如何通過(guò)信息化方式幫助城市商業(yè)銀行遠(yuǎn)離不合規(guī)或數(shù)據(jù)泄露風(fēng)險(xiǎn)是日前召開(kāi)的“第九屆中國(guó)區(qū)域性商業(yè)銀行信息化發(fā)展戰(zhàn)略高峰年會(huì)”的核心議題之一，也是全球領(lǐng)先的整合Web、數(shù)據(jù)和電子郵件內(nèi)容安全解決方案提供商Websense能夠給大中型企業(yè)帶來(lái)的核心價(jià)值。日前，Websense中國(guó)區(qū)總經(jīng)理穆軍作為第九屆中國(guó)區(qū)域性商業(yè)銀行信息化發(fā)展戰(zhàn)略高峰年會(huì)的演講嘉賓，與來(lái)自全國(guó)40多家城市商業(yè)銀行主管科技的副行長(zhǎng)，信息科技部及電子銀行部負(fù)責(zé)人圍繞城市商業(yè)銀行的數(shù)據(jù)泄露防護(hù)話題展開(kāi)了深入探討。

　　對(duì)比各大國(guó)有銀行、股份制銀行以及外資銀行等金融企業(yè)，我國(guó)的城市商業(yè)銀行發(fā)展較慢，信息化起步也較晚，但是他們所面對(duì)的網(wǎng)絡(luò)威脅環(huán)境卻是相似的。高級(jí)持續(xù)攻擊(APT)、先進(jìn)的惡意軟件，針對(duì)性攻擊不斷泛濫，伴隨云安全以及日益升級(jí)的移動(dòng)安全問(wèn)題一同嚴(yán)重地沖擊著現(xiàn)代企業(yè)的安全防線。而且在大型銀行不斷升級(jí)安全防護(hù)水平的同時(shí)，不少黑客已經(jīng)將視線投向了可能較容易被攻擊的城市商業(yè)銀行。眾所周知，銀行中的數(shù)據(jù)敏感度極高，一旦產(chǎn)生數(shù)據(jù)泄露事件其所受到的影響和損失必將是巨大的，同時(shí)監(jiān)管部門的處罰也會(huì)非常嚴(yán)厲。所以，在當(dāng)前的環(huán)境下，防止數(shù)據(jù)泄露儼然已經(jīng)成為了城市商業(yè)銀行發(fā)展過(guò)程中保持競(jìng)爭(zhēng)力需應(yīng)對(duì)的關(guān)鍵難題之一。

　　同時(shí)，保護(hù)數(shù)據(jù)安全也是監(jiān)管部門在商業(yè)銀行合規(guī)性條款中對(duì)所有銀行的要求。目前中國(guó)商業(yè)銀行GRC(信息治理、信息風(fēng)險(xiǎn)和信息法規(guī)遵從)需要滿足的合規(guī)性要求有《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》、《企業(yè)內(nèi)部控制基本規(guī)范》、《中央企業(yè)商業(yè)秘密保護(hù)暫行規(guī)定》、《個(gè)人信息保護(hù)法》、《信息安全等級(jí)保護(hù)》等。

　　面對(duì)內(nèi)外雙重壓力，加強(qiáng)安全防護(hù)系統(tǒng)并且部署適當(dāng)?shù)臄?shù)據(jù)泄露防護(hù)(DLP)產(chǎn)品應(yīng)該是城市商業(yè)銀行最佳的應(yīng)對(duì)決策之一。作為安全行業(yè)的資深人士，穆軍指出一個(gè)好的數(shù)據(jù)泄露防護(hù)產(chǎn)品不僅能夠提升企業(yè)安全性，同時(shí)還能為企業(yè)實(shí)現(xiàn)以下價(jià)值：

　　–改善內(nèi)部管理 數(shù)據(jù)防泄漏項(xiàng)目不僅僅是一個(gè)數(shù)據(jù)安全保護(hù)項(xiàng)目，同時(shí)也是一個(gè)信息安全風(fēng)險(xiǎn)控制項(xiàng)目。通過(guò)數(shù)據(jù)防泄漏的平臺(tái)搭建，一是可以有效保障數(shù)據(jù)安全管理制度的落地，同時(shí)也可以對(duì)數(shù)據(jù)安全管理制度進(jìn)行重新梳理，通過(guò)實(shí)際環(huán)境的運(yùn)行進(jìn)一步發(fā)現(xiàn)制度中存在的各種問(wèn)題

　　–提高客戶滿意度 目前客戶越來(lái)越重視私人信息的機(jī)密性，隨著公司業(yè)務(wù)的不斷拓展，客戶信息越來(lái)越多的集中到數(shù)據(jù)中心以及相關(guān)的業(yè)務(wù)平臺(tái)，如果通過(guò)數(shù)據(jù)防泄漏體系能夠有效保護(hù)客戶的私人信息，不但使公司兌現(xiàn)了不泄漏客戶信息的承諾，也可以大大提升公司在客戶心目中的形象以及同行業(yè)中的領(lǐng)先地位

