金融行业内外网文档安全交换

黄汉高级解决方案顾问 CONTENTS 金融行业内外网安全交换需求和挑战PART 1 AnyShare金融行业内外网安全交换解决方案赋能金融机构降本增效、安全合规典型案例PART 2PART 3PART 4 PART01金融行业内外网安全交换需求和挑战 法律法规的强安全合规要求 内外网数据安全交换面临的挑战 组织内部含有大量带有敏感信息类的文档，分散在各系统、PC上： •缺少统一管理的平台和规划，导致敏感类数据管理混乱；•无法对带有敏感信息的文件情况进行有效的全盘管控，也不清楚敏感数据详细情况；•内部系统、网络、设备情况复杂，敏感数据可能会在任何意想不到的地方泄露； 法规强制性限制已有的使用方式或设备，急需替代方案： •内网禁止使用NAS、FTP等文件服务器进行文档共享，禁用445、21等端口 数据跨网合规交换缺少统一通道，方法老旧，效率低下： •采用人工安全U盘方式传递，难以应对日益增长的数据交换需求，也存在安全风险•通过防火墙控制直接跨网访问数据，效率提高，但是无法通过监管 金融行业文档类数据典型业务需求场景 场景一、监管资料报送 场景四、外部资料回传 PART02AnyShare金融行业内外网安全交换解决方案 内外网安全交换方案架构及常见场景 安全合规场景 赋能金融机构降本增效、安全合规 AnyShare内外网安全交换方案助力金融机构降本增效、安全合规 合规： 安全： •全网文档统一合规管理，满足跨网安全交换合规要求，可审核，可审计；•存量文档敏感信息可识别、可管控、可审计•文档可高性能备份保护； •网内灵活自定义权限体系、安全策略，确保文档安全管控•网间端到端管控，打包加密传输，两端受控访问； 降本：•可结合现有防火墙、网闸、DLP、杀毒软件， 增效：•提高内外网数据交换效率，典 形成整体方案，最大限度保护已有投资；•可根据实际业务情况分段建设，无须一次性全网投入； 型案例中信保，每日自主发起跨网流转20W+文档； 弊端：•只解决边界防护，缺失边界内数据管理与管控等监管要点 •只解决网络隔离与传递，缺失两端数据管控、合规审计等关键监管要点 先有 终端DLP 《数安法》《网安法》 《个人信息保护法》 跨网络数据端到端安全交换场景 端到端文档管理： 跨网交换问题： ü提升生产力：形成较为完善的数据交付流程和数据交付体系，使全省分行行多个部门都能按流程要求，快速使用到后台业务系统的数据，节省时间； •数据共享：生产网中的部分数据需要和前端部门共享，当前数据共享流程较长，申请过程较为复杂；•数据安全合规：数据容易脱离系统存在安全风险； •建设一套覆盖省分行的数据交付平台，实现生产网数据在办公网的统一存储、管理、查询； ü保障安全合规：实现数据留档和权限管控，满足数据安全合规管理要求； 保障数据资产安全PART3.1 内外网交换文件细粒度权限控制，确保访问安全 配置外发、接收文档库的细粒度访问权限，相应人员仅能看到对应的文档库，以及相应的文档访问权限 传输过程加密，保障数据安全性 AES加密算法 采用AES加密算法，源端进行数据加密、压缩，目的端进行解密存储，提升数据在传输过程中的安全性 HTTPS传输加密 采用https传输方式，可做源端和目的端的认证，并对传输的文档做了加密，确保数据完整性 替代优盘、邮箱实现更安全的数据交换 方案价值： •针对部门/用户的细粒度权限管控，有效避免使用“安全U盘”造成的权限滥用；•详细的审计日志，记录团队成员的每一次操作，形成详细的审计日志；•快速交换、高效共享，避免使用电子邮件交换的弊端（附件大小受限、泄密、无审计、交换后文件失控） 核心优势： 预先定义共享范围、细粒度的权限管控、详细的审计日志，在文档共享的“事前、事中、事后”有效避免权限滥用和越权访问，杀毒服务、DLP服务、物理隔离接入等多种安全能力整合有效降低病毒感染、数据泄密风险。 •事前审核•事中监控•事后审计•权责分离•方案合规 满足监管合规要求PART3.2 内到外发送数据时即时敏感信息识别检测，满足防泄密监管要求 敏感信息识别： •结合DLP敏感信息识别、OA审核能力在文档内外网交换时，对交换的文档进行敏感信息识别，识别是否含有身份证号、银行卡号、电话等敏感信息，并将敏感信息同步至OA审核流程中，并通知审核员，审核原审批通过后方可进行同步。 安全审计日志，及时追溯文件泄密者 安全审计日志 •支持【访问日志】【管理日志】【操作日志】三种类型日志，实时记录各项操作行为，方便后期安全审计。•管理员可自定义【日志转存周期】，也可以导出日志。 泄密追溯 用户拿到外部使用的数据多包含部分敏感数据，在数据外发过程中平台将对所有操作行为进行日志记录，一旦发现文件信息泄密，管理员可及时通过日志找到是何人、何时下载、外发了哪些文件，管理员可针对性的找到泄密者和泄密文件。 外发安全合规：文件从内发到外网后，对外部用户进一步访问控制 外发文件安全 •灵活并安全的外发文件 •外发文件可设置水印 •外发文件可在线打开，无需下载 •可生产安全外发包 支持同城异地等高性能备份恢复方案，满足数据防丢失合规要求 备份恢复性能提升12倍 •性能高：备份恢复平均速度高达300MB/s•速度稳定：文件数量与大小不产生速度抖动 应用级任务编排调度，确保一致性 •AnyBackup实现统一备份调度，确保AnyShare的元数据、扩展元数据、对象存储数据的一致性 解决数据丢失问题，避免因人工操作失误或不可控因素造成的数据都是损毁风险，满足《数据安全法》、网络安全法中对数据备份的合规要求 赋能金融企业降本PART3.3 多场景整合能力，充分利用现有环境，降低投入成本 可根据实际业务情况按需整合建设，定制化满足用户需求 DLP整合 网络隔离设备 流程审核 外部安全访问 防病毒等 敏感信息识别；文件加解密，安全外发包；敏感信息脱敏；爱数敏感/隐私内容识别等； 网闸、摆渡机、单导设备等 现有杀毒软件集成；提供爱数自带杀毒服务；。。。。。。 VPN、零信任沙箱等安全管控应用的结合； 对接现有OA系统；提供爱数workflow流程引擎等； 示例：支持第三方杀毒引擎接入，降低重新采购成本 上传限制 •通过限制可疑文件、病毒文件的类型，禁止病毒类文件上传，确保文件上传安全 实时杀毒 •开启实时杀毒服务后，分线文件将自动被隔离•管理员可以在隔离区彻底删除或回复风险文件 某基金客户场景：数据内外网交换，充分利用现有资源保障安全合规 业务场景痛点 •基金经理外出需要使用数据时，在内外网隔离情况下，传输数据采用U盘方式等，安全隐患较大，同时敏感内容难以监测，数据传出的行为也无法统一监控和审计。 多种防护措施-利用已有资源 •整合现有DLP产品：DLP敏感信息识别，判别外发文件是否包含敏感内容；（需要三方DLP产品支撑）•整合现有OA应用：支持流程审核，审核通过后，文件才能传输到外网平台（自带流程审批，亦可对接现有蓝凌OA审批）；•结合云桌面使用：针对外出办公的用户，可通过云桌面访问接入外网平台，安全性更高；•隔离设备接入：通过三方网闸、摆渡机、单导等物理隔离设备进行文档集交换。 赋能金融企业增效PART3.4 跨网络多文档域之间数据同步策略更灵活，交换效率更高 可根据定制的策略手动、自动、定时、定期多种方式同步，实现数据高效交换和冗余，保证业务连续性和数据安全性 源端做了数据删除、新增、移动等操作，目的端会根据接收到的消息进行目的端数据调整，保证两端数据一致 方案其他优势PART3.5 AnyShare内外网数据安全交换相对传统方案优势 移动介质拷贝 网闸等设备摆渡 易携带和传播病毒；易遗忘、丢失、损毁，难以管控；无法事前审核；没有完整日志记录，发生数据泄露事故时难以追溯 缺少事前审核；日志不完整，仅针对摆渡环节，缺乏对数据来源、去向的记录以及交换前后的数据管理能力 FTP或网络共享 AnyShare交换方案 传输大文件、批量文件时，可靠性差，容易发生中断、错误等异常情况，操作效率低下，管控弱，缺乏审批，不能追溯。 