安全虛擬磁盤技術的創新與實踐

文章目錄

前言
一、數據安全保護的新挑戰
- 1. 數據安全態勢日益嚴峻，法律法規陸續出臺
- 2. 加強數據安全管控成為銀行數據安全管理核心之一
- 3. 銀行終端數據安全管控存在的難題
二、安全虛擬磁盤的探索與實踐
- 1. 敏感文件的入盤及操作
- 2. 敏感文件的流轉及出盤
- 三、安全虛擬磁盤的創新與成效
- 1. 安全虛擬磁盤的技術創新
- 2. 安全虛擬磁盤的成效
四、項目推廣應用及效益情況
總結

前言

當下網絡安全環境日益嚴峻，潛在威脅愈加復雜，為銀行業金融機構的信息安全、數據安全，以及產業安全等方面都帶來了新挑戰。數據安全日益重要，相關各項法律法規陸續出臺，行業監管部門也相繼發布多項制度加強規范性引導。
在】深入了解金融機構終端數據安全現狀后，結合實際情況，建設了銀行安全虛擬磁盤。通過建立終端一體化安全管控平臺，加強了終端敏感文件管控，提升了系統運行效率，提高了管理效率，降低了管理成本。

一、數據安全保護的新挑戰

1. 數據安全態勢日益嚴峻，法律法規陸續出臺

數據作為新生產要素，是國家基礎性戰略資源，數據安全已成為事關國家安全與經濟社會發展的重大問題。近年來，中國人民銀行、原銀保監會、網信辦、公安部、保密局對銀行的業務數據保護保持著高度關注，要求銀行業必須做好數據防泄密相關工作。同時，隨著數據安全威脅日益嚴峻，一系列信息安全相關政策規定陸續出臺，《中華人民共和國刑法》等法律法規中都有相應的條款。數據安全逐步進入法制化時代，要求強化銀行信息科技風險防范和信息安全保障能力。

隨著各項法律法規的頒布，以及監管部門對金融業的數據安全規范的提出，出于內部的商業機密保護、維護銀行聲譽及對個人隱私保護等要求，金融機構亟需建設與提升數據安全能力。網絡安全、數據安全等作為保障業務連續性的基礎，已成為銀行信息建設的重要一環。

2. 加強數據安全管控成為銀行數據安全管理核心之一

目前，大部分銀行已建設越來越多的信息化系統，保障信息安全。但是如何管控終端電腦留存的敏感文件，已經成為金融行業亟待解決的問題。由于明文存儲存在泄密、易被篡改、無審計無法追溯等風險，因此，如何加強終端敏感文件管控，如何控制被未授權訪問的風險，如何防范第三方人員私下拍照、肩窺或拷貝復制，甚至拆卸硬盤的風險，提升信息安全防護水平已成為銀行數據安全管理核心之一。

3. 銀行終端數據安全管控存在的難題

近年來，銀行持續建設和完善數據安全防泄密體系，建設了一系列信息安全管控系統。但是在終端電腦敏感文件管控方面面臨著數據安全新挑戰。一是部分業務系統文件可下載、保存至本地電腦終端，存在數據泄密風險，例如通過手機拍照、肩窺、手抄、拆卸硬盤、重裝操作系統等極端方式，傳統的管控手段根本無法防范此類風險。二是在互聯網終端電腦，盡管嚴禁保留敏感信息文件，但每次檢查依舊會發現留存有敏感文件，一旦外發，將面臨數據泄露的風險。三是終端電腦歷史留存的敏感文件，日積月累，用戶終端電腦留存有大量的敏感文件。四是缺少自動化處置工具，用戶很難完全發現和處置終端電腦的敏感文件，由于終端電腦文件較多，用戶很難判斷是否已經完全處置敏感文件，工作量巨大且容易遺漏。

二、安全虛擬磁盤的探索與實踐

基于當前數據安全現狀和面臨主要問題的分析，為滿足監管部門對終端電腦敏感文件數據安全管控的要求，銀行建設了安全虛擬磁盤。最大化利用現有平臺，結合終端安全管控軟件，給員工終端電腦提供一個“文件安全保管箱”，進一步加強終端電腦敏感文件數據存儲保護，避免數據明文存儲在本地終端電腦，防止第三方人員在本地通過直接打開閱讀、肩窺、復制拷貝、拆卸硬盤的等行為而帶來的數據泄露風險（見圖）。

