前期工作中，已经建成较为完善的被动安全防护系统和服务，有效避免了因外部攻击等原因造成的数据安全问题。但行内数据应用场景众多、外流途径难以管控、员工安全意识不强等原因，行内主动数据安全防护建设工作尤为不足。随着银行以数据驱动的业务创新和升级不断深化,如何构建以数据全生命周期为核心、及时发现、主动出击的动态数据安全体系成为江西农村信用社联合社信息数据安全治理的迫切需要。鉴于此，省联社开展了基于数据分类分级的数据安全管控项目一期建设。

项目目标：突出数据安全管控体系建设，以“源头管控、边界防护、多维感知、智能分析、主动防护、审计溯源”为总体思路，以数据全生命周期为抓手，建立以数据防泄漏系统、数据云盘系统为基础功能模块，采用人工智能、大数据分析等技术、建立感知-采集-分析-管控-审计过程闭环动态数据安全体系，实现数据安全及管理由“人控”到“技控”再到“智能控”的转变，从而达到“全面保障、智能管控，内外兼防”的目标。

项目方案

项目架构：围绕数据全生命周期的事前预防、事中控制、事后审计的管控要求，结合省联社数据安全治理实际需求，构建数据安全防护总体架构体系，如下图所示。

项目实施方案在结合业务、风险合规等安全监管要求的基础上，充分考虑数据安全治理未来发展方向，依托“源头管控、边界防护、审计溯源”技术体系，建立划分全行级数据三大基础数据环境：生产环境，办公环境，开发测试环境。通过数据安全管理制度、规范流程作为数据安全建设和运营的指导依据，实现从数据采集至数据销毁的全生命周期安全管理。

技术实现方面：

一、数据分类分级

遵照《网络安全法》和《银行业金融机构数据治理指引》对数据分类分级的明确要求，结合省联社对各类数据的具体管理需求及满足行业监管需要，通过关键词检索、正则表达式、文档指纹以及自然语言处理（NLP）等技术的综合应用，融入业内先进的数据分类分级管理经验，为省联社量身定做符合管理需要的智能化、自动化的数据分类分级技术，并根据分类分级结果实现对敏感数据的“按需管控”，达到提高管理效率、节约管理资源的目标。

二、敏感数据管控

按照“源头管控、边界防护、审计溯源”的管理思路，在生产网、办公网、开发测试环境的外发边界，针对各种外发手段开展管控，配合分类分级、透明加解密和智能审批，实现提数、网间数据交换、数据分发使用、敏感信息报送、设备送修、开发人员网络应用等业务场景的安全管控全覆盖，有效避免恶意泄露敏感数据、数据越权使用、因设备遗失造成的被动泄密等一系列问题。

三、云盘和业务融合

通过云盘和具体业务深度融合，将业务系统下载、办公终端电脑本地保存等敏感数据直接保存至云盘，结合在线编辑、分发应用权限管理、版本控制等技术，实现对敏感数据的集中管控、不落地访问，全面提升敏感数据应用和管理的安全性、便利性，进一步降低数据泄露风险。

四、数据安全运维管控

为有效提升数据库日常运维管理工作的精细度及安全性，针对数据库运维人员的数据库安全加固与访问管控，提供事前审批、事中控制、事后审计、定期报表等功能，将审批、控制和追责有效结合，避免内部运维人员的恶意操作和误操作行为，确保运维行为在受控的范畴内安全高效的执行。

后期在一期项目建设的基础上，逐步完善形成数据安全管控体系。

创新点

1、全行规划，统一数据管理。针对入网源头和数据传输使用各个环节，全方位建立统一的安全管控体系。在数据安全治理规范和定制需求方面，充分采纳各部门相关意见，确保全行数据治理统一口径、协调同步，形成数据安全治理全行参与，齐抓共管的局面。

2、源头管控，分类分级管理。综合利用关键词、正则表达式、文档指纹以及自然语言处理等技术，基于内容对数据文件进行扫描，主动发现敏感数据并确定数据类别、涉密等级等信息，在数据文件创建、产生阶段即开展管控，直至文件销毁，在安全管控的同时，为合规检查工作提供便利。

3、边界防护，技术效率并重。通过透明加解密、应用权限管控、数字水印等技术，在驱动层对办公网、生产网、互联网边界对数据流转进行管控，有效避免数据泄露、越权使用等安全问题，管控工作无感知，不影响当前业务流程，具有较高的管控效率。

4、云盘融入，数据无需落地。引入数据云盘，和业务系统、数据防泄漏系统融合，充分考虑提数和网间数据交换的安全性和便利性，结合数据在线编辑技术，实现数据集中管控和不落地访问。

5、智能分析，掌握数据态势。采用大数据和深度学习等技术，对海量运行日志进行模型计算，掌握行内数据资产的实时流转和分布情况，及时发现各种运行安全事件，并进行处置，实现数据安全态势感知。

