《2024年中国金融行业网络安全案例集.docx》由会员分享,可在线阅读,更多相关《2024年中国金融行业网络安全案例集.docx(76页珍藏版)》请在课桌文档上搜索。
1、目录版权声明3免责声明13HU三4一、202侔中国金融行业网络安全研网告摘录5(一)2024年中国金融行业网络安全研究报告目录5(三)金融行业网络安全市场分析8(9)11()1二、金融行业网络安全思考与建议is(一)金融行业网络安全思考与建议15网全金融安全1(三)金融行业基于1.1.M的知识增强型砌建模实践17O仝Rli行业百T伫斗i115i日住庇0沿申老(五)金融网络安全未来发展趋势与战格一万物皆数19(六)新范式;金融行业数据安全访问的最佳实践20(七)基于金融行业数字化转型过程中移动智能下的安全思考21(九)基于流量数据的金融网络安全技术创新与应用实践-.23(十)消除数据除患,关注金
2、融行业安全稳定24三、金融行业网络安全优秀项目案例25(二)85全品牌推荐及项目案例28(三)开发安全品牌推荐及项目案例33零信任品牌推荐及项目案例38(五)网络资产测绘与攻击面管理品牌推荐及项目案例41(七)威胁管理品牌推荐及项目案例47(八)网络与基础架构安全品牌推荐与项目案例50(九)信息技术应用创新数据库品牌推荐及项目案例53四、金融行业网络安全专业项目案例56(二)数据安全项目案例68(三)开发后项目案例74(四)供应链安全项目案例84(六)项目案例94:(八)移SS项目案例108(11.)JU112(fM)司12)122(十二)号运营项目案例124(十三)业务安全项目案例130(十
3、E3)物联安5目案例.132(十五)信息U技术应用创目案例136五、.,4“一.3“八142(一)2024年中国金融行业网络安全市场全景图(见附件)142(二)2024年中国金融行业网络安全案例集编委会成员:142版权声明本报告由数说安全”和中国信息安全杂志联合出品(数说安全隶属于北京赛博英杰科技有限公司,中国信息安全杂志隶属于中国信息安全杂志社有限公司),报告著作权归北京奏博英杰科技有限公司、中国信息安全杂志社有限公司共同所有,报告中所有原创文字、观点、图片、表格均受中国知识产权法律法规保护.转载、摘编或利用其他方式使用本报告内容的,应向所有者双方取得书面授权,并注明来源:数说安全、中国信息
4、安全杂志违反上述使用的,将追究其;却聿责任。免责声明本报告中部分文字和数据采集于公开信息;市场雌通过CSRadar商业分析平台进行统计分析与模型估算获得;企业数据通过公开信息或访谈调研获得.数说安全对报告内容的准确性、完整性和可靠性尽显大努力的追求.由于研究方法和数据样本具有一定局限性,故在任何情况下,本报告中的信息或所表达的观点仅供客户作为簪考,不构成任何建议.本公司不对报告的数据及分析结论承担法律责任.前言合线.金融行业作为国家经济的核心支柱,正在面临若日益鱼杂严竣的网络安全挑战.因此深入研究和探讨金融行业的网络安全问题,不仅关乎金破行业的稳健运行,更关系到国家经济的安全和社会的正是基于这
5、样的背景,中国信息安全杂志与数说安全携手合作,联合调研推出本次金肥行业网络安全报告、案例集和全媛图等系列成果,旨在深入剖析中国金融行业网络安全的现状与趋势,为行业提供权威的研究和实践指导,共同开展这项意义深远的研究.我们深知,金融行业网络安全研究的豆杂性与重要性,因此,我们以严逆的科学态度,通过大量的数抿收集、深入的行业调研和箱准的案例分析,力求呈现出一份全面、深入且客观的研究报告.我们还精心端撰了2024年中国金融行业网络安全研究报告和2024年中国金融行业网络安全案例集,旨在剖析当前金融行业面临的网络安全现状,探讨潜在的新风险和新问题,并提出切实可行的研究分析和产业解析.报告不仅榛理了金融
