观点 | 应用终端数据安全技术,筑牢银行安全防护墙
欢迎金融科技工作者积极投稿!
投稿邮箱:newmedia@fcmag.com.cn
——金融电子化
文 / 中国光大银行信息科技部 陈广华 徐林亮
随着互联网的普及和发展,个人的身份证和手机号有可能被非法分子冒用以套取非法利益,给信息主体带来各种风险,非法分子也有可能利用商业银行业务逻辑漏洞套取非法利益或篡改客户账户信息,保护个人敏感信息的声音一浪高过一浪,国家也出台了很多的法律条文来保护个人的敏感信息。
所有一切安全管理的核心是数据安全,无论是网络安全还是客户端安全,其核心都是数据安全。非法分子获取商业银行的数据,利用获取的客户数据来获取非法利益。数据安全是指通过采取必要的安全技术措施保护数据,保证在数据的收集、存储、加工、使用、提供、交易和公开等过程中数据的安全。
商业银行办公终端是员工使用客户数据开展业务的重要环节,也是数据安全需要重点关注的节点。近几年,商业银行在办公环境数据安全领域做了大量的工作,通过各种技术手段保证数据在整个使用过程中是受控的,保证数据不被非法分子获取。
办公环境数据安全实现技术
1.虚拟云桌面
虚拟云桌面(Virtual Desktop Infrastructure,以下简称VDI)是一种在服务器端进行计算资源、存储资源和网络资源的统一管理,在管理控制台上统一划拨和集中管理各种资源,用户从其他设备远程访问的虚拟桌面技术。
虚拟云桌面处理工作是在集中的服务器上进行,办公环境使用的数据不是保留在终端设备上,可以保证在终端设备被盗或者感染病毒时保护数据,可以最大限度地保证办公环境的数据安全。VDI技术在服务器端扩充资源比较麻烦,价钱相对较高,管理成本较高,大规模使用和推广相对来说比较困难,在固定范围的特定场景使用的较多。目前来看在人数不多,体量不是太大的机构用的比较广泛。
2.智能桌面虚拟化
智能桌面虚拟化(Intelligent Desktop Virtualization,以下简称IDV)针对VDI的弊端,提出了IDV解决方案,将虚拟化镜像管理和虚拟化桌面进行分离。虚拟化镜像统一管理在服务器端,用户通过特定的客户端将桌面虚拟化镜像获取到本地并以虚拟机实例的形式运行在办公终端上,有效减少占用过多网络资源的问题。在服务器端维护虚拟化镜像,有效减少服务器端的计算资源、网络资源和存储资源,与VDI相比服务器端占用的各项资源较少。
IDV技术充分利用办公终端的硬件资源进行数据存储和计算,与VDI技术相比减轻了服务器端的压力,在服务器端无法运行时,部署在办公环境的终端可以离线使用。IDV技术对办公终端的依赖性比较大,通常IDV技术要与办公终端进行绑定。与VDI技术相比,数据保存在本地,对数据安全的防护能力较弱。IDV客户端在本地运行对网络质量依赖度小,体验相对VDI产品好,但是依赖终端本地虚拟化,会占用较多本地的CPU、内存资源,会给终端设备带来相当大的性能开销。
3.零信任访问安全框架
软件定义边界(Software Defined Perimeter,以下简称SDP)是国际云安全联盟CSA在2013年提出的基于零信任(Zero Trust)理念的新一代网络安全模型。传统的网络安全是基于防火墙的边界防御,也就是传统的“内网”,随着互联网技术的发展,云计算、移动办公、loT物联网等技术的飞速发展,网络的发展也在从有边界向无边界发展,因此产生了使用更加灵活、访问更加安全的SDP技术。
在访问网络之前首先对用户和设备进行身份验证,以便于安全连接到被隔离的服务。未经授权的用户和设备无法连接到受保护的资源,这种技术是对访问系统的人、设备和网络都持怀疑的态度,都要进行认证。在登录客户端时采集的登录信息中除了用户和密码外,登录的计算机信息、IP地址等信息都要采集,以便对访问的身份进行事后审计。
SDP技术可以解决随时随地对企业资源授信访问的精细化管控,同时也保障数据到达终端设备后能在授信设备环境中使用,保障随时随地安全访问企业内部资源,实时精细化访问控制;同时保障数据落地终端环境可信。
办公终端一经接入零信任网络则被全面信任,无法对数据进行分类分级管理,SDP方案需要结合其他技术方案才能保证整个流程的数据安全。
4.数据防泄漏
