随着移动互联网、云计算、智能终端的全面普及,远程办公成为了金融机构的常态。远程办公提升了金融业务的效率、丰富了业务渠道、拓展了业务场景,受到了金融机构的欢迎。但是,在远程办公中总会出现一些安全问题,让金融机构提心吊胆,担心黑客会顺着网线摸进内网,给企业造成重大损失,比如——
金融机构的业务应用多、专业性强,应用的开发、维护离不开外包人员的支持。但是,外包人员难以管控,VPN等传统远程接入方案普遍存在身份认证不安全、权限管理不细致的问题。一旦外包人员账号被窃取,黑客就能直接进入内网、随意横移,后果不堪设想。
移动展业所使用的终端设备虽然由金融机构统一派发,但是实际应用中,金融机构难以掌握终端设备的安全状态,用户使用行为不可控、应用访问不可控……非常容易成为攻击者的突破口。
金融机构的业务应用中有大量敏感数据,如用户电话、身份证号、银行卡号。这些数据不但是黑客的重要目标,还容易遭到“内鬼”泄密。一旦爆发数据泄露事件,金融机构不但要面临巨额罚款,商誉也会受到损害……
面对这些安全问题,金融机构迫切需要更安全、更便捷、更可控的远程办公解决方案,保障自身业务安全和网络安全,为员工提供更好的办公体验,满足监管机构的合规要求。
金融行业远程办公的安全挑战
当前,金融机构的业务模式、IT架构都发生了深刻变化。在建设远程办公系统时,金融机构需要面对以下几个方面的挑战:
如何实现“边界模糊化”网络环境下的安全接入?
随着金融机构基础设施云化、业务互联网化和办公移动化,不同角色的人员需要在任意时间、地点,用不同的网络和设备,访问业务资源。在分支机构组网、内部员工远程办公、运维人员远程运维,以及外包人员远程开发、合作伙伴远程访问等场景下,人、业务、数据开始走出内网,内网与外网之间的安全边界逐渐模糊,业务资源在互联网上的暴露面增大,带来了新的安全风险。
以VPN为代表的传统远程接入解决方案,一则IP、端口公开,无法帮助金融机构收敛资源暴露面,二则存在过度信任、静态授权的问题,无法实现细粒度的动态访问控制。在此背景下,金融机构需要重新构建网络安全边界,并基于新的边界实施动态访问控制,以保障远程办公安全。
如何确保终端设备安全可控?
在移动展业、远程办公中,金融无法完全掌控员工使用终端设备的安全状态,BYOD的普及更是使这一问题雪上加霜。一旦分支机构、内部员工、外包人员使用的终端设备被攻破,将成为黑客进入企业内网的跳板,让企业难以防范。
近年来,金融机构积极推进信创建设,引入了大量信创终端设备。这加剧了终端设备的碎片化,造成终端安全部分产品存在不适配的问题,增加了终端安全的不可控性。
由于传统的远程办公方案终端安全能力有限,金融机构要么强制要求终端设备安装EDR、杀毒软件等安全软件,要么在客户端中集成其它厂商的杀毒软件,导致占用资源过度,影响终端设备性能,使得员工的操作体验不佳。
如何保证敏感数据不被泄露?
金融机构的业务应用中,存储着海量的敏感数据,时刻被黑客所觊觎。为了保障数据安全,很多金融机构部署了数据防泄漏(DLP)产品,包括终端侧的EDLP和网络侧的NDLP。但是,传统DLP主要关注数据的外发行为,忽视了数据在访问、传输、存储中的安全问题。
在数据访问场景下,金融机构难以实现数据访问的“最小化授权”,精准控制数据的访问范围。在数据传输上,难以对数据进行加密传输,保证信息的完整性、机密性。在存储上,难以保证敏感数据在终端设备中的安全存储,防范终端侧的数据泄露。
如何满足金融行业合规要求?
