金融行業(yè)解決方案藍皮書-20240708

BlueBook亞奧理事會官方合作伙伴安恒信息官方公眾號 DAS-security女王中Co血te血ts本文的所有內容，其版權屬于杭州安恒信息技術股份有限公司（以下簡稱“安恒信息”）所有，未經(jīng)安恒信息的許可，任何人不得防制、拷貝、轉譯或任意引用。本文沒有任何形式的擔若因本文或其所提到的任何信息引起的直接或間接的資料流失、利益損失，安恒信息及其員工恕不承擔任何責任。本文所提到的解決方案僅供參考，不構成任何要約或承諾，有關內容可?安恒信息12重保SaaS解決方案060720232325273303030333333343535353637金融行業(yè)解決方案-藍皮書-2024第一章金融行業(yè)在國民經(jīng)濟發(fā)展中占據(jù)著重要地位,影響著國家產業(yè)經(jīng)濟發(fā)展的穩(wěn)定性。當前新一輪科技革命和產業(yè)變革深入發(fā)展,數(shù)字化浪潮蓬勃興起,國家“十四五”規(guī)劃和2035年遠景目標綱要明確提出“穩(wěn)妥發(fā)展金融科技，加快金融機構數(shù)字化轉型”的重要任務，數(shù)當前，銀行業(yè)數(shù)字化轉型繼續(xù)走在前列，略高于證券及資管業(yè)和保險業(yè)。但隨著證券業(yè)信息技術系統(tǒng)服務機構備案、資本市場金融科技創(chuàng)新試點、《證券期貨業(yè)科技發(fā)展“十四五”規(guī)劃》等一系列政策舉措的出臺，證券及資管金融網(wǎng)絡安全與數(shù)字化同步發(fā)展，金融網(wǎng)絡安全體系與數(shù)字化技術體系相關聯(lián)，網(wǎng)絡安全工作伴隨數(shù)字技術的演進經(jīng)歷了多個階段，起步階段：1980年后，尤其以銀行業(yè)為主，金融業(yè)務進行電子化時代，逐步采用信息技術系統(tǒng)替代人力工作。此時我國的互聯(lián)網(wǎng)普及率較低，面臨的網(wǎng)絡安全威脅尚不復雜，網(wǎng)絡安全工作的開展主要依據(jù)國家及主管部門發(fā)布的安全監(jiān)管制度如《中華人民共和國計算機信息系統(tǒng)安全保護條例》，安全工作主要圍繞物理安全、終端安全、主機系統(tǒng)安全等領域開展，保護呈分散特點的專用系統(tǒng)和軟件發(fā)展階段：2000年以后，金融信息系統(tǒng)逐漸從分散走向集中，大型數(shù)據(jù)中心建設如火如荼。信息系統(tǒng)的高度集中也導致了風險的高度集中，信息系統(tǒng)規(guī)模日益增大，運行環(huán)境愈發(fā)復雜，安全工作主要圍繞數(shù)據(jù)中心進行的網(wǎng)絡邊界防護，并逐漸參考引入國內外一系列安全標準及模型，如信息安全等級保護相關政策法規(guī)、ISO27000信息安全管理體系標準等，不斷提升信息安全管理的規(guī)范化水平，體系化解決網(wǎng)絡安全問題。在此階段，代表性的安全技術有訪問控制成熟階段：近十年來金融機構進入信息化、數(shù)字化時代，產品、營銷、運營等逐漸發(fā)生深刻改變。同時，網(wǎng)絡安全風險更加復雜。金融機構依據(jù)國家及相關部門發(fā)布的《網(wǎng)絡安全等級保護條例》與《國家關鍵信息基礎設施安全保護條例》等相關法規(guī)標準，推動構建網(wǎng)絡安全縱深防護體系。網(wǎng)絡安全的目標由單一保護網(wǎng)絡向保護數(shù)據(jù)轉變，通過縱深防護，達到內外兼防的目的。在此階段，網(wǎng)絡安全需要同時兼顧攻防，代表技術有ATT&CK威脅建模、網(wǎng)絡攻擊溯源、態(tài)勢感知技術等。