安全虚拟磁盘技术的创新与实践

文章目录

前言
一、数据安全保护的新挑战
- 1. 数据安全态势日益严峻，法律法规陆续出台
- 2. 加强数据安全管控成为银行数据安全管理核心之一
- 3. 银行终端数据安全管控存在的难题
二、安全虚拟磁盘的探索与实践
- 1. 敏感文件的入盘及操作
- 2. 敏感文件的流转及出盘
- 三、安全虚拟磁盘的创新与成效
- 1. 安全虚拟磁盘的技术创新
- 2. 安全虚拟磁盘的成效
四、项目推广应用及效益情况
总结

前言

当下网络安全环境日益严峻，潜在威胁愈加复杂，为银行业金融机构的信息安全、数据安全，以及产业安全等方面都带来了新挑战。数据安全日益重要，相关各项法律法规陆续出台，行业监管部门也相继发布多项制度加强规范性引导。
在】深入了解金融机构终端数据安全现状后，结合实际情况，建设了银行安全虚拟磁盘。通过建立终端一体化安全管控平台，加强了终端敏感文件管控，提升了系统运行效率，提高了管理效率，降低了管理成本。

一、数据安全保护的新挑战

1. 数据安全态势日益严峻，法律法规陆续出台

数据作为新生产要素，是国家基础性战略资源，数据安全已成为事关国家安全与经济社会发展的重大问题。近年来，中国人民银行、原银保监会、网信办、公安部、保密局对银行的业务数据保护保持着高度关注，要求银行业必须做好数据防泄密相关工作。同时，随着数据安全威胁日益严峻，一系列信息安全相关政策规定陆续出台，《中华人民共和国刑法》等法律法规中都有相应的条款。数据安全逐步进入法制化时代，要求强化银行信息科技风险防范和信息安全保障能力。

随着各项法律法规的颁布，以及监管部门对金融业的数据安全规范的提出，出于内部的商业机密保护、维护银行声誉及对个人隐私保护等要求，金融机构亟需建设与提升数据安全能力。网络安全、数据安全等作为保障业务连续性的基础，已成为银行信息建设的重要一环。

2. 加强数据安全管控成为银行数据安全管理核心之一

目前，大部分银行已建设越来越多的信息化系统，保障信息安全。但是如何管控终端电脑留存的敏感文件，已经成为金融行业亟待解决的问题。由于明文存储存在泄密、易被篡改、无审计无法追溯等风险，因此，如何加强终端敏感文件管控，如何控制被未授权访问的风险，如何防范第三方人员私下拍照、肩窥或拷贝复制，甚至拆卸硬盘的风险，提升信息安全防护水平已成为银行数据安全管理核心之一。

3. 银行终端数据安全管控存在的难题

近年来，银行持续建设和完善数据安全防泄密体系，建设了一系列信息安全管控系统。但是在终端电脑敏感文件管控方面面临着数据安全新挑战。一是部分业务系统文件可下载、保存至本地电脑终端，存在数据泄密风险，例如通过手机拍照、肩窥、手抄、拆卸硬盘、重装操作系统等极端方式，传统的管控手段根本无法防范此类风险。二是在互联网终端电脑，尽管严禁保留敏感信息文件，但每次检查依旧会发现留存有敏感文件，一旦外发，将面临数据泄露的风险。三是终端电脑历史留存的敏感文件，日积月累，用户终端电脑留存有大量的敏感文件。四是缺少自动化处置工具，用户很难完全发现和处置终端电脑的敏感文件，由于终端电脑文件较多，用户很难判断是否已经完全处置敏感文件，工作量巨大且容易遗漏。

二、安全虚拟磁盘的探索与实践

基于当前数据安全现状和面临主要问题的分析，为满足监管部门对终端电脑敏感文件数据安全管控的要求，银行建设了安全虚拟磁盘。最大化利用现有平台，结合终端安全管控软件，给员工终端电脑提供一个“文件安全保管箱”，进一步加强终端电脑敏感文件数据存储保护，避免数据明文存储在本地终端电脑，防止第三方人员在本地通过直接打开阅读、肩窥、复制拷贝、拆卸硬盘的等行为而带来的数据泄露风险（见图）。

