金融行業(yè)解決方案藍(lán)皮書-20240708

BlueBook亞奧理事會官方合作伙伴安恒信息官方公眾號 DAS-security女王中Co血te血ts本文的所有內(nèi)容，其版權(quán)屬于杭州安恒信息技術(shù)股份有限公司（以下簡稱“安恒信息”）所有，未經(jīng)安恒信息的許可，任何人不得防制、拷貝、轉(zhuǎn)譯或任意引用。本文沒有任何形式的擔(dān)若因本文或其所提到的任何信息引起的直接或間接的資料流失、利益損失，安恒信息及其員工恕不承擔(dān)任何責(zé)任。本文所提到的解決方案僅供參考，不構(gòu)成任何要約或承諾，有關(guān)內(nèi)容可?安恒信息12重保SaaS解決方案060720232325273303030333333343535353637金融行業(yè)解決方案-藍(lán)皮書-2024第一章金融行業(yè)在國民經(jīng)濟(jì)發(fā)展中占據(jù)著重要地位,影響著國家產(chǎn)業(yè)經(jīng)濟(jì)發(fā)展的穩(wěn)定性。當(dāng)前新一輪科技革命和產(chǎn)業(yè)變革深入發(fā)展,數(shù)字化浪潮蓬勃興起,國家“十四五”規(guī)劃和2035年遠(yuǎn)景目標(biāo)綱要明確提出“穩(wěn)妥發(fā)展金融科技，加快金融機(jī)構(gòu)數(shù)字化轉(zhuǎn)型”的重要任務(wù)，數(shù)當(dāng)前，銀行業(yè)數(shù)字化轉(zhuǎn)型繼續(xù)走在前列，略高于證券及資管業(yè)和保險業(yè)。但隨著證券業(yè)信息技術(shù)系統(tǒng)服務(wù)機(jī)構(gòu)備案、資本市場金融科技創(chuàng)新試點、《證券期貨業(yè)科技發(fā)展“十四五”規(guī)劃》等一系列政策舉措的出臺，證券及資管金融網(wǎng)絡(luò)安全與數(shù)字化同步發(fā)展，金融網(wǎng)絡(luò)安全體系與數(shù)字化技術(shù)體系相關(guān)聯(lián)，網(wǎng)絡(luò)安全工作伴隨數(shù)字技術(shù)的演進(jìn)經(jīng)歷了多個階段，起步階段：1980年后，尤其以銀行業(yè)為主，金融業(yè)務(wù)進(jìn)行電子化時代，逐步采用信息技術(shù)系統(tǒng)替代人力工作。此時我國的互聯(lián)網(wǎng)普及率較低，面臨的網(wǎng)絡(luò)安全威脅尚不復(fù)雜，網(wǎng)絡(luò)安全工作的開展主要依據(jù)國家及主管部門發(fā)布的安全監(jiān)管制度如《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》，安全工作主要圍繞物理安全、終端安全、主機(jī)系統(tǒng)安全等領(lǐng)域開展，保護(hù)呈分散特點的專用系統(tǒng)和軟件發(fā)展階段：2000年以后，金融信息系統(tǒng)逐漸從分散走向集中，大型數(shù)據(jù)中心建設(shè)如火如荼。信息系統(tǒng)的高度集中也導(dǎo)致了風(fēng)險的高度集中，信息系統(tǒng)規(guī)模日益增大，運行環(huán)境愈發(fā)復(fù)雜，安全工作主要圍繞數(shù)據(jù)中心進(jìn)行的網(wǎng)絡(luò)邊界防護(hù)，并逐漸參考引入國內(nèi)外一系列安全標(biāo)準(zhǔn)及模型，如信息安全等級保護(hù)相關(guān)政策法規(guī)、ISO27000信息安全管理體系標(biāo)準(zhǔn)等，不斷提升信息安全管理的規(guī)范化水平，體系化解決網(wǎng)絡(luò)安全問題。在此階段，代表性的安全技術(shù)有訪問控制成熟階段：近十年來金融機(jī)構(gòu)進(jìn)入信息化、數(shù)字化時代，產(chǎn)品、營銷、運營等逐漸發(fā)生深刻改變。同時，網(wǎng)絡(luò)安全風(fēng)險更加復(fù)雜。金融機(jī)構(gòu)依據(jù)國家及相關(guān)部門發(fā)布的《網(wǎng)絡(luò)安全等級保護(hù)條例》與《國家關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》等相關(guān)法規(guī)標(biāo)準(zhǔn)，推動構(gòu)建網(wǎng)絡(luò)安全縱深防護(hù)體系。網(wǎng)絡(luò)安全的目標(biāo)由單一保護(hù)網(wǎng)絡(luò)向保護(hù)數(shù)據(jù)轉(zhuǎn)變，通過縱深防護(hù)，達(dá)到內(nèi)外兼防的目的。在此階段，網(wǎng)絡(luò)安全需要同時兼顧攻防，代表技術(shù)有ATT&CK威脅建模、網(wǎng)絡(luò)攻擊溯源、態(tài)勢感知技術(shù)等。