注明：本文轉載自《金融電子化》雜志，文|中國民生銀行信息科技部 李樂義 付佳 林星華

隨著企業數據泄露事件的逐年增長，數據泄露給企業帶來的損失和影響也越來越大，企業的信息和數據安全保護已經愈發重要。民生銀行結合自身數據保護和業務發展的需求，完善了終端側數據安全保護體系，在保護好敏感數據的前提下提高企業生產效率，有效降低潛在的數據泄密事件的發生。

數據安全保護的本質

數據安全保護的本質是保護數據安全的使用、存儲和傳輸，防止企業的數據或信息資產以違反安全策略的形式被非授權訪問。當前企業內部眾多終端和人員帶來的數據存儲和操作風險是發生數據泄露的重要源頭之一，數據不落地、加密存儲、桌面云等安全措施存在系統資源消耗大、應用范圍有限、用戶體驗不好、文件交換流轉不方便等問題。隨著大數據技術的逐漸成熟，使得內容識別與分析功能更加完善，可以更智能化的構建和優化安全策略，更有效地對策略違規情況進行監控和管控。因此，隨著水印技術、文檔標簽追溯、UEBA、大數據分析等技術的不斷融合，基于對實體和用戶活動進行持續的監測與分析的理念也越來越得到重視，及時發現潛在的違規操作和泄密行為是當前數據安全保護工作一個可供選擇的解決方案。

終端數據保護工作在民生銀行的實踐

中國民生銀行歷來高度重視數據安全和數據保護工作，一直持續推動數據分類分級和數據保護技術在數據安全工作中的應用。自2016年起，民生銀行按照信息安全技術體系規劃與試點應用并舉的原則，經過調研、選型、測試、試點及推廣，有計劃、分階段地開展各項數據保護工作，尋求數據保護與用戶使用體驗之間的平衡，逐步建立起民生銀行終端敏感數據保護體系，在業內率先使用終端敏感信息檢查、水印和文檔追蹤等技術，結合數據分類分級實現敏感數據的操作和審計，逐步實現了數據存儲有檢查、數據外發有威懾、數據泄露可追溯的能力。

民生銀行終端數據保護系統功能框架

1.數據分類分級

根據相關法律法規要求和行業最佳實踐，結合行內信息資產保護的實際需要，在充分調研現狀的基礎上，建立了民生銀行數據資產分級標準。本標準將數據資產安全保護等級分為五級，級別從高到底，對應管控要求的嚴格程度依次遞減，第Ⅴ級為最高等級，為秘密數據，需要最嚴格的管控措施，第Ⅰ級為公開數據，主要為行內對外的公開信息。在數據分級同時，還需要對數據資產進行分類。針對銀行的業務特點，將數據分為以下7 類：客戶類、賬戶類、交易類、產品類、合約類、機構類、渠道類和公共類，并且制定發布了《中國民生銀行客戶信息安全管理辦法及實施細則》。

2. 終端數據檢查與保護

以數據分類分級為基礎，對終端上的存儲和處理的各種數據進行自動化識別、標簽化處理，并根據相應策略實施審計、阻斷、水印加載等保護措施，有效提升了對行內敏感數據的保護。同時，通過對終端實體行為、用戶操作行為數據的多維度采集，進而形成實體畫像、用戶畫像和聚類畫像，實現對用戶異常行為的監測，達到預測、發現和追溯潛在數據泄露的風險。

( 1)終端數據保護技術的探索與實踐。在進行終端數據保護方案設計時，為了保證整體方案能夠適用于大多數使用場景，在不影響員工工作效率的前提下，最大化的實現終端數據保護功能和威懾能力。

首先，敏感數據智能識別。從客戶信息入手，以《中國民生銀行客戶信息安全管理辦法及實施細則》為指導，通過關鍵字、正則表達式、數據標識符、智能聚類、文檔DNA等技術，按照預設策略對終端文檔進行掃描自動識別個人客戶信息和機構客戶信息，自動分為產品和合約信息、財務信息、征信信息、客戶關系信息、偏好信息、風險信息和評價信息、業務往來信息、資產信息、關聯信息、征信信息、風險信息和評價信息等類別。除了傳統的基礎識別技術之外，還引入了機器學習技術進行文檔分類和比對。按照分類分級規則，客戶端對宿主終端在空閑時間進行全盤或實時觸發掃描，主動發現敏感文件，并按照規則進行定級定密，并生成審計信息上傳到后臺。

