防水墙产品在金融系统中的应用价值
供稿:上海山丽信息安全有限公司
- 关键词:数据安全,数据防泄密,数据防泄漏
- 作者:子曰团队
山丽防水墙产品在金融行业已经有部署了许多有影响的客户,这些客户包括:中国银行、中国造币总公司、凸版印刷(世界500强,主业:银行信用卡制作),北京银行等。并且,目前还有其他有影响的金融企业正在部署当中。
本文从以下几个方面对防水墙数据防泄漏产品在银行等金融行业的应用价值进行说明。
第一:满足金融行业企业监管机构法律法规要求
银监会:商业银行信息科技风险管理指引(2009-06-01)明确规定:
第二十四条 商业银行应根据信息安全级别,将网络划分为不同的逻辑安全域(以下简称为域)。应该对下列安全因素进行评估,并根据安全级别定义和评估结果实施有效的安全控制,如对每个域和整个网络进行物理或逻辑分区、实现网络内容过滤、逻辑访问控制、传输加密、网络监控、记录活动日志等。
其中,要求进行数据传输加密。
第二十八条 商业银行应采取加密技术,防范涉密信息在传输、处理、存储过程中出现泄露或被篡改的风险,并建立密码设备管理制度,以确保:
(一)使用符合国家要求的加密技术和加密设备。
(二)管理、使用密码设备的员工经过专业培训和严格审查。
(三)加密强度满足信息机密性的要求。
(四)制定并落实有效的管理流程,尤其是密钥和证书生命周期管理。
其中,要求数据传输、处理、存储全过程加密。
其他监管部门文件要求还包括:
商业银行操作风险管理指引(2007年06月01日银监会发布)
商业银行合规风险管理指引
商业银行市场风险管理指引
银行业金融机构信息系统风险管理指引
中国银行业监督管理委员会《电子银行业务管理办法》共9章99条
中国银行业监督管理委员会《电子银行安全评估指引》共5章57条
中国人民银行《网上银行业务管理暂行办法》
中国人民银行《关于落实¡°网上银行业务管理暂行办法¡±有关规定的通知》
中国人民银行《电子支付指引征求意见稿》
美国巴赛尔银行监管委员会《电子银行业务的风险管理原则》
美国巴赛尔银行监管委员会《跨境电子银行业务的管理和监督》
世界银行《电子安全:金融交易中的风险缓解公共政策问题》
ISO/TR 17944 《金融系统中的安全银行―安全和其他金融服务―框架》
第二:满足国家强制性政策在金融行业企业的要求
国家强制性政策要求 - 等级保护
2007年6月22日,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室联合下发了《信息安全等级保护管理办法》(公通字[2007]43号文)及一系列标准指南。
2007年7月16日,四部委联合下发了《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号) ,7月到10月,将在全国范围内推行带有强制性的等级保护定级工作。
关于等级保护的两条规定
第三级以上信息系统应当选择使用符合以下条件的信息安全产品:
产品研制、生产单位是由中国公民、法人投资或者国家投资或者控股的,在中华人民共和国境内具有独立的法人资格产品的核心技术、关键部件具有我国自主知识产权。
运用密码技术对信息系统进行系统等级保护建设和整改的,必须采用经国家密码管理部门批准使用或者准于销售的密码产品进行安全保护,不得采用国外引进或者擅自研制的密码产品;未经批准不得采用含有加密功能的进口信息技术产品。
第三:满足金融行业企业面临的信息安全风险防范要求
在信息安全技术方面,金融企业面临着这样的问题:
…线路监听
…数据明文传输
…节点仿冒
…中间人攻击
…内部数据缺乏保护
...
这些风险,通过内部人员、外部不法分子、商业竞争对手、间谍机构、不合规服务商严重的影响着企业在“用户信息”、“业务数据”、“统计报表”、“核心机密”等等方面的安全。并在全球即使管理规范的金融企业也带来了深重的灾难。
例如:
荷兰银行在中国爆出2000万客户存款被盗,广发银行的业务员把客户的信息资料卖给深发展,有黑客侵入了“信用卡第三方付款处理器”的网络系统,造成包括万事达、VISA等在内各种信用卡多达4000多万用户的数据资料被窃…….
在构建金融企业安全防护体系方面,防水墙数据防泄漏系统可以起到极其关键的作用。
第四:满足金融行业企业提升自身管理水平需求
通过以上的分析,我们可以确认:
银行信息系统的安全建设,面临着如下的需求:
权限控制:用户分级,不同的用户访问的信息安全等级数据应该不同;
数据加密:分行或者远程办公地点的数据传输必须采用加密传输的方式进行,数据本身的处理、存储必须采用加密的方式进行。
另外还包括诸如审计等等安全管控手段。
防水墙数据防泄漏产品可以很好的满足在数据的权限控制、数据加密方面的需求。
第五:满足金融行业企业信息技术外包安全问题解决的要求
银行业金融机构外包风险管理指引(中国银行业监督管理委员会办公厅 银监发[2010]44号二0一0年六月七日规定。
第十六条 银行业金融机构在外包合同中应当要求外包服务提供商承诺以下事项:
(四)保障客户信息的安全性,当客户信息不安全或客户权利受到影响时,银行业金融机构有权随时终止外包合同;
第十九条 银行业金融机构在开展跨境外包活动时,应当遵守以下原则:
(二)确保客户信息的安全;
采用山丽防水墙数据防泄漏系统,可以确保金融企业将信息系统外包时候所面临的客户信息泄密的严重风险,同时,为了有效保证信息系统、生产系统的持续运行,许多金融企业和外包企业往往均签署有外包系统的知识产权占有协议,采用防水墙数据加密系统,可以有效保证金融企业对所外包信息系统的支持产权独占性保护。事实证明,这是一条有效的措施。