當前，從國內金融行業(yè)網(wǎng)絡安全總體態(tài)勢來看，在行業(yè)監(jiān)管要求日益嚴格細化的大背景下，金融行業(yè)已經(jīng)普遍形成了較為完善的網(wǎng)絡安全組織與制度管理體系，但是由于網(wǎng)絡安全風險意識不足和宣貫不到位，部分安全管理要求流于形式；由于大型金融機構和中小型金融機構的信息化水平差距較大，網(wǎng)絡安全防護技術體系的建設情況也呈現(xiàn)出明顯的參差不齊，大型金融機構普遍構建了縱深的安全防御體系，中小金融機構則缺乏頂層的體系化設計，以單點被動防御為主，整體安全防護能力較差；在網(wǎng)絡安全投入上，國內金融行050605金融行業(yè)解決方案-藍皮書-2024第二章近年，在大國博弈、俄烏沖突、世紀疫情等國內外形勢的復雜背景下，國家金融安全的重要性更加突出，維護金融網(wǎng)絡安全將成為國一是隨著事件型漏洞和高危零日漏洞威脅的二是隨著數(shù)字化轉型及法律合規(guī)的壓力，金融機構將更加注重數(shù)據(jù)安全，其組織架構、管理體系及技術防護體系將產生新的變化；三是隨著金融業(yè)務的數(shù)字化轉型，金融網(wǎng)絡安全建設的數(shù)字化轉型也將同步開展，數(shù)字化的網(wǎng)絡安全運營體系成為未來重點建五是信息技術應用創(chuàng)新推進明顯，網(wǎng)絡安全的基礎產品及技術需同步跟進、同步建設。針對金融行業(yè)面臨的新的風險和挑戰(zhàn)，結合目前存在的問題，安恒信息建議金融機構從以下幾個方面著手，快速提升網(wǎng)絡安全綜合防一是以人為本，采取多種方式加強網(wǎng)絡安全意識培訓和宣貫，提升全員網(wǎng)絡安全風險防范意識；二是創(chuàng)新思路，統(tǒng)籌推進網(wǎng)絡安全頂層規(guī)劃工作；三是加強個人金融信息保護，逐步建設全要素的數(shù)據(jù)安全治理體系，覆蓋數(shù)據(jù)全生命周期進行安全防護；五是以信息系統(tǒng)信創(chuàng)改造為基礎，從辦公到生產、從邊緣到核心、從分支到總部逐步替換安全產品；六是注重網(wǎng)絡安全人才培養(yǎng)，同時加強與專業(yè)機構的合作，持續(xù)提升網(wǎng)絡安全人員的專業(yè)技能。07縱觀整個金融行業(yè)，大量客戶前期已經(jīng)采購了一些數(shù)據(jù)安全相關的設備，如：脫敏、加密等，隨著金融行業(yè)客戶自身業(yè)務發(fā)展的不斷深入及開展數(shù)字化轉型的迫切性，復雜的數(shù)據(jù)使用場景使傳統(tǒng)的安全措施難以發(fā)揮效應，且單點防護的方式越來越不能滿足安全需求,所以要針對金融行業(yè)業(yè)務發(fā)展現(xiàn)狀制定完善的數(shù)據(jù)安全建設長期規(guī)劃，以此規(guī)劃為目標，逐步建設數(shù)據(jù)安全防護能力?？v觀整個金融行業(yè)，大量客戶前期已經(jīng)采購了一些數(shù)據(jù)安全相關的設備，如：脫敏、加密等，隨著金融行業(yè)客戶自身業(yè)務發(fā)展的不斷深入及開展數(shù)字化轉型的迫切性，復雜的數(shù)據(jù)使用場景使傳統(tǒng)的安全措施難以發(fā)揮效應，且單點防護的方式越來越不能滿足安全需求,所以要針對金融行業(yè)業(yè)務發(fā)展現(xiàn)狀制定完善的數(shù)據(jù)安全建設長期規(guī)劃，以此規(guī)劃為目標，逐步建設數(shù)據(jù)安全防護能力。事件運營應急響應數(shù)據(jù)分類分級敏感數(shù)據(jù)識別數(shù)據(jù)標記資產視圖數(shù)據(jù)銷毀數(shù)據(jù)刪除全面防護能力框架數(shù)據(jù)資產管理數(shù)據(jù)刪除數(shù)據(jù)傳輸數(shù)據(jù)銷毀安全能力防護要求行業(yè)監(jiān)管標準國家法律法規(guī)行業(yè)最佳實踐相關標準1.