2024年中國金融行業(yè)網(wǎng)絡(luò)安全案例集

前言4(一)《2024年中國金融行業(yè)網(wǎng)絡(luò)安全研究報(bào)告》目錄 (四)主要發(fā)現(xiàn) (五)建議 二、金融行業(yè)網(wǎng)絡(luò)安全思考與建議is (二)云網(wǎng)邊端一體安全,構(gòu)筑金融安全底座 (六)新范式:金融行業(yè)數(shù)據(jù)安全訪問的最佳 (七)基于金融行業(yè)數(shù)字化轉(zhuǎn)型過程中移動智能下的安全思考 三、金融行業(yè)網(wǎng)絡(luò)安全優(yōu)秀項(xiàng)目案例25 ~2~ (九)信息技術(shù)應(yīng)用創(chuàng)新數(shù)據(jù)庫品牌推薦及項(xiàng)目案例 (二)數(shù)據(jù)安全項(xiàng)目案例 (四)供應(yīng)鏈安全項(xiàng)目案例 (五)零信任項(xiàng)目案例 (六)云安全項(xiàng)目案例 (九)應(yīng)用安全項(xiàng)目案例 (十四)物聯(lián)網(wǎng)安全項(xiàng)目案例 (十五)信息技術(shù)應(yīng)用創(chuàng)新數(shù)據(jù)庫項(xiàng)目案例 (一)《2024年中國金融行業(yè)網(wǎng)絡(luò)安全市場全景圖》(見附件) (二)《2024年中國金融行業(yè)網(wǎng)絡(luò)安全案例集》編委會成員: 限公司,《中國信息安全》雜志隸屬于《中國信息安全》雜志社有限公司),報(bào)告著作權(quán)歸北京賽博表格均受中國知識產(chǎn)權(quán)法律法規(guī)保護(hù)。轉(zhuǎn)載、摘編或利用其他方式使用本報(bào)告內(nèi)容的,應(yīng)向所有者雙方取得書面授權(quán),并注明"來源:數(shù)說安全、《中國信息安全》雜志"。違反上述使用的,將追究其本報(bào)告中部分文字和數(shù)據(jù)采集于公開信息;市場數(shù)據(jù)通過CSRadar與模型估算獲得;企業(yè)數(shù)據(jù)通過公開信息或訪談?wù){(diào)研獲得。數(shù)說安全對報(bào)告內(nèi)容的準(zhǔn)確性、完整性和可靠性盡最大努力的追求。由于研究方法和數(shù)據(jù)樣本具有一定局限性,故在任何情況下,本報(bào)告中的信息或所表達(dá)的觀點(diǎn)僅供客戶作為參考,不構(gòu)成任何建議。本公司不對報(bào)告的數(shù)據(jù)及分析結(jié)論承擔(dān)法隨著科技的飛速發(fā)展,金融行業(yè)與信息技術(shù)的融合日益加深,網(wǎng)絡(luò)安全已成為金融行業(yè)發(fā)展的生命線。金融行業(yè)作為國家經(jīng)濟(jì)的核心支柱,正在面臨著日益復(fù)雜嚴(yán)峻的網(wǎng)絡(luò)安全挑戰(zhàn)。因此,深入研究和探討金融行業(yè)的網(wǎng)絡(luò)安全問題,不僅關(guān)乎金融行業(yè)的穩(wěn)健運(yùn)行,更關(guān)系到國家經(jīng)濟(jì)的安全和社會正是基于這樣的背景,《中國信息安全》雜志與數(shù)說安全攜手合作,聯(lián)合調(diào)研推出本次金融行業(yè)網(wǎng)絡(luò)安全報(bào)告、案例集和全景圖等系列成果,旨在深入剖析中國金融行業(yè)網(wǎng)絡(luò)安全的現(xiàn)狀與趨勢,為行業(yè)提供權(quán)威的研究和實(shí)踐指導(dǎo),共同開展這項(xiàng)意義深遠(yuǎn)的研究。我們深知,金融行業(yè)網(wǎng)絡(luò)安全研究的復(fù)雜性與重要性,因此,我們以嚴(yán)謹(jǐn)?shù)目茖W(xué)態(tài)度,通過大量的數(shù)據(jù)收集、深入的行業(yè)調(diào)研和精準(zhǔn)的案例分析,力求呈現(xiàn)出一份全面、深入且客觀的研究報(bào)告。我們還精心編撰了《2024年中國金融行業(yè)網(wǎng)絡(luò)安全研究報(bào)告》和《2024年全案例集》,旨在剖析當(dāng)前金融行業(yè)面臨的網(wǎng)絡(luò)安全現(xiàn)狀,探討潛在的新風(fēng)險(xiǎn)和新問題,并提出切實(shí)可行的研究分析和產(chǎn)業(yè)解析。報(bào)告不僅梳理了金融行業(yè)網(wǎng)絡(luò)安全的發(fā)展歷程,還深入分析了行業(yè)內(nèi)的典型案例,其中收錄了眾多金融企業(yè)在網(wǎng)絡(luò)安全方面的創(chuàng)新實(shí)踐和成功經(jīng)驗(yàn)。我們相信,通過對研究報(bào)告的解讀和經(jīng)典案例的剖析,相關(guān)內(nèi)容將為金融行業(yè)網(wǎng)絡(luò)安全從業(yè)者提供寶貴的借鑒,為金融行業(yè)為了更直觀地展示金融行業(yè)網(wǎng)絡(luò)安全的技術(shù)全貌,我們特別制作了《2024年中國金融行業(yè)網(wǎng)絡(luò)晰的產(chǎn)業(yè)技術(shù)細(xì)分視角,有助于各方清晰了解網(wǎng)絡(luò)安全技術(shù)的發(fā)展現(xiàn)狀和未來趨勢,為技術(shù)研發(fā)和應(yīng)這一系列研究成果的推出,不僅是對金融行業(yè)網(wǎng)絡(luò)安全現(xiàn)狀的一次全面審視,更是對未來發(fā)展趨勢的深入洞察。我們希望通過這些研究,為金融行業(yè)的網(wǎng)絡(luò)安全建設(shè)提供有力的支持和指引,共同推動金融行業(yè)向更加安全、穩(wěn)健的方向發(fā)展。在本次研究過程中,我們要感謝所有參與調(diào)研的金融行業(yè)監(jiān)管部門、金融行業(yè)機(jī)構(gòu)和產(chǎn)業(yè)界專家的鼎力支持。正是他們的積極參與,才使得這項(xiàng)研究能夠如此深入和全面。同時(shí),我們也要感謝廣大內(nèi)容和服務(wù),共同守護(hù)網(wǎng)絡(luò)空間的安全與穩(wěn)定。我們深知,保障金融行業(yè)的網(wǎng)絡(luò)安全任重道遠(yuǎn),但我們堅(jiān)信,通過持續(xù)的努力和創(chuàng)新,我們一定能夠戰(zhàn)勝各種挑戰(zhàn),能夠戰(zhàn)勝各種挑戰(zhàn),為金融行業(yè)的安全穩(wěn)定發(fā)展構(gòu)筑堅(jiān)實(shí)的屏障。未來,我們將繼續(xù)關(guān)注金融行業(yè)網(wǎng)絡(luò)安全的動態(tài),不斷深化研究,為行業(yè)提供更加優(yōu)質(zhì)的服務(wù)和支持。讓我們攜手共進(jìn),為打造更加安全、可靠的金融行業(yè)網(wǎng)絡(luò)環(huán)境而努力奮斗!~5~(一)《2024年中國金融行業(yè)網(wǎng)絡(luò)安全研究報(bào)告》目錄前言4—、概述5 (二)建議 (三)重點(diǎn)關(guān)注領(lǐng)域 《2024年中國金融行業(yè)網(wǎng)絡(luò)安全市場全景圖》(見附件)~7~(二)金融行業(yè)科技發(fā)展趨勢與安全挑戰(zhàn)數(shù)字化改革深化,新技術(shù)的應(yīng)用帶來新威脅。在科技與金融深度整合的過程中,數(shù)字化徹底轉(zhuǎn)變了金融業(yè)務(wù)的運(yùn)作邏輯,網(wǎng)絡(luò)安全風(fēng)險(xiǎn)成為了跟業(yè)務(wù)風(fēng)險(xiǎn)同等重要的議題。l數(shù)據(jù)要素流加速,數(shù)據(jù)安全問題迫在眉睫。l金融行業(yè)供應(yīng)鏈安全風(fēng)險(xiǎn)不斷擴(kuò)大。隨著業(yè)務(wù)互聯(lián)性加深,金融機(jī)構(gòu)不得不依賴日益復(fù)雜的軟件供應(yīng)鏈來支持其核心業(yè)務(wù)。這一發(fā)展趨勢在為金融領(lǐng)域帶來巨大的便利性和效率提升的同時(shí),也伴隨著軟件供應(yīng)鏈安全風(fēng)險(xiǎn)的不斷擴(kuò)大,成為了業(yè)界的焦點(diǎn)和挑戰(zhàn)。l金融信息系統(tǒng)規(guī)模不斷擴(kuò)大,迭代頻率持續(xù)提升,對應(yīng)的是金融業(yè)務(wù)需求的不斷增長和對服務(wù)質(zhì)量的更高要求。但與此同時(shí),開發(fā)安全的問題也日益重要凸顯,成為了行業(yè)發(fā)展的一大l相關(guān)法律法規(guī)不斷完善,合規(guī)成本和監(jiān)管政策要求挑戰(zhàn)逐漸增加。:n,ssssssstanase4網(wǎng)絡(luò)和信息安全管理辦法》;和信息安全三年提升計(jì)劃(20232025)》;(2023(20232025)》;絡(luò)和信息安全三年提升計(jì)劃(2023絡(luò)和信息安全三年提升計(jì)劃(20232025)》;業(yè)保險(xiǎn)業(yè)數(shù)字化轉(zhuǎn)型的指導(dǎo)意見》;的通知》;監(jiān)會發(fā)布《金融標(biāo)準(zhǔn)化"十四五"監(jiān)會發(fā)布《金融標(biāo)準(zhǔn)化"十四五"發(fā)展規(guī)劃》;行)》;構(gòu)信息科技外包風(fēng)險(xiǎn)監(jiān)管辦法》;行)》;意見稿)》;安全數(shù)據(jù)生命周期安全規(guī)范》;網(wǎng)絡(luò)安全管理辦法意見稿)》;安全數(shù)據(jù)生命周期安全規(guī)范》;網(wǎng)絡(luò)安全管理辦法(征求意見稿)》;5月,中國銀保監(jiān)會發(fā)布《銀行保險(xiǎn)監(jiān)管統(tǒng)計(jì)管理辦法(征求意見稿)》;統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估規(guī)范》;信息安全事件報(bào)告與調(diào)查處理辦法》;業(yè)數(shù)據(jù)安全管理與保護(hù)指引》;布《關(guān)于規(guī)范金融業(yè)開源技術(shù)應(yīng)用與發(fā)展的意見》;11月業(yè)數(shù)據(jù)安全管理與保護(hù)指引》;布《關(guān)于規(guī)范金融業(yè)開源技術(shù)應(yīng)用與發(fā)展的意見》;11月,中國人民銀行正式印發(fā)《金融安全評估規(guī)范(征求意見稿)》;素x"安全評估規(guī)范(征求意見稿)》;素x"三年行動計(jì)劃(20242026年)》。移動互聯(lián)網(wǎng)應(yīng)用程序安全檢測規(guī)范》;圖1：20200-2023年金融行業(yè)網(wǎng)絡(luò)安全政策法規(guī)急策略等多維度的不斷提升,來構(gòu)建完善的身份和訪問管理體系,防范訪問行為帶來的安全隱患,確保金融系統(tǒng)的安全穩(wěn)定運(yùn)行。~8~防釣魚等方面,對金融機(jī)構(gòu)和整個(gè)行業(yè)提出了更高的要求。l業(yè)務(wù)全球化帶來的風(fēng)險(xiǎn)全球化。隨著全球化的深入,中國金融機(jī)構(gòu)積極擴(kuò)展海外業(yè)務(wù),主要聚焦于東南亞、北美和拉美等地區(qū)。這一戰(zhàn)略雖然帶來了巨大的經(jīng)濟(jì)機(jī)遇,但同時(shí)也暴露于多樣化的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)之中,特別是跨境網(wǎng)絡(luò)攻擊,在全球化經(jīng)營中成為不可忽視的挑戰(zhàn)。(三)金融行業(yè)網(wǎng)絡(luò)安全市場分析??金融行業(yè)網(wǎng)絡(luò)安全市場規(guī)模及增速2023年中國金融行業(yè)網(wǎng)絡(luò)安全甲方支出市場規(guī)模約為91.94億元人民幣,同比下降12%,為近五年首次出現(xiàn)負(fù)增長。同時(shí),通過對2024年第一季度市場情況的分析和研究,預(yù)計(jì)2024年中國金融行業(yè)網(wǎng)絡(luò)安全市場的甲方支出規(guī)模約99.97億元,較2023年增長約8.7%o??