在这里插入图片描述
图安全虚拟磁盘架构图

1. 敏感文件的入盘及操作

管理平台通过下发敏感文件扫描策略，对终端电脑进行敏感文件扫描，如终端电脑存在涉及敏感数据的文件，系统会自动将敏感文件剪切到安全虚拟磁盘中进行保护，同时在被剪切的文件路径下给予提示，提示用户该文件移动至安全虚拟磁盘的位置，便于用户找到。此外，为减低敏感文件全盘扫描时对终端性能影响，终端扫描可设置智能阈值，通过判断终端CUP、内存等多个因素，自动判断是否对终端进行扫描，同时定义非工作时间进行扫描，保障用户体验同时满足安全管理。

在安全虚拟磁盘中的敏感文件，可保持与在本地磁盘位置一样的使用体验，支持正常打开、编辑操作使用。但无法通过剪切板等方式将文件复制、粘贴至本地电脑终端，确保敏感文件的安全性。同时，用户访问安全虚拟磁盘需输入密码，进一步加强了安全管控。

2. 敏感文件的流转及出盘

用户在内部文件流转时只需将文件拖拽至本地终端，在本地终端会生成一个加密的文件，接收人将加密的文件移入安全虚拟磁盘可正常打开文件进行操作。用户如需将敏感文件明文取出需经相关层级审批。选中要出盘的文件，选择文件明文外发，系统会自动触发OA审批流程，经审批后，文件方可出盘。此外，用户可选择文件生成的格式，并定义文件水印、打开次数、授权时间及打开密码，保障文件的安全性。

此外，安全虚拟磁盘对应的实体文件是加密的。当应用程序读写安全虚拟磁盘的文件时，安全虚拟磁盘的内核驱动会在安全虚拟磁盘的文件和实体文件之间自动加解密。因此，即使丢失物理硬盘也不会导致安全虚拟磁盘的数据泄露。

三、安全虚拟磁盘的创新与成效

通过建设自动化技术来代替人工检索，极大地提升了终端敏感文件的排查和处置效率，彻底根治了困扰多年的“本地终端敏感文件长期留存难处理”的老大难问题，目前安全虚拟磁盘已经在银行全行推广，成效显著。

1. 安全虚拟磁盘的技术创新

采用磁盘虚拟技术。依据虚拟化技术虚拟出磁盘，RC4算法加密独立存储，以独占形式挂载，其读写操作是受后台配置的策略控制的，主要用于终端电脑上业务数据的集中管理，非助手文件驱动无法读写。用户可根据使用习惯及自身需求自行调整安全虚拟磁盘大小，也可自主存储重要文件至安全虚拟磁盘。

不依赖环境。安全虚拟磁盘生成、挂载、读写、加解密操作不依赖操作系统，具有较强敏捷性。操作系统功能组件变更，软件运行环境改变，均不影响使用。

文件权限管控。安全虚拟磁盘中的文件常用办公软件可读写、可编辑，但禁止以另存、复制等方式明文出盘。敏感文件出盘支持赋予最小化权限，文件出盘时自动加密内部流转、部门审批明文流转、部门审批文件打印等，且有操作日志，可追踪溯源。

安全可控。数据安全可控，用户不能随意拷贝，只有经过审批后文件才能解密到本地电脑终端，一事一批，安全可靠。

滚动备份。安全虚拟磁盘内文件支持滚动备份，存储文件通过对象存储方式，独立存储在文件服务器内，避免文件丢失损坏。

统一平台、统一客户端。本方案秉承“终端安全一体化”建设理念，在现有平台进行能力扩展，无需额外搭建系统、安装客户端，节约建设成本，增强用户友好体验度。

2. 安全虚拟磁盘的成效

一是降低终端数据安全泄密风险、提升人员数据安全保护意识。基于安全虚拟磁盘的创新实践效果，有效降低了银行敏感文件存留在终端上造成的泄密风险。行员对数据安全保护意识显著提升，用户已经逐步适应敏感数据必须在安全虚拟磁盘中操作，且不能随意外发的数据安全保护制度要求，潜移默化提供了用户安全意识。