數(shù)據(jù)安全規(guī)劃的實現(xiàn)步驟依次為：現(xiàn)狀調研、資產梳理、風險2.數(shù)據(jù)安全能力建設，以數(shù)據(jù)安全分級為基礎，建立覆蓋數(shù)據(jù)生命周期全過程的安全防護體系，防護要求以《金融數(shù)據(jù)安全數(shù)據(jù)生命周期安全規(guī)范》中的防護要求為依據(jù)，以數(shù)據(jù)安全相關技術能力及產品為能力底座，全面加強金融行業(yè)解決方案-藍皮書-202409金融行業(yè)解決方案-藍皮書-20243.以保障金融行業(yè)業(yè)務連續(xù)性為前提，在做好金融行業(yè)客戶數(shù)據(jù)安全防護的基礎上，加強制度體系建設、數(shù)據(jù)安全整體態(tài)勢感知能力和統(tǒng)一運營能力，實現(xiàn)事件、資產、風險、策了解金融業(yè)客戶數(shù)據(jù)安全建設的現(xiàn)狀，包括取得的成果和存在的問題，結合業(yè)務特性和發(fā)展方向制定規(guī)劃。通過數(shù)據(jù)安全防護措施，滿足內外部合規(guī)檢查要求。建立數(shù)據(jù)安全管理工作相關制度與流程規(guī)范，為數(shù)據(jù)安全工作有序管理提供支撐。協(xié)助金融業(yè)客戶維護良建立數(shù)據(jù)安全治理架構，完善金融業(yè)客戶數(shù)據(jù)安全保護體系。梳理全量數(shù)據(jù)，識別敏感數(shù)據(jù)，結合分類分級規(guī)范和工具，實現(xiàn)數(shù)據(jù)分隨著國內外網(wǎng)絡安全復雜、嚴峻形勢的演變，我國金融行業(yè)網(wǎng)絡安全形勢亦不容樂觀，主要的風險和挑戰(zhàn)有：金融科技創(chuàng)新大量采用新技術實現(xiàn)業(yè)務創(chuàng)新的同時，給網(wǎng)絡安全帶來更多隱性風險；隨著事件型漏洞和高危漏洞威脅的持續(xù)走高，網(wǎng)絡攻擊的種類、規(guī)模和方式不斷增加；數(shù)字化轉型不斷提升數(shù)據(jù)價值，金融業(yè)務的復雜性使得數(shù)據(jù)安全保護體系的建設難度不斷加大；金融機構與第三方機構的連接越來越多，導致風險的傳導范圍和為有效應對嚴峻的網(wǎng)絡風險，國務院辦公廳、網(wǎng)信辦、公安部、工信部及中國人民銀行等部門陸續(xù)出臺了相關政策和標準，人行于2019年建設了行業(yè)級的態(tài)勢感知與信息共享平臺，并在2022年依托平臺加強對重要信息系統(tǒng)業(yè)務運行狀況主動監(jiān)測預警能力。同樣的，證監(jiān)會也開始籌備行業(yè)態(tài)勢感知平臺的建設。同時隨著不同級別攻防演練逐步展開，越來越多的金融機構開始接受檢驗并逐步形安恒安全運營架構-1前提2平臺3要素SOAR劇本編排安全運營活動安全分析安全分析UEBAUEBA（用戶與實體行為分析）ATT&CK分析框架安全能力中臺（SOAR）安全數(shù)據(jù)采集基礎設備安全能力接入異構安全數(shù)據(jù)采集全流量數(shù)據(jù)采集IT資產數(shù)據(jù)采集情報數(shù)據(jù)同步能力接口化能力標準化數(shù)據(jù)對接能力對接策略下發(fā)基礎安全資源：出口安全、數(shù)據(jù)中心安全、云安全、終端安全...