當(dāng)前，從國內(nèi)金融行業(yè)網(wǎng)絡(luò)安全總體態(tài)勢來看，在行業(yè)監(jiān)管要求日益嚴(yán)格細(xì)化的大背景下，金融行業(yè)已經(jīng)普遍形成了較為完善的網(wǎng)絡(luò)安全組織與制度管理體系，但是由于網(wǎng)絡(luò)安全風(fēng)險意識不足和宣貫不到位，部分安全管理要求流于形式；由于大型金融機(jī)構(gòu)和中小型金融機(jī)構(gòu)的信息化水平差距較大，網(wǎng)絡(luò)安全防護(hù)技術(shù)體系的建設(shè)情況也呈現(xiàn)出明顯的參差不齊，大型金融機(jī)構(gòu)普遍構(gòu)建了縱深的安全防御體系，中小金融機(jī)構(gòu)則缺乏頂層的體系化設(shè)計，以單點被動防御為主，整體安全防護(hù)能力較差；在網(wǎng)絡(luò)安全投入上，國內(nèi)金融行050605金融行業(yè)解決方案-藍(lán)皮書-2024第二章近年，在大國博弈、俄烏沖突、世紀(jì)疫情等國內(nèi)外形勢的復(fù)雜背景下，國家金融安全的重要性更加突出，維護(hù)金融網(wǎng)絡(luò)安全將成為國一是隨著事件型漏洞和高危零日漏洞威脅的二是隨著數(shù)字化轉(zhuǎn)型及法律合規(guī)的壓力，金融機(jī)構(gòu)將更加注重數(shù)據(jù)安全，其組織架構(gòu)、管理體系及技術(shù)防護(hù)體系將產(chǎn)生新的變化；三是隨著金融業(yè)務(wù)的數(shù)字化轉(zhuǎn)型，金融網(wǎng)絡(luò)安全建設(shè)的數(shù)字化轉(zhuǎn)型也將同步開展，數(shù)字化的網(wǎng)絡(luò)安全運營體系成為未來重點建五是信息技術(shù)應(yīng)用創(chuàng)新推進(jìn)明顯，網(wǎng)絡(luò)安全的基礎(chǔ)產(chǎn)品及技術(shù)需同步跟進(jìn)、同步建設(shè)。針對金融行業(yè)面臨的新的風(fēng)險和挑戰(zhàn)，結(jié)合目前存在的問題，安恒信息建議金融機(jī)構(gòu)從以下幾個方面著手，快速提升網(wǎng)絡(luò)安全綜合防一是以人為本，采取多種方式加強網(wǎng)絡(luò)安全意識培訓(xùn)和宣貫，提升全員網(wǎng)絡(luò)安全風(fēng)險防范意識；二是創(chuàng)新思路，統(tǒng)籌推進(jìn)網(wǎng)絡(luò)安全頂層規(guī)劃工作；三是加強個人金融信息保護(hù)，逐步建設(shè)全要素的數(shù)據(jù)安全治理體系，覆蓋數(shù)據(jù)全生命周期進(jìn)行安全防護(hù)；五是以信息系統(tǒng)信創(chuàng)改造為基礎(chǔ)，從辦公到生產(chǎn)、從邊緣到核心、從分支到總部逐步替換安全產(chǎn)品；六是注重網(wǎng)絡(luò)安全人才培養(yǎng)，同時加強與專業(yè)機(jī)構(gòu)的合作，持續(xù)提升網(wǎng)絡(luò)安全人員的專業(yè)技能。07縱觀整個金融行業(yè)，大量客戶前期已經(jīng)采購了一些數(shù)據(jù)安全相關(guān)的設(shè)備，如：脫敏、加密等，隨著金融行業(yè)客戶自身業(yè)務(wù)發(fā)展的不斷深入及開展數(shù)字化轉(zhuǎn)型的迫切性，復(fù)雜的數(shù)據(jù)使用場景使傳統(tǒng)的安全措施難以發(fā)揮效應(yīng)，且單點防護(hù)的方式越來越不能滿足安全需求,所以要針對金融行業(yè)業(yè)務(wù)發(fā)展現(xiàn)狀制定完善的數(shù)據(jù)安全建設(shè)長期規(guī)劃，以此規(guī)劃為目標(biāo)，逐步建設(shè)數(shù)據(jù)安全防護(hù)能力?？v觀整個金融行業(yè)，大量客戶前期已經(jīng)采購了一些數(shù)據(jù)安全相關(guān)的設(shè)備，如：脫敏、加密等，隨著金融行業(yè)客戶自身業(yè)務(wù)發(fā)展的不斷深入及開展數(shù)字化轉(zhuǎn)型的迫切性，復(fù)雜的數(shù)據(jù)使用場景使傳統(tǒng)的安全措施難以發(fā)揮效應(yīng)，且單點防護(hù)的方式越來越不能滿足安全需求,所以要針對金融行業(yè)業(yè)務(wù)發(fā)展現(xiàn)狀制定完善的數(shù)據(jù)安全建設(shè)長期規(guī)劃，以此規(guī)劃為目標(biāo)，逐步建設(shè)數(shù)據(jù)安全防護(hù)能力。事件運營應(yīng)急響應(yīng)數(shù)據(jù)分類分級敏感數(shù)據(jù)識別數(shù)據(jù)標(biāo)記資產(chǎn)視圖數(shù)據(jù)銷毀數(shù)據(jù)刪除全面防護(hù)能力框架數(shù)據(jù)資產(chǎn)管理數(shù)據(jù)刪除數(shù)據(jù)傳輸數(shù)據(jù)銷毀安全能力防護(hù)要求行業(yè)監(jiān)管標(biāo)準(zhǔn)國家法律法規(guī)行業(yè)最佳實踐相關(guān)標(biāo)準(zhǔn)1.數(shù)據(jù)安全規(guī)劃的實現(xiàn)步驟依次為：現(xiàn)狀調(diào)研、資產(chǎn)梳理、風(fēng)險2.數(shù)據(jù)安全能力建設(shè)，以數(shù)據(jù)安全分級為基礎(chǔ)，建立覆蓋數(shù)據(jù)生命周期全過程的安全防護(hù)體系，防護(hù)要求以《金融數(shù)據(jù)安全數(shù)據(jù)生命周期安全規(guī)范》中的防護(hù)要求為依據(jù)，以數(shù)據(jù)安全相關(guān)技術(shù)能力及產(chǎn)品為能力底座，全面加強金融行業(yè)解決方案-藍(lán)皮書-202409金融行業(yè)解決方案-藍(lán)皮書-20243.