民生银行终端数据保护工作实践与思考

作者：中国民生银行信息科技部 李乐义 付佳 林星华

随着企业数据泄露事件的逐年增长，数据泄露给企业带来的损失和影响也越来越大，企业的信息和数据安全保护已经愈发重要。民生银行结合自身数据保护和业务发展的需求，完善了终端侧数据安全保护体系，在保护好敏感数据的前提下提高企业生产效率，有效降低潜在的数据泄密事件的发生。

数据安全保护的本质

数据安全保护的本质是保护数据安全的使用、存储和传输，防止企业的数据或信息资产以违反安全策略的形式被非授权访问。当前企业内部众多终端和人员带来的数据存储和操作风险是发生数据泄露的重要源头之一，数据不落地、加密存储、桌面云等安全措施存在系统资源消耗大、应用范围有限、用户体验不好、文件交换流转不方便等问题。随着大数据技术的逐渐成熟，使得内容识别与分析功能更加完善，可以更智能化的构建和优化安全策略，更有效地对策略违规情况进行监控和管控。因此，随着水印技术、文档标签追溯、UEBA、大数据分析等技术的不断融合，基于对实体和用户活动进行持续的监测与分析的理念也越来越得到重视，及时发现潜在的违规操作和泄密行为是当前数据安全保护工作一个可供选择的解决方案。

终端数据保护工作在民生银行的实践

中国民生银行历来高度重视数据安全和数据保护工作，一直持续推动数据分类分级和数据保护技术在数据安全工作中的应用。自2016年起，民生银行按照信息安全技术体系规划与试点应用并举的原则，经过调研、选型、测试、试点及推广，有计划、分阶段地开展各项数据保护工作，寻求数据保护与用户使用体验之间的平衡，逐步建立起民生银行终端敏感数据保护体系，在业内率先使用终端敏感信息检查、水印和文档追踪等技术，结合数据分类分级实现敏感数据的操作和审计，逐步实现了数据存储有检查、数据外发有威慑、数据泄露可追溯的能力。

1.数据分类分级

根据相关法律法规要求和行业最佳实践，结合行内信息资产保护的实际需要，在充分调研现状的基础上，建立了民生银行数据资产分级标准。本标准将数据资产安全保护等级分为五级，级别从高到底，对应管控要求的严格程度依次递减，第Ⅴ级为最高等级，为秘密数据，需要最严格的管控措施，第Ⅰ级为公开数据，主要为行内对外的公开信息。在数据分级同时，还需要对数据资产进行分类。针对银行的业务特点，将数据分为以下7类：客户类、账户类、交易类、产品类、合约类、机构类、渠道类和公共类，并且制定发布了《中国民生银行客户信息安全管理办法及实施细则》。

2.终端数据检查与保护

以数据分类分级为基础，对终端上的存储和处理的各种数据进行自动化识别、标签化处理，并根据相应策略实施审计、阻断、水印加载等保护措施，有效提升了对行内敏感数据的保护。同时，通过对终端实体行为、用户操作行为数据的多维度采集，进而形成实体画像、用户画像和聚类画像，实现对用户异常行为的监测，达到预测、发现和追溯潜在数据泄露的风险。

（1）终端数据保护技术的探索与实践。在进行终端数据保护方案设计时，为了保证整体方案能够适用于大多数使用场景，在不影响员工工作效率的前提下，最大化的实现终端数据保护功能和威慑能力。

首先，敏感数据智能识别。从客户信息入手，以《中国民生银行客户信息安全管理办法及实施细则》为指导，通过关键字、正则表达式、数据标识符、智能聚类、文档DNA等技术，按照预设策略对终端文档进行扫描自动识别个人客户信息和机构客户信息，自动分为产品和合约信息、财务信息、征信信息、客户关系信息、偏好信息、风险信息和评价信息、业务往来信息、资产信息、关联信息、征信信息、风险信息和评价信息等类别。除了传统的基础识别技术之外，还引入了机器学习技术进行文档分类和比对。按照分类分级规则，客户端对宿主终端在空闲时间进行全盘或实时触发扫描，主动发现敏感文件，并按照规则进行定级定密，并生成审计信息上传到后台。

