民生银行邮件数据防泄露落地实践｜大湾区金融安全专刊·安全村

摘要：为了预防并有效阻止有意或无意的邮件数据泄露行为，保障企业邮件数据安全，本文介绍一套邮件数据泄露防护体系，重点实现敏感邮件信息检查、实时阻断、外发审批、身份认证平台联动等功能，既满足监管要求保障数据安全，又在稳定可用、用户体验、高效办公、安全防护等方面取得平衡。

关键词：数据泄露、邮件数据安全、敏感邮件、实时阻断、外发审批

1 背景

随着信息化建设的快速发展，银行等金融机构积累了大量的客户数据、交易数据、外部数据，逐渐被攻击者、黑灰产或竞争对手高度关注，数据泄露、窃取、滥用的事件屡见不鲜，来自内外部网络安全威胁愈发严重，保障数据安全已成为金融机构的重要工作之一。行业监管机构也同步完善法律法规对数据安全工作提出更高要求，人行发布的《个人金融信息保护技术规范（JR/T 0171-2020）》中明确要求“应部署信息防泄露监控工具，监控及报告个人金融信息的违规外发行为”。工信部发布的《电信和互联网企业网络数据安全合规性评估要点（2020年版）》中指出，“涉及存储、处理个人敏感信息和重要数据平台系统配备数据防泄露能力，优先从网络侧和终端侧等进行部署，逐步扩大能力覆盖范围。具备对网络、邮件、FTP、USB等多种数据导入导出渠道进行实时监控的能力，及时对异常数据操作行为进行预警拦截，防范数据泄露风险”。其中，邮件作为企业与外部信息交互的载体，是全球信息网络重点关注领域，在安全防护和敏感数据管控的方面尤为重要。各大机构亟需一套保护“邮件数据资产”的解决方案，不仅能够满足法律法规的需要，而且在稳定可用、用户体验、安全防护等方面取得平衡。基于此，本文介绍民生银行邮件数据泄露防护体系落地的实践经验。

2 配套管理

数据安全保护是一项管理和技术相结合的工作，对于邮件数据防泄漏技术落地实施而言，建立完善的制度和流程是保证各个节点协作运行的关键。民生银行依据国家法律法规和监管规范标准的安全要求，结合自身和国内外先进的邮件安全管理机制建设经验，制定内部配套的管理制度、组织架构、标准规范等管理体系，规范邮件办公安全管理。

一是建立邮件安全管理组织架构。构建覆盖董事会、高管层、邮件办公安全主管部门、邮件安全执行团队等组织架构，明确相应层级的职责分工。

二是完善邮件安全信息安全管理制度体系。制定《中国民生银行数据分类分级管理办法》、《中国民生银行邮件安全管理规范》、《中国民生银行邮件使用管理办法（试行）、《中国民生银行信息安全事件处置实施细则》等管理制度。

三是规范邮件办公安全管理。规范邮件账号管理、权限变更、外发审批、垃圾病毒邮件处置等流程，制定电子邮件安全配置要求，优化邮件敏感信息监控规则，组织员工邮件安全意识宣贯，开展邮件数据泄露安全演练，提升员工信息安全意识。

四是参考同业相关经验，并结合我行的实际工作情况，遵循“从严管控”和“便利工作”相结合的原则，推动以分级管控为核心，事前阻断、事中审批与事后审计相结合的邮件外发管理机制。

3 项目建设

3.1建设方案

建设满足我行数据安全管控要求的邮件数据泄露防护体系，从软硬件适配能力、敏感数据处理能力、风险时效性、溯源全面性、系统稳定性、可扩展性及与其他安全设备联动对接兼容性等方面考虑，实现敏感邮件信息检查、实时阻断、外发人工审批、身份认证平台联动等，提升邮件渠道的数据防泄漏安全管控能力。

3.1.1部署架构

在部署模式上，鉴于邮件防泄漏网关处理所有企业外发邮件，存储有大量企业敏感相关邮件的日志数据，因为审批管理需要，需要开通内网用户与数据防泄漏管理平台的通讯，不能将邮件防泄漏模块放置于DMZ，本项目选择将邮件反垃圾网关部署在DMZ，防护内部恶意SMTP连接请求导致的信息窃取。将邮件防泄漏网关部署在内网。部署架构上是邮件服务器下一跳指向邮件防泄漏网关，邮件防泄漏网关下一跳指向反垃圾网关。反垃圾网关可以采用原有IP切换或添加新的A记录和MX记录，利用DNS记录更新实现反垃圾网关不停服入网上线服务。

