項目背景

近年來，國內外信息安全形勢日益嚴峻，金融行業信息安全事件頻發。且行內外部監管要求越發嚴格，隨著《中華人民共和國網絡安全法》的正式發布實施以來，對信息安全保護提出了更高的要求。隨著行內業務的不斷發展，應對信息安全威脅和合規要求，保障國開行辦公網絡信息系統安全、穩定、高效運行，國開行采取了一系列安全防護手段。

基于上述情況，國開行科技局攜手聯軟建設了一套終端終端安全水印+內文文件保護+水印管理系統的綜合解決方案。在這個方案中不但考慮安全合規要求，也綜合考慮辦公便利性等需求。

解決建設方案

1. 2012年內網建設了網絡安全準入系統，規范內網終端的網絡接入，網絡準入模式使用802.1x協議。

2. 2014年開展了辦公信息安全防護系統建設項目（內網文件保護系統）的建設，在內網計算機終端分配了交換區，從而實現對內網文件流轉的集中安全管控。

3. 2016年11月，進一步全面推進全行內網用戶接入準入和內網文件保護系統，實現全行內網用戶終端辦公信息使用的安全管控。

4. 為進一步加強對行內辦公網敏感信息防泄密的安全管控，國開行信息科技局自2016年起開展了相關理論課題研究和技術論證工作，并在此基礎之上啟動2018年內網文件保護系統完善項目。在之前建設內網文件保護系統基礎之上，引入DLP（Data Loss Protection）功能及水印功能，從前端加強敏感信息的快速識別和定向預警，從后端提供敏感信息防泄漏審計和追溯手段，做到“事前有審批，事中有監控，事后有審計”。

方案價值

1. 準入項目為國開行建立了一套符合國際、國內標準的，技術先進、安全性高、兼容性強的專業化網絡安全準入系統。 并且通過該系統進行統一安全策略管理，實現對計算機終端用戶合法身份的檢查認證以及計算機終端防病毒軟件、操作系統補丁等安全有效性檢查，同時規范計算機終端對信息資源的訪問管理。確保接入國家開發銀行內網的終端，是經過授權的，是符合安全要求的，從而達到保障國開行整體網絡安全性的目的，支持國開行的快速發展。

2. 內網文件保護系統項目實現通過文件外發審批等策略使得員工能夠使用內網計算機安全可控地收發外網電子郵件。并通過引入DLP功能，實現基于數據敏感程度對不同類別用戶辦公終端敏感數據使用以及外發的掃描和監控的效果，并可輔助敏感數據外發審批流程提供定向預警和有效攔截功能，還可為用戶提供外發敏感信息的細粒度審計功能。

3. 水印項目對業務系統、屏幕、打印進行控制，增加對應的水印控制，通過直觀的水印效果對用戶形成心理威懾，提升行內用戶的數據安全意識水平，提供水印審計功能，實現對敏感信息敏感外泄行為的有效和準確追溯。并且在實施過程中基于數據敏感程度和用戶使用感受，考慮用戶意識教育和追溯效果的平衡，實現差異化的水印策略。