在這里插入圖片描述
圖安全虛擬磁盤架構圖

1. 敏感文件的入盤及操作

管理平臺通過下發敏感文件掃描策略，對終端電腦進行敏感文件掃描，如終端電腦存在涉及敏感數據的文件，系統會自動將敏感文件剪切到安全虛擬磁盤中進行保護，同時在被剪切的文件路徑下給予提示，提示用戶該文件移動至安全虛擬磁盤的位置，便于用戶找到。此外，為減低敏感文件全盤掃描時對終端性能影響，終端掃描可設置智能閾值，通過判斷終端CUP、內存等多個因素，自動判斷是否對終端進行掃描，同時定義非工作時間進行掃描，保障用戶體驗同時滿足安全管理。

在安全虛擬磁盤中的敏感文件，可保持與在本地磁盤位置一樣的使用體驗，支持正常打開、編輯操作使用。但無法通過剪切板等方式將文件復制、粘貼至本地電腦終端，確保敏感文件的安全性。同時，用戶訪問安全虛擬磁盤需輸入密碼，進一步加強了安全管控。

2. 敏感文件的流轉及出盤

用戶在內部文件流轉時只需將文件拖拽至本地終端，在本地終端會生成一個加密的文件，接收人將加密的文件移入安全虛擬磁盤可正常打開文件進行操作。用戶如需將敏感文件明文取出需經相關層級審批。選中要出盤的文件，選擇文件明文外發，系統會自動觸發OA審批流程，經審批后，文件方可出盤。此外，用戶可選擇文件生成的格式，并定義文件水印、打開次數、授權時間及打開密碼，保障文件的安全性。

此外，安全虛擬磁盤對應的實體文件是加密的。當應用程序讀寫安全虛擬磁盤的文件時，安全虛擬磁盤的內核驅動會在安全虛擬磁盤的文件和實體文件之間自動加解密。因此，即使丟失物理硬盤也不會導致安全虛擬磁盤的數據泄露。

三、安全虛擬磁盤的創新與成效

通過建設自動化技術來代替人工檢索，極大地提升了終端敏感文件的排查和處置效率，徹底根治了困擾多年的“本地終端敏感文件長期留存難處理”的老大難問題，目前安全虛擬磁盤已經在銀行全行推廣，成效顯著。

1. 安全虛擬磁盤的技術創新

采用磁盤虛擬技術。依據虛擬化技術虛擬出磁盤，RC4算法加密獨立存儲，以獨占形式掛載，其讀寫操作是受后臺配置的策略控制的，主要用于終端電腦上業務數據的集中管理，非助手文件驅動無法讀寫。用戶可根據使用習慣及自身需求自行調整安全虛擬磁盤大小，也可自主存儲重要文件至安全虛擬磁盤。

不依賴環境。安全虛擬磁盤生成、掛載、讀寫、加解密操作不依賴操作系統，具有較強敏捷性。操作系統功能組件變更，軟件運行環境改變，均不影響使用。

文件權限管控。安全虛擬磁盤中的文件常用辦公軟件可讀寫、可編輯，但禁止以另存、復制等方式明文出盤。敏感文件出盤支持賦予最小化權限，文件出盤時自動加密內部流轉、部門審批明文流轉、部門審批文件打印等，且有操作日志，可追蹤溯源。

安全可控。數據安全可控，用戶不能隨意拷貝，只有經過審批后文件才能解密到本地電腦終端，一事一批，安全可靠。

滾動備份。安全虛擬磁盤內文件支持滾動備份，存儲文件通過對象存儲方式，獨立存儲在文件服務器內，避免文件丟失損壞。

統一平臺、統一客戶端。本方案秉承“終端安全一體化”建設理念，在現有平臺進行能力擴展，無需額外搭建系統、安裝客戶端，節約建設成本，增強用戶友好體驗度。

2. 安全虛擬磁盤的成效

一是降低終端數據安全泄密風險、提升人員數據安全保護意識。基于安全虛擬磁盤的創新實踐效果，有效降低了銀行敏感文件存留在終端上造成的泄密風險。行員對數據安全保護意識顯著提升，用戶已經逐步適應敏感數據必須在安全虛擬磁盤中操作，且不能隨意外發的數據安全保護制度要求，潛移默化提供了用戶安全意識。