以保障金融行業(yè)業(yè)務(wù)連續(xù)性為前提，在做好金融行業(yè)客戶數(shù)據(jù)安全防護(hù)的基礎(chǔ)上，加強制度體系建設(shè)、數(shù)據(jù)安全整體態(tài)勢感知能力和統(tǒng)一運營能力，實現(xiàn)事件、資產(chǎn)、風(fēng)險、策了解金融業(yè)客戶數(shù)據(jù)安全建設(shè)的現(xiàn)狀，包括取得的成果和存在的問題，結(jié)合業(yè)務(wù)特性和發(fā)展方向制定規(guī)劃。通過數(shù)據(jù)安全防護(hù)措施，滿足內(nèi)外部合規(guī)檢查要求。建立數(shù)據(jù)安全管理工作相關(guān)制度與流程規(guī)范，為數(shù)據(jù)安全工作有序管理提供支撐。協(xié)助金融業(yè)客戶維護(hù)良建立數(shù)據(jù)安全治理架構(gòu)，完善金融業(yè)客戶數(shù)據(jù)安全保護(hù)體系。梳理全量數(shù)據(jù)，識別敏感數(shù)據(jù)，結(jié)合分類分級規(guī)范和工具，實現(xiàn)數(shù)據(jù)分隨著國內(nèi)外網(wǎng)絡(luò)安全復(fù)雜、嚴(yán)峻形勢的演變，我國金融行業(yè)網(wǎng)絡(luò)安全形勢亦不容樂觀，主要的風(fēng)險和挑戰(zhàn)有：金融科技創(chuàng)新大量采用新技術(shù)實現(xiàn)業(yè)務(wù)創(chuàng)新的同時，給網(wǎng)絡(luò)安全帶來更多隱性風(fēng)險；隨著事件型漏洞和高危漏洞威脅的持續(xù)走高，網(wǎng)絡(luò)攻擊的種類、規(guī)模和方式不斷增加；數(shù)字化轉(zhuǎn)型不斷提升數(shù)據(jù)價值，金融業(yè)務(wù)的復(fù)雜性使得數(shù)據(jù)安全保護(hù)體系的建設(shè)難度不斷加大；金融機(jī)構(gòu)與第三方機(jī)構(gòu)的連接越來越多，導(dǎo)致風(fēng)險的傳導(dǎo)范圍和為有效應(yīng)對嚴(yán)峻的網(wǎng)絡(luò)風(fēng)險，國務(wù)院辦公廳、網(wǎng)信辦、公安部、工信部及中國人民銀行等部門陸續(xù)出臺了相關(guān)政策和標(biāo)準(zhǔn)，人行于2019年建設(shè)了行業(yè)級的態(tài)勢感知與信息共享平臺，并在2022年依托平臺加強對重要信息系統(tǒng)業(yè)務(wù)運行狀況主動監(jiān)測預(yù)警能力。同樣的，證監(jiān)會也開始籌備行業(yè)態(tài)勢感知平臺的建設(shè)。同時隨著不同級別攻防演練逐步展開，越來越多的金融機(jī)構(gòu)開始接受檢驗并逐步形安恒安全運營架構(gòu)-1前提2平臺3要素SOAR劇本編排安全運營活動安全分析安全分析UEBAUEBA（用戶與實體行為分析）ATT&CK分析框架安全能力中臺（SOAR）安全數(shù)據(jù)采集基礎(chǔ)設(shè)備安全能力接入異構(gòu)安全數(shù)據(jù)采集全流量數(shù)據(jù)采集IT資產(chǎn)數(shù)據(jù)采集情報數(shù)據(jù)同步能力接口化能力標(biāo)準(zhǔn)化數(shù)據(jù)對接能力對接策略下發(fā)基礎(chǔ)安全資源：出口安全、數(shù)據(jù)中心安全、云安全、終端安全...信息基礎(chǔ)設(shè)施：物理機(jī)房、公有云、私有云信息基礎(chǔ)設(shè)施：物理機(jī)房、公有云、私有云前提-安全運營體系規(guī)劃：愿景目標(biāo)、差距分析、制度設(shè)計、流程規(guī)劃、運前提-安全運營體系規(guī)劃：愿景目標(biāo)、差距分析、制度設(shè)計、流程規(guī)劃、運營指標(biāo)量化…金融行業(yè)解決方案-藍(lán)皮書-2024一前提：安全運營體系規(guī)劃二平臺：安全數(shù)據(jù)中臺、安全能力中臺三要素：人員、機(jī)制流程、平臺（技術(shù)及工具）方案詳細(xì)設(shè)計主要圍繞安全運營的3個要素的建設(shè)，即通過安全技術(shù)工具搭建統(tǒng)一的安全運營平臺，構(gòu)建安全運營能力的基礎(chǔ)，通過引入專業(yè)的安全服務(wù)人員構(gòu)建層次分明分工合理的安全運營組織架構(gòu)，提升單位的安全運營能力，通過對單位日常、應(yīng)急保等多個場景下的安全運營工作進(jìn)行梳理，幫助單位構(gòu)建可落地、安全運營建設(shè)緊貼業(yè)務(wù)發(fā)展愿景，安全管理制度和事件處置流程完備，安全運營工作流程高效有優(yōu)化安全運營團(tuán)隊組織架構(gòu)設(shè)計，引進(jìn)外部專業(yè)的安全運營人員，實現(xiàn)運營人員分工明確、權(quán)責(zé)對應(yīng)、層次搭配合理、團(tuán)EDREDRFWAC認(rèn)證匯聚多源安全數(shù)據(jù)形成全方位的威脅感知能力，并整合集成異構(gòu)安全能力，形成統(tǒng)一的安全事件OA區(qū)OA區(qū)金融機(jī)構(gòu)作為金融信創(chuàng)試點單位，需按照人行要求針對辦公管理系統(tǒng)、終端機(jī)具、一般業(yè)務(wù)系統(tǒng)、關(guān)鍵業(yè)務(wù)系統(tǒng)等四類業(yè)務(wù)系統(tǒng)進(jìn)行信創(chuàng)改造，并實現(xiàn)國產(chǎn)信息技術(shù)產(chǎn)品采購金額占全部信息技術(shù)產(chǎn)品采購金額比例超過要求比例。