- 快捷搜索
- 全站搜索
首先,需建立全行两级集中的文档库系统,将文档的定级、存储、授权、访问、搜索、共享、下载DSM加密等功能统一在此系统实现。各应用系统不再直接向用户输出报表等文档。而是将文档及其相关的元数据、安全访问控制策略输出到文档库后,由用户登录到文档库系统或通过门户视图进行访问。当用户需要分发共享自己创建的文档时,提倡将文档上传到文档库中进行完用户访问范围和权限设置,再供其他用户访问。
其次,各部门文档管理员等有权用户可以登录到文档库系统中,集中或分散地修改补充文档的权限和元数据属性。文档库中的内容不需要以加密文件的方式存在,银行内部各级用户可以在自己的权限范围内,方便地明文搜索查询文档库中各种文档的名称和内容信息。只有在用户对重要文档进行下载访问时,才进行加密授权处理。
最后,邮件系统、项目审批、办公管理等工作流系统和各种门户视图需要交换和展示文档时,提倡直接引用文档库中文档的链接。这样,可以大幅减少重要信息文档在终端本地、各种工作流系统中的冗余存储,解决分散存储时文档版本一致性保持困难的问题。
5.文档信息的回收审计
(1)文档权限清理回收。随着各种文档信息的不断授权分发,一些文档的权限分发授予范围较大,需要定期回收。一些部门、人员调整后,相关的文档权限也需要进行修改调整。为此,需要建设相关的安全管理系统,支持各部门文档管理员定期对本部门管理的DRM加密文档进行权限清理和回收,以提高文档安全防护水平,减少文档管理总数,节约管理成本。
(2)文档授权访问风险审计。银行各级管理部门,以及本部门的文档管理员,需要根据文档的级别、授权情况、用户访问情况,对其解密授权等操作的各种风险进行分类统计分析,以便对各种重要文档信息授权使用情况进行事中告警和事后审计。例如:审计近3个月内各部门或个人的DRM文档外发、打印等情况,确认文档使用管理方面是否合规。
6.文档信息的安全存储
文档信息存储阶段的安全,包括笔记本电脑、U盘等移动存储设备,以及数据库服务器本地硬盘和集中存储设备等的安全。本文主要讨论前者。具体解决方法包括:增加终端的硬盘口令,或利用新型终端内置的BITLOCK进行全盘加密,防止硬盘丢失风险。实施内部注册U盘管理机制,限制内部文档信息交换只在注册U盘的加密区中存储,保证U盘等移动设备丢失后,文档信息不被窃取。终端上存储的、用于支持离线访问加密文档的密钥,也需要加密保存且防护攻击破解,或者需要个人USBKey个人硬件证书认证,以提高安全性。
三、五方面优势
综上所述,文档信息全生命周期管理方法主要存在以下优势:
一是体现了信息安全分级管理的思想。集中银行信息安全管理组织、技术资源,对少数重要的文档信息进行分等级、差异化防护管理。
二是体现了信息安全综合化系统化管理思想。在信息产生的源头进行自动加密和非结构文档标准化格式化管理(建立系统元数据属性),在过程中做好各部门积极参与定级授权管理,在外发之前做好检查登记审批管理,严格控制高等级文档的解密还原权限。
三是体现了安全控制和方便操作相结合的思想。对于低等级文档,允许有权用户进行网状授权,以及离线本机登记后即可外发。对于高等级文档,实施解密外发权限的分部门集中统一管理。并提供各种方便的查询统计、权限清理工、扫描检查、审计控制功能。
四是体现了各种信息泄露检查控制策略的统一。通过简化各种信息泄露渠道的检查控制方法,降低自动检查阻断准确性不高对用户的干扰,提升用户体验的质量。
五是体现了“云计算”的思想,实现文档在文档库系统内高效搜索共享、统一版本管理,减少文档在终端和其他系统中的冗余存储和向系统外不安全流转的需求,严格集中地进行高风险的下载、打印、解密等操作,从而提高了文档安全控制管理的效率和效益。
(文章来源:《金融电子化》杂志)
在银行业信息化新阶段,信息技术风险也自然成为金融机构操作风险的重要方面
华融湘江银行致力于服务地方经济、中小企业、广大客户,全力打造成为客户信