6、行业网络安全的发展历程,还深入分析了行业内的典型案例,其中收录了众多金融企业在网络安全方面的创新实践和成功经验.我们相信,通过对研究报告的解读和经典案例的刖析,相关内容将为金融行业网络安全从业者提供宝货的借鉴,为金融行业的网络安全实践提供有益的参考.为了更直观地展示金融行业网络安全的技术全貌我正道利刷作了2024年中国金融行业网络安全市场全象图.这幅全景IS详细触了金融行业网络安全的技术架构,为专业人士提供了一个清淅的产业技术细分视角,有助于各方清晰了解网络安全技术的发展现状和未来趋势,为技术研发和应用提供指引.这一系列研究成果的推出,不仅是对金融行业网络安全现状的一次全面审视,更是对未来发展
7、趋挎的深入洞察.我们希望通过这些研究,为金网行业的网络安全建设提供有力的支持和指弓I,共同推动金融行业向更加安全、稳健的方向发展.在本次研究过程中,我们要感谢所有参与调研的金融行业监管部门、金网行业机构和产业界专家的鼎力支持,正是他们的积板参与,才使得这项研究能够如此深入和全面,同时,我们也要感谢广大读者对中国信息安全杂志和数说安全的持续关注与支持.我们将一如既往地为行业提供高质房的内容#08及务,共同守沪网络空间的安全与稳定.我们深知,保障金融行业的网络安全任里道远,但我们坚信,通过持续的努力和创新,我们一定能够战胜各种以娥为金融行业的安全稳定发展构筑坚实的屏降.未来,我将继续关注金融行业网
8、络安全的动态,不断深化研究,为行业提供更加优质的服务和支持.让我们携手共进,为打造更加安全、可比的金融行业网络环境而努力奋斗!一、2024年中国金融行业网络安全研究报告摘录(一)2024年中国金融行业网络安全研究报告目录版权声明免责声明前含(一)主要发现(二)建议.7二、金融行业1(一)数字化改革深化,新技术的应用带来新威胁(二)流转加速诠问题迫在眉睫(三)业务互联性加深,供应链安全风睑不旷大.10(四)系统规模扩大,出怫率提升开发安全的重要111回去警檄不断完善,合棚城逐渐增力口(六)日益W杂的访问,要求更严格的身份和访12比)金豳4技广泛应用,豆杂性增强对业务安全提出更高的要求(八)业务全
9、球化带来的风险全球化1213三三过网mg分析14安全罚单数量及趋势分析14(二)网络安全罚单签发机构分析(三)被处罚金融机构类型分析.(四)监管机构重点关注领域分析1516四、金融行业网络安全19金融行业网络安全市场规模及增速.金融行业网络安全市场项目情况分析1920(三)三亍业项目则率分析2222(四)金融行业网络安全项目地域分布1.(二)金融行业科技发展趋势与安全挑战数字化改革深化,新技术的应用带来新威胁.在科技与金融深度整合的过程中,数字化彻底转变了金融业务的运作逻辑,网络安全风险成为了跟业务风起同等更要的议越.数据要素流加速,数据安全问题追在后睡.金融行业供应链安全风险不断扩大.随着业
10、务互联性加深,金融机构不得不依赖日益复杂的软件供应迹来支持其核心业务.这一发展趋势在为金融领域带来巨大的便利性和效率梃升的同时,也伴醺着软件供应链安全风睑的不断扩大,成为了业界的焦点和挑战.金融信息系统规模不断扩大,迭代频率持续提升,对应的是金融业务需求的不断增长和对限务质量的更高要求。但与此同时,开发安全的问题也日益亚要凸显,成为了行业发展的一大挑战.相关法律法规不断完善,合规成本和监管政策要求挑战逐渐增加.2.AMnSR,BAM*(W全价!力落.ABiaanmb美孑震欠*金开ttxaaXAAeauAfittiiiitA妥公安1K加H*R*oneBJCva0B4塔0ga用帆序交aaera)A
11、fltBtfCSXA:5,牛(MhSa自费(6nt三o国事ai2JG:HA*aa*ft*atrn.H.IAMMMi,一*NMlHm”必12023:n.ssssssstanaseR*,jrM:fl*“4UI43=IMM;、八,kA(*,k2S|);UI6me9S=flntta0BfiB*0aK:711工m.化*g.MlUifiHAUWII*4A1M);aUh念,*MWJ01M:IMi”*IJIJ*三Rn11WX.图1:20200.2023年金融行业网络安全政策法规日益豆杂的访问,要求更严格的身份和访问管理,通过风险评估、管理制度、员工培训、应急策略等多维度的不断提升,来构建完善的身份和访问管理体