　　–有效增加投資回報(bào) Forrester公司曾經(jīng)在全球范圍內(nèi)做過(guò)統(tǒng)計(jì)，數(shù)據(jù)泄漏的代價(jià)多少不一，主要是取決于數(shù)據(jù)的重要性以及公司的規(guī)范性。以金融行業(yè)為例，數(shù)據(jù)泄漏事件對(duì)于公司直接反映出的損失就是企業(yè)客戶的流失、公司信譽(yù)的下降，而間接反映出的就是公司業(yè)務(wù)受損，因此通過(guò)數(shù)據(jù)防泄漏體系有效控制和降低數(shù)據(jù)泄漏的風(fēng)險(xiǎn)，其實(shí)間接地為企業(yè)提高了投資回報(bào)

　　– 滿足國(guó)家/監(jiān)管部門法令法規(guī) 已有的最佳實(shí)踐和策略, 可以幫助快速實(shí)施全球化、行業(yè)性的法規(guī)遵從;DLP可以減少與法規(guī)遵從相關(guān)的直接成本, 使審計(jì)更容易, 同時(shí)減少違規(guī)的風(fēng)險(xiǎn)

　　Websense的數(shù)據(jù)泄露防護(hù)解決方案不僅能滿足以上需求，在Websense統(tǒng)一安全架構(gòu)Triton的支持下，Websense數(shù)據(jù)泄漏防護(hù)解決方案還能與Websense領(lǐng)先的Web安全、電子郵件安全和移動(dòng)安全解決方案整合，它們既能作為整體的解決方案部署，也能作為單一通道的安全產(chǎn)品部署，但是與其他同類產(chǎn)品不同的是，這個(gè)單一通道產(chǎn)品已經(jīng)嵌入了Websense領(lǐng)先的數(shù)據(jù)泄露防護(hù)功能。以Websense Email Security Gateway Anywhere為例，它就是業(yè)界首個(gè)能夠防止基于郵件通道數(shù)據(jù)泄露的電子郵件安全產(chǎn)品，如此精心的設(shè)計(jì)，不僅幫助用戶提升安全級(jí)別，更幫助用戶有效節(jié)約安全擁有成本。

　　此外，穆軍還表示：“在多起銀行業(yè)數(shù)據(jù)泄露案例中，內(nèi)部員工的惡意行為和粗心行為才是造成數(shù)據(jù)泄露的罪魁禍?zhǔn)住Ｔ诜乐狗羌夹g(shù)層面的數(shù)據(jù)偷竊行為時(shí)，一方面是加強(qiáng)對(duì)敏感數(shù)據(jù)的可視性，這一點(diǎn)Websense數(shù)據(jù)泄露防護(hù)解決方案可以幫您實(shí)現(xiàn);另一方面也需要銀行加強(qiáng)對(duì)員工的管理和教育。”

　　Websense以一年為階段，為銀行業(yè)企業(yè)推薦的數(shù)據(jù)泄露防護(hù)的實(shí)踐如下：

　　·一月至四月：偵測(cè)階段：Websense 技術(shù)偵測(cè)敏感數(shù)據(jù)的位置，并監(jiān)控員工濫用行為。此階段的安全警報(bào)數(shù)量極多。

　　·五月：?jiǎn)T工教育：向?yàn)E用敏感數(shù)據(jù)的員工(如將密碼發(fā)送到Gmail 帳戶)發(fā)出違規(guī)通知。在教育階段，警報(bào)的數(shù)量立減 50%。

　　·六月至十二月：策略實(shí)施階段：此階段啟用自動(dòng)電子郵件加密、攔截違規(guī)事件、保護(hù)數(shù)據(jù)、警報(bào)數(shù)量繼續(xù)下降，讓IT 違規(guī)事件調(diào)查人員可以輕松控制。

　　銀行所擁有的信息與公眾利益直接掛鉤，即使惡意份子只是獲得了銀行卡用戶的聯(lián)系方式而非卡號(hào)與密碼，也已經(jīng)足夠使其進(jìn)一步通過(guò)目標(biāo)攻擊獲取更多的信息。例如：郵箱地址可以用來(lái)發(fā)送“釣魚(yú)”信息，索取其他敏感信息;還可以通過(guò)電話進(jìn)行釣魚(yú)攻擊，打電話冒充某個(gè)權(quán)威機(jī)構(gòu)的工作人員，使受害者相信自己正在與一個(gè)正規(guī)金融機(jī)構(gòu)的代表通話，并提供一些用戶的敏感信息。維護(hù)銀行品牌形象，提升儲(chǔ)戶信任度，防止各種銀行信息詐騙，城市商業(yè)銀行保護(hù)儲(chǔ)戶個(gè)人信息和企業(yè)自身關(guān)鍵信息勢(shì)在必行。