数据防泄漏(Data loss Prevention,以下简称DLP)是基于采用人工智能和自然语言识别技术对数据内容进行检测的数据安全技术,首先读取传输文件内容,然后再对文件的内容放入数据分类分级模型得到不同的分级,根据设定的规则和分级标准进行不同提示或者进行对应的处理。
从落地形态上来看,DLP技术分为网络DLP和终端DLP两类,网络DLP技术主要针对网络流量内容进行检测分析从而做出响应;而终端DLP技术则针对终端系统上的所有数据(文档,剪切板,内存等)内容以及相关应用操作进行检测和响应。从检测的方式上DLP技术又分为在线DLP与离线DLP两类,在线DLP根据事先设置的处置模型实时在事前或事中进行检测,并进行事前或事中的及时响应;而离线DLP则通过特定的规则,对数据进行分级分类,并为数据打上标签,进行事后的监督和审查。
DLP技术在商业银行中可以有效地控制数据活动中的数据安全活动。在实际应用过程中,只有相对简单,规则明确的场景能够达到DLP技术的理想效果;大部分实际场景因为复杂度,导致检测的准确性、时效性、易用性和完备性无法平衡,使得DLP技术的效果大打折扣。
5.传统终端沙箱(Sandboxie)
沙箱是一个虚拟系统程序,按照安全策略限制程序行为的执行环境。传统沙箱技术是通过应用注入和挂钩方案实现的软件技术,在办公终端上将终端数据与应用放在在一个隔离的区域内,在受限的区域内使用数据,起到数据安全保护的作用。传统沙箱技术不是操作系统原生支持的技术,受操作系统影响较大,在兼容性方面需要下很大的功夫。
在传统终端沙箱外面可以很好地使用各种办公软件,在传统沙箱内要与传统沙箱外无感知地使用办公软件就要下很大的功夫做兼容。以excel为例,在传统沙箱内打开的excel文件无法通过vlookup函数引用在沙箱外打开的excel文件中的内容,传统沙箱内外的进程是相互独立的,无法进行通信,在使用过程中会造成客户体验非常差。
传统沙箱技术在早期能很好地解决数据的安全存储问题,但是随着其他技术的发展占用本地的计算资源、存储资源和IO资源较大的问题越来越突出,在兼容性方面这种技术很难做到在沙箱内外无感知无差别地使用软件。
6.驱动层加密技术
驱动层加密技术是底层加密技术,工作在受操作系统保护的内核层,运行速度快,加密操作更稳定,与应用程序无关。
在办公环境数据安全方面,驱动层加密技术结合终端文档加密、内容安全保护、内部授权使用、对外完全外发等技术手段,并以标准接口形式为企业内部的业务系统提供文档加密保护,从而为企业构建文档安全防护圈。驱动层加密技术与其他技术手段结合,可以实现办公环境数据的全流程安全管理。
驱动层加密技术最大限度地不改变用户的数据使用习惯,办公环境数据文件的加密、解密和授权审批等功能全部与操作系统耦合在一起,用户的学习成本非常低。
7.微内核数据安全方案
微内核架构将新一代终端沙箱技术与零信任框架相结合,在技术实现上是一个轻量级的虚拟机,是一个轻量级的客户端,办公终端上所有企业应用均在企业可控的虚拟机内运行,企业资源与数据在沙箱内被安全保存,无法泄露至沙箱之外。如果要想把客户端内的文件拿到客户端外的话,需要进行审批,在进行审批设置时可以进行事后审计,也可以进行单个文件的导出审批。
在微内核客户端内可以远程访问数据并安全地使用数据,在一个客户端内可以有多个按照数据的密级进行划分的安全实例,在服务器端针对实例的不同可以设置不同的策略,数据可以从低密级实例向高密级实例流动,也可以从高密级向低密级流动,各级别客户端内数据仅能在各自安全空间边界内使用、存储、流转,各级别数据使用过程全流程监控,微内核客户端在后台对接云盘服务器,安全受控空间内数据可按规则进行备份与同步,并按文件版本进行管理。
微内核零信任数据安全架构采用新一代基于微内核和可信计算的沙盒技术,被操作系统原生支持,具备安全性好,兼容性佳,性能开销小等优点。
小 结
目前各家商业银行采用各种技术保证办公环境的数据安全,具体到某一个商业银行,在数据安全防护方面是在某一类技术的基础上进行的定制开发或者是几种方案一起使用分别管理办公环境数据安全的不同环节。
这些技术都是在某一个特定的条件下或者是为了解决某一个问题或者多个问题而产生的,随着科技的发展,各种办公环境安全技术也在日新月异地发展着,技术本身没有优劣之分,只是解决问题的方法不同罢了。
(点击查看精彩内容)
《金融电子化》新媒体部:主任 / 邝源 编辑 / 傅甜甜 潘婧