金融行業(yè)網(wǎng)絡(luò)安全市場項(xiàng)目情況分析近四年,金融行業(yè)的網(wǎng)絡(luò)安全需求持續(xù)增長,采購項(xiàng)目數(shù)量仍處于上升趨勢中。但隨著金融行業(yè)市場的日益成熟和網(wǎng)絡(luò)安全建設(shè)的逐步完善,金融機(jī)構(gòu)在當(dāng)前經(jīng)濟(jì)承壓的環(huán)境下,對網(wǎng)絡(luò)安全的投入變得更加審慎,因此增速逐年下降。其中,2023年第一季度的項(xiàng)目數(shù)量增速為負(fù),是最近四年的首次季度性負(fù)增長,2023年項(xiàng)目數(shù)量在第四季度的帶動下實(shí)現(xiàn)了整體增長。圖3:20202023年中國金融行業(yè)網(wǎng)絡(luò)安全項(xiàng)目數(shù)量及變化趨勢銀行作為金融行業(yè)核心組成部分,網(wǎng)絡(luò)安全項(xiàng)目采購數(shù)量約占整體的60%,對行業(yè)趨勢有重要影響。受宏觀環(huán)境影響,銀行的網(wǎng)絡(luò)安全項(xiàng)目采購增速率先下降,2023年僅增長3.8%。保險(xiǎn)和證券行業(yè)則在延遲項(xiàng)目補(bǔ)建以及安全規(guī)范逐漸完善的推動下,2022年出現(xiàn)增速回升,但隨后也降至四年最低。根據(jù)2024年一季度的最新數(shù)據(jù)顯示,銀行和金融其他領(lǐng)域網(wǎng)絡(luò)安全采購增速回升,而保險(xiǎn)和證券的采購增速仍沒有明顯起色。圖4:20202023年中國金融行業(yè)網(wǎng)絡(luò)安全項(xiàng)目增速行業(yè)分布與中標(biāo)金額的中位數(shù)偏差額達(dá)到約l2萬元。這表明金融行業(yè)網(wǎng)絡(luò)安全市場的競爭日益激烈,低價(jià)中標(biāo)現(xiàn)象越來越普遍。廠商為了在競爭中生存和發(fā)展,不得不采取更為激進(jìn)的定價(jià)策略,可能會導(dǎo)致市場價(jià)格體系的扭曲和行業(yè)利潤的壓縮。長期而言,這種競爭態(tài)勢可能會對行業(yè)的創(chuàng)新能力和服務(wù)質(zhì)量圖5:2020-2023年中國金融行業(yè)網(wǎng)絡(luò)安全項(xiàng)目預(yù)算實(shí)現(xiàn)率金融行業(yè)網(wǎng)絡(luò)安全典型產(chǎn)品熱度指數(shù)通過分析2023年金融行業(yè)公開招投標(biāo)數(shù)據(jù)中的產(chǎn)品類型和采購趨勢,我們發(fā)現(xiàn),盡管傳統(tǒng)合規(guī)類產(chǎn)品在金融行業(yè)的采購中仍然占據(jù)著較大的比重,但隨著金融機(jī)構(gòu)的合規(guī)建設(shè)進(jìn)入常態(tài)化,且完善度不斷提高這類產(chǎn)品的增長趨勢逐漸放緩(如圖6中紅框所示)。微變化,不僅反映了當(dāng)前的市場態(tài)勢,也預(yù)示著未來技術(shù)發(fā)展和行業(yè)創(chuàng)新的潛力點(diǎn)。同時(shí),在新興的網(wǎng)絡(luò)安全領(lǐng)域,如API安全、攻擊面管理和開發(fā)安全等方面,數(shù)相對較低,但其增長速度卻異常迅猛。說明金融行業(yè)在數(shù)字化轉(zhuǎn)型過程中,對于新興技術(shù)的安全需的開發(fā)環(huán)境,這無疑增加了新的安全風(fēng)險(xiǎn)點(diǎn)。因此,對于API安全、攻擊面管理和開發(fā)安全等新興領(lǐng)域的關(guān)注和投資,成為了金融機(jī)構(gòu)保障業(yè)務(wù)連續(xù)性和數(shù)據(jù)安全的關(guān)鍵。此外,國家和行業(yè)層面的政策也在推動這一趨勢的發(fā)展。例如,監(jiān)管部門對于金融科技的安全性提出了更高的要求,強(qiáng)調(diào)了金融機(jī)構(gòu)在采用新技術(shù)時(shí)必須確保風(fēng)險(xiǎn)可控。這促使金融機(jī)構(gòu)在采購決策中更加重視這些新興的安全產(chǎn)品,以滿足監(jiān)管要求并保護(hù)客戶數(shù)據(jù)安全。隨著金融行業(yè)對新興技術(shù)安全的重視程度不斷提升,預(yù)計(jì)這一趨勢在未來幾年將繼續(xù)保持增長勢頭。API安全攻擊面管理數(shù)據(jù)泄漏防護(hù)web應(yīng)用防火墻。開發(fā)安全容器安全云主機(jī)安全網(wǎng)絡(luò)隔離與單向?qū)搿?。堡壘機(jī)云工作負(fù)載保護(hù)平臺"高級威脅防御。終端安全安管平臺云工作負(fù)載保護(hù)平臺"高級威脅防御。終端安全防火墻○漏掃網(wǎng)絡(luò)資產(chǎn)測繪。oo網(wǎng)絡(luò)準(zhǔn)入·。防毒墻入侵防御上網(wǎng)行為管理數(shù)據(jù)安全管控平臺i數(shù)據(jù)分類分級。o入侵檢測日志審計(jì)VPN數(shù)據(jù)庫審計(jì)日志審計(jì)熱度指數(shù)(四)主要發(fā)現(xiàn)??需求側(cè)視角:金融行業(yè)的整體網(wǎng)絡(luò)安全支出在2023年出現(xiàn)下降,高預(yù)算低執(zhí)行是主要原因。金融行業(yè)的安全體系建設(shè)對實(shí)戰(zhàn)應(yīng)對能力的要求不斷增強(qiáng),但合規(guī)性依然是其核心驅(qū)動力。安全體系建設(shè)的階段發(fā)生轉(zhuǎn)變,建設(shè)重心由采購和建設(shè),向安全運(yùn)營轉(zhuǎn)移,更關(guān)注安全能力的深度應(yīng)用和內(nèi)部整合。以國有商業(yè)銀行、股份制銀行和個(gè)別頭部保險(xiǎn)公司為代表的頭部金融機(jī)構(gòu),安全合規(guī)建設(shè)相對完善,目前安全建設(shè)的重點(diǎn)根據(jù)自身情況各有側(cè)重,其中數(shù)據(jù)安全和安全運(yùn)營是關(guān)注最多的兩個(gè)領(lǐng)域。小規(guī)模的各類金融機(jī)構(gòu),合規(guī)仍是主要建設(shè)驅(qū)動力,常態(tài)化的實(shí)網(wǎng)攻防演習(xí)和攻防演練也促進(jìn)了他們對場景化安全能力的需求,如外部攻擊面管理、零信任訪問接入等。從安全體系建設(shè)的方式來看,大規(guī)模金融機(jī)構(gòu)的投入大、能力強(qiáng),更傾向于自研或聯(lián)合開發(fā)。小規(guī)模金融機(jī)構(gòu)的安全投入有限、能力較弱,會更靈活地通數(shù)據(jù)安全管理平臺是當(dāng)下建設(shè)的重點(diǎn),目的是實(shí)現(xiàn)對數(shù)據(jù)泄漏的發(fā)現(xiàn)、防護(hù)、溯源和定責(zé)。頭部金融機(jī)構(gòu)對Al賦能安全的關(guān)注度較高,告警的分析收斂是目前最大的需求場景。量子安全技術(shù)在密碼領(lǐng)域正進(jìn)行課題探索和小規(guī)模試點(diǎn),區(qū)塊鏈技術(shù)的應(yīng)用逐漸增多。主要金融機(jī)構(gòu)目前的信創(chuàng)完成度在30%~50%之間,大部分金融機(jī)構(gòu)計(jì)劃在2027年完成信息化系統(tǒng)的信創(chuàng)改造工作。??監(jiān)管側(cè)視角:監(jiān)管機(jī)構(gòu)的網(wǎng)絡(luò)安全處罰力度不斷加大,銀行仍是監(jiān)管機(jī)構(gòu)最關(guān)注的領(lǐng)域,90%的罰單處罰對象監(jiān)管機(jī)構(gòu)對個(gè)人信息保護(hù)的要求不斷增強(qiáng),相關(guān)罰單數(shù)量占網(wǎng)絡(luò)安全罰單總數(shù)的70%o此外,最近三年農(nóng)村金融機(jī)構(gòu)收到的罰單數(shù)量明顯增多。金融行業(yè)網(wǎng)絡(luò)安全政策法規(guī)的更新和完善速度加快,政策制定者持續(xù)關(guān)注技術(shù)進(jìn)步的最新動態(tài)引入"行動計(jì)劃提升計(jì)劃"型網(wǎng)絡(luò)安全政策,通過對未來幾年的規(guī)劃指導(dǎo)和激勵(lì)措施,引導(dǎo)并??供給側(cè)視角:參與金融行業(yè)的網(wǎng)絡(luò)安全廠商約260家。雖然綜合型廠商是主要的參與者,但在細(xì)分領(lǐng)域能提供扎實(shí)的技術(shù)產(chǎn)品和服務(wù)的中小型廠商同樣具備較強(qiáng)的競爭優(yōu)勢。安全廠商逐漸通過將"服務(wù)"和"產(chǎn)品"打包銷售的方式交付客戶,以具體應(yīng)用場景為切入點(diǎn),2023年金融行業(yè)網(wǎng)絡(luò)安全甲方支出91.9億元,約占總體網(wǎng)絡(luò)安全甲方支出市場的9%,同比下滑l2%,增速五年來首度轉(zhuǎn)負(fù)。隨著金融行業(yè)數(shù)字化轉(zhuǎn)型的深入,開放、敏捷、智能成為各大金融機(jī)構(gòu)的建設(shè)目標(biāo),因此API安全、數(shù)據(jù)安全、攻擊面管理、開發(fā)安全等領(lǐng)域的采購項(xiàng)目增速提高。2023年,金融行業(yè)網(wǎng)絡(luò)安全采購項(xiàng)目預(yù)算價(jià)格中位數(shù)和中標(biāo)價(jià)格中位數(shù)的偏差額達(dá)到1112萬元,為近四年的最大差額。(五)建議??網(wǎng)絡(luò)安全公司負(fù)責(zé)人:金融行業(yè)因獨(dú)特的業(yè)務(wù)特性和嚴(yán)格的監(jiān)管要求,形成具有明顯行業(yè)特征的網(wǎng)絡(luò)安全需求。然而,這些特殊需求往往未能得到完全滿足,通常需要在標(biāo)準(zhǔn)產(chǎn)品的基礎(chǔ)上進(jìn)行額外定制,增加了金融機(jī)構(gòu)的安全建設(shè)難度。安全廠商需重視"研發(fā)流程左移",在深刻理解金融行業(yè)需求的基礎(chǔ)上,將這些需求切實(shí)轉(zhuǎn)化為有效的產(chǎn)品和解決方案,提升對金融行業(yè)的安全交付能力和效率,增強(qiáng)自身的市場競爭金融行業(yè)部署的終端安全防護(hù)產(chǎn)品種類多,經(jīng)常因?yàn)樵O(shè)備性能占用過高、不同品牌產(chǎn)品之間沖突引發(fā)問題,且難以定責(zé),安全廠商應(yīng)盡量整合終端安全能力,將終端設(shè)備上安全產(chǎn)品的數(shù)量減少到2-3種,并開發(fā)整體的終端安全解決方案,降低對設(shè)備性能的消耗,避免產(chǎn)品間的沖突。金融行業(yè)網(wǎng)絡(luò)安全建設(shè)早、腳步快,傳統(tǒng)的基于合規(guī)性的大規(guī)模靜頂峰。未來,金融行業(yè)將加強(qiáng)動態(tài)的主動防御體系建設(shè),并維持較高的投入水平。同時(shí),這些動態(tài)防護(hù)措施將越來越多地采用服務(wù)化模式進(jìn)行交付,因此,安全廠商應(yīng)重視新型訂閱制和服務(wù)化交付產(chǎn)品金融行業(yè)對網(wǎng)絡(luò)安全的高標(biāo)準(zhǔn)和對安全產(chǎn)品性能的嚴(yán)要求,使得該行業(yè)客戶對產(chǎn)品的選擇具有獨(dú)到的見解和深刻的洞察,并愿意為好用的產(chǎn)品買單。目前,市面上很多安全產(chǎn)品(如數(shù)據(jù)安全、終端安全、供應(yīng)鏈安全、零信任等)距離金融客戶的要求仍有一定差距,安全廠商應(yīng)保持開放的態(tài)度,學(xué)習(xí)全球范圍內(nèi)的優(yōu)秀安全產(chǎn)品及技術(shù),優(yōu)化安全產(chǎn)品防護(hù)能力,提升企業(yè)在金融行業(yè)的競爭力。??金融機(jī)構(gòu)網(wǎng)絡(luò)安全負(fù)責(zé)人:在過去的網(wǎng)絡(luò)安全大規(guī)模建設(shè)階段,通常會忽視對安全產(chǎn)品內(nèi)在能力的有效使用。