信息基礎設施：物理機房、公有云、私有云信息基礎設施：物理機房、公有云、私有云前提-安全運營體系規(guī)劃：愿景目標、差距分析、制度設計、流程規(guī)劃、運前提-安全運營體系規(guī)劃：愿景目標、差距分析、制度設計、流程規(guī)劃、運營指標量化…金融行業(yè)解決方案-藍皮書-2024一前提：安全運營體系規(guī)劃二平臺：安全數(shù)據(jù)中臺、安全能力中臺三要素：人員、機制流程、平臺（技術及工具）方案詳細設計主要圍繞安全運營的3個要素的建設，即通過安全技術工具搭建統(tǒng)一的安全運營平臺，構建安全運營能力的基礎，通過引入專業(yè)的安全服務人員構建層次分明分工合理的安全運營組織架構，提升單位的安全運營能力，通過對單位日常、應急保等多個場景下的安全運營工作進行梳理，幫助單位構建可落地、安全運營建設緊貼業(yè)務發(fā)展愿景，安全管理制度和事件處置流程完備，安全運營工作流程高效有優(yōu)化安全運營團隊組織架構設計，引進外部專業(yè)的安全運營人員，實現(xiàn)運營人員分工明確、權責對應、層次搭配合理、團EDREDRFWAC認證匯聚多源安全數(shù)據(jù)形成全方位的威脅感知能力，并整合集成異構安全能力，形成統(tǒng)一的安全事件OA區(qū)OA區(qū)金融機構作為金融信創(chuàng)試點單位，需按照人行要求針對辦公管理系統(tǒng)、終端機具、一般業(yè)務系統(tǒng)、關鍵業(yè)務系統(tǒng)等四類業(yè)務系統(tǒng)進行信創(chuàng)改造，并實現(xiàn)國產信息技術產品采購金額占全部信息技術產品采購金額比例超過要求比例。沒有網(wǎng)絡安全就沒有國家安全，在完成業(yè)務系統(tǒng)信創(chuàng)改造的同時配套網(wǎng)絡安全建設應同步開展，同步規(guī)劃。因此金融機構需以積極落實信創(chuàng)精神、防范金融科技風險為導向，緊跟監(jiān)管政策要求，建立適度前瞻、覆蓋全面、等FWFW抗DFWDMZ區(qū)FWFWFW抗DFWDMZ區(qū)FWWAF迷網(wǎng)WEB服務器EDRFWEDRFWEDRFW信創(chuàng)DMZ區(qū)APTAPTFWWAFEDRAPTAPTFWEDR金融行業(yè)解決方案-藍皮書-2024方案概括為新建全棧信創(chuàng)區(qū)與存量區(qū)域替換，協(xié)同推進，靈活調整。其中新建全棧信創(chuàng)區(qū)用于郵件、OA等辦公系統(tǒng)，財務、CRM、HR等一般業(yè)務系統(tǒng)，以及部分關鍵類統(tǒng)等信創(chuàng)業(yè)務的全棧承載，實現(xiàn)服務端由底向上的全棧式信創(chuàng)，并基于縱深防御原則劃分信創(chuàng)互聯(lián)網(wǎng)接入?yún)^(qū)、信創(chuàng)DMZ區(qū)、信創(chuàng)業(yè)務區(qū)，通過部署防火墻、WAF、EDR、APT、數(shù)據(jù)庫審計等信創(chuàng)安全設備實現(xiàn)安全防御與檢測能力。在存量區(qū)域優(yōu)先替換辦公區(qū)、分支機構、安全管理區(qū)，要求在新增采購的設備中100%采用信創(chuàng)設備，通過3-5年實現(xiàn)存產品系列中具備鯤鵬高性能信創(chuàng)產品型號，采用多核數(shù)硬件設計，在穩(wěn)定性、性能、國密支持等重要技術上滿足金融行業(yè)具備海光、飛騰、兆芯、龍芯等多架構的產品系列，尤其以海光3250處理器為代表的產品，具備高性價比優(yōu)勢。新建全棧信創(chuàng)區(qū)與存量區(qū)域替換，協(xié)同推進，靈活調整。