12、系,防范访问行为带来的安全隐患,确保金融系统的安全稔定运行。变得更加审慎,因此增速逐年下降,其中,2023年第一季度的项目数量熠速为负.是最近四年的首次季度性负增长,2023年项目数量在第四季度的带动下实现了整体增长.43.48%37.16%3KOK图3:20202023年中国金电行业网络安全项目数量及变化趋势银行作为金融行业核心组成部分,网络安全项目采购数量约占整体的60%,对行业趋势有重要影响.受宏观环境影响,银行的网络安全项目采购增速率先下降,2023年仅增长3.8%.保险和证券行业则逮退项目补建以及安全规范逐渐完善的推动下,2022年出现增速回升,但随后也降至四年最氐.根据2024年一
13、季度的最新数据显示,银行和金融其他领域网络安全采购增速回升,而保险和证券的采购增速仍没有明显起色.图4:20202023年中国金融行业网络安全项目增速行业分布同时,在新兴的网络安全领域如API安全、攻击面管理和开发安全等方面,尽管目前的热度指数相对较低,但其增长速度却异常迅猛,说明金融行业在数字化转型过程中,对于新兴技术的安全需求日益增长.照若金曲科技的快速发展,金融机构越来越依赖于开放的APl接口、云计算服务和敏捺的开发环境,这无疑增加了新的安全风险点.因此对于APl安全、攻击面管理和开发安全等新兴领域的关注和投资,成为了金融机构保障业务连续性和数据安全的关键.此外,国家和行业层面的政策也在
14、推动这一趋势的发展.例如,监管部门对于金融科技的安全性提出了更高的要求,强调了金融机构在采用新技术时必顿确保风险可控.这促使金融机构在采购决策中更加至视这些新兴的安全产品,以满足监管要求并保护客户数据安全.琥着金融行业对新兴技术安全的雷视程度不断提升,预计这一趋势在未来几年将继续保持增长势头.API安全攻击而管理数抠泄五昉沪“a用防火堵开发安至容密安全云主机安全网络隔悬与单向导入、.云工作负载保护平台皂SS成的防御安做平台M常平日.终SS安全网络资产JS绘O-Eo网烙准入防毒墙入侵防御上网行为tt理数据安全管拄平台i数据分类分级taa51DD6Svpn日志审计敷宪库审计热度相数图6:2023年
15、中国金融行业网络安全典型产品热度指数1.(四)主要发现需求侧视角:金融行业的整体网络安全支出在2023年出现下降,高预纪低执行是主要原因.金融行业的安全体系建设对实战应对能力的要求不断增强,但合规性依然是其核心蛎动力.安全体系建设的阶段发生转变,建设更心由采购和建设,向安全运营转移,更关注安全能力的深度应用和内部整合。以国有商业银行、股份制银行和个别头部保睑公司为代表的头部金融机构,安全合规建设相对完首,目前安全建设的m点根据自身情况各有恻电其中数据安全和安全运营是关注最多的两个领域.小规模的各类金融机构,合规仍是主要建设驱动力,常态化的实网攻防演习和攻防演练也促进了他们对场景化安全能力的需求
16、,如外部攻击面管理、等信任访问接入等.从安全体系建设的方式来看,大规模金融机构的投入大、能力强,更倾向于自研或联合开发.小规模金融机构的安全投入有限、能力较弱,会更灵活地通过匏买产品及眼务的方式补足安全能力理板.漏洞管理、数据的安全使用、社工攻击、软件供应链攻击、业务逻辑安全风险是金地机构面临的五大主要安全难题.数据安全管理平台是当下建设的重点,目的是实现对数据泄漏的发现、防护溯源和定责.头部金融机构对Al赋能安全的关注度较高,告警的分析收敛是目前最大的需求场景。量子安全技术在密码领域正进行课煎探索和小规模试点,区块链技术的应用逐渐增多.主要金网机构目前的信创完成度在3O%5O%之间,大部分金
17、融机构计划在2027年完成信息化系统的信创改造工作.监管侧视角:监管机构的网络安全处罚力度不断加大,银行仍是监笆机构最关注的领域,90%的罚单处罚对象是银行.监管机构对个人信息保护的要求不断增强,相关罚单数想占网络安全罚单总数的70%0此外,展近三年农村金融机构收到的罚单数量明显增多.金融行业网络安全政策法规的更新和完善速度加快,政策制定者持续关注技术进步的最新动态,以确保网络安全监甘管理能够跟上技术发展的步伐.引入行动计划/提升计划”型网络安全政策,通过对未来几年的规划指导和激励措施,引导并激发金融机构更主动地进行网络安全建设.”供给侧视角:参与金融行业的网络安全厂商约260家,虽然综合型厂