當(dāng)下,應(yīng)當(dāng)深化對現(xiàn)有安全產(chǎn)品的使用,同時(shí),與安全廠商共同開發(fā)并實(shí)現(xiàn)現(xiàn)有安全產(chǎn)品的定制化功能,以此來提升安全防護(hù)效果,實(shí)現(xiàn)資源的最優(yōu)配置,并在一定程度上實(shí)現(xiàn)降本增效的目標(biāo)。在數(shù)據(jù)安全領(lǐng)域,大規(guī)模金融機(jī)構(gòu)需采取更具前瞻性、系統(tǒng)性和全面性的策略來統(tǒng)籌規(guī)劃其安全措施。規(guī)模較小的金融機(jī)構(gòu),重點(diǎn)應(yīng)放在盡快明確數(shù)據(jù)安全責(zé)任人,建立可行的數(shù)據(jù)安全制度流程,加強(qiáng)數(shù)據(jù)安全防護(hù)措施,并確保這些措施的全面覆蓋和有效執(zhí)行。在進(jìn)行網(wǎng)絡(luò)安全產(chǎn)品或服務(wù)采購時(shí),應(yīng)增加對技術(shù)因素的考量權(quán)重,避免過多地被短期直接成本影響采購結(jié)果。"低價(jià)者得"的采購策略雖然在減少初期投入方面有表面優(yōu)勢,但可能會犧牲安全產(chǎn)品和服務(wù)的質(zhì)量,并最終導(dǎo)致整體安全成本的顯著增加。二、金融行業(yè)網(wǎng)絡(luò)安全思考與建議(一)金融行業(yè)網(wǎng)絡(luò)安全思考與建議金融行業(yè)具備國家關(guān)基設(shè)施和國家經(jīng)濟(jì)推動器雙重屬性,是網(wǎng)絡(luò)戰(zhàn)和網(wǎng)絡(luò)一是普遍注重外掛式旁路監(jiān)測方案,缺少內(nèi)生可信和密碼應(yīng)用方案,難以保障數(shù)據(jù)安全。隨著等級保護(hù)制度逐步普及和實(shí)網(wǎng)攻防活動的開展,相當(dāng)一部分金融客戶在外部網(wǎng)絡(luò)邊界堆疊了許多安全防護(hù)設(shè)備,并在內(nèi)網(wǎng)核心旁掛了許多流量分析設(shè)備,甚至有的地方商業(yè)銀行,態(tài)勢感知類產(chǎn)品架設(shè)了6個(gè)主流安全廠商的探針,在重保時(shí)期,各個(gè)廠家出人蹲點(diǎn)看守自家設(shè)備。出現(xiàn)這種怪相,其實(shí)是缺少網(wǎng)絡(luò)安全u三同步n中的同步規(guī)劃造成的,沒有在系統(tǒng)規(guī)劃階段充分結(jié)合業(yè)務(wù)安全需求設(shè)計(jì)內(nèi)生安全保障方案。因?yàn)榍捌跊]有合理規(guī)劃,后期只能采用這種補(bǔ)丁、外掛式的防護(hù)思路,因?yàn)檫@種方式對業(yè)務(wù)造成的影響是最小的。這既有信息安全部門相對業(yè)務(wù)部門的弱勢的行業(yè)現(xiàn)實(shí),也與廠商產(chǎn)品同質(zhì)化有關(guān),沒有哪個(gè)產(chǎn)品是明顯領(lǐng)先吊打其他的,每款產(chǎn)品都能發(fā)現(xiàn)一些其他產(chǎn)品發(fā)現(xiàn)不了的問題,索性就只能集合眾家之長。殊不知,合理的網(wǎng)絡(luò)區(qū)域隔離、網(wǎng)絡(luò)端口的策略限制、基于密碼技術(shù)的各類實(shí)體強(qiáng)身份認(rèn)證等手段,完全可以使得監(jiān)測告警率指數(shù)級降低。甚至隨著國家大力推進(jìn)國產(chǎn)商用密碼技術(shù)的應(yīng)用,這類旁掛式的設(shè)備未來將不得不面臨下崗的窘境。采用可信、基于密碼技術(shù)的應(yīng)用融合應(yīng)該受到各金融機(jī)構(gòu)安全管理部門的重視,從新一代產(chǎn)品規(guī)劃就植入安全基因,才能在日益嚴(yán)峻的安全威脅態(tài)勢下逐步掌握主動權(quán)。二是各單位普遍存在API接口安全風(fēng)險(xiǎn)敞口大,缺少對歷史存量系統(tǒng)深度代碼安全檢測。因?yàn)榍昂笈_分離的開發(fā)方式,數(shù)以千計(jì)的API接口暴露在網(wǎng)絡(luò)中,存在相當(dāng)多的越權(quán)、未授權(quán)、注入、重置漏洞等高危風(fēng)險(xiǎn),由于這些漏洞造成敏感信息泄露的案例屢見不鮮。這類的業(yè)務(wù)調(diào)用,目前主流基于攻擊特征的監(jiān)測告警裝備往往信息保護(hù)監(jiān)管又異常嚴(yán)格,只要有個(gè)人信息泄露,通報(bào)問題級別至少是中風(fēng)險(xiǎn),這讓很多機(jī)構(gòu)苦惱不已。究其原因,開發(fā)人員不是遵從黑客攻擊視角編寫代碼,代碼存在漏洞在所難免,API接口的問題很大一個(gè)原因是歷史存量系統(tǒng)代碼安全審計(jì)工作未開展或流于形式,比如只通過代碼審計(jì)工具跑一跑,缺少專業(yè)漏洞挖掘人員的人工審計(jì),許多業(yè)務(wù)邏輯類的問題,目前工具無能為力,還是需要專業(yè)人員。以一個(gè)地方城商行為例,歷史建設(shè)的各類網(wǎng)絡(luò)和系統(tǒng)數(shù)量大概在100到l50個(gè)系統(tǒng)左右。大量歷史帶病上線,帶病運(yùn)行的系統(tǒng),其API風(fēng)險(xiǎn)敞口較大,應(yīng)該得到重視并加以治理。~~15~金融行業(yè)正向數(shù)字化、智能化迅猛邁進(jìn)。近年來,網(wǎng)絡(luò)威脅日益增多,網(wǎng)絡(luò)攻擊高級化、復(fù)雜化和持續(xù)化,針對金融關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊、數(shù)據(jù)泄漏和勒索事件層出不窮,金融行業(yè)網(wǎng)絡(luò)安全面臨的風(fēng)險(xiǎn)和挑戰(zhàn)愈加嚴(yán)峻。首先,隨著移動互聯(lián)網(wǎng)技術(shù)的普及應(yīng)用,金融關(guān)鍵信息基礎(chǔ)設(shè)施在互聯(lián) 網(wǎng)上暴露持續(xù)增多,傳統(tǒng)基于邊界防御、靜態(tài)規(guī)則匹配的防護(hù)手段存在諸多攻擊愈發(fā)猖獗。2022年2月,烏克蘭兩家國有銀行遭受DDOS攻擊,導(dǎo)上銀行賬戶。最后,金融數(shù)字化轉(zhuǎn)型,數(shù)據(jù)共享和流通將成為剛性業(yè)務(wù)需求,網(wǎng)絡(luò)安全邊界日益模糊,安全管控難度與泄密風(fēng)險(xiǎn)進(jìn)一步擴(kuò)大。為了應(yīng)對金融行業(yè)的網(wǎng)絡(luò)安全挑戰(zhàn),華為提出了"一體管理、一體分析、一體決策、一體處置"統(tǒng)一零信任能力和一體化分析響應(yīng)能力,構(gòu)筑完整的u云網(wǎng)邊端n統(tǒng)一安全體系,打造智能化的網(wǎng)絡(luò)安全架構(gòu),實(shí)現(xiàn)風(fēng)險(xiǎn)實(shí)時(shí)檢測、威脅主動研判、智能全局防控。u一體管理:通過統(tǒng)一管理平臺,集中管理所有的安全資源和能力,提高安全管理效率。統(tǒng)一制定、按需下發(fā)執(zhí)行安全策略,確保所有安全策略的一致性和有效性。整體降低網(wǎng)絡(luò)安全運(yùn)維和管理成本,提高企業(yè)的網(wǎng)絡(luò)安全投資回報(bào)率。u一體分析:全面采集云、網(wǎng)絡(luò)、終端多維威脅數(shù)據(jù),云上云下數(shù)據(jù)協(xié)同,基于Al分析能力,提升威脅分析準(zhǔn)確率,安全態(tài)勢全域統(tǒng)一呈現(xiàn)?；谠凭W(wǎng)邊端"進(jìn)行統(tǒng)一納管,設(shè)置唯一的安全運(yùn)營中心,收集終端(含服務(wù)器)風(fēng)險(xiǎn)信息、網(wǎng)絡(luò)流量信息、安全設(shè)備的日志信息等,提升安全事件分析的準(zhǔn)確性。u一體決策:基于對終端、網(wǎng)絡(luò)、用戶行為等多維風(fēng)險(xiǎn)數(shù)據(jù),并結(jié)合位進(jìn)行決策,實(shí)時(shí)動態(tài)調(diào)整授權(quán)或安全策略。從終端風(fēng)險(xiǎn)、網(wǎng)絡(luò)流量異常和用戶違規(guī)行為等維度,對終端和用戶的風(fēng)險(xiǎn)進(jìn)行實(shí)時(shí)評估。基于多維的評估結(jié)果,對終端或用戶風(fēng)險(xiǎn)評分,結(jié)合終端或用戶的身份對其權(quán)限進(jìn)行調(diào)整。u一體處置:"云網(wǎng)邊端"全局攻擊溯源,威脅自動化處置。當(dāng)識別到嚴(yán)重威脅時(shí),需要立即確認(rèn),并對威脅進(jìn)行遏制,以避免威脅進(jìn)一步擴(kuò)散。通過不同設(shè)備之間的自動化協(xié)同聯(lián)動,實(shí)現(xiàn)威脅分鐘級快速定位,秒級快速處置的能力。面向未來華為安全持續(xù)與金融行業(yè)客戶、伙伴共同探討ICT基礎(chǔ)設(shè)施的發(fā)展方向,不斷推出創(chuàng)新的安全產(chǎn)品與解決方案,匹配金融業(yè)務(wù)發(fā)展訴求,助力金融行業(yè)數(shù)智化轉(zhuǎn)型。(三)金融行業(yè)基于LLM的知識增強(qiáng)型威脅建模實(shí)踐隨著金融行業(yè)數(shù)字化轉(zhuǎn)型的不斷深入,金融機(jī)構(gòu)面臨著日益復(fù)雜且嚴(yán)峻的網(wǎng)絡(luò)安全威脅,有效的威脅建模對于金融機(jī)構(gòu)至關(guān)重要。通過威脅建模,金融機(jī)構(gòu)可以全面了解可能對其安全性造成威脅的因素,從而采取相應(yīng)的安全措施來降低風(fēng)險(xiǎn),保護(hù)重要的資產(chǎn)和信息。然而,傳統(tǒng)的威脅建模方法比較復(fù)雜,開展威脅建模工作往往困難且耗時(shí),影響了金融機(jī)構(gòu)及時(shí)采取應(yīng)對措施的能力。在此背景下,大語言模型(LLLM)技術(shù)提供了良好的底座,理解安全行業(yè)知識的垂類模型可以發(fā)揮作用。然而實(shí)踐過程中,其幻覺特點(diǎn)還是較為突出,生成式的內(nèi)容在不允許出現(xiàn)合規(guī)性偏差的環(huán)境中,往往會對威脅建模提供出錯(cuò)誤的結(jié)果。結(jié)合大語言模型(LLM)與知識增強(qiáng)生成的人工智能技術(shù),為金融行業(yè)的威脅建模提供了新思路。通過知識增強(qiáng)型的召回檢索和推理生成,威脅建模系統(tǒng)可以從私域知識庫中檢索相關(guān)信息,增強(qiáng)對語境的理解,生成更加準(zhǔn)確和豐富的文本,降低LLM產(chǎn)生幻覺(生成不符合實(shí)際情況的內(nèi)容)的可能性。比領(lǐng)科技通過結(jié)合大語言模型(LLM)與知識增強(qiáng)技術(shù)建立威脅建模系統(tǒng),成功幫助某股份制銀全知識庫,知識庫包括網(wǎng)絡(luò)安全相關(guān)國家標(biāo)準(zhǔn)、金融行業(yè)標(biāo)準(zhǔn)、最佳實(shí)踐,以及人民銀行、國家金融監(jiān)管總局相關(guān)通知、風(fēng)險(xiǎn)提示等內(nèi)容。威脅建模系統(tǒng)私有化部署,運(yùn)行時(shí)不依賴互聯(lián)網(wǎng),更新用戶私域知識內(nèi)容不需要重新訓(xùn)練模型,降低使用成本。銀行利用威脅建模系統(tǒng)分析需求文檔和用戶故事,識別潛在的安全威脅,并檢索相關(guān)的安全標(biāo)準(zhǔn)和最佳實(shí)踐,輸出安全指導(dǎo)和建議。同時(shí)該威脅建模系統(tǒng)也提供智能問答模式,幫助構(gòu)建金融業(yè)務(wù)層面的相關(guān)合規(guī)反查能力,進(jìn)一步落實(shí)金融風(fēng)險(xiǎn)防控要求。