自动化流程审批、日志审计、敏感内容识别、多种传输策略等能力，让数据交换更安全更合规，灵活性、开放性更强 PART04典型案例 东亚银行数据跨网安全交换案例 业务痛点： 客户收益 •数据存储分散在20余文件服务器、SharePoint服务器；空间使用率90%、Sharepoint过EOS/EOL，数据管理难度大，运维难度高。•文件共享效率低，邮件外发资料不安全，难以满足合规性要求。 集中存储与统一管理： 实现20余个文件服务器和SharePoint服务器的数据集中存储，统一管理，有效降低存储分散和运维难度的问题，降低了重复工作率。 协作与共享效率提升：多样化内容协作工具，提升了协同办公效率，使得文件共享更轻松、更安全，解决了文件共享效率低下的问题。 保障业务安全合规： 数据跨网安全交换管控，保障了敏感信息的安全传输，解决了邮件外发资料不安全的问题。 运营效率提升： AnyShare的可观测性进行运营情况实时分析，提高了运营效率，使得运维更加高效。 鄞州银行案例 业务痛点： 客户收益 •开发网、办公网、互联网之间禁止跨网直接访问数据，以往采用U盘、邮箱附件和FTP等数据交换和方式无法保障数据的高效和安全传输，不符合相关的数据安全规范。互联网数据流转至办公网时缺乏有效杀毒手段，存在安全风险。•现有环境无法满足XC国产化合规要求。 通过全面适配XC国产化平台，兼容统信，实现了数据平滑XC平台迁移。这降低了迁移过程的操作复杂性，减轻了管理压力，提高了迁移效率。 内外网数据交换安全保证： 替代U盘拷贝、邮箱附件和FTP等传统方式，实现了内外网数据安全交换。这提高了数据传输的效率，降低了数据泄露风险，符合安全合规的要求。 业务流程及身份认证合规： 通过对接OA实现跨网数据交换审批，提高了审批效率，对接KK实现统一身份认证，简化了身份验证流程，降低了审批和认证成本。 降低病毒感染风险： 引入数据防病毒措施，保障了互联网数据流转至办公网的安全性。降低病毒威胁导致的数据损失和安全风险，减少了安全管理潜在成本。 南通农商行文档云数据交换项目 业务痛点： 客户收益 •南通农商银行2000多用户，文件多散落于员工电脑，重复存储，版本不一致，难以快速找到需要的文件。•总部有内网、APP网络区与互联网之间禁止跨网访问数据，内网人员需将文档发给客户，缺乏高效安全传输方式。•各个网点之间的数据传递交互基本是通过U盘方式，银行内部的存贷资料信息存放在个人PC或者公共的NAS中，数据的安全性低下，存在数据丢失或者泄密的风险。 协作成本降低： 提供组织架构集成与在线协同功能，面向总部行政办公人员、营业网点办事人员提供安全可靠的文档云。这降低了协作成本，提高了办公效率。 数据管理效率提升： 互联网 内网 实现个人文档和业务应用文档的统一管理，提升了公司对非结构化数据存管用的能力，降低了数据管理的复杂性，提高了数据管理的效率。 安全合规性提升： 细粒度的权限管控，审计日志：提高了数据安全性，减少了潜在的数据泄露和丢失风险。提供了对数据访问的可追溯性，降低了合规性风险。 端到端的安全数据交换方案： 在内外网提供端到端的安全数据交换方案，满足省联社对文件服务器的合规性检查。这提高了数据传递的效率，降低了数据交换的风险。 顺德农商行内外网数据交换项目 客户收益 业务痛点： •软硬件生命周期：原办公网AS5系统运行超5年，软硬件生命周期终结；•数据统一管理：需要有新产品新功能满足当前办公网、生产网文档统一管理需要·；•数据安全交换：生产网与办公网物理隔离，数据拷贝流程复杂，无安全保障； 软硬件生命周期管理： 升级