18、商是主要的参与者,但在细分领域能提函该的技术、产品和服务的中小型厂商同样具备较强的竞争优势.安全厂商逐渐通过将服务和产品1打包销售的方式交付客户,以具体应用场景为切入点,帮助客户解决安全问题.二、金融行业网络安全思考与建议(一)金融行业网络安全思考与建议有物1O553三曲JS*SB金融行业具备国冢关基设施和国家经济推动器双更属性,是网络战和网络犯罪分子的重点目标。本文剖折了当前金融行业用户网络安全防护现状和挑战,有两个方面值得思考关注.一是普遍注亚外挂式旁路监测方案,缺少内生可信和密码应用方案,难以保障数提安全.随着等级保护制度逐步普及和实网攻防活动的开展,相当一部分金融客户在外部网箔边界堆圈
19、了许多安全防护设各,并在内网核心旁挂了许多流舞分析设智,甚至有的地方商业银行,态势感知类产品架设了6个主流安全厂商的探针,在生保时期,各个厂家出入蹲点看守自家设备,出现这种怪相,其实是缺少网络安全U三同步中的同步规划造成的,没有在系统规划阶段充分结合业务安全需求设计内生安全保障方案.因为前期没有合理规划,后期只能采用这种补丁、夕梃式的防护思路,因为这种方式对业务造成的影响是最小的.这既有信息安全部门相对业务部门的弱势的行业现实,也与厂商产品同质化有关,没有哪个产品是明显领先吊打其他的,每款产品都能发现一些其他产品发现不了的问题,索性就只能集合众家之长.殊不知,合理的网络区域隔罔、网络端口的策略
20、限制、基于空码技术的各类实体强身份认证等手段,完全可以使得监测告警率指数级降低.甚至随若国家大力推进国产商用密码技术的应用,这类旁挂式的设备未来将不得不面临下岗的夸境.果用可信、基于液码技术的应用网合应该受到各金融机构安全省理部门的正视,从新T弋产品规划就植入安全基因,才能在日益严峻的安全威胁态势下逐步掌握主动权.二是各单位普遍存在APl接口安全风险敞口大,缺少对历史存系统深度代码安全检测.因为前后台分离的开发方式,数以千计的API接口强露在网络中,存在相当多的越权.未授权、注入、生西泯洞等高危风睑,由于这些泯洞造成敏感信息泄露的案例屡见不鲜.这类攻击行为因为是执行了正常的业务调用,目前主流基
21、于攻击特征的监测告瞥装备往往无法发现.金融行业监管部门对于客户个人信息保护监管又异常严格,只要有个人信息泄露,通报问题级别至少是中风睑,这让很多机构苦恼不已,究典京因,开发人员不是遵从黑客攻击视角编写代码,代码存在漏洞在所难免,API接口的问画很大一个原因是历史存量系统代码安全审计工作未开展或流于形式,比如只通过代码审计工具跑一跑.缺少专业漏洞挖掘人员的人工审计,许多业务遗辑类的问题,目前工具无能为力,还是需要专业人员.以一地方城商行为例,历史建设的各类网络和系统数大概在100到150个系统左右.大量历史带烧上线,带耨运行的系统,MAPI风睑散口较大,应该得到生视并加以治理.(二)云网边端一体
22、安全,构筑金融安全底座6,口性华为技术有限公司安全产品领域瞬G随若人工智能.大数据、云计箕,物联网等新兴ICT技术的飞速发展,金融行业正向数字化、智能化迅猛迈进.近年来网络威胁日益增多,网络攻击高级化、豆杂化和持续化,针对金融关键信息基创设施的网络攻击、数据泄漏和勒索事件层出不穷,金融行业网络安全面临的风险和挑战愈加严峻.首先随存移动互联网技术的普及应用,金融关域信息基础设施在互联网上暴露持续增多,传统基于边界防御、部态规则匹配的防护手段存在诸多局限性已无法满足新形势下的网络安全需求,其次,针对金融机构的DDOS攻击、APT攻击、勒索攻击愈发猖虢2022年2月,乌克兰两家国有银行遭受DDOS攻