威脅建模系統(tǒng)上線推廣后,在威脅建?；顒由蠋椭y行節(jié)約90%的人力消耗,并通過更完整的威脅識別,降低軟件安全風(fēng)險(xiǎn),降低軟件開發(fā)生命周期的整體成本。實(shí)踐表明,該技術(shù)可以提高威脅建模的效率和準(zhǔn)確性,幫助金融機(jī)構(gòu)及時(shí)識別、評估和應(yīng)對常見安全威脅和漏洞,保護(hù)重要的資產(chǎn)和信息安全。相信通過不斷努力和創(chuàng)新,該技術(shù)不僅可以在威脅建模領(lǐng)域發(fā)揮重要作用,還可以廣泛應(yīng)用于安全領(lǐng)域的各個(gè)方面,為金融機(jī)構(gòu)提供全方位、多樣化的安全解決方案,提高金融機(jī)構(gòu)的安全防御能力和效率,更好地保護(hù)系統(tǒng)和數(shù)據(jù)的安全,為數(shù)字化轉(zhuǎn)型打~~17~(四)金融行業(yè)可信開源組件庫建設(shè)思考近年來,開源技術(shù)在各領(lǐng)域得到廣泛應(yīng)用,在推動科技創(chuàng)新和數(shù)字化轉(zhuǎn)型方面發(fā)揮著積極作用,但也面臨安全可控等諸多挑戰(zhàn)。隨著開源需求的增加,開源攻擊增加了650%,攻擊者不再等待公開的漏洞披露來進(jìn)行漏洞利用,而是主動將新漏洞注入為全球供應(yīng)鏈提供支持的開源項(xiàng)目中,通過將攻擊轉(zhuǎn)移到 中傳播,從而對"下游用戶進(jìn)行更具擴(kuò)展性的攻擊。據(jù)行業(yè)開源技術(shù)應(yīng)用社區(qū)調(diào)研,目前我國超過示,在金融行業(yè)2022年其審計(jì)的金融服務(wù)和金融科技領(lǐng)域中,開源代碼占比約70%o針對開源技術(shù)的風(fēng)險(xiǎn),業(yè)內(nèi)也越來越重視,相關(guān)的開源技術(shù)監(jiān)管工作已全面鋪開。金融行業(yè)通過建設(shè)可信組件倉庫進(jìn)行集中統(tǒng)一管理,可以降低金融機(jī)構(gòu)使用開源軟件帶來的安全漏洞風(fēng)險(xiǎn),為金融業(yè)科技的安全提供保障,減少金融機(jī)構(gòu)使用開源軟件潛在的知識產(chǎn)權(quán)合規(guī)風(fēng)險(xiǎn),為金融科技安全提供的安全與合規(guī)管理等?？尚沤M件倉庫建設(shè)可以從以下幾個(gè)方面進(jìn)行開展。在技術(shù)方面加強(qiáng)版本管控,進(jìn)行入庫檢測,出庫追蹤,采用零信任架構(gòu)進(jìn)行訪問認(rèn)證。u定制安全版本:建議廠商針對主流開發(fā)框架定制安全版本,以覆蓋日常70%以上的常規(guī)安全漏洞和功能設(shè)計(jì)漏洞。對于剩下的漏洞,企業(yè)可以根據(jù)自身特點(diǎn)進(jìn)行定制化積累,并將安全融合在u采用零信任架構(gòu):采用零信任架構(gòu)(ZTA),通過可信訪問控制臺(TAC)、可信應(yīng)用代理身份認(rèn)證系統(tǒng),實(shí)現(xiàn)對應(yīng)用、功能、接口等各個(gè)層面的訪問機(jī)制的管理。u在管理方面開展開源技術(shù)評估,建立審查機(jī)制,檢測自主信創(chuàng)。u開展開源技術(shù)評估:金融機(jī)構(gòu)應(yīng)建立開源技術(shù)評估體系,從開源技術(shù)基本功能、性能指標(biāo)、術(shù)評估體系提供參考。u建立安全審查機(jī)制:引入安全審查機(jī)制,保證進(jìn)入組織的開源私服倉庫的開源組件通過了安u堅(jiān)持自主可控與安全高效:堅(jiān)持關(guān)鍵技術(shù)自主可控原則,對業(yè)務(wù)經(jīng)營發(fā)展有重大影響的關(guān)鍵平臺、關(guān)鍵組件以及關(guān)鍵信息基礎(chǔ)設(shè)施要形成自主研發(fā)能力,降低對外依賴,提高安全性和效率。金融行業(yè)可信組件倉庫的建設(shè)應(yīng)注重安全可控、合規(guī)使用的原則,實(shí)施全量化管理,采用單一可信源,加強(qiáng)安全防護(hù)措施,建立軟件成分安全分析能力,并提升自主研發(fā)能力,以確保金融系統(tǒng)的安~18~(五)金融網(wǎng)絡(luò)安全未來發(fā)展趨勢與戰(zhàn)略萬物皆數(shù)數(shù)據(jù)安全法個(gè)人信息保護(hù)法的出臺,在國家層面將數(shù)據(jù)保護(hù)提升到了一個(gè)更高的層面。在我國,金融行業(yè)一直是安全行業(yè)的重要標(biāo)桿企業(yè),作為國家經(jīng)濟(jì)生產(chǎn)的重要支柱行業(yè),如何更好地實(shí)施數(shù)據(jù)保護(hù),如何落實(shí)國家對數(shù)據(jù)安全的合規(guī)要求是擺在金融行業(yè)安全從業(yè)者面前的一個(gè)重要的課題。網(wǎng)絡(luò)攻擊行為其實(shí)都可以歸結(jié)為對數(shù)據(jù)的竊取和破壞,在金融行業(yè)中貫穿著業(yè)務(wù)活動周期的各類數(shù)據(jù)都可能是目標(biāo),做好數(shù)據(jù)安全,不是某一個(gè)部門、某一項(xiàng)技術(shù),獨(dú)立能完成的,數(shù)據(jù)安全不同于傳統(tǒng)的網(wǎng)絡(luò)安全,數(shù)據(jù)具備"網(wǎng)絡(luò)、業(yè)務(wù)"的雙重屬性,數(shù)據(jù)安全不會獨(dú)立于信息安全而單獨(dú)存在,所以數(shù)據(jù)安全體系實(shí)際上是一個(gè)需要全面考量的體系。數(shù)據(jù)安全首要問題就是:我有什么數(shù)據(jù)?我的數(shù)據(jù)在哪?如何進(jìn)行數(shù)據(jù)分類分級?所以最基礎(chǔ)的工作,同時(shí)也是需要最先入手的工作就是基于安全要求的數(shù)據(jù)梳理和管理,金融行業(yè)需要根據(jù)自身情況統(tǒng)一安排主導(dǎo)和分工。筆者的建議是由安全部門主導(dǎo),業(yè)務(wù)部門輔助,采用兩步走的方案,即"先1、數(shù)據(jù)發(fā)現(xiàn):數(shù)據(jù)發(fā)現(xiàn)的最重要的前提是需要完整的數(shù)據(jù)暴露面信息和關(guān)系結(jié)構(gòu),為避免數(shù)據(jù)發(fā)現(xiàn)變成復(fù)雜而不可解的邏輯循環(huán),首先需要制定一個(gè)前提,即只考慮跨網(wǎng)段數(shù)據(jù)流轉(zhuǎn)情況,不出網(wǎng)2、數(shù)據(jù)管理:管理的基礎(chǔ)是數(shù)據(jù)分級,在金融企業(yè)里數(shù)據(jù)分類分級應(yīng)由業(yè)務(wù)部門負(fù)責(zé)制定規(guī)則,分類分級推薦方法是:參考國家標(biāo)準(zhǔn),結(jié)合自身情況,數(shù)據(jù)分類可劃分為安全部門數(shù)據(jù)、研發(fā)部門此類數(shù)據(jù)泄露即代表網(wǎng)絡(luò)或安全管理有重大缺的危害進(jìn)行分類分級,并定期請第三方部門評估對數(shù)據(jù)使用是否"越界",如是否觸犯"個(gè)人隱數(shù)據(jù)猶如企業(yè)之血液,滋養(yǎng)著企業(yè)的生命,數(shù)據(jù)流轉(zhuǎn)如企業(yè)之經(jīng)脈,承載著信息的流動。若數(shù)據(jù)之流動暢順,企業(yè)之活力亦將源源不斷;若數(shù)據(jù)之流動受阻,企業(yè)之命脈亦炭岌可危。于數(shù)據(jù)管理而言,善保其安全,乃企業(yè)長遠(yuǎn)發(fā)展之根本。(六)新范式:金融行業(yè)數(shù)據(jù)安全訪問的最佳實(shí)踐傳統(tǒng)數(shù)據(jù)安全主要通過兩端建設(shè),終端側(cè)以DLP為主解決數(shù)據(jù)外發(fā)問服務(wù)側(cè)以數(shù)據(jù)流量監(jiān)控、數(shù)據(jù)庫審計(jì)、數(shù)據(jù)分類分級和數(shù)據(jù)加密以及脫敏為主要手段。但從數(shù)據(jù)安全事件中可以看到,大多數(shù)的數(shù)據(jù)風(fēng)險(xiǎn)是由于人的因素導(dǎo)致,比如黑客利用應(yīng)用系統(tǒng)漏洞獲取敏感數(shù)據(jù),內(nèi)部員工利用權(quán)限獲取數(shù)據(jù),這些風(fēng)險(xiǎn)大多集中在人對數(shù)據(jù)的訪問過程,且傳統(tǒng)數(shù)據(jù)安全難以解決,如何解決人對數(shù)據(jù)訪問的安全風(fēng)險(xiǎn)已經(jīng)迫在眉睫。一般的零信任SDP方案是基于邊界隔離的防護(hù)思想,通過網(wǎng)絡(luò)隔離來阻止攻擊者進(jìn)入網(wǎng)絡(luò),但一旦通道建立人員進(jìn)入網(wǎng)絡(luò)后,則無法防范對應(yīng)用層的攻擊和數(shù)據(jù)的竊取。份和對業(yè)務(wù)系統(tǒng)接入,采用零信任實(shí)時(shí)上下文的動態(tài)決策引擎,將零信任能力深入至應(yīng)用和數(shù)據(jù),實(shí)泄露溯源,且零改造成本等優(yōu)勢?？梢杂行Ы鉀Q傳統(tǒng)數(shù)據(jù)安全困境,解決核心人員訪問帶來的安全和數(shù)據(jù)風(fēng)險(xiǎn),只有可信的人員,在可信環(huán)境下,對可信應(yīng)用和數(shù)據(jù)進(jìn)行訪問,將安全前置化,消除核心零信任數(shù)據(jù)安全網(wǎng)關(guān)落地,實(shí)現(xiàn)內(nèi)外網(wǎng)全面防護(hù)。例如在攻擊對抗場景,傳統(tǒng)安全對抗難點(diǎn),一是應(yīng)用漏洞難以全面收斂存在未知漏洞,另一個(gè)是攻擊來源不可預(yù)測,互聯(lián)網(wǎng)或內(nèi)網(wǎng)釣魚后滲透攻擊,都可利用應(yīng)用漏洞獲取更高價(jià)值權(quán)限和數(shù)據(jù),只能通過頻繁的規(guī)則維護(hù)來對抗。使用持安零信任數(shù)據(jù)安全網(wǎng)關(guān)后,通過應(yīng)用層接入能力,將應(yīng)用訪問入口收斂到網(wǎng)關(guān)后,用戶所有發(fā)起的請求都會通過零信任的先驗(yàn)證再訪問,對每個(gè)請求實(shí)時(shí)動態(tài)決策來確保只有可信的人、在可信的環(huán)境和時(shí)間中訪問他面對人員舞弊場景,傳統(tǒng)安全存在默認(rèn)信任,一旦內(nèi)部人員存在舞弊問題時(shí),難以發(fā)現(xiàn)和提前預(yù)防,導(dǎo)致其可以長期潛伏最終造成重大后果。持安零信任數(shù)據(jù)安全網(wǎng)關(guān),可在不影響用戶訪問的前提下,精準(zhǔn)地識別每一次人員對業(yè)務(wù)和數(shù)據(jù)的獲取,基于業(yè)務(wù)身份和組織架構(gòu),通過動態(tài)策略管控應(yīng)用和數(shù)據(jù)權(quán)限,不得不獲取數(shù)據(jù)時(shí)可基于風(fēng)險(xiǎn)和場景對數(shù)據(jù)動態(tài)加入明暗水印、脫敏等,出現(xiàn)異常時(shí)可通過免開發(fā)改造接入能力,可以讓業(yè)務(wù)快速具備上述能力,將安全前置化、透明化、合規(guī)化,讓(七)基于金融行業(yè)數(shù)字化轉(zhuǎn)型過程中移動智能下的安全思考隨著金融行業(yè)數(shù)字化轉(zhuǎn)型的深入展開,線下業(yè)務(wù)線上化和線上渠道多樣化的趨勢愈加明顯。在金融業(yè)務(wù)對外的入口中,目前采用了大量的APP、H5、小程序、公眾號等線上移動入口。