1、金融数据安全应用及实践陈扬 CISSP/CISA/PMP联软科技内部信息 内部报告、会议既要 采购/出货价格战略规划 长期业务规划 产品战略计划知识产权 核心源代码 设计图纸、特别专利客户信息 客户信息 征信信息竞争力/品牌声誉/法规遵从数据的重要性标准、法规频繁推出类别标准敏感程度主要信息内容保护要求示例C3用户鉴别信息一旦遭到未经授权的查看或变更,会造成严重危害 银行卡数据、银行卡密码、网络支付交易密码等。账户登陆密码、交易密码、查询密码 用于鉴别的个人生物识别信息不得共享、转让、公开披露、委托处理C2可识别信息主题身份与金融状况的个人金融信息,以及用于金融产品与服务的关键信息一旦遭到未经

2、授权的查看或变更,会造成一定危害 支付账号、证件信息、手机号码 动态口令、短信验证码等 个人财产信息、借贷信息；交易信息（如交易流水、保险理赔）除用户鉴别信息授权后,可共享、转让、公开披露、委托处理C1机构内部的信息资产,主要指供金融业机构内部使用的个人金融信息一旦遭到未经授权的查看或变更,会造成一定影响账户开立时间、开户机构、支付标记信息。授权后,可共享、转让、公开披露、委托处理个人金融信息保护技术规范可落地性和可操作性增强金融数据安全分级指南义务违法行为组织、个人罚则主管人员、其他责任人员罚则第二十七条（数据保护）第二十九条（风险监测）第三十条（风险评估）不履行数据安全保护义务责令改正，给

3、予警告五万元以上五十万元以下罚款一万元以上十万元以下罚款拒不改正或者造成大量数据泄露等严重后果的五十万元以上二百万元以下罚款可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照五万元以上二十万元以下罚款违反国家核心数据管理制度，危害国家主权、安全和发展利益处二百万元以上一千万元以下罚款并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照构成犯罪的，依法追究刑事责任第三十一条（出境-网安法）向境外提供重要数据十万元以上一百万元以下罚款一万元以上十万元以下罚款情节严重的一百万元以上一千万元以下罚款可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照十

4、万元以上一百万元以下罚款第三十三条（中介审核留档）从事数据交易中介服务的机构未履行规定的义务责令改正，没收违法所得，处违法所得一倍以上十倍以下罚款没有违法所得或者违法所得不足十万元的，处十万元以上一百万元以下罚款并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照一万元以上十万元以下罚款第三十五条（配合刑侦调查）拒不配合数据调取责令改正，给予警告五万元以上五十万元以下罚款一万元以上十万元以下罚款第三十六条（司法出境审批）未经主管机关批准向外国司法或者执法机构提供数据十万元以上一百万元以下罚款一万元以上十万元以下罚款造成严重后果一百万元以上五百万元以下罚款可以责令暂停相关业务、停

5、业整顿、吊销相关业务许可证或者吊销营业执照五万元以上五十万元以下罚款权责更加清晰明确!#$%&()*+,-./0123456789:;?0ABCDE-./012=FGHIFGHIJ=K&LMN9OPQBCRS=TKBCUKVWXFGYZHIFGYZHIJ=K&LMLMN9OPQ=TKVW56789:;=_abcBCDEdefghijJ-./012=ABCDEk?0J=lmnoJ;pIKVpIKVqrBCMs?tuvuir-./012J=lm!)oJ;KVUw,n&o3J=xUwyKVW=Txsz|cJ0s?zc0=lmoJ;KV刑法数据安全法数据安全建设视角数据安全战略数据人员流程技术规则不同

6、类别的重要数据或敏感数据企业业务系统中的数据利益相关方与数据处理有关的业务活动处理或管理数据的程序、工具和技术适用的法律法规、监管要求和标准数据人员流程技术规则数据安全更需整体规划、逐步建设人力成本效率质量选场景网络安全数据安全时间资金定规划数据保护场景分析业务数据办公数据应用数据开发测试数据服务内部部署，安全关注度高边界管控，数据进出管控、权限管控、相对严格服务器/数据库上数据在传输加密及证书校验的的情况下，数据劫持并破解难度极大网络上数据终端环境复杂、操作人员多样、安全意识不一、权限控制困难，数据信息碎片化难以管理，移动化加剧风险终端上数据联软数据安全建设框架邮件网关受控访问终端安全环境加

7、密存储安全隔离动态授权全盘扫描外发管控水印/标签屏幕录像终端个人环境审计审批阻断/隔离删除附件本地缓存内容识别引擎关键字正则表达式数据标识符智能聚类文档DNA文档发布在线浏览权限管控本地缓存网络隔离同一账号统一流程一键分享过程审计上传杀毒多平台内网外网数据中心办公网文件过滤文件摆渡网内流转网间摆渡大数据平台风险展示分析引擎取证报告终端管控准入控制数据采集设备智能识别漏洞修复外设管控安全基线远程协助软硬件资产/系统配置/文件属性进程/网络/文件读写/注册表行为网络流量动态授权处置预案第三方平台对接基础安全数据安全能力数据安全能力中台设备管控应用管理在线浏览云盘分享移动终端唯一认证标识加密存储加密