23、击,导致银行客户无法正常访问网上银行账户.最后,金融数字化转型,数据共享和流通将成为W胜业务需求,网络安全边界日益模翻,安全管控难度与泄烫风睑进一步扩大.为了应对金融行业的网络安全月康华为提出了“一体管理、一体分析、一体决策、一体处置梃设理念,通过云网边端的安全资源统一管理和策略统一配置,基于SASE的网安一体融合、统一零信任能力和一体化分析响应能力,构筑完整的U云网边端n统一安全体系,打造智能化的网络安全架构,实现风险实时检测、威胁主动研判、智能全局防控. 一体管理:通过统一管理平台,集中筐理所有的安全资源和能力,提高安全管理效率.统一制定、按需下发执行安全策略,确保所有安全策略的一致性和有
24、效性.整体降低网络安全运维和管理成本,提高企业的网络安全投资回报率. 一体分析:全面采集云、网络、终端多维威胁数据,云上云下数据协同,基于Al分析能力,提升砌分析准确率,安全态势全城统一呈现.基于*云网边端进行统一纳渔,设置唯一的安全运营中心,收集终端(含服务器)风险信息、网络流Ift信息、安全设备的日志信息等,提升安全事件分析的准确性 一体决策:基于对终端、网络、用户行为等多维风险数据,并结合位省、用户、时间等信息进行决策,实时动态调整授权或安全策略.从终端风险、网络流量异常和用户违规行为等维度,对终端和用户的风跄进行实时评估.基于多维的雨否结果,对终端或用户风险评分,结合终端或用户的身份对
25、只权限进行调整. 一体处53:云网边蜿.全局攻击溯源,威胁自动化处置.当识别到严重威胁时,需要立即确认,并对威胁进行遏制,以避免威胁进一步犷散.通过不同设爸之间的自动化协同联动,实现威胁分钟级快速定位,秒级快速处置的能力.面向未来华为安全持续与金融行业客户、伙伴共同探讨ICT基拙设施的发展方向,不断推出创新的安全产品与解决方案,匹配金融业务发展诉求,助力金融行业数智化转型。文烯骐1除比毓科技有限公司技术总监.:(三)金融行业基于1.1.M的知识增强型威胁建模实践醺看金融行业数字化转型的不断深入,金融机构面临有日益复杂且严竣的网络安全砌,有效的威胁建模对于金融机构至关更要.通过威胁建模,金融机构
26、可以全面了解可能对其安全性造成威胁的因素,从而采取相应的安全措施来降低风睑,保护垂要的资产和信息.然而,传统的威胁建模方法比较自杂,开展威胁建模工作往往困难且耗时,影响了金融机构及时采取应对措施的能力.勺微调,使得一个在此背景下,大语言模型(1.1.1.M)技术提供了良好的底座,通过针对安全理解安全行业知识的垂类模型可以发挥作用.然而实践过程中,其幻觉特点还是较为突出,生成式的内容在不允许出现合规性偏差的环境中,往往会对威胁建模提供出错误的结果.结合大语言模型(1.1.M)与知识增强生成的人工智能技术,为金融行业的威胁建模提供了新思路.通过知识增强型的召回检索和推理生成,初建模系统可以从私域知
27、识库中检索相关信息,增强对语境的理解,生成更加准确和丰京的文本,降低1.1.M产生幻觉(生成不符合实际情况的内容)的可能性.比领科技通过结合大语言模型(1.1.M)与知识增强技术建立威胁建模系统,成功帮助某股份制垠行在研发安全运营一体化(DeVseCoPS)场景下落地威胁建模活动.比新科技与银行合作建立网络安全知识库,知识库包括网络安全相关国家标准、金融行业标准、最佳实践,以及人民银行、国家金融监管总局相关通知、风睑提示等内容.威胁建模系统私有化郃署,运行时不依赖互联网,更新用户私域知识内容不需要全新训练模型,降低使用成本,限行利用威胁建模系统分析需求文档和用户故事,识别潜在的安全威胁,并检索
28、相关的安全标准和最佳实践,输出安全指导和建议.同时该威胁建模系统也提供智能问答模式,帮助构建金融业务层面的相关合规反查能力,进一步落实金融风险防控要求.威胁建模系统上线推广后,在威胁建模活动上帮助银行节约90%的人力消隹并通过更完整的威胁识别,降低软件安全风险,降低软件开发生命周期的控体成本.实践表明,该技术可以提高威胁建模的效率和准确性,帮助金融机构及时识别、评估和应对常见安全威胁和漏洞,保护重要的资产和信息安全.相信通过不断努力和创新,该技术不仅可以在威胁建模领域发挥市要作用,还可以广泛应用于安全领域的各个方面,为金融机构提供全方位、多样化的安全解决方案,提高金融机构的安全防御能力和效率,
