一、项目概述

本次项目方案为江苏如皋农村商业银行（下文简称“如皋农商行”）大数据智能分析防泄密项目方案，该项目设计实施方案主要围绕如皋农商行项目需求，为实施防泄漏网关产品、邮件数据防泄漏等而进行的任务划分。

通过部署大数据智能分析防泄密解决方案产品，可为行内网络边界数据流量带来全面内容安全防护，并满足行内对于数据安全管理制度的要求。

1.1 项目背景

如皋农商行对信息安全非常重视，并通过长期的建设在公司内建立了一套行之有效的信息安全管理体系，部署了一些相应的IT工具。但是，目前对于业务敏感数据的创建，流转，存储等数据生命周期的关键点，缺乏全面认识，仅通过较简单的技术手段来监控敏感资料的流转过程，无法准确地定义和查找相关的数据泄漏安全事件，缺乏有效的技术手段跟踪核心敏感数据，尤其是客户信息等银行经营资料的泄漏过程，不能分析、预警客户数据有意和无意的流失现象，更无法拦截资料的泄漏。改善如皋农商行敏感内容的审计能力，提高员工的安全意识，增强网络信息安全防护能力，部署能满足要求的数据安全防护产品已迫在眉睫。

二、方案架构和实现功能

2.1 方案架构

在互联网出口部署网络DLP防泄漏产品，深度审计通过网络通道、邮件通道进行外发外传的数据内容。按照如皋农商行集中定义的数据安全类型与敏感数据安全策略，对于违反合规与管理要求的数据产生事件与告警，记录完整的泄漏路径，包括来源目标、通道、内容、敏感数据、原始事件与证据。

部署流程示意如下：

方案说明如下：

本方案 UCSS 800部署客户自备虚拟环境中，环境要求，

1  UCSS 800 系统需要资源 （8核CPU、32G内存、500G（后续需要再挂载）硬盘空间）；

2  DSG 5100系统为软硬件一体机，部署在互联网出口交换机处，旁路监控模式工作；

同步组织架构，或者自定义组织架构；

UCSS 800系统做统一日志收集，策略下发，报表展现，大屏展示；

邮件/网络流量涉及图片流量传送到设备自身OCR服务器解析；

敏感邮件通过DSG系统审计邮件内容；

据相关报表的检查条件(可依据所定策略内容、IP 地址、主机名等方式 进行检查)，可列出被监控部门相关人员每天、每月、每半年的综合统计数据，依据此类数据，安全管理部门可进行相关统计分析及通报；

2.2 实现功能

在互联网出口处，部署网络DLP检测设备，其工作模式为旁路方式，审计进出互联网的网络流量。

通过网络DLP检测设备，检测审计外发的邮件的内容及附件。

三、创新点

1、 依据业界权威的数据安全治理体系DSG结合了数据安全服务和技术产品，无缝衔接，快速落地；

2、 大数据智能分析防泄密平台内部防护解决方案ITP，充分吸收了独立的数据安全 UEBA 产品、基于端点的员工监控和 DCAP技术的优势，避免了其技术的缺点。

3、 基于人工智能得出的风险值可以和大数据安全策略相结合，让数据安全策略变得更精准。

4、 后续扩展集合行为分析等技术，继续完善相关方案，随着企业的安全要求的不断提升，继续提高方案的有效性。

5、 同时结合了网络、邮件和数据存储，基本涵盖了企业的所有数据资产和常见的流转通道；

后续扩展集合行为分析等技术，继续完善相关方案，随着银行的安全要求的不断提升，继续提高方案的有效性。

四、技术实现特点

针对如皋农商行的需求，大数据智能分析防泄密平台提出了服务+技术的整体解决方案，以内容识别技术为核心，以数据治理服务辅助，实现技术方案的可靠落地。

服务上，通过专业的数据治理对于如皋农商行内部的数据资产进行梳理，进行分类、分级的定义，同时对于数据的使用者、生成者和保管者进行调研和定义，明确数据资产的日常使用流转途径和管理规范，为技术产品的落地和数据保护策略的制定奠定基础；

技术落地主要使用了大数据智能分析防泄密平台UCSS系列产品，以内容识别技术为核心，提供关键字、正则、脚本、指纹、图像识别、数据分类分级、数据标签等内容识别和定义手段，对接数据治理服务的成果，对于企业内的数据资产进行定义和识别；

数据保护技术落地，整体上分为四个部分，面向三类数据提供保护（使用的数据、流转的数据和静止的数据）：

1、邮件，对企业邮件外发的内容进行审计和管理。（流转的数据）

2、互联网，对于网络外发的数据内容进行检测和管理，包括明文和加密流量。（流转的数据）

3、数据存储，对终端和数据存储进行数据发现扫描，形成数据分布视图，检测其中不合规的数据存储。（静止的数据）

通过以上服务和技术的实现，可以大限度保护企业的重要数据资产。实时检测内部员工发送的内容中是否包含企敏感内容，形成详细的记录信息，便于事后回溯追查。

五、项目过程管理及运营情况

根据如皋农商行的实际项目时间节点要求，对项目的实施进度进行了初步的设计，制定如下实施计划，该实施计划仅供参考，具体实施方案与计划将根据项目启动会的要求及其他相关环节要素变化在项目实施前具体进行制定。

该项目实施初步将分为前期准备、系统安装、正式实施以及项目验收四个阶段里程碑。

备注：上述实施计划提供参考，以项目时间为准

在此次项目建设中，不仅提供了技术方案的落地手段，同时通过服务的方式提供了数据保护的基础，通过服务的方式对于数据资产进行了定义和梳理。

在技术方案层面，涉及的技术落地场景主要为标准业务和办公场景，能够快速的与当前的办公、业务流程进行整合，能够实现高效率、低影响、效果快的数据保护应用，为如皋农商行的数据保护提供了重要的技术手段。

此项目作为一个数据安全保护标准案例，所面临的项目挑战、企业需求是大多数公司都会面临的；所采用的技术方案和服务方案也是非常成熟的技术，有很好的移植性。

在此次项目中，所有采用的技术方案均为模块化方案，有类似需求的企业可以按照自身的需求对于所使用的模块进行选择性的部署。

在数据安全日益重要的今天，数据资产安全成为了每一个企业都无法绕开的重要话题，如皋农商行的案例可以成为银行数据安全领域，以及有类似需求金融企业的重要参考。

六、经验总结

如皋农商行作为一家拥有大量用户的农村商业银行，其内部存储了大量的公民隐私数据，同时大量的研发代码和公司运营数据均属于公司的核心数据资产。

在此次项目中，通过数据治理服务，对于内部的数据资产进行了梳理，对于各部门所掌握和使用的数据资产进行了记录和整理，为后续的技术方案落地提供了基础；技术方案落地以后，全面覆盖了公司的邮件通道、互联网访问通道、文件服务器、关键数据库以及关键网络数据通道。邮件DLP能够对企业内部用户使用公司的邮件系统发送的泄密邮件进行敏感内容审计；互联网DLP通过web旁路方式实现，可以监控员工通过互联网产生的敏感信息泄漏行为；发现DLP则对网内的数据存储进行合规性检测。

综合技术方案和服务方案，对于如皋农商行的数据资产保护提供了强有力的支持，对于内部的数据资产进行了梳理和定义，实现了管理上的保护；同时通过技术方案将管理手段通过技术方案进行落地，从技术上保证管理手段的实现。