8、传输邮件安全安全网关水印中台APP打包平台水印软件库补丁敏感规则统一更新平台一个管控中心一个数据平台一个Agent一套管理策略一个账号统一权限管理统一通信协议统一管理流程一体化运维零信任网关基础数据分级数据分类数据分类分级关注数据传输通道敏感数据识别及追踪做好终端管控构建统一的安全能力及标准如何实现数据的分级分类实现方式：实现方式：通过人工和服务的方式，对全行进行调研，收集，分析，并结合其他要求，最终形成数据的分级分类优势：优势：通过业务部门提供的信息，更符合行方数据的真实情况劣势：劣势：结论性对静态，且通常需要一定的时间周期需要行领导参与，需要动员的资源较多基于咨询形式基于合规性要求设计的内

9、置分类实现方式：实现方式：厂商会结合行业标准、法律法规，厂商经验，梳理出内置分类，可基于此基础进行适配调整，形成数据分类分级优势：优势：高效敏捷，科技部门可直接完成该工作，可快速落地个人金融信息类数据相对准确劣势：劣势：业务相关数据分类，颗粒度较粗，可能存在不准确的情况甲方调研经理对接人访谈部门经理确认提供敏感文件模板分管领导确认OK异常数据智能聚类调研结束乙方调研顾问各部门对接人会议导入DLP系统确认OK异常部门经理调研启动会议总体情况调研总行科技部异常确认OK制定计划制定访问提纲访谈及收集信息汇总单部门调研：人数：1-3人 时间：半小时左右每天调研量：5-7个部门咨询形式-调研流程基于合规

10、-进行数据分级分类金融数据安全分级指南实现对数据分级分类的梳理关注“数据流转通道”规范数据的流动方式，用更少的节点设备实现对更多数据的管控生产网办公网开发测试网催账信息远程业务远程开发内网流转数据外发入网数据业务取数工资代发离行业务同业信息公文发放业务需求开发测试需求监管上报业务信息办公APN生产开发测试VDIVDIVDIVDIVDIVDI行内员工第三方InternetAPNAPNAPN可信接入网关零信任管控服务器1终端上安装Agent，根据用户角色的不同，启用不同沙箱以连接不同网络接入终端同时支持PC、移动终端2分别在办公、生产、开发测试网部署一套APN可信接入网关，通过APN发布应用，隐藏

11、服务4后端部署统一零信任管控服务器，统一管理用户、权限、策略，日志审计，等通过策略持续评估环境变化，并动态调整策略3全接入场景支持，包括：办公网：移动办公、连接中转生产网：收敛弱应用暴露面开发测试网：外包接入、应用的互联网测试零信任管控服务器零信任管控服务器ZTNA解决离行终端接入安全问题梳理数据外发通道并进行收敛内网流转控制提取脱敏/变形的生产数据，作为测试数据安装包，调试工具、扫描清单等业务取数，业务报表排错日志、巡检报告紧急生产数据传输：业务抢修的分析数据应用投产软件升级更新办公网生产网开发测试网互联网各类入网、外发的文件各类外链工资导入客户经理 的调研报告、影像资料业务资料、业务指标电

12、子发票建设安全数据交换通道-实现全行去U盘多网数据交换补丁服务器更新查阅资料传到内网内网资料上传到外网、分享给别人生产网数据读取代码测试外链上传下载移动办公开发网办公网生产网互联网安全数据交换通道外链形式外发（多级审批）上传审批审计+杀毒审计+杀毒敏感数据识别管理员通过提醒、通报，要求员工进行处理制作便携式U盘工具，作为监管审查手段员工使用工具自查，对敏感文件进行处置（删除、集中加密备用）追踪数据流转业务系统文件流转平台文件落地加标签文件上传至流转平台自动加载标签用户从“文件流转平台”下载文件后，自动加载标签注册U盘邮箱外发自动打标签文库类监控资产台账类文件接口文档设计方案开源社区监控自研发代

13、码配置文件第三方外包代码网盘监控账号密码管理类文件机要文件通讯录/员工信息表暗网监控邮箱/IM账号密码个人信息通讯录云端监控检测做好终端安全基线管控安全沙箱安全传输安全水印安全阅读安全浏览器安全邮件安全控制安全相机基础！重要！水印提取水印生成明文客户端水印无代理水印服务屏幕嵌入业务系统访问触发Web页面嵌入屏幕打印输出文件文档嵌入文档保护平台权限管理打印件嵌入进程触发打印机触发文档敏感内容触发业务系统调用访问文档保护平台触发机制水印嵌入联软水印相关组件二维码图片矢量盲水印构建统一的数据安全能力及标准-水印中台构建统一的数据安全能力及标准-水印中台SDK组件安全组件防入侵防泄密个人隐私保护体验统

14、一的易用性组件降低外部采购费用的相关组件精细化的分析能力组件功能组件代码精简：标准SDK 代码集成 20行以内；集成简单：1-3天能力内生：代码集成后，APP代码能力内生，后台可通过策略动态管理数据安全指标统一分析展示2004年成立于深圳南山粤海中国首家网络准入控制厂商产品累计管理端点达2,300+万深耕端点安全16年从准入控制领导者，到SDP领域的领航者与魔方安全合并，进入互联网安全和攻防领域提供覆盖云、边界、端多场景的平台级网络安全解决方案云/边界安全中国企业级端点安全市场的领导者2020年完成B轮融资，国家网信办、深圳高新投、达晨成为股东2020年引入中网投、高新投战略投资，成为国家队企业概况敬天爱人，诚实正直，不懈努力构建可控的互联世界文化及愿景Frost&Sullivan中国企业端点安全市场研究报告部分案例谢谢！