在此背景下,猖獗發(fā)展的是針對金融機(jī)構(gòu)線上業(yè)務(wù)的黑灰產(chǎn)業(yè)鏈,目前國內(nèi)的互聯(lián)網(wǎng)黑灰產(chǎn)業(yè)從業(yè)人數(shù)已經(jīng)近6000萬,其應(yīng)用的惡意攻擊設(shè)備和IP數(shù)量持續(xù)攀升,同時(shí)在Al、云計(jì)算等新技術(shù)發(fā)展的過程中,因技術(shù)革新帶來的新型攻擊手段也層出不窮,針對金融行業(yè)線上業(yè)務(wù)的攻擊呈高發(fā)態(tài)勢。從2023-2024年金融行業(yè)線上業(yè)務(wù)攻擊的分析來看,目前在行業(yè)內(nèi)應(yīng)用最廣泛的是基于屏幕共享和人臉識別繞過的新型電信詐騙,詐騙分子往往冒充公檢法等國家公職人員誘使被害人安裝線上會議軟件,通過軟件的屏幕共享功能,受害人將自己手機(jī)屏幕共享給詐騙分子,并按照詐騙分子的指示對自己的金融APP進(jìn)行業(yè)務(wù)操作(近期已經(jīng)出現(xiàn)通過定制APP遠(yuǎn)程操作受害人手機(jī)的情況),詐騙分子掌握了受害人在手機(jī)上收到和錄入的短信驗(yàn)證碼、支付密碼等敏感信息,同視頻功能盜竊了受害人的人臉信息。詐騙分子最終通過自行登錄受害人的APP,借助屏幕共享獲取的登錄密碼、驗(yàn)證碼及利用Al換臉工具制作換臉視頻繞過活體檢測,最終實(shí)現(xiàn)對受害人財(cái)產(chǎn)的侵害。在這個(gè)攻擊鏈條中,詐騙分子應(yīng)用的黑產(chǎn)手機(jī)逐漸云化,其技術(shù)手段是通過在云手機(jī)中刷入集成了hook攻擊框架、自動化操作、虛擬定位、虛擬相機(jī)、一鍵改機(jī)等一ROM,批量實(shí)現(xiàn)定位偽造、改機(jī)、協(xié)議破解、人臉識別繞過等場景。除此之外,金融行業(yè)當(dāng)前還面臨著營銷欺詐、移動端數(shù)據(jù)泄漏、支度。在金融行業(yè),從2016年開始,人民銀行強(qiáng)調(diào)支付環(huán)境安全監(jiān)測的相關(guān)發(fā)文包括:2016年銀發(fā)170號文、2016年銀辦發(fā)192號文、2018年銀辦發(fā)l46號文、2019年銀發(fā)237號文等,相關(guān)發(fā)文均強(qiáng)調(diào)"客戶端應(yīng)能監(jiān)測并向后臺系統(tǒng)反饋收集支付環(huán)境安全狀況,并將此作為風(fēng)控策略的依據(jù)"。從2020年開始,監(jiān)管機(jī)構(gòu)的安全要求從客戶端環(huán)境風(fēng)險(xiǎn)擴(kuò)展到API接口的安全,典型監(jiān)管政策包括:計(jì)、應(yīng)用部署、集成運(yùn)行、運(yùn)維監(jiān)測及系統(tǒng)下線等全生命周期要做相應(yīng)的安全建設(shè)工作"、2023年展信息泄露風(fēng)險(xiǎn)自查專項(xiàng)行動,杜絕安全隱患"。在當(dāng)前針對金融行業(yè)線上業(yè)務(wù)攻擊頻發(fā)以及監(jiān)管檢查高壓的態(tài)勢下,各大金融機(jī)構(gòu)相繼加強(qiáng)相關(guān)安全能力建設(shè),在入口范圍上要求涵蓋所有電子渠道,包括APP、公眾號、小程序等,在數(shù)據(jù)拉通維度,通過采集移動端數(shù)據(jù)以及服務(wù)端API的流量數(shù)據(jù)相結(jié)合,提升安全監(jiān)測、溯源和響應(yīng)能力,用于補(bǔ)充和完善行內(nèi)的安全技術(shù)體系,并且輔助業(yè)務(wù)反欺詐和業(yè)務(wù)安全防控,最終確保用戶的業(yè)務(wù)行為是基于"正常的設(shè)備""正常的手段""正常~~21~(八)金融行業(yè)數(shù)據(jù)安全現(xiàn)狀分析與挑戰(zhàn)金融行業(yè)作為國民經(jīng)濟(jì)的重要組成部分,其數(shù)據(jù)安全的重要性不言而喻。近年來,隨著《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》以及《數(shù)據(jù)出境安全評估辦法》等一系列法律法規(guī)的出臺,金融行業(yè)數(shù)據(jù)安全的重要性日益凸顯。本文旨在分析當(dāng)前金融網(wǎng)絡(luò)安全的現(xiàn)狀,并識別面臨的挑戰(zhàn),以期為金融機(jī)構(gòu)提供應(yīng)金融行業(yè)因其特殊性,在日常業(yè)務(wù)中處理大量敏感信息,如身份證號、機(jī)構(gòu)代碼、征信信息等。這些信息的安全性直接關(guān)系到個(gè)人隱私保護(hù)和金融系統(tǒng)的穩(wěn)定。然而,近年來頻繁發(fā)生的數(shù)據(jù)安全事件,使得金融機(jī)構(gòu)面臨著前所未有的挑戰(zhàn)。傳統(tǒng)的數(shù)據(jù)安全防護(hù)措施,如隔離為主的網(wǎng)絡(luò)安全和以等保為核心的信息安全,已難以滿足當(dāng)前金融行業(yè)對數(shù)據(jù)安全的需求。進(jìn)一步凸顯了數(shù)據(jù)安全在金融網(wǎng)絡(luò)安全中的核心地位,并引發(fā)了業(yè)界的廣泛關(guān)注。這些舉措共同推動了金融機(jī)構(gòu)對數(shù)據(jù)安全重要性的認(rèn)識,促使其采取更為嚴(yán)格的安全措施來保護(hù)關(guān)鍵數(shù)據(jù)資源。敏感數(shù)據(jù)保護(hù)措施的缺失金融機(jī)構(gòu)在日常工作中處理的敏感信息種類繁多,一旦泄露,后果嚴(yán)重。如何有效保護(hù)這些信息,防止數(shù)據(jù)泄露和濫用,是金融機(jī)構(gòu)亟待解決的問題。傳統(tǒng)的網(wǎng)絡(luò)安全措施往往側(cè)重于基礎(chǔ)設(shè)施的保護(hù),而忽視了數(shù)據(jù)本身的安全。在當(dāng)前的網(wǎng)絡(luò)環(huán)境下,金融機(jī)構(gòu)必須將數(shù)據(jù)安全與網(wǎng)絡(luò)安全相結(jié)合,才能構(gòu)建更為全面的安全防護(hù)體系。專業(yè)技術(shù)人員的缺口。隨著技術(shù)的發(fā)展,金融行業(yè)面臨著技術(shù)更新?lián)Q代的壓力。同時(shí),數(shù)據(jù)安全專業(yè)人才的缺乏也是制約金融機(jī)構(gòu)提升數(shù)據(jù)安全能力的重要因素。加強(qiáng)法律法規(guī)的學(xué)習(xí)和貫徹。金融機(jī)構(gòu)應(yīng)加強(qiáng)對相關(guān)法律法規(guī)的學(xué)習(xí),確保業(yè)務(wù)操作符合法律要求。同時(shí),應(yīng)建立健全內(nèi)部管理制度,提升數(shù)據(jù)安全管理水平。構(gòu)建以數(shù)據(jù)為中心的安全體系。金融機(jī)構(gòu)應(yīng)結(jié)合網(wǎng)絡(luò)安全與數(shù)據(jù)安全,構(gòu)建以數(shù)據(jù)為中心的安全防護(hù)體系。這包括加強(qiáng)數(shù)據(jù)防泄漏、數(shù)據(jù)安全治理、數(shù)據(jù)安全審計(jì)培養(yǎng)數(shù)據(jù)安全人才。金融機(jī)構(gòu)應(yīng)重視數(shù)據(jù)安全人才的培養(yǎng)和引進(jìn),通過內(nèi)部培訓(xùn)、外部引進(jìn)等方式,提升員工的數(shù)據(jù)安全意識和技能。金融數(shù)據(jù)安全是維護(hù)金融市場穩(wěn)定和保護(hù)消費(fèi)者權(quán)益的重要保障。面對日益嚴(yán)峻的數(shù)據(jù)安全挑戰(zhàn),金融機(jī)構(gòu)必須采取有效措施,提升整體安全防護(hù)能力,以應(yīng)對不斷變化的安全威脅。~~22~(九)基于全流量數(shù)據(jù)的金融網(wǎng)絡(luò)安全技術(shù)創(chuàng)新與應(yīng)用實(shí)踐金融作為國家關(guān)鍵基礎(chǔ)設(shè)施行業(yè)一直都是網(wǎng)絡(luò)攻擊重點(diǎn)目標(biāo)。在過去的十多年中,各金融機(jī)構(gòu)充分利用攻防演練實(shí)戰(zhàn)活動不斷提升自身網(wǎng)絡(luò)安全安全運(yùn)營金融行業(yè)的網(wǎng)絡(luò)安全體系日臻成熟和然而,在面向更高水準(zhǔn)的網(wǎng)絡(luò)安全建設(shè)要求和"降本增效"背景下,各金融機(jī)構(gòu)在現(xiàn)有網(wǎng)絡(luò)安全體系中很難找到有效的落地手段。同時(shí),各大金融機(jī)構(gòu)數(shù)據(jù)中心網(wǎng)絡(luò)的南北關(guān)鍵區(qū)域及云邊界均部署了大量"全流量設(shè)備",網(wǎng)絡(luò)全流量數(shù)據(jù)是非常龐大和豐富的數(shù)據(jù)源,但僅僅被用來進(jìn)行流量特征檢測和事件溯源,則是極大的資源浪費(fèi)。針對這些行業(yè)痛點(diǎn)和難點(diǎn),科來積極配合頭部金融機(jī)構(gòu),充分挖掘網(wǎng)絡(luò)全流量數(shù)據(jù)潛力,圍繞1、在傳統(tǒng)網(wǎng)絡(luò)資產(chǎn)管理中,更關(guān)注的是資產(chǎn)的"靜態(tài)"屬性,如組件、服務(wù)、漏洞等,缺乏對資產(chǎn)在網(wǎng)絡(luò)空間活動的感知能力。網(wǎng)絡(luò)資產(chǎn)監(jiān)測場景通過海量全流量數(shù)據(jù)主動梳理資產(chǎn),主動感知資產(chǎn)在網(wǎng)絡(luò)空間中的暴露面,建立資產(chǎn)的網(wǎng)絡(luò)空間立體行為畫像,實(shí)時(shí)監(jiān)測資產(chǎn)異常網(wǎng)絡(luò)行為,幫助安全團(tuán)隊(duì)建立主動的全局網(wǎng)絡(luò)空間資產(chǎn)動態(tài)視角,實(shí)現(xiàn)對網(wǎng)絡(luò)空間的"安全可觀測"能力。2、金融機(jī)構(gòu)存儲的數(shù)據(jù)量大、敏感性高,敏感數(shù)據(jù)傳輸監(jiān)測場景充分利用科來全流量探針解析的金融業(yè)務(wù)傳輸網(wǎng)絡(luò)元數(shù)據(jù),在不增加新資源投入的情況下,可在一套流量探針平臺上實(shí)現(xiàn)網(wǎng)絡(luò)安全敏感數(shù)據(jù)外泄或?yàn)E用事件后,能從L2-L7層還原事件全貌,幫助金融機(jī)構(gòu)更有效地完善自身數(shù)據(jù)安全建設(shè)。多層次防御系統(tǒng)是重要的戰(zhàn)略思考之一。全流量數(shù)據(jù)源在金融機(jī)構(gòu)安全技術(shù)創(chuàng)新中扮演著重要全流量數(shù)據(jù)的潛力,全流量數(shù)據(jù)的潛力,可有效提升金融機(jī)構(gòu)自身網(wǎng)絡(luò)空間的治理水平,保護(hù)用戶數(shù)據(jù)和資金的安全,持~23~2023年國內(nèi)金融領(lǐng)域打響了信創(chuàng)攻堅(jiān)戰(zhàn),銀行、證券、保險(xiǎn)行業(yè)對于IT基礎(chǔ)軟件中數(shù)據(jù)庫n產(chǎn)品的安全性、穩(wěn)定性和性能要求極高,國產(chǎn)化替代難度也非常大。作為承載數(shù)據(jù)的容器,數(shù)據(jù)庫與網(wǎng)絡(luò)安全相結(jié)合,才能保障金融領(lǐng)2023年2月,習(xí)近平總書記在中共中央政治局第三次集體學(xué)習(xí)時(shí)強(qiáng)調(diào),要打好科技儀器設(shè)備、操作系統(tǒng)和基礎(chǔ)軟件國產(chǎn)化攻堅(jiān)戰(zhàn),鼓勵(lì)科研機(jī)構(gòu)、高校同企業(yè)開展聯(lián)合攻關(guān),提升國產(chǎn)化替代水平和應(yīng)用規(guī)模。數(shù)據(jù)庫作為重要的基礎(chǔ)軟件和復(fù)雜的軟件工程,一款原始創(chuàng)新的數(shù)據(jù)庫產(chǎn)品往往需要幾十年巨額資金投入及技術(shù)積累才能逐漸成熟。