近年來，各類型數(shù)據(jù)泄露事件接二連三爆發(fā)，互聯(lián)網(wǎng)、運營商、銀行、制造業(yè)等各行業(yè)企業(yè)中都有失蹄者，其中銀行業(yè)更是數(shù)據(jù)泄露事件的重災區(qū)。

如何通過信息化方式幫助城市商業(yè)銀行遠離不合規(guī)或數(shù)據(jù)泄露風險是日前召開的“第九屆中國區(qū)域性商業(yè)銀行信息化發(fā)展戰(zhàn)略高峰年會”的核心議題之一，也是全球領先的整合Web、數(shù)據(jù)和電子郵件內(nèi)容安全解決方案提供商Websense能夠給大中型企業(yè)帶來的核心價值。日前，Websense中國區(qū)總經(jīng)理穆軍作為第九屆中國區(qū)域性商業(yè)銀行信息化發(fā)展戰(zhàn)略高峰年會的演講嘉賓，與來自全國40多家城市商業(yè)銀行主管科技的副行長，信息科技部及電子銀行部負責人圍繞城市商業(yè)銀行的數(shù)據(jù)泄露防護話題展開了深入探討。

對比各大國有銀行、股份制銀行以及外資銀行等金融企業(yè)，我國的城市商業(yè)銀行發(fā)展較慢，信息化起步也較晚，但是他們所面對的網(wǎng)絡威脅環(huán)境卻是相似的。高級持續(xù)攻擊（APT）、先進的惡意軟件，針對性攻擊不斷泛濫，伴隨云安全以及日益升級的移動安全問題一同嚴重地沖擊著現(xiàn)代企業(yè)的安全防線。而且在大型銀行不斷升級安全防護水平的同時，不少黑客已經(jīng)將視線投向了可能較容易被攻擊的城市商業(yè)銀行。眾所周知，銀行中的數(shù)據(jù)敏感度極高，一旦產(chǎn)生數(shù)據(jù)泄露事件其所受到的影響和損失必將是巨大的，同時監(jiān)管部門的處罰也會非常嚴厲。所以，在當前的環(huán)境下，防止數(shù)據(jù)泄露儼然已經(jīng)成為了城市商業(yè)銀行發(fā)展過程中保持競爭力需應對的關鍵難題之一。

同時，保護數(shù)據(jù)安全也是監(jiān)管部門在商業(yè)銀行合規(guī)性條款中對所有銀行的要求。目前中國商業(yè)銀行GRC（信息治理、信息風險和信息法規(guī)遵從）需要滿足的合規(guī)性要求有《商業(yè)銀行信息科技風險管理指引》、《企業(yè)內(nèi)部控制基本規(guī)范》、《中央企業(yè)商業(yè)秘密保護暫行規(guī)定》、《個人信息保護法》、《信息安全等級保護》等。

面對內(nèi)外雙重壓力，加強安全防護系統(tǒng)并且部署適當?shù)臄?shù)據(jù)泄露防護(DLP)產(chǎn)品應該是城市商業(yè)銀行最佳的應對決策之一。作為安全行業(yè)的資深人士，穆軍指出一個好的數(shù)據(jù)泄露防護產(chǎn)品不僅能夠提升企業(yè)安全性，同時還能為企業(yè)實現(xiàn)以下價值：

–      改善內(nèi)部管理 數(shù)據(jù)防泄漏項目不僅僅是一個數(shù)據(jù)安全保護項目，同時也是一個信息安全風險控制項目。通過數(shù)據(jù)防泄漏的平臺搭建，一是可以有效保障數(shù)據(jù)安全管理制度的落地，同時也可以對數(shù)據(jù)安全管理制度進行重新梳理，通過實際環(huán)境的運行進一步發(fā)現(xiàn)制度中存在的各種問題

–      提高客戶滿意度 目前客戶越來越重視私人信息的機密性，隨著公司業(yè)務的不斷拓展，客戶信息越來越多的集中到數(shù)據(jù)中心以及相關的業(yè)務平臺，如果通過數(shù)據(jù)防泄漏體系能夠有效保護客戶的私人信息，不但使公司兌現(xiàn)了不泄漏客戶信息的承諾，也可以大大提升公司在客戶心目中的形象以及同行業(yè)中的領先地位

