本文选自《金融电子化》 2019年8月刊。 　　

　　

　　作者：李、付佳、林兴华，中国民生银行信息技术部 　　

　　

　　随着企业数据泄露事件的逐年增多，数据泄露给企业带来的损失和影响也越来越大，保护企业的信息和数据安全变得越来越重要。民生银行结合自身数据保护和业务发展需求，完善了终端侧数据安全防护体系，在保护敏感数据的前提下，提高了企业的生产效率，有效减少了潜在数据泄露的发生。 　　

　　

　　

数据安全保护的本质

　　

　　

　　数据安全保护的本质是保护数据的安全使用、存储和传输，防止企业的数据或信息资产以违反安全策略的形式被擅自访问。目前，企业内众多终端和人员带来的数据存储和操作风险是数据泄露的重要来源之一。数据不落地、加密存储、桌面云等安全措施存在系统资源消耗大、应用范围有限、用户体验差、文件交换流通不方便等问题。随着大数据技术的逐渐成熟，内容识别和分析功能更加完善，安全策略可以更加智能地构建和优化，策略违规可以更加有效地监控和控制。因此，随着水印技术、文档标签追踪、UEBA、大数据分析等技术的不断融合，对实体和用户活动进行持续监控和分析的概念越来越受到重视。及时发现潜在的非法操作和漏洞是当前数据安全保护的可选方案。 　　

　　

　　

终端数据保护工作在民生银行的实践

　　

　　

　　中国民生银行一直高度重视数据安全和数据保护，一直在不断推进数据分类和数据保护技术在数据安全中的应用。2016年以来，民生银行按照信息安全技术体系同步规划和试点应用的原则，通过调研、遴选、测试、试点和推广，有计划、分阶段开展各项数据保护工作，寻求数据保护和用户体验的平衡，逐步建立民生银行终端敏感数据保护体系，在业内率先使用终端敏感信息检测、水印和文档跟踪技术，结合数据分类分级实现敏感数据的操作和审计，目前已逐步实现。 　　

　　

　　1.数据分类分级 　　

　　

　　根据相关法律法规要求和行业最佳实践，结合我行信息资产保护的实际需求，在充分调研现状的基础上，制定了民生银行数据资产分类标准。该标准将数据资产的安全保护级别分为五个等级，从最高到最低，对应的控制要求的严格程度依次降低。第五级是最高级别，是秘密数据，需要最严格的控制措施。第一个层次是公共数据，主要是内部和外部的公共信息。在数据分类的同时，需要对数据资产进行分类。根据银行的业务特点，将数据分为以下七类：客户类、账户类、交易类、产品类、合同类、机构类、渠道类、对公类，制定并发布《中国民生银行客户信息安全管理办法及实施细则》。 　　

　　

　　2.终端数据检查与保护 　　

　　

　　在数据分类分级的基础上，对终端上存储和处理的各类数据进行自动识别和标记，并根据相应策略实施审计、拦截、水印加载等保护措施，有效提高了银行敏感数据的保护。同时，通过多维度收集终端实体行为和用户操作行为数据，形成实体画像、用户画像和集群画像，从而监控用户的异常行为，预测、发现和追溯潜在的数据泄露风险。 　　

　　

　　在（1）终端数据保护技术的探索与实践。,设计终端数据保护方案时，为了保证整个方案能够适用于大多数使用场景，终端数据保护功能和威慑能力可以 　　

　　

　　从《中国民生银行客户信息安全管理办法及实施细则》引导的首先，敏感数据智能识别。,客户信息入手，按照预设策略，通过关键词、正则表达式、数据标识符、智能聚类、文档DNA等技术对终端文档进行扫描，自动识别个人客户信息和机构客户信息，可自动分为产品和合同信息、财务信息、信用信息、客户关系信息、偏好信息、风险信息和评估信息、业务信息、资产信息和资产信息。除了传统的基本识别技术之外，还引入了机器学习技术对文档进行分类和比较。根据分类分级的规则，客户端会在空闲时间触发主机端的整体或实时扫描，主动发现敏感文件，并根据规则进行分级分类，生成审计信息上传到后台。 　　

　　