國內(nèi)數(shù)據(jù)庫廠商普遍起步較晚,投入不足。如果國產(chǎn)數(shù)據(jù)庫產(chǎn)品在底層封裝了國外開源數(shù)據(jù)庫內(nèi)核,那么這類數(shù)據(jù)庫產(chǎn)品會存在開源協(xié)險(xiǎn)。從金融數(shù)據(jù)庫安全的角度出發(fā),終端用戶和科技部門應(yīng)加大開源數(shù)據(jù)庫治理力度,進(jìn)行安全風(fēng)險(xiǎn)防范。國內(nèi)數(shù)據(jù)庫廠商應(yīng)加強(qiáng)基礎(chǔ)研究,堅(jiān)持原始創(chuàng)新。只有產(chǎn)學(xué)研用聯(lián)動,才能徹底打贏金融數(shù)據(jù)庫關(guān)鍵技術(shù)卡脖子問題?？扑{(lán)軟件已經(jīng)與清華大學(xué)深入合作,成立u清華科藍(lán)先進(jìn)智能數(shù)據(jù)庫聯(lián)合研數(shù)據(jù)庫可以持續(xù)與互聯(lián)網(wǎng)保持7x24小時(shí)的鏈接,滿足金融領(lǐng)域數(shù)據(jù)庫綜合支撐能力的實(shí)際需求,并金融數(shù)據(jù)安全關(guān)乎國家安全。在加強(qiáng)網(wǎng)絡(luò)安全的基礎(chǔ)上,數(shù)據(jù)庫安全需要建立"選用管"配套制度。在金融數(shù)據(jù)庫選型層面,應(yīng)優(yōu)選安全可靠的國產(chǎn)數(shù)據(jù)庫,杜絕使用"披馬甲"的假國產(chǎn)數(shù)據(jù)庫。在金融數(shù)據(jù)庫的應(yīng)用層面,應(yīng)進(jìn)行分類分級管理,根據(jù)不同應(yīng)用場景選擇相應(yīng)安全等級的數(shù)據(jù)庫。在金融數(shù)據(jù)庫綜合管理層面,建議主管單位摸清家底,建立金融領(lǐng)域國產(chǎn)數(shù)據(jù)庫登記和安全溯源制度,掌握金融數(shù)據(jù)庫應(yīng)用的實(shí)際情況并建立臺賬,對于不符合安全標(biāo)準(zhǔn)的數(shù)據(jù)庫產(chǎn)品進(jìn)行替換。建立一整套國產(chǎn)數(shù)據(jù)庫選型、應(yīng)用、管理和安全追溯制度,有利于保障金融領(lǐng)域的數(shù)據(jù)安全。~~24~(—)安全服務(wù)品牌推薦及項(xiàng)目案例~25~某農(nóng)商行基于實(shí)戰(zhàn)攻防的一體化網(wǎng)絡(luò)安全運(yùn)營服務(wù)案例某農(nóng)商行為了提高信息系統(tǒng)安全以及信息系統(tǒng)密碼應(yīng)用安全,降低信息科技風(fēng)險(xiǎn),確保系統(tǒng)穩(wěn)定運(yùn)行,滿足《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國密碼法》等相關(guān)法律要求,邀請具有漏等一系列一體化的網(wǎng)絡(luò)安全服務(wù)。作變得主次不清;對全網(wǎng)絡(luò)幾十個(gè)業(yè)務(wù)系統(tǒng)開展?jié)B透測試,全方位識別安全脆弱性和風(fēng)險(xiǎn);對個(gè)人網(wǎng)上銀行、企業(yè)網(wǎng)上銀行等重要的信息系統(tǒng)開展電子銀行滲透測試,強(qiáng)化供應(yīng)鏈安全和源代碼安全;對重要的業(yè)務(wù)系統(tǒng)開展等保測評與商用密碼安全性評估工作,針對密改難點(diǎn)問題進(jìn)行專家研討;為了確保安全服務(wù)的高效進(jìn)行,公司采用了懸賞競賽的方式。在這種模式下,將發(fā)現(xiàn)的安全問題分為高危、中危和低危三個(gè)等級,并對應(yīng)設(shè)置不同額度的獎勵(lì)賞金。這一機(jī)制不僅激發(fā)了測試人員的積極性,還確保了問題被徹底排查。同時(shí),執(zhí)行嚴(yán)格的監(jiān)控措施,確保滲透測試過程受控,最大限度地降低了潛在的風(fēng)險(xiǎn);通過既有安全產(chǎn)品加持,利用一系列工具,建立主動防御和聯(lián)防聯(lián)控機(jī)制,針對疑難問題進(jìn)行專眾所周知,金融機(jī)構(gòu)安全防護(hù)手段相對齊備,滲透攻擊難度較大。公司連續(xù)多年成為該銀行安全眾測單位,多年來已經(jīng)累積發(fā)現(xiàn)數(shù)百個(gè)高等級安全威脅隱患。滲透團(tuán)隊(duì)利用公司自主研發(fā)的北實(shí)正劍·自動化滲透系統(tǒng)對目標(biāo)網(wǎng)絡(luò)和信息系統(tǒng)開展深度滲透測試和漏洞挖掘,發(fā)現(xiàn)高價(jià)值安全漏洞,持續(xù)推動客戶安全開發(fā)、安全運(yùn)維、安全應(yīng)急響應(yīng)能力提升。該系統(tǒng)核心技術(shù)已取得多項(xiàng)專利授權(quán),搭載原創(chuàng)漏洞載荷,基于自研的自動化引擎,精準(zhǔn)挖掘積累27000+資產(chǎn)指紋、400+安全漏洞載荷和34萬+動態(tài)映射庫,自動化開展信息收集、漏洞發(fā)現(xiàn)等工作,為網(wǎng)絡(luò)安全滲透測試人員提供全過程的自動化支撐,平臺攻克了基于PPW三層架構(gòu)的滲透框架引擎、基于工作流的并發(fā)測試、基于漏洞特征的自定義載荷加載、基于動態(tài)映射庫的測試用例收斂等多項(xiàng)核心技術(shù),實(shí)現(xiàn)了通過自動化滲透系統(tǒng)替代人工開展?jié)B透測試,將單一系統(tǒng)的滲透測試時(shí)間從數(shù)天縮減到十幾分鐘,解決了人工測試效率低、公司在服務(wù)過程中,發(fā)揮作為第三方服務(wù)機(jī)構(gòu)具有的天然生態(tài)聚集效應(yīng),身份中立,以裁判員、教練員的視角為信息化建設(shè)保駕護(hù)航。博采眾長,整合眾多網(wǎng)絡(luò)安全廠家優(yōu)秀地安全產(chǎn)品作為服務(wù)工具為用戶帶來優(yōu)質(zhì)的服務(wù)。沒有產(chǎn)品色彩與包袱,可更好地追求安全本質(zhì),通過優(yōu)質(zhì)的服務(wù)而不是過度依賴產(chǎn)品,讓用戶享用更加高效、更具性價(jià)比的網(wǎng)絡(luò)安全服務(wù)。北方實(shí)驗(yàn)室(沈陽)股份有限公司是一家以網(wǎng)絡(luò)安全服務(wù)和信息技術(shù)咨詢服務(wù)為主營業(yè)務(wù)的信息技術(shù)服務(wù)提供商,是國家專精特新"小巨人"企業(yè)、國家中小企業(yè)公共服務(wù)示范平臺、國家高新技術(shù)企業(yè)、瞪羚企業(yè),依托自有智能滲透攻擊、主機(jī)攻擊監(jiān)測預(yù)警等核心技術(shù),聚焦電子政務(wù)、金融、能源、電信、交通、軍工等信息化工程重點(diǎn)領(lǐng)域,致力于為客戶提供覆蓋信息化工程建設(shè)全生命周期的綜合性、跨階段、一體化的第三方網(wǎng)絡(luò)安全服務(wù)與信息技術(shù)咨詢服務(wù)。~27~(二)數(shù)據(jù)安全品牌推薦及項(xiàng)目案例~28~某國有大型商業(yè)銀行終端數(shù)據(jù)泄漏防護(hù)案例本次終端數(shù)據(jù)安全治理前,行方已部署終端管理、防病毒等安全軟件,但終端數(shù)據(jù)安全泄漏防護(hù)效果甚微。傳統(tǒng)終端DLP產(chǎn)品性能消耗大,經(jīng)常導(dǎo)致電腦卡頓,影響工作開展,由于未篩選出匹配需求的終端DLP產(chǎn)品,行方數(shù)據(jù)中心只能依靠人力進(jìn)行管理,針對幾十萬臺終端電腦數(shù)據(jù)資產(chǎn)合規(guī)管理明顯力不從心。在202l年銀保監(jiān)會的常規(guī)檢查中,行方因數(shù)據(jù)管理粗放、制卡數(shù)據(jù)違規(guī)明文存儲等問題,被處以罰款并責(zé)令限期整改。我司協(xié)助行方開展終端敏感數(shù)據(jù)安全整治,結(jié)合行方自身數(shù)據(jù)安全需要以及監(jiān)管機(jī)構(gòu)對行業(yè)數(shù)據(jù)安全監(jiān)控要求,解決辦公終端以及其它應(yīng)用軟件傳送敏感數(shù)據(jù)可能產(chǎn)生的泄漏風(fēng)險(xiǎn),建立健全數(shù)據(jù)安全相關(guān)管理制度,并建設(shè)推廣終端數(shù)據(jù)防泄漏(DLP)系統(tǒng),在全行范圍內(nèi)約46萬臺win辦公終端、5萬臺信創(chuàng)終端、4萬臺生產(chǎn)終端實(shí)現(xiàn)數(shù)據(jù)防泄漏的統(tǒng)籌建設(shè)和統(tǒng)一管理,依托終端DLP系統(tǒng)組織開展客戶個(gè)人敏感數(shù)據(jù)集中整治,對辦公終端文件開展u全方位、無死角n掃描,刪除大量非必要文件,在全行打了一場風(fēng)險(xiǎn)殲滅戰(zhàn)"。為支撐行方管理需求,本項(xiàng)目采用分布式、分級、高可用部署方案。經(jīng)整治,個(gè)人客戶信息泄漏風(fēng)險(xiǎn)得到全面壓降。對確需留存的少量文件,實(shí)施"管理+技術(shù)"雙管控,實(shí)行兩級主管審批,涉敏文件整體壓降率超99%。行方給予評價(jià)"貴司協(xié)助行方完成敏感數(shù)據(jù)'掃描一通報(bào)—核實(shí)—清理'常態(tài)化閉環(huán)管理機(jī)制的推廣,對終端DLP系統(tǒng)應(yīng)用模式上進(jìn)行了革新,改變了行方終端安全管理模式,能夠支撐行方常態(tài)化u解決了只能被動接受監(jiān)管檢查,不能主動自查自處理的問題。u創(chuàng)新終端數(shù)據(jù)安全管理模式,實(shí)現(xiàn)了數(shù)據(jù)安全全員參與,明顯緩解安全管理部門的管理難度u利用可視化技術(shù)進(jìn)行呈現(xiàn)資產(chǎn)分布、敏感數(shù)據(jù)流轉(zhuǎn)等情況,幫助行方全面掌握全網(wǎng)數(shù)據(jù)安全綠盟科技集團(tuán)股份有限公司(以下簡稱綠盟科技)成立于2000年44月,總部位于北京。公司于個(gè)分支機(jī)構(gòu)。綠盟科技在數(shù)據(jù)安全領(lǐng)域有著完備的產(chǎn)品和服務(wù)體系。在金融行業(yè),綠盟科技在數(shù)據(jù)分類分級、數(shù)據(jù)安全風(fēng)險(xiǎn)評估、管理體系咨詢以及分級管控措施落地方面積累了顯著的差異化優(yōu)勢。u綠盟深耕金融行業(yè)多年,專業(yè)團(tuán)隊(duì)研究國家和金融監(jiān)管要求,可為客戶提供可落地的規(guī)劃及u在數(shù)據(jù)分類分級方面,綠盟積累了國有大行、股份制行、省聯(lián)社、城商行等落地實(shí)踐經(jīng)驗(yàn),同時(shí)可實(shí)現(xiàn)自動化分級管控,協(xié)助客戶做好技防管控。u以數(shù)據(jù)流轉(zhuǎn)及共享交換的安全為重點(diǎn),構(gòu)建基于分類分級的數(shù)據(jù)流轉(zhuǎn)監(jiān)控和審計(jì)的數(shù)據(jù)安全保障體系;以數(shù)據(jù)安全合規(guī)為基礎(chǔ),數(shù)據(jù)交換、共享、流轉(zhuǎn)提供安全基礎(chǔ)設(shè)施。在金融安全領(lǐng)域,綠盟科技專注金融行業(yè)的信息安全研究,持續(xù)跟蹤信息安全發(fā)展趨勢,不斷地需求的產(chǎn)品和服務(wù),并在企業(yè)攻防演練、企業(yè)員工內(nèi)部安全意識教育等運(yùn)維和管理方面提供相關(guān)服務(wù),某頭部證券公司基于信創(chuàng)的數(shù)據(jù)安全建設(shè)案例隨著信息化建設(shè)的發(fā)展,證券行業(yè)企業(yè)都已經(jīng)建立了比較完備的信息化系統(tǒng)。