項目背景

近年來，國內(nèi)外信息安全形勢日益嚴峻，金融行業(yè)信息安全事件頻發(fā)。且行內(nèi)外部監(jiān)管要求越發(fā)嚴格，隨著《中華人民共和國網(wǎng)絡(luò)安全法》的正式發(fā)布實施以來，對信息安全保護提出了更高的要求。隨著行內(nèi)業(yè)務(wù)的不斷發(fā)展，應對信息安全威脅和合規(guī)要求，保障國開行辦公網(wǎng)絡(luò)信息系統(tǒng)安全、穩(wěn)定、高效運行，國開行采取了一系列安全防護手段。

基于上述情況，國開行科技局攜手聯(lián)軟建設(shè)了一套終端終端安全水印+內(nèi)文文件保護+水印管理系統(tǒng)的綜合解決方案。在這個方案中不但考慮安全合規(guī)要求，也綜合考慮辦公便利性等需求。

解決建設(shè)方案

1. 2012年內(nèi)網(wǎng)建設(shè)了網(wǎng)絡(luò)安全準入系統(tǒng)，規(guī)范內(nèi)網(wǎng)終端的網(wǎng)絡(luò)接入，網(wǎng)絡(luò)準入模式使用802.1x協(xié)議。

2. 2014年開展了辦公信息安全防護系統(tǒng)建設(shè)項目（內(nèi)網(wǎng)文件保護系統(tǒng)）的建設(shè)，在內(nèi)網(wǎng)計算機終端分配了交換區(qū)，從而實現(xiàn)對內(nèi)網(wǎng)文件流轉(zhuǎn)的集中安全管控。

3. 2016年11月，進一步全面推進全行內(nèi)網(wǎng)用戶接入準入和內(nèi)網(wǎng)文件保護系統(tǒng)，實現(xiàn)全行內(nèi)網(wǎng)用戶終端辦公信息使用的安全管控。

4. 為進一步加強對行內(nèi)辦公網(wǎng)敏感信息防泄密的安全管控，國開行信息科技局自2016年起開展了相關(guān)理論課題研究和技術(shù)論證工作，并在此基礎(chǔ)之上啟動2018年內(nèi)網(wǎng)文件保護系統(tǒng)完善項目。在之前建設(shè)內(nèi)網(wǎng)文件保護系統(tǒng)基礎(chǔ)之上，引入DLP（Data Loss Protection）功能及水印功能，從前端加強敏感信息的快速識別和定向預警，從后端提供敏感信息防泄漏審計和追溯手段，做到“事前有審批，事中有監(jiān)控，事后有審計”。

方案價值

1. 準入項目為國開行建立了一套符合國際、國內(nèi)標準的，技術(shù)先進、安全性高、兼容性強的專業(yè)化網(wǎng)絡(luò)安全準入系統(tǒng)。 并且通過該系統(tǒng)進行統(tǒng)一安全策略管理，實現(xiàn)對計算機終端用戶合法身份的檢查認證以及計算機終端防病毒軟件、操作系統(tǒng)補丁等安全有效性檢查，同時規(guī)范計算機終端對信息資源的訪問管理。確保接入國家開發(fā)銀行內(nèi)網(wǎng)的終端，是經(jīng)過授權(quán)的，是符合安全要求的，從而達到保障國開行整體網(wǎng)絡(luò)安全性的目的，支持國開行的快速發(fā)展。

2. 內(nèi)網(wǎng)文件保護系統(tǒng)項目實現(xiàn)通過文件外發(fā)審批等策略使得員工能夠使用內(nèi)網(wǎng)計算機安全可控地收發(fā)外網(wǎng)電子郵件。并通過引入DLP功能，實現(xiàn)基于數(shù)據(jù)敏感程度對不同類別用戶辦公終端敏感數(shù)據(jù)使用以及外發(fā)的掃描和監(jiān)控的效果，并可輔助敏感數(shù)據(jù)外發(fā)審批流程提供定向預警和有效攔截功能，還可為用戶提供外發(fā)敏感信息的細粒度審計功能。

3. 水印項目對業(yè)務(wù)系統(tǒng)、屏幕、打印進行控制，增加對應的水印控制，通過直觀的水印效果對用戶形成心理威懾，提升行內(nèi)用戶的數(shù)據(jù)安全意識水平，提供水印審計功能，實現(xiàn)對敏感信息敏感外泄行為的有效和準確追溯。并且在實施過程中基于數(shù)據(jù)敏感程度和用戶使用感受，考慮用戶意識教育和追溯效果的平衡，實現(xiàn)差異化的水印策略。