29、更好地保沪系统和数据的安全,为数字化转型打下坚实的琼出.(五)金融网络安全未来发展趋势与战略一万物皆数王廊IltS瞭跳鼓口82河境松监数据安全法,个人信息保护法的出台,在国家层面将数据保护提升到了一个更高的层面。在我国.金融行业一直是安全行业的更要标杆企业作为国家经济生产的至要支拄行业,如何更好地实施数据保护,如何落实国家对数据安全的合规要求是摆在金融行业安全从业者面前的一个生要的课题.网络攻击行为其实都可以归结为对数报的窃取和破坏,在金曲行业中货穿若业务活动周期的各类数据都可能是目标,做好数据安全,不是某一个部门、某一项技术,独立能完成的,数据安全不同于传统的网络安全,数据具管网络、业务的双
30、重属性,数据安全不会独立于信息安全而单独存在,所以数据安全体系实际上是一个需要全面考*的体系.数据安全首要问题就是:我有什么数据?我的数据在那?如何进行数据分类分级?所以.最基的工作,同时也是需要最先入手的工作就是基于安全要求的数据标理和管理,金融行业需要根据自身情况统一安排主导和分工.笔者的建议是由安全部门主导,业务部门辅助,采用两步走的方案,即先数据发现+后数据管理.具体方法是:1.数据发现:数据发现的最至要的前提是需要完整的数据等露面信息和关系结构,为避免数据发现变成安杂而不可第的逻辑循环,首先需要制定一个前提,即只考虑跨网段数据流转情况不出网E嬷据暂不做处理.雌不参与外网交互只在企业内
31、限充转的-三该I浸掂,因1)内2、数抠管理:管理的基础是数幅分级,在金融企业里数据分类分级应由业务部门负责制定规则,分类分级推荐方法是:参考国冢标准,结合自身情况,数据分类可划分为“安全部门数据、研发部门数据、网络运维部门数据.业务部(:)数据n,数据分级可划分为U核心、生要、TSn.企业对数据分级可以遵循以下原则:陵数据泄露即代表网络或安全省理有重大缺陷,故定义为核心销售.2)外网数据:由于业务需求必须参与外网交互的i此类可根的危吉进行分类分级,并定期请第三方部门评估对数据使用是否越界,如是否触犯个人除私保护法、网络安全法等要求.数据犹如企业之血液,滋养着企业的生命,数据流转如企业之经脉,承
32、载蓿信息的流动.若数据之流动畅顺,企业之活力亦将源源不断;若数据之流动受咀,企业之命脉亦炭岌可危.于数兆管理而三,善保其安全,乃企业长远发展之根本。(六)新范式:金融行业数据安全访问的最佳实践pS1.CK)传统数据安全主要通过两端建该终端恻以D1.P为主解决数据外发问题,服务便以数据流量监控、数据由审计、数掴分类分级和数也加密以及脱敏为主要手段.但从数报安全事件中可以看到,大多数的数据风险是由于人的因素导取比如黑客利用应用系统漏洞获取敏感数变:,内部员工利用权跟获取数的,这些风险大多集中在人对数抠的访问过程,且传统数抠安全难以解决,如何解决人对数据访问的安全风险已经迫在眉陵.一般的零信任SDP
33、方案是基于边界漏离的防护思想,通过网络福留来阻止攻击者进入网络,但一旦通道建立人员进入网络后,则无法防范对应用层的攻击和数据的窃取.台网关创新性地以业务身持安科基三GoogeBeyondco架构所构建网技删匏份和对业务系统接入,果用事信任实时上下文的动态决策引擎,将零信任能力深入至应用和数据,实现了安全管控闭环.具有应用零风险防护、动态数据访问策略、精准行为审计、风睑动态脱敏.数抠泄露溯源,且零改造成本等优势。可以有效解决传统数据安全困境,解决核心人员访问带来的安全和数据风睑,只有可信的人员,在可信环境下,对可信应用和数据进行访问,将安全前置化,消除核心风险.零信任数据安全网关落地,实现内外网
34、全面防护.例如在攻击对抗场景,传统安全对抗难点,一足应用漏洞雉以全面收敛存在未知漏洞,另一个是攻击来源不可预测I,互联网或内网钓鱼后渗透攻击,都可利用应用屈词获取更高价值权限和数据,只能通过频繁的规则维护来对抗.使用持安零信任数据安全网关后,通过应用层接入能力,将应用访问入口收敛到网关后,用户所有发起的请求都会通过零信任的先甄证再访问,对每个请求实时动态决策来确保只有可信的人、在可信的环境和时间中访问他有权限的应用,即便应用系统存在漏洞,也无法被攻击者利用,攻击Payload无法到达业务系究面对人员舞弊场景,传统安全存在默认信任,一旦内部人员存在舞弊问题时,旗以发现和提前预防,导致其可以长期潜
