金融系统信息化不断发展和提高，各银行、证券公司等单位都已建立了相对成熟的应用系统，如：OA系统、CRM系统、信息管理系统MIS系统、证券交易系统或是基于Portal技术的综合办公平台等，给日常的信息的处理和传递提供了极大的便利。但在带来便利的同时，金融业信息网络和重要信息系统正成为敌对势力、不法分子进行攻击、破坏和恐怖活动的重点目标。因此目前急需对金融业核心应用系统数据进行保护。

2  金融单位信息数据安全需求分析

        应用系统的发展和完善是金融信息化的必然趋势，在不断完善应用数据安全的同时也需要针对各金融单位内部的实际情况进行灵活分析，采用针对性的数据安全解决方案来进行保护，包括对单位内网的终端进行传统的内网终端数据防泄密保护、移动终端数据安全保护和智能手机终端的安全进行加固，在各终端平台和应用的数据保护基础上加强对终端行为、网络、外设、移动存储介质等进行综合管控和审计，从而形成一套整体的数据安全解决方案。

        (以下以’XX银行’为例进行分析).

2.1  建立以应用系统数据安全为核心的数据防泄漏体系

        XX银行内部拥有很多的应用系统，如：OA、CRM、MIS、业务管理系统等，各应用系统在提高管理水平、促进业务创新、提升竞争力方面发挥着日益重要的作用，近年来，XX银行全面进入业务系统整合、数据大集中存储，由于其数据的特殊性和重要性，因此，XX银行迫切需要建设主动的、全面的基于应用系统为核心的信息防泄漏防护体系.

2.2  建立终端（电脑）数据安全保障体系

        XX银行业务系统承载着大量的核心重要数据，一方面这些数据均来源于各应用系统，另一方面终端上本身也存储着大量的数据，如何保证终端数据的安全？

2.3  建立移动终端（智能手机、PDA）安全接入方案

        随着智能手机功能越来越强，以及无线高速网络的迅速发展，越来越多的单位采用智能手机、平板电脑（IPAD）等移动终端来访问单位内部资源和应用，实现高效的资源共享和办公流程。因此，如何保障XX银行移动终端用户身份安全、接入安全、数据保密性以及网络边界完整性等成了关键的安全风险因素。

3  Chinasec终端数据防泄密整体安全建设方案

3.1  Chinasec数据安全解决方案设计理念

        针对XX银行信息化规划和业务发展实际情况，Chinasec可信安全平台根据数据在终端泄密的途径，以数据为中心，以风险为驱动；分析实际的管理模式和业务流程，评估存在的数据泄漏风险,并在此基础上整合所需的安全组件和客户现有业务系统，提供针对性的解决方案，改进和规范客户的数据风险管理体系。

        而现在在XX银行的数据安全风险和要求下，ChinasecXX银行数据安全整体解决方案的设计理念为：以XX银行核心应用系统的数据安全建设作为核心，以传统的终端数据安全和移动终端（电脑、手机/PDA等）作为基础支撑来搭建一套完整的数据安全解决方案，该整体方案搭配灵活，模块化结构，亦可针对XX银行各部门各系统等不同的数据安全保护要求来进行解决方案级的系统建设。

3.2  Chinasec应用数据安全解决方案（以银行MIS系统为对象）

        Chinasec应用保护系统实现对应用系统数据保密方案，主要实现对XX银行核心应用系统中数据的落地/下载进行相关的控制和加密，防止应用系统的数据随意流失，并且采用独特的技术区分应用系统和本地数据，和文件格式以及创建文件程序无关，集成了用户和终端的两种管理模式，对应用系统的数据进行加密、授权、审批一系列的管理。

        Chinasec系统应用方式如图所示：

3.3   Chinasec终端数据安全解决方案

        3.3.1 移动终端（传统内网终端）数据安全建设方案

        Chinasec以‘环境加密技术’为技术理念，为XX银行位构架终端安全的保密体系。所谓的‘环境’是指数据在生成、存储、交互、使用的过程中所接触的载体、使用者、传输渠道的一个总称。而‘环境加密技术’就是采用了多种管理手段结合的方式保护数据在生成、存储、交互、使用过程中的安全环节控制。在可信网络保密系统中主要采用了磁盘加密、网络传输控制、移动存储加密，外设控制等技术手段来保障了数据安全环境的建立。

        3.3.2 移动终端（第三方接入笔记本）数据安全建设方案

        Chinasec平台针对XX银行内部移动笔记本电脑便携、安全工作办公和个人娱乐等特点，特别定基于状态转换与部分分区转换的控制方式，以保证工作与私人空间的隔离。

        Ø 工作分区，工作资料在计算机硬盘中能够存储和使用的分区为工作分区，呈加密状态。

        Ø 工作模式，计算机处于此模式下，能够访问工作分区、使用工作软件、及向工作分区内写入数据，但无法将工作分区中的数据移出至本地的非工作分区内。且处于工作模式下的计算机，无法通过局域网与其它非工作模式下的计算机进行互联，以保障网络安全。

        Ø 普通分区，用于存放个人资料，个人应用程序的分区，非加密状态。

        Ø 普通模式，计算机处于此模式下，可以访问普通分区、不受限的使用网络、外设等，但无法使用工作分区。

3.4  Chinasec移动终端（手机、PDA）安全建设方案

        Chinasec移动安全解决方案依托公共移动接入网络基础设施，采用主要的移动通信技术（GPRS/CDMA/3G等），以XX银行智能手机、PDA、PAD和笔记本电脑等作为移动终端设备，从网络的安全认证与接入、网络访问控制、安全传输到移动终端的接入控制、接入安全管理等方面进行综合安全防护，构成了多层次、全方位的移动安全接入保障体系。

        Chinasec移动安全解决方案为移动终端用户的接入、传输、通信和应用提供了一条安全通道。安全功能框架如下图： 

4  Chinasec方案部署示意图

5  Chinasec数据安全解决方案特点

        1)   对敏感数据的识别更具针对性

        不是以某种类型数据保密为出发点，而是针对应用系统数据、终端数据数据进行保密，与文件格式无关，所需保护的数据针对性强。

         2)   安全管理更趋灵活

        系统提供文档权限管理、审批管理、日志管理等多种管理手段，通过组合各种管理手段，更有效的对应用系统内文档权限（阅读、更新、打印、复制、另存等）、数据交换（与外界的数据交互）、数据操作（创建、复制、删除等）等方式进行度管理。

        3)   分布式加解密技术，降低单点风险，提高处理效率

        采用先进的“分布式加解密技术”，支持数据加解密动作既可以在终端完成，又可以在服务器端完成，降低数据风险，提高系统运行效率。

        4)   高度的“业务相关性”和“技术无关性”

        与所保护的应用系统紧密相关，保护应用系统内数据线上、线下安全，除所保护的应用系统外的其他数据均不受影响，但所采用的技术与具体应用系统类型无关。

        5)   用户管理更丰富

        不仅仅支持AD、数字证书用户，还支持与MIS等应用系统身份系统进行集成，提供更丰富的的用户管理体系。

        6)   协议无关性和良好的扩展性

        与应用系统所使用的具体协议无关，实现与应用系统的无缝结合，具有良好扩展性。下载本文