沒有網(wǎng)絡(luò)安全就沒有國家安全，在完成業(yè)務(wù)系統(tǒng)信創(chuàng)改造的同時配套網(wǎng)絡(luò)安全建設(shè)應(yīng)同步開展，同步規(guī)劃。因此金融機(jī)構(gòu)需以積極落實信創(chuàng)精神、防范金融科技風(fēng)險為導(dǎo)向，緊跟監(jiān)管政策要求，建立適度前瞻、覆蓋全面、等FWFW抗DFWDMZ區(qū)FWFWFW抗DFWDMZ區(qū)FWWAF迷網(wǎng)WEB服務(wù)器EDRFWEDRFWEDRFW信創(chuàng)DMZ區(qū)APTAPTFWWAFEDRAPTAPTFWEDR金融行業(yè)解決方案-藍(lán)皮書-2024方案概括為新建全棧信創(chuàng)區(qū)與存量區(qū)域替換，協(xié)同推進(jìn)，靈活調(diào)整。其中新建全棧信創(chuàng)區(qū)用于郵件、OA等辦公系統(tǒng)，財務(wù)、CRM、HR等一般業(yè)務(wù)系統(tǒng)，以及部分關(guān)鍵類統(tǒng)等信創(chuàng)業(yè)務(wù)的全棧承載，實現(xiàn)服務(wù)端由底向上的全棧式信創(chuàng)，并基于縱深防御原則劃分信創(chuàng)互聯(lián)網(wǎng)接入?yún)^(qū)、信創(chuàng)DMZ區(qū)、信創(chuàng)業(yè)務(wù)區(qū)，通過部署防火墻、WAF、EDR、APT、數(shù)據(jù)庫審計等信創(chuàng)安全設(shè)備實現(xiàn)安全防御與檢測能力。在存量區(qū)域優(yōu)先替換辦公區(qū)、分支機(jī)構(gòu)、安全管理區(qū)，要求在新增采購的設(shè)備中100%采用信創(chuàng)設(shè)備，通過3-5年實現(xiàn)存產(chǎn)品系列中具備鯤鵬高性能信創(chuàng)產(chǎn)品型號，采用多核數(shù)硬件設(shè)計，在穩(wěn)定性、性能、國密支持等重要技術(shù)上滿足金融行業(yè)具備海光、飛騰、兆芯、龍芯等多架構(gòu)的產(chǎn)品系列，尤其以海光3250處理器為代表的產(chǎn)品，具備高性價比優(yōu)勢。新建全棧信創(chuàng)區(qū)與存量區(qū)域替換，協(xié)同推進(jìn)，靈活調(diào)整。同時根據(jù)現(xiàn)有信創(chuàng)產(chǎn)品成熟度，充分評估信創(chuàng)產(chǎn)品性能、穩(wěn)定不同于以往對全量數(shù)據(jù)實施數(shù)據(jù)安全保護(hù)的思路，現(xiàn)階段銀行業(yè)已充分意識到要做數(shù)據(jù)安全保護(hù)，首先要做的是敏感數(shù)據(jù)的識別，及對數(shù)據(jù)進(jìn)行分類分級操作，進(jìn)而加強數(shù)據(jù)分類分級后的精細(xì)化安全防護(hù)措施——針對數(shù)據(jù)的不同級別實施不同的數(shù)據(jù)安全管控策略，如：3級以上數(shù)據(jù)在數(shù)據(jù)導(dǎo)出時，使用加密、脫敏等手段；文件系統(tǒng)中存放含有3級及以上的文件，應(yīng)采用加密存儲方式。將數(shù)據(jù)資產(chǎn)實施分類分級后再進(jìn)行針對性保護(hù)，不僅可以實現(xiàn)降本增效，同時也將防護(hù)重點聚焦到高級別敏感數(shù)據(jù)中，更容易發(fā)現(xiàn)數(shù)據(jù)資產(chǎn)所面分類分級解決方案建設(shè)思路：通過主動掃描、流量分析、人工檢測、用戶調(diào)研等工具和服務(wù)相結(jié)合的方式，對數(shù)據(jù)資產(chǎn)進(jìn)行盤點，發(fā)現(xiàn)和識別數(shù)據(jù)資產(chǎn)，定義敏感數(shù)據(jù)，形成數(shù)據(jù)資產(chǎn)臺賬。開展數(shù)據(jù)分類分級工作，梳理數(shù)據(jù)訪問對象和權(quán)限，形成敏感數(shù)據(jù)分布視圖使用高效的數(shù)據(jù)分類分級工具，對用戶數(shù)據(jù)進(jìn)行自動數(shù)據(jù)發(fā)現(xiàn)、基于AI算法和機(jī)器學(xué)習(xí)對敏感數(shù)據(jù)準(zhǔn)確高效識別，然后依據(jù)內(nèi)置法規(guī)、行業(yè)標(biāo)準(zhǔn)自動分類分級操作，生成數(shù)據(jù)資產(chǎn)目錄，讓數(shù)據(jù)走向價值化管理與精細(xì)化管控工具識別完之后，再進(jìn)行人工校驗，對工具的模型及識別規(guī)則進(jìn)行策略調(diào)優(yōu)，然后再以新的規(guī)則進(jìn)行自動化識別，不斷提高分類分??