其次，敏感場景自動化水印加載。明文水印多以文檔底紋或者覆蓋的方式，在文檔展現區域填充圖文信息，影響用戶辦公效率和使用體驗，而矢量水印則是隨機在文檔的正文內選擇三個區域，在文字的左下角以圖形(圓點、三角形等)進行標記。目前民生銀行主要使用了屏幕矢量水印和打印矢量水印，矢量水印通過隱形水印技術及動態加載模式，根據不同場景智能加載不同形式、不同強度的水印，將水印對用戶的使用影響降到最低，使得水印能夠得到有效的推廣。目前主要定義了如下三種使用場景：第一種場景：打開敏感文件時觸發加載。用戶使用PC終端查看內部敏感文件時，自動增加上矢量水印，降低傳統明文水印造成的不適感。矢量水印采用隨機布局隱寫模式，水印內容包含用戶名稱、用戶部門、終端IP、MAC地址，防止用戶在辦公環境內有意/ 無意拍照造成的數據泄漏，使數據泄漏可追溯可還原。第二種場景：隨業務系統觸發式加載。每個業務系統包含的內容不一樣，敏感等級也不同，對于敏感等級高的業務系統需要重點保護，通過設定高敏感等級的業務系統域名作為識別特征，當用戶使用個人辦公終端查看敏感業務系統時可以自動加載矢量水印，對于拍照、截屏等泄密行為可以自動實現可追溯和威懾。第三種場景：打印文件時觸發加載。行內所有用戶打印文檔時自動附加上矢量水印，使文檔在完全不影響用戶使用的情況下實現可追溯，水印內容包含文檔打開時間、用戶賬戶、部門、設備IP、MAC等。

最后，敏感文檔自動化標簽加載。為了掌握全行數據資產的分布視圖，民生銀行提出并實現了基于分類分級技術的數據資產識別機制。為了能跟蹤終端文件的生成、流傳和編輯過程中誰接觸過文件，在終端上每個要追蹤的文檔都會自動打上兩個ID值：文檔追蹤主ID值和文檔流轉ID值，任何一個在終端處理過的文件，都可以通過文檔上隱藏的ID值來定位文檔來源及接觸人信息。文檔的主ID值是不變的，而流轉ID值在每次流轉過程中都發生變化。這兩個ID值都不會隨著文件拷貝、改名、編輯和另存為等常規操作而發生變化，也不能通過簡單的手段或工具改寫或刪除，其內嵌到文檔內容中而又不影響文檔的閱讀和顯示，不影響文檔大小，不改變文檔的任何屬性。

(2)終端數據全方位采集和數據分析。終端數據保護系統采用三層分級的分布式部署架構,總行部署頂級服務器,各機構部署二級管控服務器,各類終端上部署桌面管控客戶端。通過部署的桌面管控客戶端進行終端數據采集，所采集的數據包括終端軟硬件資產數據、進程運行實時數據、文件讀寫審計數據、外設管控審計數據、打印審計數據、水印審計數據、文件敏感掃描識別數據、文檔跟蹤記錄等。

全行各類終端上采集的數據實時上傳到對應的二級管控服務器，管控服務器再將數據上傳到頂級服務器。頂級服務器匯總、存儲、統計、分析全行終端上采集的數據，實現終端各類數據的分析、展示，可以進行終端敏感文件分布展示，可以通過文件讀寫審計、水印審計、打印審計、文件追蹤記錄、敏感文件操作記錄實現用戶畫像和部門畫像的分析、展示，識別潛在的用戶異常行為，并且可以進行用戶異常行為的取證和追溯。同時，頂級服務器還將采集匯總的終端數據同步給行內SOC分析平臺和安全威脅感知系統，進行終端數據和其他數據的關聯分析，檢測和發現內外部威脅，實現異常監控、安全運營、安全管理和內審內控，提升我行安全風險發現和聯動處置能力。

總結與展望

現階段民生銀行已經完成終端數據保護系統功能部署工作，初步完成對終端數據的全方位采集和敏感識別，目前已經在全行范圍6萬余臺終端下發敏感文件掃描、水印、文檔跟蹤等策略，掃描敏感文件200余萬次，定義敏感業務系統10余個，每日記錄屏幕水印和打印水印審計記錄40余萬條，生成文檔跟蹤記錄330余萬條，已經初步實現對行內終端數據分布進行動態展示和管控的階段目標。根據終端采集數據形成數據泄露風險數值，可定期對風險Top10用戶或設備進行檢查，重點關注外發操作，降低敏感數據泄露風險。終端數據保護是一項需做細、做精的工作，從廣度上來看，未來的目標是通過建模實現行為預測，實現自動化的智能管控。從深度上來看，終端數據防泄漏還需要提高精確度，減少誤報，提高效率，同時，也要與行內安全威脅感知系統加強聯動關聯分析能力，實現一體化安全態勢感知，建立數據泄露事件發現、定位和快速響應機制，滿足安全、合規管理要求。