设为首页 - 加入收藏 常州站长网 (https://www.0519zz.com)- 大型站长资讯类网站!
热搜: 模式 工信部 浅谈 2008
当前位置: 首页 > 云计算 > 正文

云存储架构中企业级数据流转平台技术措施

发布时间:2022-08-04 15:00 所属栏目:[云计算] 来源:互联网
导读:如何保障数据实现企业内集中云存储,且实现便携交换传输的同时又能防止因数据外泄而引发安全事件,同时做到内控追溯审计并达到外部监管要求,是当前企业在数据云存储建设方面面临的一个重要课题。 一、当前背景 随着银行业金融创新的快速发展和信息科技的日
  如何保障数据实现企业内集中云存储,且实现便携交换传输的同时又能防止因数据外泄而引发安全事件,同时做到内控追溯审计并达到外部监管要求,是当前企业在数据云存储建设方面面临的一个重要课题。
 
  一、当前背景
  随着银行业金融创新的快速发展和信息科技的日新月异,银行积累的数据量呈现几何倍数的增长,除了日益增长的办公数据外,还包括大量的客户信息和交易数据。私密信息的外泄可能会引发法律诉讼、安全事件、负面新闻等多方面不利影响。在金融行业,中国人民银行已于2020年发布了《个人金融信息保护技术规范》,该规范对个人金融、个人隐私等重要信息数据的保护方面提出了明确的管理要求。
 
  二、业务现状
  企业现有文件交换方式需要采用U盘、FTP方式,虽然能够解决临时性数据交互和数据存储问题,但在安全上、管理上存在一定的局限性,主要体现为:
 
  无法对存储的交互文件进行敏感信息检测与匹配。
  采用ftp方式进行拷贝流转,交互效率不高,且缺乏必要的审核。
  U盘存储无法对文件携带病毒等情况及时感知,容易携带病毒木马。
  当前的方式不适用于大网络、终端分散环境下的数据存储需求管理,需要在每一个部门、网点部署此类设备才能满足行内办公过程中文件存储需求。
  无法实现部门内部文件共享、员工回家办公等相关应用场景。
  三、设计要求
  基于企业业务现状,在建立行内数据存储平台的意义在于在现有安全管理的基础上,需进一步完善企业内网安全建设与数据安全治理,既保证行内业务网、互联网和开发测试网终端及数据安全,又最大程度为终端用户提供便捷使用网络与终端办公。
 
 
  为最大化的促进企业对于文件存储的需求,为员工提拱一套高效、安全、可控、唯一的文件存储平台,将企业IT网络打造成为一个可信网络,对企业内部人员在生产网与非生产网的数据实现“可管、可控、可审”的目标,同时,建设可信的数据云存储平台还需要考虑平台自身的安全性和集成度,因此对平台需要具备如下能力:
 
  数据存储平台系统满足上级监管单位的网络隔离要求。
  提供高效、便捷的网间数据存储平台。
  具备敏感信息检测、防护、审批、阻断机制,并能够与OA系统实现审批流的对接,建立并完善银行系统文件外出的审批机制。
  在文件入网前实现精准查杀,有效缓解病毒木马传播。
  系统、完善的文件交互审计信息,能够做到事后可追溯、可审计。
  对存放数据安全加密。
 
 
    图2 :部署示意图
 
  (1) 数据云存储业务控制
 
  数据存储业务安全控制,具体包括三个方面:
 
  一是业务操作的控制,即每次数据摆渡的操作须经过审核控制;
  二是业务内容的控制,在审核控制的同时应采取信息技术实现对交换数据的格式和内容的控制(配合用户定义的安全策略),同时交换过程应避免由于交换内容引入恶意代码,从而导致银行内部网络的机密性、完整性、可用性受影响,例如在交换过程被恶意人员利用导致将病毒传入内部敏感网络区域;
  三是业务主体要素控制,可信的数据摆渡必须保证数据摆渡的操作主体的相关要素是可控的,包括操作人、操作设备、操作位置等,必须满足操作主体要素是可信任且处于平台管控范围之内。
  (2) 数据云存储业务审计
 
  除了对数据存储的事中控制外,每次存储的过程均应保留相关记录以满足内外部审计要求,交换业务操作记录应当足够完整以便于审计的需要,包括由谁发起,为何发起,何时发起,何处发起,交换的内容等等。同时,由于审计记录包括了数据存储的内容,因此,还必须保障审计信息的完整性和机密性,以免由于审计信息的外泄导致更大批量的敏感信息外泄。
 
  (3) 数据云存储业务管理
 
  由于业务需要,各部门往往存在很多业务数据存储的需求,在实现安全控制与审计的同时,必须提供相应手段,以方便业务部门人员在保障安全性的同时可以方便快捷的开展数据存储业务操作,包括信息化技术实现数据存储的自动化流程,数据存储操作支持、用户权限管理、交换区域管理等等、并对用户进行数据存储业务提供必要和灵活的资源保证(如存储空间、网络流量保障、系统可靠性等),尽量无需用户干涉,方便用户快捷的执行数据存储业务操作,从而在安全性和易用性之间的获得平衡。
 
  (4) 平台本身安全性
 
  由于数据云存储的业务特点,行内数据存储平台必然需要通过某种方式连接不同等级的安全区域,因此平台必须提供足够的技术保障,以确保本身不能被作为一个攻击业务敏感区域的网络攻击渗透节点。理想目标是,即使平台被恶意人员攻破,也无法获取到交换过程中的敏感数据,同时,也无法利用平台渗透到高等级安全区域。

【免责声明】本站内容转载自互联网,其相关言论仅代表作者个人观点绝非权威,不代表本站立场。如您发现内容存在版权问题,请提交相关链接至邮箱:cgcctv@126.com,我们将及时予以处理。

网友评论
推荐文章
热点阅读