35、伏最终造成更大后果.持安零信任数据安全网关,可在不影响用户访问的前提下,精准地识别每一次人员对业务和数据的获取,基于业务身份和组织架构,通过动态策略管控应用和数据权凰不得不获取数据时可基于风睑和场景对数据动态加入明暗水印、脱敏等,出现异常时可精准还原和识别人对数据的获取行为.通过免开发改造接入能力,可以让业务快速其待上述能力,将安全前置化、透明化、合规化,让舞筹无处可藏.(九)基于全流量数据的金融网络安全技术创新与应用实践许冰科柳酮股份耳国公司技施监金融作为国家关健班出设施行业,一直都是网络攻击重点目标夕.在过去的十多年中,各金融机构充分利用攻防演练实战活动不断提升自身网络安全建设水平,从纯靠
36、人力事后分析处置到SIEM半自动化诞再到SOC自动化安全运营,金融行业的网络安全体系日臻成熟和完善.然而,在面向更高水准的网络安全建设要求和降本增效“背媛下,各金针对这些行业痛点和难点,科来积极配合头部金融机构,充分挖掘网络全流俄数抿潜力,围绕融机构在现有网络安全体系中很难找到有效的落地手段.同时,各大金融机构数据中心网络的南北关键区域及云边界均部署了大量全流量设备”,网络全流量数据是非常庞大和丰富的数据源,但仅仅被用来进行流特征检洌和事件溯源,则是极大的资源浪费.nCTEW能力建设和数据安全建设进行了有效的应用实蹑以网络资产监测场景和敏感数据传输监测场景为例:1、在传统网络资产笆理中,更关注
37、的是资产的铮态属性如组件、服务、漏洞等,缺乏对资产在网络空间活动的感知能力.网络烫产监测场景通过海量全流量数据主动梳理资产,主动感知资产在网络空间中的聚露面,建立资产的网络空间立体行为画像,实时监测资产异常网络行为,帮助安全团队建立主动的全局网络空间资产动态视角,实现对同络空间的安全可观测能力.2、金融机构存储的数抿盘大、敏感性高,敏感传输监测场景充分利用科来全流量探针解析的金融业务传输网络元数提,在不增加新资源投入的情况下,可在一套流段探针平台上实现网络安全彳辆凌a寸监测能力.在发生和数据安全并施设.该场景实现了对金网数据中心全局塞国的敏感:敏感数抠外泄或滥用事件后,能从1.2-1.7层还原
38、事件全貌,即助金融机构更有效地完善自身数蛔安全建设.多层次防御系统是歪要的战略思考之一,全流量数据源在金融机构安全技术创新中扮演若亚要的角色,它可以帮助金融机构更好地检测高级威胁、提升响应速度、支持安全分析和周苴.充分发掘全流数据的潜力,可有效提升金融机构自身网络空间的治理水平,保护用户数据和资金的安全,持续引领网络安全建设新方向!(十)消除隐患,关注金融行业安全稳定2023年国内金电领域打响了信创攻坚战,银行、证券、保险行业对于IT基础软件中数据库n产品的安全性、稳定性和性能要求极高,国产化替代难度也非常大。作为承载数据的容器,数据库与网络安全相结合,才能雕金融领域的数据安全.2023年2月
39、,习近平总书记在中共中央政治局第三次集体学习时强调,要打好科技仪器设备、操作系统和施愀件国产化攻坚战,鼓励科研机构、高校同企业开展联合攻关,提升国产化替代水平和应用规模。数据库作为更要的兽出软件和豆杂的软件工程,一款原始创新的数抠库产品往往需要几十年巨额资金投入及技术积累才能逐渐成熟.国内数据库厂商普遍起步蛟晚,投入不足.如果国产数据库产品在底层封装了国外开源数据库内核,那么这类数据库产品会存在开源协议、安全漏洞、知识产权.代码嚓染、开源停服断供、政策不确定性、掌控及服务能力不足等诸多风险.从金利数据库安全的角度出发,终端用户和科技部门应加大开源数据库治理力度,进行安全风睑防范.国内数匏库厂商