但部分業(yè)務(wù)數(shù)據(jù)、僅給企業(yè)客戶帶來財(cái)產(chǎn)損失,也影響證券公司自身品牌聲譽(yù),甚至給整個(gè)金融行業(yè)的秩序帶來不確定性和不穩(wěn)定性,可謂u牽一發(fā)而動全身"。合規(guī)、安全,防止個(gè)人信息的泄露、篡改、丟失"等。網(wǎng)絡(luò)DLP在該證券企業(yè)內(nèi)部的部署為旁路(鏡像)模式。網(wǎng)絡(luò)鏡像位于網(wǎng)絡(luò)出口點(diǎn),支持650MHTTP、FTP流量、IM流量。對非標(biāo)準(zhǔn)和專有協(xié)議的自定義監(jiān)控可通過通用TCP協(xié)議定義實(shí)現(xiàn)。網(wǎng)絡(luò)鏡像可被動檢查網(wǎng)絡(luò)流量,并在敏感信息離開網(wǎng)絡(luò)之前對其進(jìn)行檢測(覆蓋所有網(wǎng)絡(luò)協(xié)議和內(nèi)容類型),使企業(yè)能提前預(yù)知數(shù)據(jù)泄漏風(fēng)險(xiǎn)。具體實(shí)現(xiàn)方式如下:檔。網(wǎng)絡(luò)鏡像模式還可以監(jiān)控文件加密的使用情況和類型,包括檢測是否未經(jīng)授權(quán)而使用加u可以通過網(wǎng)絡(luò)鏡像掃描離開組織的所有數(shù)據(jù)以檢查是否傳輸了敏感數(shù)據(jù)和不合規(guī)內(nèi)容,實(shí)時(shí)發(fā)現(xiàn)敏感數(shù)據(jù)的傳輸并阻斷,防止敏感數(shù)據(jù)通過互聯(lián)網(wǎng)發(fā)送出去,同時(shí)將所有的違規(guī)操作記錄為日志,為事后審計(jì)提供依據(jù)。有效驗(yàn)證。天空衛(wèi)士的網(wǎng)絡(luò)DLP產(chǎn)品,采用旁路部署的方式,作用是對公司上網(wǎng)流量做監(jiān)控審計(jì),主要監(jiān)u大大地提高了公司Ir部門對于數(shù)據(jù)泄密風(fēng)險(xiǎn)的評估和預(yù)防能力。u有效地幫助公司快速地定位到責(zé)任人,并且獲得其違規(guī)的真實(shí)原因。u在使用了DLP系統(tǒng)一段時(shí)間后,公司的可疑違規(guī)事件得到有效的降低,敏感數(shù)據(jù)的泄密風(fēng)險(xiǎn)天空衛(wèi)士網(wǎng)絡(luò)數(shù)據(jù)防泄漏方案既可以幫助用戶對全集團(tuán)網(wǎng)絡(luò)外發(fā)數(shù)的據(jù)進(jìn)行深度審計(jì),防范集團(tuán)內(nèi)部與客戶機(jī)密敏感數(shù)據(jù)泄漏,又能夠全局記錄跟蹤數(shù)據(jù)外泄,提供證據(jù)留存與回溯能力,幫助用戶滿足國家法律法規(guī)與集團(tuán)安全合規(guī)性要求。北京天空衛(wèi)士網(wǎng)絡(luò)安全技術(shù)有限公司成立于2015年,是一家總部設(shè)立在北京經(jīng)濟(jì)技術(shù)開發(fā)區(qū)的數(shù)據(jù)安全技術(shù)企業(yè)。目前,天空衛(wèi)士擁有七大品類,近二十種數(shù)據(jù)安全產(chǎn)品。核心的產(chǎn)品有數(shù)據(jù)防泄露(datalosspreventionDLP)、云訪問安全代理(cloudaccesssecuritybrokercASB)、內(nèi)部威脅管理(insiderthreatmanagementITM)、移動接入網(wǎng)關(guān)(MobileAccessGatewayMAG)、統(tǒng)一內(nèi)容安全管理平臺(unifiedcontentsecu「eseve「Ucss)、增強(qiáng)型web安全網(wǎng)關(guān)(advancedsecurewebgatewayASWG)、增強(qiáng)型郵件安全網(wǎng)關(guān)(advancedsecureemaillgatewayASEG)、數(shù)據(jù)安全掃描儀(datasecurityscannerDSS)、應(yīng)用數(shù)據(jù)安全審查平臺(unifiedcontentwebserviceinspectorucwI)、云安全平臺(gatorcloud)、數(shù)據(jù)安全治理自動化平臺(datasecurityautomatedgovernanceDSAG)。者名單,并且是亞太唯——家在2018-2023年5次入選GartnerE-DLP全球企業(yè)級數(shù)據(jù)防泄露指南的中國企業(yè)(2019年Gartner未發(fā)布此報(bào)告)。~32~(三)開發(fā)安全品牌推薦及項(xiàng)目案例~33~~34~某股份制銀行開發(fā)安全技術(shù)支持平臺案例某股份制銀行有大量的應(yīng)用程序,包括網(wǎng)站、移動應(yīng)用、內(nèi)部系統(tǒng)等。一方面不同的團(tuán)隊(duì)開發(fā),使用不同的編程語言和技術(shù)棧,導(dǎo)致管理和維護(hù)安全性變得復(fù)雜;另一方面,在敏捷開發(fā)和研發(fā)運(yùn)維一體化模式下,開發(fā)和部署的速度顯著加快,但安全活動難以跟上節(jié)奏,給開發(fā)活動帶來阻力,增加了銀行面臨的安全風(fēng)險(xiǎn)。在這樣的背景下,銀行迫切需要一種綜合的、高效的安全解決方案,以提升安全開發(fā)成熟度水平,加強(qiáng)安全活動效率,降低安全風(fēng)險(xiǎn)。比領(lǐng)科技與銀行深入溝通,了解其安全需求、業(yè)務(wù)特點(diǎn)和現(xiàn)有安全情況,制定以安全平臺為核心的項(xiàng)目目標(biāo)。通過部署安全平臺,結(jié)合必要的安全服務(wù),在銀行擁有龐大且復(fù)雜的應(yīng)用生態(tài)系統(tǒng)的情況下,簡化安全管理,幫助銀行匯總安全能力、流程和數(shù)據(jù),減少了信息孤島和重復(fù)勞動,提高效率階段,幫助銀行全面地發(fā)現(xiàn)安全問題,并加速安全漏洞的修復(fù)過程。第二階段的主要工作是通過安全平臺的應(yīng)用安全編排技術(shù)自動化執(zhí)行安全活動。安全平臺將不同安全測試工具的數(shù)據(jù),發(fā)現(xiàn)的安全漏洞與具體的應(yīng)用程序相關(guān)聯(lián),相關(guān)漏洞歸類為同一個(gè)安全問題自動化生成測試報(bào)告和提供修復(fù)建議,提高了安全測試的效率和準(zhǔn)確性有助于銀行更全面地理解安全威脅的全貌,并采取相應(yīng)的措施進(jìn)行修復(fù)和改進(jìn)。第三階段的主要工作是通過安全平臺的漏洞優(yōu)先級技術(shù)識別出最緊急的安全問題,避免將所有漏洞一視同仁,導(dǎo)致資源分配不當(dāng)?shù)膯栴}。漏洞優(yōu)先級技術(shù)結(jié)合了漏洞的嚴(yán)重程度、影響范圍和可能被利用的概率等因素,再結(jié)合外部威脅情報(bào)綜合計(jì)算安全風(fēng)險(xiǎn),為銀行提供了一種有效的漏洞修復(fù)優(yōu)先級排序方式。通過漏洞優(yōu)先級技術(shù),銀行能夠快速確定哪些漏洞最需要優(yōu)先解決,從而有效地分配資源,降低安全風(fēng)險(xiǎn)。通過安全平臺,銀行有效提升了安全開發(fā)成熟度水平,提高了安全測試工具的使用效率,降低了安全風(fēng)險(xiǎn),讓安全與業(yè)務(wù)交付保持統(tǒng)一速度。u首先,銀行提升了安全開發(fā)成熟度水平。銀行的安全開發(fā)流程得到了優(yōu)化和加加強(qiáng)開發(fā)團(tuán)隊(duì)的安全意識,提高開發(fā)流程的規(guī)范性和質(zhì)量,從而提升了整體的安全開發(fā)成熟u其次,銀行提高了安全測試工具的使用效率。安全平臺的自動化漏洞掃描和關(guān)聯(lián)分析功能極建議等功能,減少了人工干預(yù)和手動操作的需求,加速了安全問題的發(fā)現(xiàn)和解決過程。u此外,銀行降低了安全風(fēng)險(xiǎn)。銀行能夠更及時(shí)地發(fā)現(xiàn)和修復(fù)安全漏洞,優(yōu)先處理最嚴(yán)重的安全問題,從而降低了面臨的安全風(fēng)險(xiǎn)和潛在的損失。同時(shí),安全平臺的自動化漏洞掃描和關(guān)聯(lián)分析功能有助于銀行更全面地理解安全威脅的全貌,提前采取防范措施,減少安全事件的比領(lǐng)科技是行業(yè)優(yōu)秀的軟件安全解決方案供應(yīng)商,面向企業(yè)客戶提供覆蓋軟件生命周期的安全產(chǎn)品。在一個(gè)被軟件定義的世界,比瓴致力于幫助客戶快速交付安全、合規(guī)、可信賴的軟件,讓安全比瓴科技當(dāng)前三大應(yīng)用安全產(chǎn)品線,分別是領(lǐng)域、領(lǐng)知、領(lǐng)鏡。其中領(lǐng)域產(chǎn)品線為平臺類產(chǎn)品,應(yīng)用安全態(tài)勢管理系統(tǒng)(ASPM)提供了以應(yīng)用資產(chǎn)風(fēng)險(xiǎn)為視角的應(yīng)用安全畫像能力;安全開發(fā)管理系統(tǒng)(SDLM)則提供了安全開發(fā)全流程的管控功能,提高安全開發(fā)管理效率。領(lǐng)知產(chǎn)品線主要為應(yīng)用安全威脅建模系統(tǒng)(TMA),以比領(lǐng)科技強(qiáng)大的安全專家團(tuán)隊(duì)提供的安全開發(fā)知識庫為基礎(chǔ),幫助客戶快速開展安全威脅建模工作。瓴鏡產(chǎn)品線提供了對應(yīng)用代碼和程序的安全檢測工具,分分析系統(tǒng)(SCA)、交互式應(yīng)用安全檢測系統(tǒng)(IAST)、源代碼安全審計(jì)系統(tǒng)(SAST)。發(fā)過程生命周期相關(guān)的安全咨詢及安全服務(wù)。截止目前,比瓴科技為金融、互聯(lián)網(wǎng)、運(yùn)營商、工業(yè)制造、交~35~某銀行Al大模型賦能開發(fā)安全與效能提升案例該銀行業(yè)務(wù)主要在線上開展,有大量的業(yè)務(wù)系統(tǒng)待開發(fā)維護(hù),對迭代響應(yīng)速度要求高。雖然該銀強(qiáng),對該銀行開發(fā)安全能力及研發(fā)效能提出新的要求。該銀行面臨的主要痛點(diǎn)包括代碼質(zhì)量與安全合 (軟件成分分析)技術(shù)與當(dāng)前熱門的人工智能大語言模型進(jìn)行深度融合,對大模型進(jìn)行微調(diào)、訓(xùn)練和優(yōu)化,形成海云安智乘Al大模型。以智乘Al大模型作為基座進(jìn)行支撐,形成一套在IDE中給開發(fā)人員使用的開發(fā)者安全智能助手,極大地降低了源代碼檢測結(jié)果的誤報(bào),通過實(shí)時(shí)生成缺陷成因解釋,生成漏洞修復(fù)建議代碼,加快漏洞修復(fù)閉環(huán),根據(jù)上下文自動補(bǔ)全代碼提升編碼效率,通過智能交互式問答功能快速解答各類與研發(fā)、安全相關(guān)的問題。在開發(fā)編碼階段,開發(fā)者安全智能助手在安全、合規(guī)、質(zhì)量、效能四個(gè)方面為該銀行提供全方位賦能,極大地提升了研發(fā)安全能力與研發(fā)效能。開發(fā)者安全智能助手分為IDE客戶端、SAST&SCA檢測管理端和LLLM服務(wù)器三部分。IDE客戶端主要實(shí)現(xiàn):左移代碼安全檢測實(shí)時(shí)源代碼和組件安全檢測,發(fā)現(xiàn)安全漏洞。左移合規(guī)碼可讀性、可維護(hù)性、健壯性等。提升研發(fā)安全效能Al降低誤報(bào)率,自動生成修復(fù)代碼,智能交互式問答,提升研發(fā)效率。發(fā)現(xiàn)和修復(fù)閉環(huán),有效節(jié)約10%的成本;軟件安全與合規(guī)水平,安全每一行代碼有抓手,提升開發(fā)者效能;是Al降低誤報(bào)和精準(zhǔn)缺陷代碼定位及漏洞修復(fù)能力;萬+,通過融合SAST、SCA與Al大語言模型,漏洞檢測準(zhǔn)確率提升90%,千行代碼漏洞率下降50%,開發(fā)者編碼效率提升35%,漏洞修復(fù)成本降低40%,整體研發(fā)效能提升10%o深圳海云安網(wǎng)絡(luò)安全技術(shù)有限公司成立于2015年,是一家專注于安全左移的國家專精特新"小巨人"企業(yè)。