在众多行业里面,银行、证券等机构掌握的敏感数据较多,属于涉密级别极高的行业。因此,不管是金融监管等机构,还是金融企业自身,对信息安全都有着严格的要求。然而,金融行业信息泄露案例却依然不绝于耳,尤其是“3•15晚会”上揭露的招行、工行、农行等银行内部人员窃取、贩卖客户信息这一消息让人感到惊心。
本该有着严密内控管理的银行却“祸起萧墙”?我们就透过这一起内部泄密事件所暴露出的问题,深入分析金融行业应如何进行内部信息防泄露建设,提高安全防御强度,重塑社会公众对银行、证券等金融机构的信心。
从此次“3•15晚会”曝出的银行泄密事件来看,暴露出来的问题主要有以下几个方面:
1、对信息访问、程序应用等操作权限设置过于宽泛。如银行的员工可随意访问征信系统内的所有数据,还能通过邮件、打印扫描等方式将信息外泄出去;
2、忽视审计。此次事件泄露的信息共3千多份,泄密人员应该不止进行一次操作,但银行却没能通过审计及时发现其中的异常;
3、缺乏内部管理力度。企业没有按照监管机构规定制定相应的内控制度,或者虽然有严密的内控制度却没有严格执行,规章制度形同虚设。
导致上述问题主要有两方面的原因,一方面是这些企业防泄露工作没有形成系统化的流程,信息防泄露工作是一个长期的过程,并不是安装上一些产品就等于拥有了一个真正的安全体系;另一方面是企业对防泄露项目的执行力不足,对于金融行业来说,在安全建设方面都有很大程度的投入,却因没有很好地落实,没能真正解决信息安全问题。
构建完善的信息防泄露体系,需要系统的思路做指导以及良好的执行力加以配合。信息安全管理体系要求(ISO27001)等标准中引入了PDCA工作模式对企业信息安全管理体系进行指导。PDCA是管理学中的一个通用模型,包括P(Plan)—计划;D(Do)—执行;C(Check)—检查;A(Act)—纠正四个步骤,它是有效进行任何一项工作的过程模式。信息防泄露作为企业信息安全工作的一个分支,这一模式同样也适用于信息防泄露项目中。
下面结合金融企业实际应用情况,讲述企业如何参照PDCA进行信息防泄露,形成“主动防御——有的放矢——效果可见——持续改进”的信息防泄露流程,最大限度保障信息安全,并满足国家、金融监管部门对金融企业信息安全建设的要求。
摸清“家底”,探清“敌情”
在构建防泄露体系之前,首先需要对企业内部进行“摸底”大行动。要摸清两方面的情况,一是企业内部状况;二是企业所面临的威胁。“摸底”可借助信息防泄露产品如IP-guard信息防泄露三重保护解决方案中的审计如文档全生命周期审计、桌面行为审计来进行。
先不对企业内部进行任何管控,只是进行详细的记录,通过记录的信息可以对内部信贷管理系统、财务管理系统等信息化系统的使用,信息使用、流转,核心信息类型、所在位置以及内部存在的安全威胁、露洞等情况一目了然。
了解清楚情况之后,还需要评估这些威胁所可能导致安全事件发生的几率以及负面影响的程度,确定威胁的危害级别。
根据风险评估的结果以及组织各部门的安全需求,制定项目计划以及需要达到的目标。
在这一过程中,有几点需要注意:
第一,摸底要全面。要对企业所有部门的情况都进行全面的梳理,不能只针对核心部门;
第二,制定项目计划时,要确保防泄露范围覆盖到每个部门,不管是参与重要业务的客户部、财务部还是负责日常内部管理的行政部,都要有所防御,而防御的强度则需要相应调整;
第三,目标应与实际的安全需求相符合,无须追求“绝对安全”。
严格管控,灵活授权
制定好计划及目标之后,企业接下来则需要按照既定的计划及目标,采取相应的信息防泄露措施。如可通过IP-guard三重保护解决方案文档操作、设备管控等功能对信息操作、外设边界、网络边界、内部桌面行为等进行严格、全面的控制,使得文档不会轻易“看得到、改得了、发得出、带得走”。在遵循严格管控的同时,还需要根据用户情况进行灵活而有弹性的权限设置,使得信息防泄露策略能够得到有效实施。
根据文档所含信息的重要程度及用户部门、所属级别设置文档的操作权限,防止核心信息被随意访问、修改、删除等,做到“员工不该看的信息,绝对看不到”。如上述银行的泄密事件中,涉事人员可随时通过内部征信系统查询所有信息,如果银行当初按照每位员工的职能、级别严格设置信息的访问权限,或许就能避免这一起事件的发生。对于涉密级别最高的信息,还可部署上加密,在非授信环境下,外发出去也无法获取信息,为信息加上更高一层防护。