二是做到敏感文件集中管控，满足合规要求。安全虚拟磁盘的建设，极大地降低了终端电脑敏感数据泄密的风险，符合国家、上级主管单位的各项数据安全保护要求，并采用创造性的方式，很好地实现了“敏感数据不落地、敏感数据使用全生命周期保护”，该方案得到了监管部门的认可。

三是建设统一管控平台，统一管理。在当前终端安全体系的基础上充分考虑扩展性，整合多种防护技术，一个管理平台和一个客户端便可实现本次安全虚拟磁盘能力的扩展，解决计算机资源，避免重复投资，节约成本，同时用户体验更佳。

四是多元化的产品及解决方案，可扩展性强。依据现有平台，从内容识别到数据保护、安全虚拟磁盘，从行为分析到泄密预警，从网络到终端，从应用到内容，实时监控数据流动，从已知风险管控到未知威胁发现，平台整体功能性强。易于维护升级，可持续性强，通过提高安全性和效率，降低风险和成本。

四、项目推广应用及效益情况

目前，新技术的不断涌现与技术的持续交融，使金融行业面临数字时代背景发展下的数据安全风险冲击。新技术的促进数据在金融行业广泛使用并迅速发展，虽然可以打破数据孤岛、消除数据壁垒，但也带来了数据安全、隐私保护等问题。银行在原有系统的基础上建设安全虚拟磁盘，为终端电脑敏感文件保驾护航，防范未然。

安全虚拟磁盘适用于涉及客户信息数据、重要业务数据的相关业务系统访问、存储、传输等各个阶段的管控需求。在最大限度降低对工作效率的影响的前提下，对终端存留的敏感数据进行安全保护，避免因文件未采取加密技术造成泄密，或直接打开文件进行手抄、肩窥的而造成泄密的情况发生，有效地解决数据防泄密过程中存在的难点问题，增强了银行信息安全防护能力，为业务创新保驾护航，也为敏感数据全生命周期保护等领域的探索提供了具有借鉴意义的实践经验，以数据安全创新实践赋能业务创新发展。符合各级监管单位数据安全保护要求，确保数据合规化使用和保护。提高对终端敏感数据发现能力，实现敏感数据可视化，并以此加强终端人员培训，减少敏感文件在办公终端明文存储的行为发生。减少终端上明文存储的敏感文件，防止数据泄密的事件发生。

该方案解决了本地终端敏感文件的在使用、流程过程中泄密的风险，满足了监管单位针对内部信息系统数据不落地的安全规范要求。

本方案结合前期银行针对终端数据安全建设，能够形成体系化的数据安全体系，从事前、事中、事后全方位的包含了终端安全一体化解决方案。事前实现准入控制，事中实现终端安全及终端运维管理，事后实现终端数据安全，对终端数据实现内部使用加密、外发可追溯审计达到防泄密的要求。落实了银行安全融于业务、安全与便捷保持平衡、统一的管理理念：安全不应牺牲效率为代价，安全应该是促进业务发展的帮手。本系统一个客户端、一个后台既提升了管理员的运维效率也减少了终端用户的使用学习成本同时还对终端性能、稳定性起到保障作用。

总结

如今，随着信息网络建设和应用的不断深入，持续加强信息安全，防止数据泄密已经迫在眉睫。银行在网络准入、桌面管理、数据防泄露等终端安全措施的基础上，建设了安全虚拟磁盘，有效降低了终端数据泄密风险，并提升了员工的数据安全保护意识。满足了国家和监管单位的数据安全保护要求，实现了敏感数据的全生命周期保护。通过建设一体化的终端安全管理平台，降低了成本，同时提供了多元化的产品和解决方案，增强了数据安全防护能力。以数据安全创新实践赋能业务发展。