浦发银行信用卡中心信息泄露防护实践

陌生的金融领域

由于上海浦东发展银行 (SPDB) 信用卡中心早在十年前就与花旗银行建立了合作关系,因此,它已进入了这一陌生领域,即:将首张联合品牌的多币种信用卡引入到世界人口最多的国家。分析人士预测,到 2013 年,中国信用卡市场的价值将增至 16 亿美元,这对早期进入信用卡市场的银行来说是个好机会。SPDB 信用卡中心 2004 年就推出了首张信用卡,已为大幅抢占这块大蛋糕做好了充分准备。

业务扩大,风险倍增

但随着业务的快速发展,该公司数据受损的风险也在不断地增加。自推出首张信用卡以来,该中心为满足业务需求而扩大了业务规模,现在员工人数已增至 1,300 人。管理层意识到,虽然保护客户的敏感数据是当务之急,但最大程度降低数据泄露风险并非易事。该中心需要一款解决方案来检测出站网络通信中的机密数据,识别数据安全违规事件以及量化数据泄露风险。

上海浦东发展银行信用卡中心需要一款可以防止数据泄露的解决方案,以便控制其不断激增的数据泄露事件。为了保护其网络上的所有通信(如电子邮件、即时消息、Web 和 P2P),消除每周 20,000 起数据泄露事件以及提高员工的安全意识,该中心选择了 Symantec Data Loss Prevention Network Monitor 和 Enforce Platform。

每周可杜绝 20,000 起数据泄露事件

为了防止该中心违反国际支付卡行业数据安全标准PCI-DSS和Sarbanes-Oxley 法案,该中心 IT 团队决定部署 Symantec Data Loss Prevention,以查找、监控、保护和管理其机密数据。实施了该解决方案后,该公司就可以识别大量数据泄露风险了。信用卡中心的系统运营部经理李虎说:“刚开始时,我们每周会遇到 20 起通过电子邮件泄露敏感数据的事件,而每起事件都会涉及近 1,000 条客户信息。”能够检测违规事件的效果是很明显的。李先生说:“安装了 Symantec Data Loss Prevention 的一个月内,数据泄露事件从20,000 起减少到 304 起。现在,该数字已减少为 0。”

查明数据泄露的根源

通过 Symantec Data Loss Prevention Network Monitor,该团队可以监控通过各种协议(电子邮件、Web、即时消息和Ftp)共享的数据,这样,该中心就能够全面了解企业机密信息泄露的情况和泄露数据的员工了。现在,只要一检测到违规电子邮件,Symantec Data Loss Prevention 就会识别出该通信,并发出警报。Symantec Data Loss Prevention EnforcePlatform 则会自动生成通知。李先生解释道:“Enforce Platform 会将警告电子邮件发送给发件人和发件人的经理。”然后,Enforce Platform 会将事件信息收集到日报告中。该报告包含发送给员工的事件处理消息、发送给经理的通知和原始违规电子邮件。该系统还可以帮助该中心找出漏洞以及让员工学习漏洞规避措施。

改变员工的行为

既然该数据中心通过 Symantec Data Loss Prevention 可以主动保护敏感数据了,那么其员工就应该更灵敏地应对该问题。李先生说:“基本上来看,只要包含任意客户信息(如地址和手机号)的内容都是泄露的数据。这一点,我们已经跟员工再三强调过了,另外,我们通过 Data Loss Prevention 来增强数据泄露防护措施也发挥了作用。有时,我们的员工不会注意到这一点,但现在,我们可以看到,数据泄露事件正在大幅减少。”该公司还专门为员工进行了相应的培训,以便让他们很好地做到清理台式机屏幕,加密敏感数据,在离开办公桌时关闭或注销计算机。如果在防止数据泄露时部署更有效的工具并获得员工的支持,那么就可以恢复中断的业务操作,大幅提高信息的安全性。这是因为,如果员工的认识更全面的话,那么 Data Loss Prevention 系统要修复的安全漏洞就会更少。李先生说:“Symantec Data Loss Prevention 确实让员工学会了如何更好地保护数据。”

制定自己的规则集

Symantec Data Loss Prevention 让信用卡中心的 it 团队可以列出需要实施的规则类型。通过制定规则集,该中心可以锁定某些敏感信息,降低错误报告率,大幅提高电子邮件的扫描速度。李先生说:“通过制定自己的规则,我们

让操作流程变得更简单、更清楚了。我们最终就可以捕获包含我们不希望泄露的敏感信息的通信了,另外,扫描功能捕获的合法电子邮件量也会变得更少。现在,我们打印报告的纸用得更少了,扫描时间也缩短了。”

通过赛门铁克服务提高部署速度,实现长期防护

该团队原计划用 6 周的时间来部署 Data Loss Prevention 解决方案,在赛门铁克咨询服务的帮助下,提前 2 周就完成了部署任务。李先生说:“由于赛门铁克咨询团队与我们的工程师进行了密切的合作,因此 Symantec Data Loss Prevention 的部署时间比预计的时间缩短了近 2 周。”由于防止数据泄露是关系到中心信誉的首要问题,因此该团队决定购买赛门铁克标准支持服务,以便能够全天候获得赛门铁克技术专家的协助。

安全就是竞争优势

随着中国银行业竞争的加剧,上海浦东发展银行信用卡中心团队意识到,增强客户安全可以为他们带来竞争优势。李先生说:“我们让员工增强了信息安全意识,

并且做到让客户放心,他们的数据放在我们这里是安全的。”为了优化 Symantec Data Loss Prevention环境,现在,该团队已开始向该环境添加其他功能了,并且他们还希望在下一季度激活 Network Prevent 新模块,以便让该环境可以自动阻止违反中心数据安全协议的网络通信。李先生最后这样说道:“我们期待着与赛门铁克一起来提高我们的数据安全性。”