对设备的管控,同样也需要严格按照具体的工作需要以及每个部门的职能进行调控。如对于处于业务网的重要部门,禁止使用移动存储设备,对需要通过刻录带出信息的行为制定严格的管理制度,并对刻录操作进行详细审计;对于办公网的部门则授予移动存储设备在企业内部使用的权限,禁止使用外来移动存储设备,做到“内盘内用,外盘外用”。
由于业务需求,企业内各部门可能都需要使用打印,为了防止信息外泄,如招行员工就是将信息打印后扫描外发,可设置只能使用指定打印机进行打印策略,同时详细审计打印操作,并备份打印内容。对于运用比较少的设备如蓝牙、无线网卡等则禁止在内部使用,杜绝安全风险。
除了管控设备边界,对网络边界的管理也是必不可缺的。对于需要与外部交流的客户部等办公网部门,可适当放松权限,允许通过即时通讯工具、邮件等方式与外部联系,但也要进行严格的管理,如只允许登录指定账号,限制发送文件的大小;只能使用企业规定邮箱收发邮件,发送邮件必须抄送给上级主管等,通过灵活的权限管控,既不影响正常的业务开展,也最大程度上避免了信息外泄。对于与外部交流较少的财务部、技术部、信贷审批部等部门则一律禁止使用即时通讯、外部邮箱。
由于金融行业大部分核心信息都是存放于财务管理系统、CRM系统等应用系统上,因此,保护存放于这些系统上信息的安全也是金融企业信息安全的一个重要任务,这也是目前企业的一个主流需求,内部人员能看,但无法外发。这一需求可通过IP-guard的加密安全网关来实现。通过在这些系统前部署加密安全网关,可做到上传自动解密、下载自动加密,既不影响企业的业务操作,也保护了信息的安全。
加密安全网关原理示意图
在选择防泄露措施时有一点是需要注意的,没有必要追求信息防泄露零风险,只需要按照计划中所要达到的目标,采取相应的措施,将防泄露风险降到可接受的程度即可。选择防泄露措施需要考虑到成本、技术、效率等因素。
信息安全行业有句老话“三分在技术,七分在管理”。由于金融行业所涉及的信息之多,如果管理不当,哪怕使用再先进的技术也无法保证信息的安全。要防止内部信息泄露,合理的管理也是必不可少的。如制定严格的安全管理制度,明确权责,并为员工提供专业安全培训,让他们清楚哪些信息是需要保护的,哪些是可以开放的,提高员工的安全意识,促进信息防泄露工作的顺利进行。
实录操作,定期审查
仅靠严格的管控措施还不足以保障信息安全,需要辅以详细的审计。审计是信息防泄露工作中最关键的一环,其作用贯穿于信息防泄露所有的流程中。通过审计,企业能掌握内部安全形势,发现内部异常情况,及时防范以及事后追究责任。而金融监管机构也在《商业银行信息科技风险管理指引》等规定中对金融行业提出了“审计贯穿于信息科技活动的整个过程”的要求。
IP-guard三重保护方案可提供详细直观的审计,借助IP-guard文档操作审计、屏幕监控等功能,对内部操作如员工进行了怎样的文档操作,在存放敏感信息的财务管理系统等进行了哪些操作进行详细的记录。
对于这些操作日志,企业需要定期进行审查、分析。一来可评估防泄露效果,判断防泄露项目是否按计划进行,是否与预期目标相符。二来,通过对比不同时期的操作日志,可及时发现异常现象,发现新威胁,以改进防护策略,保持项目的有效性。
对于这些操作日志,企业需要保留一段时间内的日志,以方便数据对比及事故发生后收集证据之需。
于评估中找茬,有则改之
建立信息防泄露体系之后,并不意味着防泄露工作就完成了,技术在不断发展,同样防泄露工作也需要不断调整,不断改进。
根据效果评估阶段发现的不足以及新风险,采取改进、防范措施,保持防泄露项目持续有效,安全效果得以不断加强,螺旋上升。
经过“制定计划——按需实施——评估结果——不断改进”等流程构建信息防泄露体系,对金融企业而言有着非凡的意义:
1、帮助企业了解信息安全建设的整体状况;
2、帮助企业制定信息安全管理流程,建立有效的信息安全体系;
3、获得客户等各方面的信任、信用及信心;
4、符合《信息安全等级保护》、《商业银行内部控制》等相关法律法规的要求;
5、强化员工的信息安全意识,规范组织信息安全行为。