近年来,我国网络安全和数据安全法律法规体系不断完善,金融监管部门的执法力度与频率不断加大。金融机构既要遵守《网络安全法》、《数据安全法》、《个人信息保护法》等法律法规的要求,还要执行金融行业的《金融行业网络安全等级保护实施指引》、《金融数据安全 个人金融信息保护技术规范》、《关于加强银行业保险业移动互联网应用程序管理的通知》等行业规章和标准,合规压力不断加大。2023年以来,多家金融机构因网络安全、数据安全问题被处罚,给全行业敲响了警钟。
与此同时,金融行业的信息系统是关键信息基础设施,是攻防演练重点关注的行业。如何在攻防演练中保证远程办公正常开展,避免远程办公系统被攻破,已经成为金融机构必须妥善处理的问题。
芯盾时代SDP,远程办公新选择
面对新的业务模式、新的网络环境、新的安全挑战,以VPN为代表的传统远程接入方案已经无法满足金融机构的远程办公需求。芯盾时代作为领先的零信任业务安全产品方案提供商,以零信任理念为指引,以软件定义边界为架构,以自主研发的核心技术为支撑,打造了零信任业务安全平台(SDP),助力金融机构建立新型远程办公体系。
在架构上,芯盾时代SDP采用软件定义的方式,将控制器与网关分离,在安全性、可用性上具备天然优势。金融机构可以按照自身组织架构、业务需求,以“1个控制器+N个网关”的方式灵活组网。SDP网关支持本地、云上多种部署模式,金融机构能够用一套系统实现多数据中心、多网络域的远程接入,在低改造甚至0改造的情况下将应用、设备与SDP对接,大幅缩减改造周期,降低部署成本,多、快、好、省的建立远程办公系统。在功能上,芯盾时代SDP采用All in One设计,全面整合自主研发的全类型身份标识技术、智能风险度量技术、切面安全技术、终端密码安全技术等核心技术,从网络、设备、身份、权限、数据五个维度,为金融机构构建零信任安全架构,对每一次业务访问实施全程的、动态的、细粒度的动态访问控制,一站式建立安全、便捷、合规的零信任网络访问系统,让远程办公更安全。借助芯盾时代SDP,金融机构能从网络、设备、身份、权限、数据五个维度,保证远程办公的安全:
隐藏应用暴露面,有效防范网络攻击
网络扫描往往是网络攻击的第一步。只有扫描到了IP、端口信息,黑客才能确定攻击入口和攻击方式。VPN的IP、端口暴露于互联网之上,而且普遍存在静态认证、授权过度的问题,一旦被黑客利用,后果不堪设想。芯盾时代SDP采用了网络隐身、加密传输、网络隔离三大技术,能够帮助金融机构实现业务应用和网关自身的双重隐藏,有效收敛资源暴露面,防范端口扫描、DDoS攻击,避免黑客以设备为跳板攻击内网服务,杜绝“逢攻防演练、先关闭远程访问”的尴尬。1.网络隐身:芯盾时代SDP采用应用代理和SPA单包授权技术,由网关统一代理业务应用访问流量,同时对所有连接网关的设备进行预认证,不通过认证不开放端口,实现业务应用和网关双重“隐身”,减少遭受网络攻击的风险。2.加密传输:通过认证后,芯盾时代SDP能在客户端与网关之间建立加密隧道,保证数据通过互联网安全传输。加密隧道采用国密算法,让数据传输更加安全可控。
3.网络隔离:在用户登录客户端访问内网服务时,禁止其终端设备访问互联网,避免终端设备上网时感染病毒,以设备为跳板攻击内网服务。
把好终端安全关,隐患设备早隔离
终端设备作为远程办公的载体,其安全性是确保远程办公安全的关键所在。芯盾时代基于自主研发的终端安全产品线,赋予了SDP客户端一体化的安全能力。在PC端和移动端,用户只需安装一个客户端,就能实现多因素认证、终端身份校验、终端安全基线核查、终端威胁态势感知、App加固、数据防泄漏等功能,打造安全的远程办公操作环境。
1.终端身份校验:凭借设备指纹技术,金融机构能够通过SDP客户端,精准标识设备身份,发现非常用设备登录、多用户通过同一设备登录等风险行为,限制单个用户最多使用的设备数量,还能够在攻防演练中开启设备审批功能,禁止不可信设备接入系统。
2.终端环境检测:凭借终端威胁态势感知技术,SDP客户端能够识别终端设备是否安装了杀毒软件,是否存在远程控制软件、模拟器、程序双开、攻击框架、Root/越狱等风险,是否加入指定域控,是否安装了操作系统补丁。在访问过程中,客户端持续检测终端安全态势、用户的操作行为,为安全控制中心提供终端侧的风险信息。
3.APP加固:在移动端,SDP客户端可以以SDK形式,集成在泛微、致远、蓝凌或金融机构自建的App移动办公之中,既能帮助金融机构将移动办公入口收缩至内网,缩小资源暴露面,还对移动办公App进行安全加固,防范恶意篡改、病毒/木马植入等风险,满足金融机构移动展业、移动办公的需求。