二是做到敏感文件集中管控，滿足合規要求。安全虛擬磁盤的建設，極大地降低了終端電腦敏感數據泄密的風險，符合國家、上級主管單位的各項數據安全保護要求，并采用創造性的方式，很好地實現了“敏感數據不落地、敏感數據使用全生命周期保護”，該方案得到了監管部門的認可。

三是建設統一管控平臺，統一管理。在當前終端安全體系的基礎上充分考慮擴展性，整合多種防護技術，一個管理平臺和一個客戶端便可實現本次安全虛擬磁盤能力的擴展，解決計算機資源，避免重復投資，節約成本，同時用戶體驗更佳。

四是多元化的產品及解決方案，可擴展性強。依據現有平臺，從內容識別到數據保護、安全虛擬磁盤，從行為分析到泄密預警，從網絡到終端，從應用到內容，實時監控數據流動，從已知風險管控到未知威脅發現，平臺整體功能性強。易于維護升級，可持續性強，通過提高安全性和效率，降低風險和成本。

四、項目推廣應用及效益情況

目前，新技術的不斷涌現與技術的持續交融，使金融行業面臨數字時代背景發展下的數據安全風險沖擊。新技術的促進數據在金融行業廣泛使用并迅速發展，雖然可以打破數據孤島、消除數據壁壘，但也帶來了數據安全、隱私保護等問題。銀行在原有系統的基礎上建設安全虛擬磁盤，為終端電腦敏感文件保駕護航，防范未然。

安全虛擬磁盤適用于涉及客戶信息數據、重要業務數據的相關業務系統訪問、存儲、傳輸等各個階段的管控需求。在最大限度降低對工作效率的影響的前提下，對終端存留的敏感數據進行安全保護，避免因文件未采取加密技術造成泄密，或直接打開文件進行手抄、肩窺的而造成泄密的情況發生，有效地解決數據防泄密過程中存在的難點問題，增強了銀行信息安全防護能力，為業務創新保駕護航，也為敏感數據全生命周期保護等領域的探索提供了具有借鑒意義的實踐經驗，以數據安全創新實踐賦能業務創新發展。符合各級監管單位數據安全保護要求，確保數據合規化使用和保護。提高對終端敏感數據發現能力，實現敏感數據可視化，并以此加強終端人員培訓，減少敏感文件在辦公終端明文存儲的行為發生。減少終端上明文存儲的敏感文件，防止數據泄密的事件發生。

該方案解決了本地終端敏感文件的在使用、流程過程中泄密的風險，滿足了監管單位針對內部信息系統數據不落地的安全規范要求。

本方案結合前期銀行針對終端數據安全建設，能夠形成體系化的數據安全體系，從事前、事中、事后全方位的包含了終端安全一體化解決方案。事前實現準入控制，事中實現終端安全及終端運維管理，事后實現終端數據安全，對終端數據實現內部使用加密、外發可追溯審計達到防泄密的要求。落實了銀行安全融于業務、安全與便捷保持平衡、統一的管理理念：安全不應犧牲效率為代價，安全應該是促進業務發展的幫手。本系統一個客戶端、一個后臺既提升了管理員的運維效率也減少了終端用戶的使用學習成本同時還對終端性能、穩定性起到保障作用。

總結

如今，隨著信息網絡建設和應用的不斷深入，持續加強信息安全，防止數據泄密已經迫在眉睫。銀行在網絡準入、桌面管理、數據防泄露等終端安全措施的基礎上，建設了安全虛擬磁盤，有效降低了終端數據泄密風險，并提升了員工的數據安全保護意識。滿足了國家和監管單位的數據安全保護要求，實現了敏感數據的全生命周期保護。通過建設一體化的終端安全管理平臺，降低了成本，同時提供了多元化的產品和解決方案，增強了數據安全防護能力。以數據安全創新實踐賦能業務發展。