金融行業(yè)解決方案-藍(lán)皮書-2024盤點客戶現(xiàn)有網(wǎng)絡(luò)環(huán)境中的數(shù)據(jù)源，快速、準(zhǔn)確的梳理出核心重要數(shù)據(jù)，同時在數(shù)據(jù)庫漏洞、數(shù)據(jù)庫配置、賬號權(quán)限等基于聚類算法可以對相似表、相似字段進(jìn)行分析，匯總信息后進(jìn)行展示，并可批量確認(rèn)。減少客戶實施的總工作量，大對數(shù)據(jù)庫中的對象可被哪些用戶訪問的情況進(jìn)行歸納總結(jié)，特別是對包含了敏感列的表或者敏感度評分較高的對象，可以對敏感數(shù)據(jù)的分布情況進(jìn)行圖形化分類顯示，使客戶對組織內(nèi)資產(chǎn)分布、敏感數(shù)據(jù)分布一目了然，形成資產(chǎn)臺賬，直觀、快速掌握等保2.0在當(dāng)今“十四五”時期，信息化進(jìn)入數(shù)字化快速發(fā)展、建設(shè)數(shù)字中國的新階段，“十四五”時期信息化發(fā)展重點任務(wù)之一就是構(gòu)建云網(wǎng)融合的新型算力設(shè)施。然而，隨著業(yè)務(wù)上云、數(shù)據(jù)上云無疑會加大網(wǎng)絡(luò)安全風(fēng)險，帶來諸多挑戰(zhàn)，云計算基礎(chǔ)設(shè)施必將是APT攻擊、勒索病毒、供應(yīng)鏈攻擊、數(shù)據(jù)泄漏風(fēng)險、基礎(chǔ)設(shè)施多源多維攻擊的核心目標(biāo)之金融行業(yè)信息系統(tǒng)關(guān)系到國計民生，是國家信息安全重點保護(hù)對象，國家信息安全監(jiān)管職能部門頒布了《云計算技術(shù)術(shù)架構(gòu)》（JR/T0166-2020）、《云計算技術(shù)金融應(yīng)用規(guī)范安全技術(shù)要求》（JR/T0167-2020）、《金融行業(yè)網(wǎng)絡(luò)安全等級保護(hù)測評指南》（JR/T0072-2020）等多項行業(yè)標(biāo)準(zhǔn)，以對其安全保護(hù)工作進(jìn)行指導(dǎo)監(jiān)督。保險機(jī)構(gòu)也需充分意識云計算帶來的巨大優(yōu)勢與需要面臨的風(fēng)險，在建設(shè)云平臺基礎(chǔ)設(shè)施的同時同步考慮配套的安全建設(shè)規(guī)作為云平臺建設(shè)的基礎(chǔ)前提，積極應(yīng)對業(yè)務(wù)上......云安全管理云安全管理云上業(yè)務(wù)合規(guī)安全合規(guī)安全數(shù)據(jù)安全Web安全防護(hù)API安全防護(hù)及審計云上業(yè)務(wù)安全APT防護(hù)APT防護(hù)實戰(zhàn)安全云工作負(fù)載安全（物理機(jī)、虛擬機(jī)、容器安全）云工作負(fù)載安全（物理機(jī)、虛擬機(jī)、容器安全）云平臺VPN零信任 云平臺VPN零信任 流量安全分析（東西）設(shè)施...金融行業(yè)解決方案-藍(lán)皮書-20241920保險云安全體系設(shè)計參考借鑒人行、公安部等云計算安全框架，充分考慮云平臺自身特點和要求，從合規(guī)、風(fēng)險管理、縱云安全框架設(shè)計從基礎(chǔ)設(shè)施、云平臺、云上業(yè)務(wù)、云安全管理幾個層次出發(fā)，基于每個層次面臨的安全威脅，明確各的安全能力，同時以合規(guī)為基礎(chǔ)，充分參考并借鑒國內(nèi)外成熟云基礎(chǔ)設(shè)施安全規(guī)劃設(shè)計：主要由云服務(wù)商配合數(shù)據(jù)中心實現(xiàn)，包括物理環(huán)境安全需求、網(wǎng)絡(luò)及核心設(shè)備冗余、計算及存儲資源冗云平臺安全規(guī)劃設(shè)計：主要包括分區(qū)分域及邊界訪問控制、外部邊界安全防護(hù)設(shè)計、遠(yuǎn)程接入安全防護(hù)設(shè)計、計算資源安全防護(hù)設(shè)云上業(yè)務(wù)（租戶）安全規(guī)劃設(shè)計：主要包括云上合規(guī)、云工作負(fù)載安全、云上業(yè)務(wù)安全、實戰(zhàn)安全（欺騙防御）等。云安全集中管理設(shè)計：主要包括面向安全資源池管理員的云安全管理平臺、面向云租戶的租戶管理平臺以及橫跨多云的多云安全管云安全運營：以資產(chǎn)為核心、以安全事件管理為關(guān)鍵流程建立一套實時的資產(chǎn)風(fēng)險模型，協(xié)助管理人員進(jìn)行事件分析、風(fēng)險分析、信息安全等級保護(hù)是國家在信息安全保障工作的一項基本制度，本方案滿足金融等保三級標(biāo)準(zhǔn)要求。全面應(yīng)對云基礎(chǔ)設(shè)施可無縫對接阿里云、華為云、騰訊云、Ucloud、百度云、青云等主流公有云平臺，同時也支持浪潮云、華為云、VMware等私有云平臺和傳統(tǒng)數(shù)據(jù)中心，一站式覆蓋公有云、私有安全能力支持采用通用許可進(jìn)行開通，支持回收再利用，用戶證券行業(yè)目前已經(jīng)通過行業(yè)互聯(lián)網(wǎng)資產(chǎn)管理、漏洞掃描、滲透測試和定期網(wǎng)站安全監(jiān)測等方式，開展行業(yè)網(wǎng)絡(luò)安全監(jiān)測工作，在一定程度上為行業(yè)網(wǎng)絡(luò)和信息安全態(tài)勢感知工作奠定了基礎(chǔ)。