客户端是大型商业银行各类信息的重要载体 , 工商银行高度重视客户端信息安全,实施了客户端安全防控体系建设项目。该项目以实现客户端安全可防可控为目标,通过强化和完善客户端自身安全、客户端网络准入控制、信息防泄漏以及互联网访问安全管理等多个方面,构筑了较完备的客户端安全防控体系。
一、安全防控体系介绍
工商银行客户端安全防控体系以客户端网络准入控制和客户端安全控制系统为基础,从客户端软件管理、客户端威胁防护、端机外设控制、网络接入控制、信息防泄漏、互联网访问控制等多个维度,规范并明确了客户端安全管理的具体内容。
客户端网络准入控制。
该准入控制是指计算机设备必须安装统一的客户端安全管理软件,并符合安全准入策略,才可接入本行内网,起到防止外来设备接入网络、内部人员接入设备符合安全策略的作用。客户端网络准入控制是整个客户端安全体系的基础。
客户端系统安全控制
在网络准入控制策略下,工行推广部署了客户端安全控制系统,全面覆盖生产和办公终端,实现客户端上各种安全控制系统的有效运行和监控,包括监测防护客户端入侵和攻击、控制各类非授权软件使用、限制非法网络外联和访问、控制非法外接设备等功能。
电子文件权限管理
数据信息层面建立加密保护机制,对文件使用者通过文件加密系统进行身份认证,对涉密文件进行加密和实时权限控制,对打印、复制等操作进行技术控制,实现了安全授权下敏感信息的共享。该系统的应用主要有两方面,一是与业务系统相结合,例如同电子公文审批系统相结合,实现公文自动加密 ;二是员工利用该系统对文件自行进行加解密操作。
信息防泄漏管理
通过在本地客户端和网络边界部署信息防泄漏系统,工行实现了对客户端本地硬盘敏感文件存储情况的检查,对离线客户端网络传输、打印、刻录泄露敏感信息的行为进行控制和日志记录,对客户端通过邮件泄漏敏感信息的行为进行拦截和审查。
完善互联网访问安全控制机制
工行对于互联网访问实行安全防护,在行内建立了与内部网络物理隔离的互联网访问系统,供员工日常浏览访问互联网,并为满足少部分生产客户端互联网业务访问需求,建立了全行集中的互联网出口,对该出口进行严格的安全管理。同时,为满足移动办公设备互联网访问需求,严格定义了可访问网站名单,控制互联网访问行为。
二、安全管理及关键技术的突破和应用
实现客户端安全标准化管理
通过客户端安全防控体系项目的实施,工行建立了客户端标准化管理体系,并制定了配套的安全管理策略,实现了全行客户端管理规范化、安全配置一体化和安全控制实时化的目标。该体系全面覆盖了客户端软硬件基础安全防护、网络准入控制、信息泄漏防护和互联网访问安全管理等主要管控领域。
全面使用客户端网络准入技术
项目运用交换机端口认证技术,控制只有本行计算机才可接入内部网络。同时,使用计算机安全检查策略,确保只有符合安全要求的计算机才能访问内部应用,否则隔离计算机。被隔离计算机必须修复,符合行内安全要求后才能正常访问内部应用。
综合应用多项客户端安全防护技术
项目借鉴了客户端安全领域的先进理念和技术,综合运用和整合多种技术手段,发挥网络身份认证、网络准入、入侵防护、软件指纹、外部设备使用控制、移动存储介质读写记录等各项技术手段的最大功效,并将防病毒、防火墙、管理、补丁管理等纳入客户端安全管理范畴。
实现基于客户端网络环境的差异化访问控制
项目依托客户端安全管理系统,可根据预设的客户端环境参数,自动感知和识别客户端所处的网络环境,根据用户所处网络环境提供不同的访问控制策略。例如,移动客户端接入互联网时,将自动实施互联网白名单访问控制,强制用户只能访问预先设定的网站。
引入文件加密与授权控制技术
项目引入电子文件加密和实时权限控制技术,改变了银行敏感信息保护单纯依赖于制度约束和员工道德操守的传统做法。文件加密系统采用技术手段对敏感信息进行硬控制,有效防范了员工道德风险和操作风险的发生。
三、安全防控体系建设取得的成效
客户端安全体系的成功落地,有力提升了工商银行客户端安全管理水平,也为进一步提升全行信息安全管理水平奠定了坚实基础,主要有以下三方面的成效。
第一,提升了客户端自身的安全防护能力。在传统的客户端防病毒防入侵基础上,补充了系统及补丁检查、非授权软件检查等安全完整性检查,完善了工商银行客户端安全防控体系,并实现了全行客户端运行状态的规范和统一,确保客户端侧的行为可查可究,同时也为管理层提供了一个客户端运行状况的展示平台,有助于做出更精细、更准确的决策。
第二,防范了内部敏感信息的泄漏风险。通过管理措施的落实,外部人员无法进入网络获取敏感信息,也难以通过 U 盘拷贝、打印等手段窃取敏感信息。内部员工通过邮件外发信息时,也会被监控,并视情况进行拦截阻断。这些举措的落实,显着提升了信息防泄漏管理水平
第三,提升了互联网访问安全管控水平。客户端安全体系坚守了内部办公网络与互联网物理隔离的原则,规范了行内各类客户端访问互联网的方式和行为,从而实现了对客户端访问互联网的管控,有效控制了来自互联网的各类安全风险。