图1 邮件数据防泄露落地部署架构

3.1.2功能模块

数据防泄漏功能模块优化并保护整个数据链中的出站邮件的高级威胁和数据窃取，对邮件通道中敏感数据进行识别、监控、隔离和审批，尝试采用先进的自然语言处理、指纹扫描、智能学习、图像识别、数据聚类等技术，对我行邮件内容和附件进行深层次分析和保护，防止核心数据通过邮件方式流出泄密，同时支持外发邮件的加密、审批、多级审批等多层防护机制，以满足不同用户需求。

1. 支持邮件审批负责制，实现敏感邮件数据实时安全监控，审批人可查看自己待审批、已审批队列及审批历史。同时，用户可根据邮件内容的敏感程度来定义是否启用多级审批机制及撤销审批等。
2. 支持实时同步人力组织架构，实现全体员工的邮件外发事前审批机制。同时，支持实时获取员工分类分级的直属审批人，实现邮件外发精细化分级审批，达到邮件数据泄露安全工作“从严管控”和“便利工作”的平衡。
3. 支持委托审批设置，审批人可在审批邮件中委托他人代为审批，委托成功后，系统自动生成该条委托审批的流水号，并进行记录。委托人和被委托人都可取消委托审批操作。
4. 支持响应白名单，对白名单用户的邮件进行内容检查并生成安全事件，不执行隔离、审批和拦截等操作。可在事件管理中通过“白名单事件”字段进行快速统计白名单用户的安全事件。

支持通过syslog日志及API接口模式，与身份认证平台、大数据安全分析平台、安全编排自动化响应平台及其他安全设备联动，实现以邮件数据泄露安全分析+智能响应处置为组合邮件数据泄露防御体系，及时将邮件泄露安全风险事件上报监管机构，有效提升数据安全防护能力。

3.2关键技术

邮件数据防泄露落地关键技术主要涉及在四个环节，分别是邮件识别技术、检测条件、事件信息和处置动作。

3.2.1邮件审批流

根据不同数据安全级别采用不同算法和策略，应用多种响应规则，实现基于我行组织架构的邮件审批流程，任何行内用户发送邮件外出时，如果存在违规敏感信息，该邮件会被邮件防泄漏网关进行暂时性隔离，并发送审批邮件给该用户上级领导或具备审核资格的相关人员审批，经过审批通过后的邮件才能正常发送，如果审批不通过，则这封邮件将被退回给发件人，同时保留敏感信息审计和证据记录。

3.2.2外发邮件加密

支持对外发包含敏感信息的邮件进行加密的技术，防止误发或蓄意隐藏/混淆收件人发送的泄密事件，减少因为该场景导致的数据泄露。

3.2.3数字指纹技术

无论结构化格式数据，如客户或员工数据库记录，还是非结构化数据，如Office或PDF文档，邮件防泄漏网关通过对其进行扫描和提取，并配置为定期自动更新，实现指纹数据永远和机密数据同步，让信息泄露者无法使用数据变形进行绕过泄密。

3.2.4图像识别（OCR）

DLP安全策略分析引擎对可以图片、打印文件等提取文字并执行安全策略检查，通过在邮件安全网关中内置DLP安全策略分析引擎，实现对邮件正文和附件中的图片、打印文件、扫描文件、票据表单等文字敏感信息识别和检测。

3.2.5数字标识符检测技术

采用数字标识符检验算法对数字串进行校验，如对身份证号、银行卡号最后一位进行校验，以提高敏感信息检测的准确度。

3.2.6点滴累计检测技术

支持利用点滴累计检测技术监控敏感数据缓慢外泄行为。点滴累计技术是通过设置累计违规计数时间范围，在设定周期内累计达到阀值触发相应的检测条件，小于阀值将不触发规则。时间范围是递进的，非固定时间范围。

3.2.7暗水印溯源技术

暗水印溯源技术是对邮件内附件进行暗水印标记，暗标记对发件人、收件人不可见，管理人员通过对标记文件进行溯源，识别出此文件是什么时间被什么人通过邮件方式外发至外部什么人。