面對日益嚴(yán)峻的網(wǎng)絡(luò)安全挑戰(zhàn)，建設(shè)一個行業(yè)級的安全態(tài)勢感知平臺，有助證券期貨業(yè)網(wǎng)絡(luò)和信息安全態(tài)勢感知平臺（以下簡稱“態(tài)勢感知平臺”）以主動監(jiān)測、科技賦能、協(xié)調(diào)聯(lián)動為目標(biāo)，全行業(yè)網(wǎng)絡(luò)安全態(tài)勢，通報預(yù)警網(wǎng)絡(luò)安全風(fēng)險，防范網(wǎng)絡(luò)攻擊威脅，提升行業(yè)網(wǎng)絡(luò)安全應(yīng)急處行業(yè)機(jī)構(gòu)需自行建設(shè)數(shù)據(jù)報送系統(tǒng)并配置SSL加密認(rèn)證，并使用數(shù)據(jù)報送系統(tǒng)以自動或手工方式將符合報送規(guī)范的數(shù)據(jù)轉(zhuǎn)發(fā)到平臺數(shù)AiLPHA安全分析與管理平臺是一款結(jié)合大數(shù)據(jù)技術(shù)和人工智能算法的安全運營平臺，通過威脅發(fā)現(xiàn)、智能研判和自動化響應(yīng)處置的流程，提高安全運維工作效率，構(gòu)建智能安全運營體系，實現(xiàn)安全運營的閉環(huán)管理。以AiLPHA安全分析與管理平臺作為數(shù)據(jù)報送系統(tǒng)，可實現(xiàn)數(shù)據(jù)上報滿足監(jiān)管要求，并支持手動填寫、通過kafka的方式>>WAF通過kafka的方式>>WAF>IPSAPT >行業(yè)機(jī)構(gòu)滿足證券行業(yè)依托“行業(yè)網(wǎng)絡(luò)與信息安全態(tài)勢感知平臺”數(shù)據(jù)上報要求，完成相關(guān)規(guī)定數(shù)據(jù)轉(zhuǎn)發(fā)的監(jiān)控和實施，符合證券模塊化插件部署不影響AiLPHA態(tài)勢感知平臺其他功能使用，可實現(xiàn)項目快速上線和上報模塊的功能迭代。金融行業(yè)解決方案-藍(lán)皮書-20242014年《金融領(lǐng)域密碼應(yīng)用指導(dǎo)意見》要求各金融機(jī)構(gòu)5年內(nèi)完成在網(wǎng)上銀行、移動支付、網(wǎng)上證券等重點領(lǐng)域國密的應(yīng)用。2018年《金融和重要領(lǐng)域密碼應(yīng)用與創(chuàng)新發(fā)展工作規(guī)劃（2018-2022年）》進(jìn)一步要求金融、政務(wù)等重點行業(yè)國密應(yīng)用。2020年，人行在此基礎(chǔ)上頒發(fā)《金融領(lǐng)域信息系統(tǒng)國產(chǎn)密碼改造基線要求》和《金融領(lǐng)域國產(chǎn)密碼改造評價指標(biāo)體系》，細(xì)化金融業(yè)國密改造要求。目前商密在銀行和證券業(yè)已經(jīng)開展廣泛應(yīng)用，隨著《密碼法》、信創(chuàng)、密評等產(chǎn)業(yè)指引落地，國密改造在各金融機(jī)構(gòu)核心系統(tǒng)中有望持續(xù)深化?；鹁W(wǎng)上交易系統(tǒng)通過銀聯(lián)的在線支付網(wǎng)關(guān)聯(lián)接各大銀行，實現(xiàn)個人投資者的銀行賬戶與網(wǎng)上直銷專戶間的網(wǎng)上資金劃蓋了：基金賬戶開立、客戶資料維護(hù)、網(wǎng)上交易委托、安全認(rèn)證、資金結(jié)算。本方案主要應(yīng)用于網(wǎng)上交易系統(tǒng)APP的改造，通過對移動端與系統(tǒng)端的密碼應(yīng)用改造，對系統(tǒng)涉及到的關(guān)鍵數(shù)據(jù)包括身份鑒別數(shù)據(jù)、敏感信息數(shù)據(jù)和交易數(shù)據(jù)等實現(xiàn)機(jī)密性、完落實中國人民銀行關(guān)于印發(fā)[2020]140號文，結(jié)合《金融領(lǐng)域國產(chǎn)密碼改造評價指標(biāo)》梳理完成國產(chǎn)密碼改造任務(wù)。結(jié)合交易系統(tǒng)業(yè)務(wù)特點和行業(yè)需求，在原有業(yè)務(wù)流程中實現(xiàn)國密應(yīng)21金融行業(yè)解決方案-藍(lán)皮書-20242223SaaS化的安全能力具有輕量化部署優(yōu)勢，在重保期間僅需結(jié)合少量本地安全設(shè)備及云端安全專家就可提供風(fēng)險自查、安全監(jiān)測、復(fù)SaaS化的安全能力具有輕量化部署優(yōu)勢，在重保期間僅需結(jié)合少量本地安全設(shè)備及云端安全專家就可提供風(fēng)險自查、安全監(jiān)測、復(fù)在重保期間，安恒信息提供7*24小時全天候值守，安全服務(wù)專家將與用戶建立專屬溝通服務(wù)群，協(xié)助用戶分析告警日志，幫助用戶在海量的告警中提取關(guān)鍵的有效信息，在第一時間對緊急事件進(jìn)行處置閉環(huán)并對防護(hù)策略調(diào)優(yōu)，讓用重保SaaS解決方案金融行業(yè)作為關(guān)系國計民生的重點行業(yè)，從過往經(jīng)驗分金融行業(yè)作為關(guān)系國計民生的重點行