6、审计溯源，流转轨迹可查。通过行为日志和智能标签，实现数据的审计溯源、流转轨迹图形化展现，还能够在数据离开管控环境后，持续进行追踪管理。

技术实现特点

1、操作系统内核和驱动技术

基于对操作系统内核和驱动的深入研究，突破了操作系统底层的诸多关键技术，包括Usbkey引导、磁盘加密、双缓冲文件过滤驱动、虚拟终端安全环境和虚拟安全域等，这些技术的组合使用可以实现终端数据的全方位保护，为终端安全软件开发奠定了基础。

2、应用软件行为分析技术

通过对应用软件运行行为的研究，基于Hook和驱动技术实现了文档的透明加解密技术，同时实现了包括读、写、另存、脱密、截屏、拷贝、文档水印、无水印打印、带水印打印、离线使用等十种基本文档权限，可以对文档进行细粒度的安全管控，保障终端数据安全使用。

3、基于自然语言处理的文档内容识别技术

基于多年对不同文档类型的分析研究，积累了上千种文档内容的识别和解析方法。通过对文档内容的解析和提取，实现对文档内容的识别，并通过自然语言处理技术提高文档内容识别的准确率。同时基于simhash算法计算文档相似度，对文档全生命周期管控，实现包含敏感数据内容的文档溯源。

4、数字水印技术的实现

通过获取计算机上的用户信息、Mac地址信息、IP地址信息、时间信息等，结合当前用户计算机屏幕的状态，使用DCT水印算法、矢量水印算法等技术，实现水印信息的明文显示、密文显示等，防止用户拍照、截屏引起的数据泄密，同时可使用矢量水印检测技术，提取泄密信息中的水印，进行追踪对比，实现对数据内容的文档溯源和管控。

5、异构海量日志文件快速处理技术

通过采用Sparc架构，能够快速实现对海量异构数据运行日志文件的快速清理和归集，采用ES技术实现百亿量级日志内容的存储、计算和检索。为上层模型计算提供了强有力的支撑。

项目过程管理

1、2018年3月-11月，广泛开展数据安全治理体系建设技术交流，讨论建立分类分级的数据安全管控体系架构，并完成项目立项等商务工作；

2、2018年12月启动项目建设，完成项目准备，确定项目需求说明书和项目实施计划，并根据计划开始项目部署工作；

3、2019年1月结合省中心提供的各项数据，分类分级梳理敏感数据基本情况，初步形成梳理策略，为推动数据安全治理项目软硬件系统部署做好前期准备工作；

4、2019年2月完成数据安全治理项目软硬件系统部署，包括：生产服务器搭建、数据云存储平台搭建、数据策略管理确认等工作；

5、2019年6至8月完成省中心DLP终端系统部署、策略上线、数据安全审计报表以及数据云存储平台的测试验证工作；

6、2019年9月起，根据省联社数据安全管控体系建设的整体部署，开始一期项目扩展及优化、邮件系统DLP、数据脱敏、数据库审计、数据安全运维管理、数据安全集中管控平台等系统建设，逐步形成数据安全管控体系。

运营情况

通过前期方案讨论和系统功能测试，实现了数据防泄漏系统、数据云盘系统基础模块等功能，并根据计划投入实际应用。

自该系统安装使用以来，终端各软硬件运行稳定，资源占用（CPU、内存）总体低于2%，系统和业务流程结合紧密，对正常业务流程无明显影响，员工应用体验良好。

该项目有效满足行内软件兼容性验证要求，并达到安全性、易用性、可靠性的预期目标，实现了对行内数据进行有效可控的管理。目前该系统已在省联社部署应用，下一步计划将应用成果全面推广至全省辖内农商银行。

项目成效

通过项目建设，建立以数据源头管控、边界防护、多维感知、智能分析、主动防护、审计溯源为基础的敏感数据全生命周期综合智能安全管控平台。在对敏感数据实现精确识别的基础上，通过多维感知体系，采集在全生命周期过程中运行数据信息，并且进行汇总和智能分析，根据策略管控要求进行预警、提示、拦截、阻断、管控及告警。目前该系统在满足监管和行内安全规定要求的基础上，做到了智能管控和主动出击，提高了我行的数据安全建设总体水平和质量。

同时该项目满足了数据安全治理的核心功能要求，按照整体规划部署，将同随后建设的管控平台、数据脱敏等系统共同构成数据安全管控体系，为开展全行数据治理工作奠定坚实的安全基础。

经验总结

该项目建设树立了全行级数据安全治理和管控的思路和方法论，全行统一部署筹划，全员参与治理使用。

并根据监管和行内管理要求，充分结合我行数据安全治理现状及特点，由数据防泄漏（DLP）作为切入点开展项目建设，循序渐进、分步实现数据安全管控体系乃至数据安全治理体系的建设，整体建设思路清晰、部署得当。在功能实现上，各项数据基于加密、脱敏等把控手段实现了数据内部封闭流转，各数据治理系统统一协调运行，确保各系统间传输数据统一口径、准确无误。

下一步在该项目系统运行使用过程中，将逐步优化相应功能。