　　在其次，敏感场景自动化水印加载。,明文水印大多以文档阴影或遮盖的形式用图形信息填充文档显示区域，影响用户的办公效率和体验。而矢量水印在文档的文本中随机选取三个区域，用图形(点、三角形等)进行标记。)在正文的左下角。目前民生银行主要使用屏幕矢量水印和打印矢量水印。矢量水印通过隐形水印技术和动态加载模式，根据不同场景智能加载不同形式和强度的水印，最大限度减少水印对用户的影响，使水印得到有效推广。目前主要定义了以下三种使用场景：第一种场景：打开敏感文件时触发加载。当用户PC端用于查看敏感内部文件时，自动添加矢量水印，减少传统明文水印带来的不适感。矢量水印采用随机布局隐写方式，水印内容包括用户名、用户部门、终端IP和MAC地址，防止用户在办公环境下有意无意拍照造成的数据泄露，使数据泄露可追溯、可恢复。第二个场景：触发加载业务系统。每个业务系统包含 　　

容不一样，敏感等级也不同，对于敏感等级高的业务系统需要重点保护，通过设定高敏感等级的业务系统域名作为识别特征，当用户使用个人办公终端查看敏感业务系统时可以自动加载矢量水印，对于拍照、截屏等泄密行为可以自动实现可追溯和威慑。第三种场景：打印文件时触发加载。行内所有用户打印文档时自动附加上矢量水印，使文档在完全不影响用户使用的情况下实现可追溯，水印内容包含文档打开时间、用户账户、部门、设备IP、MAC等。

　　

最后，敏感文档自动化标签加载。为了掌握全行数据资产的分布视图，民生银行提出并实现了基于分类分级技术的数据资产识别机制。为了能跟踪终端文件的生成、流传和编辑过程中谁接触过文件，在终端上每个要追踪的文档都会自动打上两个ID值：文档追踪主ID值和文档流转ID值，任何一个在终端处理过的文件，都可以通过文档上隐藏的ID值来定位文档来源及接触人信息。文档的主ID值是不变的，而流转ID值在每次流转过程中都发生变化。这两个ID值都不会随着文件拷贝、改名、编辑和另存为等常规操作而发生变化，也不能通过简单的手段或工具改写或删除，其内嵌到文档内容中而又不影响文档的阅读和显示，不影响文档大小，不改变文档的任何属性。

　　

（2）终端数据全方位采集和数据分析。终端数据保护系统采用三层分级的分布式部署架构,总行部署顶级服务器,各机构部署二级管控服务器,各类终端上部署桌面管控客户端。通过部署的桌面管控客户端进行终端数据采集，所采集的数据包括终端软硬件资产数据、进程运行实时数据、文件读写审计数据、外设管控审计数据、打印审计数据、水印审计数据、文件敏感扫描识别数据、文档跟踪记录等。

　　

全行各类终端上采集的数据实时上传到对应的二级管控服务器，管控服务器再将数据上传到顶级服务器。顶级服务器汇总、存储、统计、分析全行终端上采集的数据，实现终端各类数据的分析、展示，可以进行终端敏感文件分布展示，可以通过文件读写审计、水印审计、打印审计、文件追踪记录、敏感文件操作记录实现用户画像和部门画像的分析、展示，识别潜在的用户异常行为，并且可以进行用户异常行为的取证和追溯。

　　

同时，顶级服务器还将采集汇总的终端数据同步给行内SOC分析平台和安全威胁感知系统，进行终端数据和其他数据的关联分析，检测和发现内外部威胁，实现异常监控、安全运营、安全管理和内审内控，提升我行安全风险发现和联动处置能力。

　　

　　

图 民生银行终端数据保护系统功能框架

　　

　　

总结与展望

现阶段民生银行已经完成终端数据保护系统功能部署工作，初步完成对终端数据的全方位采集和敏感识别，目前已经在全行范围6万余台终端下发敏感文件扫描、水印、文档跟踪等策略，扫描敏感文件200余万次，定义敏感业务系统10余个，每日记录屏幕水印和打印水印审计记录40余万条，生成文档跟踪记录330余万条，已经初步实现对行内终端数据分布进行动态展示和管控的阶段目标。根据终端采集数据形成数据泄露风险数值，可定期对风险Top10用户或设备进行检查，重点关注外发操作，降低敏感数据泄露风险。

　　

终端数据保护是一项需做细、做精的工作，从广度上来看，未来的目标是通过建模实现行为预测，实现自动化的智能管控。从深度上来看，终端数据防泄漏还需要提高精确度，减少误报，提高效率，同时，也要与行内安全威胁感知系统加强联动关联分析能力，实现一体化安全态势感知，建立数据泄露事件发现、定位和快速响应机制，满足安全、合规管理要求。