40、应加强皆出研究,坚持原始创新.只有产学研用联动,才能彻底打嬴金融数据库国产化攻坚战.科蓝软件研发的原生分布式SUNDB数据库,代码自主率达到98.31%,从底层和源头解决数据库关犍技术卡脖子问题.科蓝软件已经与清华大学深入合作,成立U清华科蓝先进智能数据库联合研究院n.科蓝是国内最早与顶级院校携手共同研发新T弋AIDB的数据库厂商.SUNDB数据库不封装、不戢、不包含任何美国甲骨文公司的MySqI相颤班|大学的POStgreSQ1.开源代码。SUNDB数据库可以持续与互联网保持7x24小时的链接,满足金融领域数据库综合支谆能力的实际需求,并解决数据安全问题关切.金融数据安全关乎国家安全.在加强
41、网络安全的基上,数据库安全需要建立选用省配套制度.在金融;库选型层面,应优选安全可靠的国产懒库,杜绝使用披马甲.的钱国产数据库.在金融数抿库的应用层面,应进行分类分级管理,根据不同应用场景选择相应安全等级的数据库.在金融数据库综合管理层面,建议主管单位摸清家底,建立金融领域国产数据库登记和安全溯源制度,掌握金融数抠库应用的实际情况并建立台账,对于不符合安全标准的数躯库产品进行替换.建立一整套国产数抠库选型、应用、管理和安全追溯制度,有利于保暗金融领域的数据安全.三、金融行业网络安全优秀项目案例(一)安全服务品牌推荐及项目案例T.高安IeA-OCUaSEMNORAB工群;需)忍5里,急二%9m骤
42、CH)Ifl里云飞绮NORTH1.ABIt忖我32臬优秀的渗透与漏洞挖掘能力北方实脸室拥有自主研发的自动化渗透平台,实现留能化、自动化地利用各种漏洞进行信息侦查和渗透测试,大幅提升渗透测试效率.团队拥有丰富的大赛经坡,在多个高水平的国家级网络安全和工业倡息安全竞赛中取得了优异成绩.丰富的顶级资质北方实验室拥有信息化工程法设全业务链的顶级第三方信息技术服务资质,同时是国家CNAS认可实验室,工信部认定的国家中小企业公共服务(信息技术)示范平台,在业内具有权威地位.)身份中立,博采众长公司作为独立的第三方服务机构,整合众多网络安全厂家优秀的安全产品作为服务工具为用户带来优质的服务.没刷产品色彩与包
43、袱,可更好地追求安全本质,通过优质的服务而不是过度依IS产品,让用户享用更加高效、更具性价比的网络安金保0.三、项目亮点自研技术加持,助力客户网络安全全方位提升众所周知,金融机构安全防护手段相对齐法,渗透攻击难度较大.公司连续多年成为该银行安全众测单位多年来段累积发现数百个高等级安全威S假患.渗透团队利用公司自主研发的傻正剑自动化渗透系统对目标网络和信息系统开展深度渗透测试和漏洞挖掘,发现高价值安全漏洞,持续推动客户安全开发、安全运维、安全应息响应能力提升.该系统核心技术已取得多项专利授权,搭载原创漏洞载荷,基于自研的自动化引擎,精准挖掘积聚27000+资产指纹、400+安全漏洞载荷和34万+
44、动态映射库,自动化开展信息收集、漏洞发现等工作,为网络安全港透测试人员提供全过程的自动化支撑,平台攻克了基于PPW三层架构的渗透框架引擎、基于工作流的并发测试、基于漏河特征的自定义载荷加载、基于动杏映射库的测试用例收敛等多项核心技术,实现了通过自动化渗透系统普代人工开展海透测试,将单一系统的渗透测试时间从数天缩减到十几分仲,解决了人工测试效率低、准确率低的难SS.第三方视角,公正测评护肮公司在服务过程中,发挥作为第三方限务机构具有的天然生态鬃集效应,身份中立,以裁判员、教练员的视角为信息化建设保驾护航.博采众长,整合众多网络安全厂家优秀地安全产品作为服务工其为用户带来优质的服务,没有产品色彩与包袱,可更好地追求安全本质,通过优质的服务而不是过度依赖产品,让用户享用更加高效、更具性价比的网络安全服务.、技术服务商简介北方实殓室(沈阳)股份有跟公司是一家以网络安全服务和信息技术咨询服务为主营业务的信息技术I艮若提供商,是国家专1J特新1小巨人企业、国家中小企业公共服务示范平台、国家高新技术企业、舞羚企业,依托自有智能渗透攻击、主机攻击监测预警等核心技术,聚焦电子政务.金斛、能源、电信、交通、军工等信息化工程重点领域,致力于为客户提供厦盖信息化工程建设全生命周期的综合性、胎阶段、一体化的第三方网络安全服务与信息技术咨询服务.某头部证券公司基于信创的数据安全建设案例一、项目背景力