–      有效增加投資回報 Forrester公司曾經(jīng)在全球范圍內(nèi)做過統(tǒng)計，數(shù)據(jù)泄漏的代價多少不一，主要是取決于數(shù)據(jù)的重要性以及公司的規(guī)范性。以金融行業(yè)為例，數(shù)據(jù)泄漏事件對于公司直接反映出的損失就是企業(yè)客戶的流失、公司信譽的下降，而間接反映出的就是公司業(yè)務受損，因此通過數(shù)據(jù)防泄漏體系有效控制和降低數(shù)據(jù)泄漏的風險，其實間接地為企業(yè)提高了投資回報

–      滿足國家/監(jiān)管部門法令法規(guī) 已有的最佳實踐和策略, 可以幫助快速實施全球化、行業(yè)性的法規(guī)遵從；DLP可以減少與法規(guī)遵從相關的直接成本, 使審計更容易, 同時減少違規(guī)的風險

Websense的數(shù)據(jù)泄露防護解決方案不僅能滿足以上需求，在Websense統(tǒng)一安全架構Triton的支持下，Websense數(shù)據(jù)泄漏防護解決方案還能與Websense領先的Web安全、電子郵件安全和移動安全解決方案整合，它們既能作為整體的解決方案部署，也能作為單一通道的安全產(chǎn)品部署，但是與其他同類產(chǎn)品不同的是，這個單一通道產(chǎn)品已經(jīng)嵌入了Websense領先的數(shù)據(jù)泄露防護功能。以Websense Email Security Gateway Anywhere為例，它就是業(yè)界首個能夠防止基于郵件通道數(shù)據(jù)泄露的電子郵件安全產(chǎn)品，如此精心的設計，不僅幫助用戶提升安全級別，更幫助用戶有效節(jié)約安全擁有成本。

此外，穆軍還表示：“在多起銀行業(yè)數(shù)據(jù)泄露案例中，內(nèi)部員工的惡意行為和粗心行為才是造成數(shù)據(jù)泄露的罪魁禍首。在防止非技術層面的數(shù)據(jù)偷竊行為時，一方面是加強對敏感數(shù)據(jù)的可視性，這一點Websense數(shù)據(jù)泄露防護解決方案可以幫您實現(xiàn)；另一方面也需要銀行加強對員工的管理和教育?！?/P>

Websense以一年為階段，為銀行業(yè)企業(yè)推薦的數(shù)據(jù)泄露防護的實踐如下：

一月至四月：偵測階段：Websense 技術偵測敏感數(shù)據(jù)的位置，并監(jiān)控員工濫用行為。此階段的安全警報數(shù)量極多。

五月：員工教育：向濫用敏感數(shù)據(jù)的員工（如將密碼發(fā)送到Gmail 帳戶）發(fā)出違規(guī)通知。在教育階段，警報的數(shù)量立減 50%。

六月至十二月：策略實施階段：此階段啟用自動電子郵件加密、攔截違規(guī)事件、保護數(shù)據(jù)、警報數(shù)量繼續(xù)下降，讓IT 違規(guī)事件調查人員可以輕松控制。

銀行所擁有的信息與公眾利益直接掛鉤，即使惡意份子只是獲得了銀行卡用戶的聯(lián)系方式而非卡號與密碼，也已經(jīng)足夠使其進一步通過目標攻擊獲取更多的信息。例如：郵箱地址可以用來發(fā)送“釣魚”信息，索取其他敏感信息；還可以通過電話進行釣魚攻擊，打電話冒充某個權威機構的工作人員，使受害者相信自己正在與一個正規(guī)金融機構的代表通話，并提供一些用戶的敏感信息。維護銀行品牌形象，提升儲戶信任度，防止各種銀行信息詐騙，城市商業(yè)銀行保護儲戶個人信息和企業(yè)自身關鍵信息勢在必行。