其次，敏感场景自动化水印加载。明文水印多以文档底纹或者覆盖的方式，在文档展现区域填充图文信息，影响用户办公效率和使用体验，而矢量水印则是随机在文档的正文内选择三个区域，在文字的左下角以图形（圆点、三角形等）进行标记。目前民生银行主要使用了屏幕矢量水印和打印矢量水印，矢量水印通过隐形水印技术及动态加载模式，根据不同场景智能加载不同形式、不同强度的水印，将水印对用户的使用影响降到最低，使得水印能够得到有效的推广。目前主要定义了如下三种使用场景：第一种场景：打开敏感文件时触发加载。用户使用PC终端查看内部敏感文件时，自动增加上矢量水印，降低传统明文水印造成的不适感。矢量水印采用随机布局隐写模式，水印内容包含用户名称、用户部门、终端IP、MAC地址，防止用户在办公环境内有意/无意拍照造成的数据泄漏，使数据泄漏可追溯可还原。第二种场景：随业务系统触发式加载。每个业务系统包含的内容不一样，敏感等级也不同，对于敏感等级高的业务系统需要重点保护，通过设定高敏感等级的业务系统域名作为识别特征，当用户使用个人办公终端查看敏感业务系统时可以自动加载矢量水印，对于拍照、截屏等泄密行为可以自动实现可追溯和威慑。第三种场景：打印文件时触发加载。行内所有用户打印文档时自动附加上矢量水印，使文档在完全不影响用户使用的情况下实现可追溯，水印内容包含文档打开时间、用户账户、部门、设备IP、MAC等。

最后，敏感文档自动化标签加载。为了掌握全行数据资产的分布视图，民生银行提出并实现了基于分类分级技术的数据资产识别机制。为了能跟踪终端文件的生成、流传和编辑过程中谁接触过文件，在终端上每个要追踪的文档都会自动打上两个ID值：文档追踪主ID值和文档流转ID值，任何一个在终端处理过的文件，都可以通过文档上隐藏的ID值来定位文档来源及接触人信息。文档的主ID值是不变的，而流转ID值在每次流转过程中都发生变化。这两个ID值都不会随着文件拷贝、改名、编辑和另存为等常规操作而发生变化，也不能通过简单的手段或工具改写或删除，其内嵌到文档内容中而又不影响文档的阅读和显示，不影响文档大小，不改变文档的任何属性。

（2）终端数据全方位采集和数据分析。终端数据保护系统采用三层分级的分布式部署架构,总行部署顶级服务器,各机构部署二级管控服务器,各类终端上部署桌面管控客户端。通过部署的桌面管控客户端进行终端数据采集，所采集的数据包括终端软硬件资产数据、进程运行实时数据、文件读写审计数据、外设管控审计数据、打印审计数据、水印审计数据、文件敏感扫描识别数据、文档跟踪记录等。

全行各类终端上采集的数据实时上传到对应的二级管控服务器，管控服务器再将数据上传到顶级服务器。顶级服务器汇总、存储、统计、分析全行终端上采集的数据，实现终端各类数据的分析、展示，可以进行终端敏感文件分布展示，可以通过文件读写审计、水印审计、打印审计、文件追踪记录、敏感文件操作记录实现用户画像和部门画像的分析、展示，识别潜在的用户异常行为，并且可以进行用户异常行为的取证和追溯。

同时，顶级服务器还将采集汇总的终端数据同步给行内SOC分析平台和安全威胁感知系统，进行终端数据和其他数据的关联分析，检测和发现内外部威胁，实现异常监控、安全运营、安全管理和内审内控，提升我行安全风险发现和联动处置能力。

图 民生银行终端数据保护系统功能框架

总结与展望

现阶段民生银行已经完成终端数据保护系统功能部署工作，初步完成对终端数据的全方位采集和敏感识别，目前已经在全行范围6万余台终端下发敏感文件扫描、水印、文档跟踪等策略，扫描敏感文件200余万次，定义敏感业务系统10余个，每日记录屏幕水印和打印水印审计记录40余万条，生成文档跟踪记录330余万条，已经初步实现对行内终端数据分布进行动态展示和管控的阶段目标。根据终端采集数据形成数据泄露风险数值，可定期对风险Top10用户或设备进行检查，重点关注外发操作，降低敏感数据泄露风险。

终端数据保护是一项需做细、做精的工作，从广度上来看，未来的目标是通过建模实现行为预测，实现自动化的智能管控。从深度上来看，终端数据防泄漏还需要提高精确度，减少误报，提高效率，同时，也要与行内安全威胁感知系统加强联动关联分析能力，实现一体化安全态势感知，建立数据泄露事件发现、定位和快速响应机制，满足安全、合规管理要求。

本文选自《金融电子化》2019年08月刊

声明：本文来自金融电子化，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。