3.2.8防篡改技术

采用高效文件类型识别技术，实现对修改扩展名、压缩、反复压缩、嵌套、加密的异常操作识别，并实现对文件真实类型及篡改路径还原，如可识别通过反复压缩嵌套邮件附件来企图绕过检测的行为。同时支持对于ZIP、RAR压缩文件分片传输识别及碎片式窃密行为。

3.3难点与创新点

3.3.1落地难点

1）精细化在线审批管理难

传统邮件数据防泄漏控制手段是事后审计或集中审批，事后审计滞后风险高，集中审批由于审批人员少，业务了解少，沟通成本高，导致审批效率低，难以满足高效办公需求，同时审批权限集中，容易造成串通作案，导致信息人为外泄。采用精细化在线审批机制，实行多级领导审批负责制，又存在企业组织架构不标准、组织层级不明晰、组织架构更新频繁等问题，使得实现精细化的分级审批机制面临重大挑战，同时兼顾移动端审批的安全和风险也使得精细化在线审批管理成为难题。

2）敏感信息智能检测难

由于邮件可传递的信息类型多种多样，如文本、图片、视频、压缩包、未知文件等，使用传统的基于关键词或正则的识别方法检测其中包含的敏感信息显得愈加困难。随着人工智能的兴起，基于机器学习的识别方法逐渐被应用到敏感内容识别领域，由于缺乏大量敏感数据样本，且样本不均衡，使得智能算法模型存在过拟合或欠拟合情况，使得敏感信息检测的准确性和全面性遇到挑战。

3）邮件业务验证及迁移难

邮件安全网关设备在链路上的部署模式是串联的，而非旁路模式。对邮件安全网关的任何变更操作，都会对办公邮件收发产生重要影响，要实现用户无感知批量邮件业务验证、性能测试、数据迁移及上线切换工作，是所有邮件网关项目负责人不得不考虑的一大难题。

4）多安全设备联动难

邮件数据防泄漏网关是一个独立的安全产品，通常难以与第三方非标准系统对接。对于发现的安全数据泄露事件，很难与其他安全设备共享和联动处置，是本项目落地的难题，也是解决各个安全产品信息孤岛的关键。

3.3.2项目创新点

1）高可用架构，动态冗余处理

采用集中部署方式，来应对各种复杂检测技术的性能消耗，如指纹识别、机器学习，图形识别等。同时，采用网络层负载均衡、主机层集群管理、数据库层主机备份模式实现高可用架构和动态冗余异常处理机制，保证故障及升级维护期间持续服务能力，顺利完成了批量邮件业务验证、性能测试、数据迁移及全栈流量切换，实现我行邮件安全管控在稳定可用、用户体验、安全防护等方面平衡。

2）多设备联动，智能化运营

传统邮件安全网关设备是专为邮件业务服务的孤立安全产品，无法根据企业组织架构和防御体系要求，实现满足企业精细化邮件外发审批和智能化安全防护需求。通过对邮件防泄漏网关功能定制开发和接口改造，实现与我行身份认证、大数据安全分析平台、安全编排自动化响应平台等安全设备联动，解决邮件敏感信息智能检测难、精细化的在线审批管理难、事后审计滞后风险高等问题，健全“邮件-终端-网络”协同联动的邮件数据泄露防护体系。

4 实施效果

该体系上线运行以来，支撑我行及附属机构等7万多用户的日常邮件办公，实现日均4.5万余封邮件秒级安全检测和联动处置，实现组织级细化审批流程，避免了发生重要邮件信息泄密安全事件，降低因数据泄露而出现的安全风险，节省企业内审合规开销，补齐数据安全防护体系的关键环节，提升企业整体数据安全防护能力。

5 总结展望

数据安全法律法规日趋严格，数据防泄漏技术愈发成熟，越来越多的企业将重视邮件数据防泄漏工作落实，民生银行积极探索，构建一套邮件数据泄露防护体系，既满足监管要求保障数据安全，又在稳定可用、用户体验、高效办公、安全防护等方面取得平衡，同时完善内部的组织机构、制度标准、流程规范、人员团队、管理制度框架等，为内部数据安全工作提供指引和规范。

以上是民生银行邮件数据防泄露落地实践分享，欢迎行业交流指正。

作者介绍

陈利 陈慧：民生银行网络安全运营团队负责人、业务骨干。

原文始发于微信公众号（安全村SecUN）：民生银行邮件数据防泄露落地实践｜大湾区金融安全专刊·安全村