秉承"成就安全美好的數(shù)字化命,海云安提出了"左移開發(fā)安全,右拓安全運(yùn)營"的思想,專注于提供安全左移系列工具、平臺方案,將安全和數(shù)據(jù)合規(guī)從傳統(tǒng)的右移模式轉(zhuǎn)變?yōu)樽笠颇Ｊ?在軟件開發(fā)的早期階段就引入安全和合規(guī)措施,提高安全保護(hù)能力,降低安全合規(guī)成本,降本增效。~37~(四)零信任品牌推薦及項(xiàng)目案例~38~某證券機(jī)構(gòu)應(yīng)用層零信任安全接入案例某證券公司是一家綜合類上市證券公司,是中國證券監(jiān)督管理委員會核準(zhǔn)的七家合規(guī)試點(diǎn)證券公司之一。公司現(xiàn)有客戶超過30萬戶,托管的證券市值和保證金超過280億元。目前在全國各地設(shè)置了多個(gè)分支機(jī)構(gòu)、子公司、營業(yè)網(wǎng)點(diǎn)等,辦公人員身份來源多樣化,公司業(yè)務(wù)系統(tǒng)掌握著大量數(shù)據(jù)信息,公司對內(nèi)部數(shù)據(jù)安全的保護(hù)工作尤為重視,需要加強(qiáng)企業(yè)內(nèi)部的數(shù)據(jù)安全管控能力。并且近年來隨著互聯(lián)網(wǎng)的逐漸普及,證券公司的邊界安全防護(hù)模型也逐漸失效,大量業(yè)務(wù)需要在互聯(lián)網(wǎng)端開展,此時(shí)如存在對外暴露的系統(tǒng),黑客可直接針對相關(guān)系統(tǒng)發(fā)起攻擊。此外,公司還需要在保障辦公系統(tǒng)安全性的同時(shí),不給業(yè)務(wù)部門增加安全負(fù)擔(dān),保障業(yè)務(wù)可以時(shí)刻連續(xù)、高效地開展。以業(yè)務(wù)為中心的應(yīng)用層零信任技術(shù)架構(gòu)設(shè)計(jì)原則包括采用應(yīng)用層的零信任技術(shù)、將業(yè)務(wù)身份作為基礎(chǔ)、基于上下文進(jìn)行訪問控制、采用統(tǒng)一身份和訪問管理系控和響應(yīng)。能夠基于業(yè)務(wù)身份,在每一次資源訪問過程中,使用默認(rèn)阻斷的方式,只有通過可信驗(yàn)證確認(rèn)的訪問者身份,才會被轉(zhuǎn)發(fā)到業(yè)務(wù)系統(tǒng)上?？梢源_保受保護(hù)的資源只能被經(jīng)過授權(quán)的用戶或設(shè)備訪問,以及在訪問過程中提高安全可見性,從而提高企業(yè)的業(yè)務(wù)安全防護(hù)能力以及數(shù)據(jù)安全性。平臺使用獨(dú)立部署模式,支持本地化部署云端部署,或是與企業(yè)的K8S、容器環(huán)境融合,實(shí)現(xiàn)全場景的部署和使用。持安自主研發(fā)高可用架構(gòu),可收斂所有訪問入口,分布式就近訪問,具備低延時(shí)u數(shù)據(jù)平面:以網(wǎng)關(guān)的形式部署在機(jī)房,通過部署四層與七層網(wǎng)關(guān),將集團(tuán)設(shè)備進(jìn)行統(tǒng)一管理,收斂業(yè)務(wù)暴露面,保障了接入設(shè)備的安全管控,對接入設(shè)備進(jìn)行了有效的身份鑒別、安全基線等。保證了業(yè)務(wù)訪問的安全,也提升了用戶的使用體驗(yàn)。u控制平面:可視化的平臺,可一鍵調(diào)配適合企業(yè)的安全策略,讓安全可見、可感、可控。企業(yè)基礎(chǔ)架構(gòu)承載零信任改造后,全員無感知接入、業(yè)務(wù)訪問不區(qū)分內(nèi)外網(wǎng),且兼顧了效率和安全,幫助用戶實(shí)現(xiàn)應(yīng)急響應(yīng)速度提高300%,攻擊事件減少99%等目標(biāo):u數(shù)據(jù)安全性提高:采用了應(yīng)用層零信任技術(shù),通過對用戶身份認(rèn)證、權(quán)限管理和數(shù)據(jù)加密等多種措施,保障了數(shù)據(jù)安全性,降低了風(fēng)險(xiǎn)。u互聯(lián)網(wǎng)暴露面收斂:通過應(yīng)用的統(tǒng)一發(fā)布、統(tǒng)一管理,使部分原本發(fā)布在公網(wǎng)訪問的業(yè)務(wù)系統(tǒng),統(tǒng)一收縮到了零信任SDP網(wǎng)關(guān)后,對外僅暴露了應(yīng)用網(wǎng)關(guān)的端口,減少了暴露在互聯(lián)網(wǎng)上的安全風(fēng)險(xiǎn)和暴露面,經(jīng)驗(yàn)證,無法掃描識別。u用戶體驗(yàn)提升:通過對接現(xiàn)有的統(tǒng)一身份認(rèn)證,實(shí)現(xiàn)了一站式用戶認(rèn)證、應(yīng)用訪問、授權(quán)和審計(jì)等功能,使用戶可以通過一個(gè)入口、一次認(rèn)證實(shí)現(xiàn)所有應(yīng)用的登錄和訪問;終端提供了強(qiáng)大的自運(yùn)維能力,通過下發(fā)基線修復(fù)腳本,員工可在終端實(shí)現(xiàn)"一鍵修復(fù)"。u部署靈活簡潔:支持本地、云和混合部署等多種部署方式,根據(jù)具體場景和需求進(jìn)行選擇。u擴(kuò)展性、可靠性好:采用了云原生、微服務(wù)化的設(shè)計(jì)理念,產(chǎn)品可拆分為多個(gè)組件分別部署在不同的環(huán)境下,支持橫向和縱向擴(kuò)展,可以隨著業(yè)務(wù)需求的增長而快速擴(kuò)容和升級,所有的組件均支持高可用及負(fù)載均衡,提高了系統(tǒng)的可用性和穩(wěn)定性。u終端安全防御能力強(qiáng):終端提供的EDR能力,通過服務(wù)端配置的基線,支持對惡意攻擊和漏洞利用等多種威脅進(jìn)行告警、攔截,同時(shí)與網(wǎng)關(guān)聯(lián)動,提高了終端接入的安全性。持安科技擁有9年零信任落地經(jīng)驗(yàn),2015年在國內(nèi)開啟甲方零信任實(shí)踐并全面落地。致力于站在業(yè)務(wù)視角,通過一體化平臺的方式,提供安全、高效、無感知的辦公方式o20222023年將金融業(yè)務(wù)作為主要業(yè)務(wù)增長方向,并成功簽約證券、基金、城商行、保險(xiǎn)等客戶,解決企業(yè)遠(yuǎn)程移動化/本地辦公安全、攻擊滲透、未知風(fēng)險(xiǎn)防護(hù)、數(shù)據(jù)安全和內(nèi)控風(fēng)險(xiǎn)問題。(五)網(wǎng)絡(luò)資產(chǎn)測繪與攻擊面管理品牌推薦及項(xiàng)目案例~41~~42~隨著西南地區(qū)X股份銀行(以下簡稱城商行)業(yè)務(wù)類型和范圍的不斷擴(kuò)張,伴隨而來的信息化建設(shè)和互聯(lián)網(wǎng)應(yīng)用業(yè)務(wù)系統(tǒng)在不斷落地和深化,數(shù)字資產(chǎn)的管理成為信息工作的關(guān)鍵焦點(diǎn)。數(shù)字資產(chǎn)面臨的潛在攻擊隱患和業(yè)務(wù)安全漏洞對城商行的業(yè)務(wù)穩(wěn)定運(yùn)行和經(jīng)營風(fēng)險(xiǎn)構(gòu)成了挑戰(zhàn),如何去發(fā)現(xiàn)和城商行作為所在地區(qū)金融行業(yè)的重點(diǎn)企業(yè),關(guān)為信息安全管理和建設(shè)的標(biāo)桿企業(yè),每年的攻防演練和實(shí)網(wǎng)攻防演習(xí)行動都被作為重點(diǎn)關(guān)注單位。一方面單位的管理責(zé)任很重,另一方面安全管理的能力提升卻仍然業(yè)務(wù)層都希望有更貼合信息安全實(shí)戰(zhàn)管理的平臺重構(gòu)安全管理能力。為確保系統(tǒng)正常運(yùn)行,降低業(yè)務(wù)風(fēng)險(xiǎn),提供高效的服務(wù)支持業(yè)務(wù)發(fā)展,必須從該銀行的數(shù)字資產(chǎn)攻擊面方面審視已知資產(chǎn)、未知資產(chǎn)、數(shù)字品牌、泄露數(shù)據(jù)等一系列可存在被利用的風(fēng)險(xiǎn)資產(chǎn),進(jìn)行擊面管理系統(tǒng)成為目前較為急迫的事務(wù)。通過部署攻擊面管理平臺,及時(shí)發(fā)現(xiàn)新增、變更、注銷的互聯(lián)網(wǎng)資產(chǎn),確保安全團(tuán)隊(duì)全面掌握本企業(yè)網(wǎng)絡(luò)資產(chǎn)暴露面,有效防范敏感信息泄露帶來的商譽(yù)風(fēng)險(xiǎn),防御對該城商行的信息系統(tǒng)安全入侵因?yàn)殂y行是對數(shù)據(jù)管理要求嚴(yán)格的企業(yè)用戶,本項(xiàng)目采用在銀行本地部署模式:將"主平臺、掃描節(jié)點(diǎn)"部署到本地,掃描數(shù)據(jù)也存儲在本地。u互聯(lián)網(wǎng)資產(chǎn)暴露面管理:基于分布式監(jiān)控源,對網(wǎng)上銀行、銀行關(guān)聯(lián)業(yè)務(wù)機(jī)構(gòu)、銀行系統(tǒng)軟件供應(yīng)鏈等相關(guān)Ir資產(chǎn)、域名、APP應(yīng)用、郵箱等互聯(lián)網(wǎng)資產(chǎn)進(jìn)行檢測,形成多維度的互聯(lián)網(wǎng)風(fēng)險(xiǎn)面的暴露報(bào)告,揭示城商行互聯(lián)網(wǎng)暴露面的真實(shí)情況。u敏感信息暴露檢測:監(jiān)控多平臺代碼泄露和文檔,包含Git、云盤、社區(qū)等,檢索與本城商行相關(guān)的信息暴露,并對數(shù)據(jù)進(jìn)行類型和風(fēng)險(xiǎn)標(biāo)記。u深度安全漏洞識別:銀行新上線業(yè)務(wù)如果有安全漏洞被不法分子利用,易造成提權(quán)獲取和散播敏感信息、主機(jī)被非法挖礦、主機(jī)淪為肉雞被利用等惡劣后果,通過定期掃描和驗(yàn)證系統(tǒng)漏洞及時(shí)發(fā)現(xiàn)并對網(wǎng)站進(jìn)行防御準(zhǔn)備,防范于未然。u可視化分析:通過自定義的數(shù)據(jù)看板、可配置的安全報(bào)表以及多維度的態(tài)勢大屏展示,全方位展示用戶環(huán)境的態(tài)勢情況。u本項(xiàng)目實(shí)施后,解決了城商行信息安全監(jiān)控資源大量投入的問題,信息安全管理部門按需調(diào)整自動化攻擊面檢測的時(shí)間周期、檢測方式,實(shí)現(xiàn)7x24小時(shí)自動化檢測,安全風(fēng)險(xiǎn)問題發(fā)現(xiàn)和解決u城商行通過落地攻擊面管理,通過攻擊者視角進(jìn)行檢查,把所有暴露出來的風(fēng)險(xiǎn)可能性完整u項(xiàng)目實(shí)施當(dāng)年,城商行被選定參與當(dāng)年的攻防演練活動,用戶在演練開始之前通過以攻擊隊(duì)視角、先于攻擊隊(duì)掌握可能攻入的突破口及攻擊路徑,從而做出針對性的修復(fù)和加固準(zhǔn)備。在整個(gè)攻防演練過程中做到了完全不失防、不丟分,獲得當(dāng)年的演練嘉獎。北京云科安信科技有限公司創(chuàng)立于2018年,創(chuàng)立之初就建立以技術(shù)創(chuàng)新驅(qū)動風(fēng)險(xiǎn)管理理念,基于自身對互聯(lián)網(wǎng)風(fēng)險(xiǎn)邊界的認(rèn)知和全新理解,提出了以風(fēng)險(xiǎn)為核心的全新安全邊界框架,發(fā)布了"數(shù)字風(fēng)險(xiǎn)邊界模型,并基于u數(shù)字風(fēng)險(xiǎn)邊界模型"及"一切風(fēng)險(xiǎn)管理的本質(zhì)是度量被防御目標(biāo)的變化"的認(rèn)知,打造了信息圖鑒系列產(chǎn)品矩陣。云科安信技術(shù)團(tuán)隊(duì)中超過90%的成員具備多年信息安全從業(yè)背景,在證券、銀行、保險(xiǎn)等金融行業(yè)有相當(dāng)數(shù)量的