業(yè)，從過往經(jīng)驗分析看，每逢我國舉行重要活動、會議期間，各類網(wǎng)絡(luò)攻擊都會呈增加趨勢，針大量金融機(jī)構(gòu)長期采用“堆人頭式”的傳統(tǒng)安全服務(wù)開展重保工作，而特殊時期人力緊張且服務(wù)水平參差不齊，大量中小金融機(jī)構(gòu)無法有效進(jìn)行防護(hù)，亟待一套能夠?qū)崿F(xiàn)一站式的輕量化的安全服務(wù)方案以重保安全能力Web攻擊防護(hù)惡意IP封禁重保安全能力Web攻擊防護(hù)惡意IP封禁安全服務(wù)7*24小時安全值守+安服專家響應(yīng)支撐方案概括為結(jié)合7*24小時安全專家重保服務(wù)及安恒方案概括為結(jié)合7*24小時安全專家重保服務(wù)及安恒SaaS安全能力在重保前、重保中以及重保后為客戶提供閉環(huán)解決方案，主要服務(wù)摸底加固：重保前安全體檢，將業(yè)務(wù)系統(tǒng)摸清家底、漏洞體檢，協(xié)助用戶進(jìn)行風(fēng)險加固，降低被攻擊的風(fēng)險。防御響應(yīng)：重保中部署安全產(chǎn)品，提升業(yè)務(wù)防護(hù)水平，并結(jié)合專家服務(wù)進(jìn)行攻擊監(jiān)測及響復(fù)盤改進(jìn)：全面總結(jié)重保各階段的工作情況，形成總結(jié)報告進(jìn)行匯報總結(jié)，并加以改進(jìn)。金融行業(yè)解決方案-藍(lán)皮書-20242425基于自身安全防護(hù)需求及監(jiān)管壓力，金融機(jī)構(gòu)對網(wǎng)絡(luò)安全建設(shè)長期重視與投入，購買了大量的安全產(chǎn)品及常規(guī)安全服務(wù)。同時金融機(jī)構(gòu)常態(tài)化參與攻防演練，往往在演練期間堆疊大量安全設(shè)備與服務(wù)，短時間內(nèi)提升安全防御能力。但隨著攻防演練與各類重保的常態(tài)化進(jìn)行，金融機(jī)構(gòu)應(yīng)更加注重自身真實的安全防護(hù)能力，如何進(jìn)行常態(tài)化對自身安全防御能力做有效性驗證是當(dāng)前金融機(jī)構(gòu)的一個痛 安恒安全驗證BAS體系安全驗證安全驗證Aigent配置...HVV場景ATT&CK戰(zhàn)術(shù)服務(wù)端（攻擊機(jī)）Aigent安裝Aigent安裝ABAS安全驗證模塊AXDR高級威脅檢測與分析平臺告警轉(zhuǎn)用例威脅狩獵安全設(shè)備策略優(yōu)化、安全設(shè)備規(guī)則分析安全設(shè)備策略優(yōu)化、安全設(shè)備規(guī)則分析…方案概括為結(jié)合BAS工具及安全驗證服務(wù)，幫助用戶全面驗證自身安全防御系統(tǒng)的防御策略有效性。其中紫隊服務(wù)團(tuán)隊通過高級威脅情報及最新攻擊用例輸入，采用攻擊模擬的方式，配合一定的實戰(zhàn)手段，對安全防護(hù)設(shè)備逐項進(jìn)行細(xì)顆粒度安全能力評估與優(yōu)化，幫助用戶打通安全事件流程，進(jìn)而完善相應(yīng)防護(hù)措施。AXDR-BAS工具通過自動化方式，使用測試用例常態(tài)化、定期進(jìn)行全鏈路自動化攻擊模擬，實現(xiàn)對現(xiàn)網(wǎng)安全防護(hù)設(shè)備進(jìn)行安全策略有效性驗證的閉環(huán)，并為用戶提供多種測試場景選擇，進(jìn)行個各類安全能力防護(hù)專項有效結(jié)合自動化工具及服務(wù)流程，充分發(fā)揮工具的自動化特性，高效實現(xiàn)對安全防御體系的所有組件的策略驗證。同時結(jié)合服務(wù)補創(chuàng)新結(jié)合攻防對抗實踐、ATT&CK戰(zhàn)術(shù)，通過安全模擬驗證的用例及劇本進(jìn)行模擬攻擊，幫助用戶安全運營團(tuán)隊了解最新攻擊手法及實戰(zhàn)防御策略，同時對現(xiàn)有安全防護(hù)設(shè)備的攔截能力與檢測能力有更加清晰明確的充分驗證安全設(shè)備策略有效性，使得安全防護(hù)策略能夠良好的應(yīng)對實際面臨安全威脅，并保障告警的精準(zhǔn)性，最終幫助用戶切實提金融行業(yè)解決方案-藍(lán)皮書-2024第二章合規(guī)性:開發(fā)安全體系建設(shè)，嚴(yán)格按照國家、行業(yè)頒布安全合規(guī)政策落地實施，幫助企業(yè)達(dá)成合規(guī)性。標(biāo)準(zhǔn)化、自動化:搭建安全開發(fā)一體化平臺，采用人工+工具的方式，與企業(yè)現(xiàn)有流程完美融合，達(dá)成流程自動化，做到安全工作有提高質(zhì)量、降低成本:開發(fā)安全體系建設(shè)和運行，大大提高系統(tǒng)的安全性，降低漏洞的修復(fù)成本，減少了研發(fā)、測試、安全人員溝通培養(yǎng)安全意識、提高安全技能:構(gòu)建安全知識庫，培養(yǎng)安全共識，以安全能力為基石，并進(jìn)行常態(tài)化的開發(fā)安全培訓(xùn)，提升開發(fā)人員為加強銀行保險機(jī)構(gòu)供應(yīng)鏈安全管理，防范風(fēng)險，確保系統(tǒng)安全穩(wěn)定運行，2021年，銀保監(jiān)會發(fā)布了《關(guān)于供應(yīng)鏈安全風(fēng)險提示的為加強銀行保險機(jī)構(gòu)供應(yīng)鏈安全管理，防范風(fēng)險，確保系統(tǒng)安全穩(wěn)定運行，2021年，銀保監(jiān)會發(fā)布了《關(guān)于供應(yīng)鏈安全風(fēng)險提示的函》，基本內(nèi)容包括：提高供應(yīng)鏈安全風(fēng)險防范意識，加強對于供應(yīng)鏈的安全統(tǒng)籌管理，充分評估第三方供應(yīng)商的安全能力，提升系統(tǒng)自主研發(fā)能力，加強對供應(yīng)商廠商的監(jiān)督檢查。