现在关于信息安全的法规越趋完善，除了《网络安全法》《数据安全法》等，银监会也相继发布《商业银行信息科技风险管理指引》、《个人金融信息保护技术规范》、《网上银行系统信息安全通用规范》等，对银行内终端日志管理、移动介质管理、访问控制、数据传输及存储加密、资产管理、桌面合规管理等方面提出了明确要求。

除了相关部门的监管加严，银行客户信息泄露事件、金融机构客户数据信息被售卖等都会引起舆论和银行用户的高度关注，也会加剧用户对其信息安全的担忧甚至对其失去信任。

完善终端安全管理，IP-guard助力银行保护数据安全

当下银行依托大数据、人工智能、云计算等新技术开展的金融业务越来越多，各业务领域积累了大量各种类型的客户数据、交易数据，这些数据资产的保护都需要银行重点保护。然而银行从业人员众多，分散于各个生产网和办公网的终端应用很容易成为数据泄露的切入点。

针对终端的泄密隐患，现在不少银行企业就选择IP-guard完善终端安全管控。IP-guard管控方案涵盖银行生产网、办公网、VPN网、互联网等办公场景的终端安全管理，可以根据不同场景的办公需求，部署差异化的管控措施，以实现灵活全面的数据保护。

客户案例：某商业银行的终端安全管理

现在一起来看看某银行客户是如何应用IP-guard完善终端安全管理，该商业银行在全国有一百多家分支机构，员工数量庞大，可以为客户提供线上线下不间断的服务，随着业务规模的不断壮大，其对终端安全管理的要求也更高。

该商业银行的终端管控现状：

1、任意电脑可通过VPN直连内网，无法管控终端用户行为及进行操作的审计。

2、终端连入数据库提取的客户信息以明文的形式存储在本地，可随时通过拍照、打印、外接设备或非法外联等形式外传数据，存在着泄密风险且难以定位泄密者。

3、员工随意浏览与工作无关的网站，降低工作效率，存在感染病毒、木马的风险。

4、员工随意安装、运行及卸载软件、高危补丁未能及时发现及修复等都可能导致终端异常，增加运维工作量。

IP-guard终端安全管理解决方案

1、VPN终端安全加固

• VPN接入前进行安全基线检查，终端需安装IP-guard客户端以及杀毒软件，通过检查后方可连接。

• VPN接入时，特定地址下载的文档保存到员工本地电脑时会自动进行加密文档，本地可正常打开；断开时不再启用加密策略，加密的文档无法查看。

• VPN接入时，对外接设备、网络应用等流通渠道进行严格管控并在电脑屏幕上显示浮水印；断开时即取消相应的控制。

• VPN接入时，对终端操作进行全面审计；断开时即取消日志审计，不记录个人操作。

2、对服务器做访问保护，下载数据自动加密

• 采用IP-guard安全网关保护重要服务器，如OA/文件共享服务器，阻止非法计算机接入获取机密文件。

• 数据库导出精准的客户数据时进行落地加密，数据一旦离开加密客户端将无法打开，外发时需要走申请流程，领导审批后方可外发。

• 划分安全区域，关键区域的机密文件在普通加密终端无法查看，进一步保护核心数据安全。

3、桌面行为尽在掌控，让每个终端变得安全可控

• 对文档的全生命周期进行详细的审计，类型包括创建、修改、复制、删除、移动等。

• 仅开放纯输入设备并禁用无关外设，如移动存储、蓝牙等等，防止重要数据通过这些渠道流通出去。

• 限制非法的网页浏览、邮件发送、IM聊天行为。提高工作效率，防止病毒侵袭。

• 采用文档水印、屏幕水印及打印水印震慑录像、拍照及打印外传行为。

4、实现高效率系统运维

• 禁止终端随意从互联网下载和安装应用程序，仅允许从软件中心下载所需的应用程序，降低终端安全风险、

• 及时发现终端高危补丁并进行修复，提高运维效率。

通过部署IP-guard的终端安全管控方案，该商业银行可以统一对总部及各分支的终端进行规范管理，也能快速掌控各终端的操作动态，IP-guard全面的终端安全管理功能，可以很好地满足银行企业数据保护以及终端合规管理的各项需求，帮助其建立行之有效且符合政策规定的数据保护系统。