4.全系统适配:在PC端,SDP客户端全面适配windows、macOS、Linux等操作系统,以及UOS、中标麒麟、银河麒麟、深度等国产操作系统;在PC端,适配iOS、Android系统。凭借全面的适配性,芯盾时代SDP能够在碎片化的终端环境下,帮助金融机构实施统一的终端管控策略,筑牢终端安全防线。
实施多因素认证,身份认证更安全
零信任的本质是以“身份”为核心实施细粒度的动态访问控制。芯盾时代在IAM市场占有率稳居前三,技术能力行业领先,芯盾时代SDP也由此具备了强大的身份安全能力,能够帮助金融机构提升身份安全能力,消除网络钓鱼、撞库攻击、弱密码带来的安全风险。
1.多因素认证:借助芯盾时代SDP,金融机构能够一站式实施全局多因素认证,为员工提供短信验证码、动态口令、App扫码、指纹识别、人脸识别、企业微信/钉钉/飞书认证等多种认证方式,提升身份认证的安全性和便捷性。借助统一应用门户和单点登录功能,员工能够通过一个门户直接访问权限内的业务应用,实现“一次认证、全网通行”。
2.动态认证:芯盾时代SDP能够综合身份、设备、IP、时间、行为、位置等因素,对每一次访问全程进行实时的风险评估,根据风险级别自适应执行身份认证、访问控制策略。在身份认证上,SDP能够根据风险评估结果动态调整认证策略,自适应执行免认证、默认认证、增强认证、禁止登录等策略,在保证安全的前提下,优化员工的操作体验。
落实“最小化授权”,风险访问全阻断
VPN等传统远程办公方案,普遍存在静态授权、过度授权的问题。黑客一旦侵入内网,就能够越权访问,在内网横向移动,给金融机构造成巨大风险。为了落实零信任的“最小化授权”原则,芯盾时代首创零信任切面安全能力,无改造地为业务系统注入安全能力,将权限管理能力至URL级,帮助金融机构对每一次访问实施细粒度的动态访问控制。
1.细粒度访问控制:芯盾时代SDP支持多种权限管理模型,对于业务资源的管理能力细至URL级。金融机构能够对于内部员工与外部分员工、各个部门与临时项目组的不同角色,授权不同的访问权限,实现对访问权限的差异化、精细化管理。
2.自适应动态授权:在访问控制上,SDP提供多种风险策略模型,金融机构能够根据自身需求灵活定义模型,综合设备、IP、时间、行为、账号、位置等维度的风险信息,对每一次访问实施动态访问控制,实现“安全访问全程无感,不确定访问强化认证,不安全访问直接拒绝”。
数据安全三把锁,保证数据不泄露
在数据安全上,芯盾时代SDP具备安全工作空间、数据脱敏、Web水印三大功能,能够在远程办公场景下,实现数据访问权限动态决策、数据资源隐藏与隔离、数据加密传输,有效提升数据安全防护水平,满足金融行业数据安全合规要求。
1.安全工作空间:借助SDP客户端,企业可以在终端设备中构建与本地空间完全隔离的安全工作空间,实现“数据不落地”,并实施禁止复制、禁止截屏、禁止打印、外发审批等行为管控,阻断数据外发。在软件供应商、外包人员远程访问内网的场景下,SDP能够对终端数据进行保护,有效防止数据泄露。
2.自定义数据脱敏:借助动态数据脱敏功能,金融机构可以对业务应用中的手机号、银行卡、身份证号等敏感数据进行动态脱敏。针对不同人群,金融机构可以自定义脱敏内容、脱敏长度,精确控制敏感数据的访问范围。
3.Web水印:针对Web应用,芯盾时代SDP可以在无改造的情况下为Web页面添加水印,对用户进行安全教育、安全震慑和安全追溯,降低拍照截屏外发风险。
在合规层面,芯盾时代SDP拥有完全自主知识产权,既满足《网络安全法》、《数据安全法》、《个人信息保护法》等法律法规对访问控制、身份认证的要求,也满足《金融行业网络安全等级保护实施指引》、《金融数据安全 个人金融信息保护技术规范》等行业规章和标准对网络安全防护、个人信息保护的要求。同时,芯盾时代SDP全面适配国产芯片、数据库、中间件、云平台等信创产业链软硬件,能为金融机构建立信创化的零信任网络访问体系,为信创建设提供有力支撑。
凭借先进的架构、全面的功能、强大的性能,芯盾时代零信任业务安全平台(SDP)在实际应用中展现了巨大的价值,在替换VPN、攻防演练、多云接入等场景下,展现了领先的安全性、可用性、适配性,有力保证金融机构远程办公安全,获得了金融机构的高度认可。
如果你也想让每一名员工在任何时间、地点,用任何网络和设备,安全便捷的进行远程办公,芯盾时代零信任业务安全平台(SDP)是你的不二之选。
全部0条评论
快来发表一下你的评论吧 !