結(jié)合文件內(nèi)容，金融業(yè)做好軟件供應(yīng)鏈安全需要從管設(shè)計度量方法和持續(xù)提高機(jī)制，持續(xù)提高人員安全意識和對各類軟件開發(fā)環(huán)境進(jìn)行風(fēng)險控制，嚴(yán)格控制輸入到對各類軟件開發(fā)環(huán)境進(jìn)行風(fēng)險控制，嚴(yán)格控制輸入到設(shè)計和實現(xiàn)安全開發(fā)流程，以達(dá)到研發(fā)安全的軟件的目的，使++oIDE安全插件檢查oSCA成分分析oSAST靜態(tài)分析oDAST黑盒測試oIAST被動測試準(zhǔn)備階段需求分析與設(shè)計開發(fā)階段集成階段通過安全開發(fā)一體化平臺的建設(shè)，實現(xiàn)“安全左移”，及時響應(yīng)并解決漏洞，通過人工+工具、測試任務(wù)復(fù)測、漏洞去重，達(dá)到降低安全開發(fā)一體化平臺DevSecOps的核心理念就是將軟件安全集成在軟件開發(fā)的每一個階段，而不僅僅是在上線發(fā)布階段做一次安全272627金融行業(yè)解決方案-藍(lán)皮書-2024由于業(yè)務(wù)的增長，某股份制銀行安全運營中心每年都在安全運營上投入大量的人力財力，并逐步開始關(guān)注自動化安全運營的需求，主利用劇本編排，覆蓋重復(fù)工作，包括：防火墻自動阻斷；周期性安全運營報告；定期弱點、資產(chǎn)掃描結(jié)果發(fā)送；自動化設(shè)備狀態(tài)巡檢對用戶環(huán)境內(nèi)各種孤立的安全設(shè)備進(jìn)行梳理整合、集中管控，將大量的單點告警數(shù)據(jù)匯入SOAR，加大數(shù)據(jù)源頭的網(wǎng)羅和監(jiān)測，通過自動化編排整合人員、流程和技術(shù)，縮短響應(yīng)時間，快速形成自動閉環(huán)”的安全運營需求，實現(xiàn)安全運營數(shù)字化、智能化目標(biāo)。其中“十全”安全運營平臺包括：全資產(chǎn)安全管控、全方位威脅建模、全漏洞快速定位、全場景劇本編排、全攻擊有效溯源、全平臺安全大腦、全天候威脅監(jiān)測、全告警聯(lián)動分析、全事件秒級響應(yīng)、302930金融行業(yè)解決方案-藍(lán)皮書-2024第三章ISPISP流量鏡像VLAN標(biāo)簽SOAR流量鏡像VLAN標(biāo)簽TAPAiLPHATAPIPS出口IPS出口IPS出口IPS出口IPS外聯(lián)防火墻外聯(lián)防火墻VPNIPsecDMZ防火墻DMZ防火墻DMZ主機(jī)外聯(lián)黑名單DMZ防火墻DMZ防火墻DMZ核心交換機(jī)DMZ核心交換機(jī)F5F5F5ImpervaWAFWAFWAFWAFWAFWAFWAFWAFWAF F5F5WAFWAFWAFWAFSSLSSLDMZ(SDN網(wǎng)絡(luò)）IPS內(nèi)網(wǎng)IPS內(nèi)網(wǎng)IPS內(nèi)網(wǎng)IPS內(nèi)網(wǎng)(SDN網(wǎng)絡(luò)）利用實時分析引擎、攻擊鏈分析、智能模型、情報碰撞、漏洞驗證等方式，為安全管理員提煉重點關(guān)注告警幾十條，并將其余99%的幫助安全人員專注安全分析建模和追蹤溯源，提升安全運維人員工作效率。定期修補Web業(yè)務(wù)系統(tǒng)開發(fā)架構(gòu)常見漏洞，減少漏洞利用告警信息實時推送，平臺可聯(lián)動安全防護(hù)設(shè)備，自動下發(fā)處置策略，第一時間阻斷威脅，形成安全閉環(huán)，減輕安全人員應(yīng)對大量告警金融行業(yè)解決方案-藍(lán)皮書-2024第三章3334為精細(xì)化管理數(shù)據(jù)，防止敏感數(shù)據(jù)泄露，同時監(jiān)對數(shù)據(jù)庫操作人員的操作行為是否合規(guī)進(jìn)行實時審計，從而加強對數(shù)據(jù)庫操作系統(tǒng)內(nèi)部的防護(hù)以及人員管理。實現(xiàn)數(shù)據(jù)庫的運維人員和第三方外包人員精細(xì)化管控；數(shù)據(jù)庫中的高敏感數(shù)據(jù)，不適合對運維人員直接暴露；希望內(nèi)置多種場景數(shù)據(jù)安全訪問規(guī)則，方便使用和上手；數(shù)據(jù)庫種類多，許多數(shù)據(jù)庫不適合升級，但是對暴漏的數(shù)共采購數(shù)據(jù)庫審計20套，數(shù)據(jù)庫安全網(wǎng)關(guān)8套，其中，集團(tuán)部署了5套數(shù)據(jù)庫審計和3套數(shù)據(jù)庫安全網(wǎng)關(guān)，數(shù)據(jù)庫審計采用分布式部署方