应用场景与痛点

数据是金融行业的核心资产，金融敏感数据信息包括客户数据、征信数据、账户数据、交易数据、业务数据、经营数据等，敏感数据信息被泄漏或被篡改，对客户、金融机构乃至金融体系都有较大的影响。尤其在当前云计算、大数据背景下，数据信息的安全管理尤为重要，光靠传统的存储加密等手段已不能完全解决敏感数据信息在使用、传输中被泄漏或被篡改。目前通过网上业务HTTP或HTTPS传输、内部邮件传输、经营分析数据库访问与操作、开发测试数据加载等多种业务场景与应用，已成为金融机构敏感数据传播和泄漏的新途径。近期金融行业披露了多起用户银行卡信息被泄漏的安全事件，数据安全防护已成为当前非常紧迫的需求。

解决方案

为保护用户与金融机构敏感数据信息的安全，国家层面以及行业监管机构已出台了相关的政策法规、指引与标准规范。《中华人民共和国网络安全法》已明确要求网络运营者不得泄露、篡改、毁损其收集的个人信息。《银行业金融机构数据治理指引的通知》（银保监发〔2018〕22号）明确要求金融机构应当建立数据安全策略与标准，依法保护客户隐私，明确访问和拷贝等权限，监控访问和拷贝等行为，完善数据安全技术，定期审计数据安全。《信息安全技术个人信息安全规范》（GB/T 35273-2017）中也明确要求，金融机构作为个人信息控制者，在使用、非业务存储时应当进行去标识化处理，也就是需要对用户敏感信息进行脱敏处理；在对被授权访问个人信息的内部数据操作人员，应进行基于角色权限的访问控制，按照小授权的原则；应对安全管理人员、数据操作人员、审计人员的角色进行分离设置；防止非授权访问、篡改或删除等行为；应建立自动化审计系统，监测记录个人信息处理活动等相关要求。

另外，根据新的《2017年全球数据泄露成本研究》[]报告显示，数据泄露事件的主要根源中，47％的事件源自恶意或犯罪攻击行为，25％的事件源自员工或承包商疏忽（人为因素），28％的事件源自系统故障，包括IT和业务流程故障。因此，数据安全保护的重点在防范来自内外部的恶意攻击行为，以及来自内部人员的越权违规行为，参照银保监等监管机构的相关规范要求，本方案的重点从数据生命周期过程中数据存储、使用和传输阶段，以严格的授权管理为基础，以认证与访问控制、传输加密、数据脱敏、泄露检测为综合安全防护手段，以操作审计监控为辅助，构建事前、事中、事后全过程、立体化的数据安全保障体系。如下图所示：

从金融机构实际业务来看，用户敏感数据信息被泄露主要的途径主要在网上银行/网上支付渠道、互联网访问及邮件系统、业务运维及外包管理、业务经营分析、开发测试等多个途径与业务场景，本方案结合金融行业用户不同应用场景与安全需求，提出相应的安全防护与部署建议。

1）网银与互联网出口敏感数据防泄漏、防篡改

网上银行/网上支付主要承载网银、网上支付等面向大众用户的业务接入渠道，同时也是黑客攻击的主要途径，常见的SQL攻击、跨站脚本攻击、CC攻击、SSL Strip攻击等，都可能造成用户、金融机构敏感信息的泄漏。针对该业务场景，对网银WEB及业务系统的访问，其访问主体一般是外部用户，同时也是黑客通过互联网攻击网银WEB及业务系统的重要途径，数据安全保护的重点是防止敏感数据信息被泄露到外部或被篡改。由于网银出口流量比较大，建议在网银出口接入区旁路部署网络数据防泄漏DLP设备，在网银DMZ区域单臂部署SSL VPN系统，网络DLP对通过HTTP、HTTPS传输的数据信息进行深度内容检测、分析与告警，SSL VPN实现敏感数据传输的加密与防篡改。

对于行内互联网终端访问互联网时，数据安全保护的重点是防止内部网络中敏感数据信息被泄露到外部，也保护移动办公用户从外部访问内网应用时，对敏感数据信息的进行安全传输保护。由于互联网访问出口流量一般都不大，建议网络数据防泄漏DLP设备、国密VPN设备可串接于互联网出口边界网络中，对办公邮件、WebMail、网盘、FTP等方式外部传输的数据文件进行深度内容检测、分析与阻断。

网银与互联网出口边界数据安全防护及部署拓扑如下图所示：

2）内部人员访问重要业务系统中敏感数据信息，以严格的IAM（Identity and Access Management）管理，即“身份识别与访问管理”为核心，构建综合的安全防护技术措施。 

内部人员访问重要系统中的敏感数据信息，主要包括业务经营分析操作、业务运维操作、外包管理操作、开发测试等实际业务中，需要访问生产数据库中一些重要数据信息，此外，办公网中经营分析、产品创新等业务应用中也含有较多金融机构经营管理方面的敏感信息，如管理不善可能会造成用户个人信息、以及金融机构敏感信息的泄漏；针对该业务场景，对生产网用户数据的访问，以及对办公网经营分析等数据的访问，建议结合金融机构现有CA认证系统，采用基于数字证书的强身份认证方式，事前对内部人员访问重要业务服务器进行细粒度的账号管理、授权管理，采用安全认证网关对接入及访问用户进行集中身份认证管理，通过数据库防火墙对访问与操作行为进行细粒度的数据库访问控制；由于经营分析人员、测试人员、运维人员等不需要掌握用户的真实数据，需要在访问过程中对敏感数据信息进行在线数据脱敏处理，经过脱敏后的数据信息既不影响业务分析、经营分析、测试验证，又保护了敏感数据不被泄露；为进一步监测办公网络中是否带有敏感数据信息，建议在办公网中还需要部署网络DLP系统。内部人员访问重要服务器资源的访问与操作行为，都通过数据库审计系统进行事后审计与跟踪。

通过以上综合、立体化数据安全防护，从事前、事中、事后全过程，强化内部人员对重要数据信息资源访问的安全管理。部署拓扑结构如下所示：

方案亮点

天融信金融行业数据安全解决方案拥有多项核心专利技术，具有较强的核心竞争优势和较高的技术壁垒。

1、方案以严格的IAM（Identity and Access Management）管理，即“身份识别与访问管理”为核心，并采用基于国密算法的安全认证网关，满足金融行业国密改造应用需求；

2、方案采用业界领先的数据防泄漏技术，基于机器学习、人工智能、深度内容识别技术为核心，拥有独特的旁路部署识别HTTPS内容的检测技术，能够对传输过程中的流量数据进行敏感数据泄露监测。

3、方案结合金融行业应用与网络特点，从数据传输、存储、使用等数据生命周期过程中多个阶段，以严格的授权管理为基础，以认证与访问控制、传输加密、数据脱敏、泄露检测为综合安全防护手段，以操作审计监控为辅助，构建事前、事中、事后全过程、立体化的数据安全保障体系。

银行客户名单

招商银行、中国银行、中信银行、华夏银行、邢台银行、徽商银行、湖北银行、湖南农信、江苏农信