数安行银行信息系统数据风险管控项目
  • 2021.11.26
  • 1025
  • 北京数安行科技有限公司

一、案例背景:

某地方银行有近20年的发展历程,随着银行业务规模的扩大,银行计划在2-3年内再建设5家分支机构。这5家分支机构,除了具备基础的业务能力,还承担了数字化转型试点的任务。该银行在每个工作节点都配备了独立的计算机,并由专门的运维人员对计算机进行维护和管理。随着银行业务规模的扩大,这种维护方式成本太高,规模越大,成本也随着扩大,给银行造成了较大的负担。有时需要驻场的第三方工作人员介入部分工作,单独为这些人员建立、维护工作节点成本高,而且安全性不易控制。因此,银行在推进新的机构建设的时候,将虚拟云作为了一项基础设施进行了建设,以此来减小维护成本,增加管理效率。随之而来的,这些虚拟工作节点的数据安全问题也是很严峻的。这其中既有以往独立的计算机的数据安全问题,同时因为是虚拟化的工作节点,虚拟化环境本身是可以恢复和重新分配,有时数据风险还没有被捕捉到,但工作节点已经发生了重置或者转移,这就导致虚拟化中的数据风险没有有效的方法进行管理和控制。

 

二、案例概述:

该地方银行第一轮数字化转型,重点是在工作节点虚拟化的基础上开展的,目的是简化工作节点的维护,提升工作节点的拓展效率,同时也能够让一些第三方人员的工作节点处于统一的安全控制下。该银行对虚拟化中的风险主要概括为以下几个方面:
1)虚拟化中,建立一个工作节点是极其便捷和迅速的,但保障这些工作节点的安全可控又是关键。如何让所有的工作节点接收统一的安全管控?
2)每个工作节点对应着不同的工作人员,有的工作节点可能分派给特定的开发项目的第三方人员,在这个背景下,项目人员和银行内部的工作人员使用银行数据的权限也不同,虽然分配了账号并对账号权限进行了管理,但是账号泄露可能让预先针对人员分配的权限失去管控,进而造成更严重的安全风险。既要让各个部门的工作人员正常工作,同时还要对权限进行进一步的管控。
3)各个工作节点的员工不同,如何及时监测各工作节点的数据使用情况?如何发现数据使用风险,防止安全问题扩大化?

 

公司对上述的风险、问题进行评估后,最终决定通过技术手段对虚拟化下的数据风险安全管控采取适当的措施,由此启动《数安行银行信息系统数据风险管控项目》,期望通过本项目对风险进行控制和处理。《数安行银行信息系统数据风险管控项目》的关键主要包含三部分:工作节点的统一管控;工作节点的数据使用权限细粒度分配和控制;工作节点的数据使用的风险评估。
 

三、安全技术应用情况:

在《数安行银行信息系统数据风险管控项目》中,主要采取以下安全技术应对数字化转型的风险:

1)虚拟工作节点下的轻量化安全管控

依据虚拟化工作节点自身的特性,将安全管控措施内嵌到虚拟化工作节点中,虚拟工作节点下的轻量化安全管控,能在每个工作节点建立的时候,直接建立安全管控点,不管工作节点是为新员工建立,还是为项目组的第三方工作人员建立,都能在第一时间形成安全管控点。这个过程对工作节点的建立毫无影响。
 

2)虚拟工作节点下的细粒度权限控制

每次使用数据通过三要素进行控制:依据虚拟化工作节点不同的使用人员的角色、不同的使用人员对不同数据的使用需要,结合银行本身对使用权限的账号控制和分配,对每个工作节点的每个用户使用数据时进行控制。通过对上述三要素的判断,加上策略形成决策点,对虚拟工作节点的数据使用进行决策,控制使用权限的粒度达到如下级别:
a)盗用他人的账号不可使用数据;
b)不同工作人员对同一数据具有不同的权限;
c)同一工作人员对不同的数据有不同的权限;
d)数据的权限可以控制到读数据、修改数据、下载数据、提交数据等。

 

3)虚拟工作节点下的数据使用风险监测与评估

每个工作人员在当前的虚拟工作节点下使用了什么数据,数据的使用是否符合银行内部的规定,是否存在越权使用的情况,越权使用的数据来源于哪里?通过对虚拟工作节点下的数据使用全过程进行风险监测和评估,给决策层形成风险预警和评估报告,帮助决策层针对风险采取进一步的控制措施。
 

四、客户反馈效果:

用户在实施数安行银行信息系统数据风险管控项目以后,根据信息安全部门工作人员的反馈情况,工作节点的管控能在建立工作节点的时刻立即产生管控作用,而且运行的软硬件条件要求低,适合于虚拟化环境的安全管控。来自银行管理层的反馈,通过本项目的实施,发现了工作人员的几类使用风险,像交换账号使用数据,工作节点中出现了不属于当前工作人员工作范围的数据等等,根据发现的风险,管理层采取了一定的措施。目前公司在3个分支机构中实施了项目,计划继续在其他分支机构实施。除此之外,银行管理层希望除了目前数安行银行信息系统数据风险管控项目所建设的内容,计划再增加安全防护的功能,对工作人员的违规、泄密等可能的风险直接采取防护措施,预计在第一轮数字化转型建设完成后启动。

 

本网站使用Cookies以使您获得最佳的体验。为了继续浏览本网站,您需同意我们对Cookies的使用。想要了解更多有关于Cookies的信息,或不希望当您使用网站时出现cookies,请阅读我们的Cookies声明隐私声明
全 部 接 受
拒 绝