同時根據(jù)現(xiàn)有信創(chuàng)產品成熟度，充分評估信創(chuàng)產品性能、穩(wěn)定不同于以往對全量數(shù)據(jù)實施數(shù)據(jù)安全保護的思路，現(xiàn)階段銀行業(yè)已充分意識到要做數(shù)據(jù)安全保護，首先要做的是敏感數(shù)據(jù)的識別，及對數(shù)據(jù)進行分類分級操作，進而加強數(shù)據(jù)分類分級后的精細化安全防護措施——針對數(shù)據(jù)的不同級別實施不同的數(shù)據(jù)安全管控策略，如：3級以上數(shù)據(jù)在數(shù)據(jù)導出時，使用加密、脫敏等手段；文件系統(tǒng)中存放含有3級及以上的文件，應采用加密存儲方式。將數(shù)據(jù)資產實施分類分級后再進行針對性保護，不僅可以實現(xiàn)降本增效，同時也將防護重點聚焦到高級別敏感數(shù)據(jù)中，更容易發(fā)現(xiàn)數(shù)據(jù)資產所面分類分級解決方案建設思路：通過主動掃描、流量分析、人工檢測、用戶調研等工具和服務相結合的方式，對數(shù)據(jù)資產進行盤點，發(fā)現(xiàn)和識別數(shù)據(jù)資產，定義敏感數(shù)據(jù)，形成數(shù)據(jù)資產臺賬。開展數(shù)據(jù)分類分級工作，梳理數(shù)據(jù)訪問對象和權限，形成敏感數(shù)據(jù)分布視圖使用高效的數(shù)據(jù)分類分級工具，對用戶數(shù)據(jù)進行自動數(shù)據(jù)發(fā)現(xiàn)、基于AI算法和機器學習對敏感數(shù)據(jù)準確高效識別，然后依據(jù)內置法規(guī)、行業(yè)標準自動分類分級操作，生成數(shù)據(jù)資產目錄，讓數(shù)據(jù)走向價值化管理與精細化管控工具識別完之后，再進行人工校驗，對工具的模型及識別規(guī)則進行策略調優(yōu)，然后再以新的規(guī)則進行自動化識別，不斷提高分類分??金融行業(yè)解決方案-藍皮書-2024盤點客戶現(xiàn)有網(wǎng)絡環(huán)境中的數(shù)據(jù)源，快速、準確的梳理出核心重要數(shù)據(jù)，同時在數(shù)據(jù)庫漏洞、數(shù)據(jù)庫配置、賬號權限等基于聚類算法可以對相似表、相似字段進行分析，匯總信息后進行展示，并可批量確認。減少客戶實施的總工作量，大對數(shù)據(jù)庫中的對象可被哪些用戶訪問的情況進行歸納總結，特別是對包含了敏感列的表或者敏感度評分較高的對象，可以對敏感數(shù)據(jù)的分布情況進行圖形化分類顯示，使客戶對組織內資產分布、敏感數(shù)據(jù)分布一目了然，形成資產臺賬，直觀、快速掌握等保2.0在當今“十四五”時期，信息化進入數(shù)字化快速發(fā)展、建設數(shù)字中國的新階段，“十四五”時期信息化發(fā)展重點任務之一就是構建云網(wǎng)融合的新型算力設施。然而，隨著業(yè)務上云、數(shù)據(jù)上云無疑會加大網(wǎng)絡安全風險，帶來諸多挑戰(zhàn)，云計算基礎設施必將是APT攻擊、勒索病毒、供應鏈攻擊、數(shù)據(jù)泄漏風險、基礎設施多源多維攻擊的核心目標之金融行業(yè)信息系統(tǒng)關系到國計民生，是國家信息安全重點保護對象，國家信息安全監(jiān)管職能部門頒布了《云計算技術術架構》（JR/T0166-2020）、《云計算技術金融應用規(guī)范安全技術要求》（JR/T0167-2020）、《金融行業(yè)網(wǎng)絡安全等級保護測評指南》（JR/T0072-2020）等多項行業(yè)標準，以對其安全保護工作進行指導監(jiān)督。保險機構也需充分意識云計算帶來的巨大優(yōu)勢與需要面臨的風險，在建設云平臺基礎設施的同時同步考慮配套的安全建設規(guī)作為云平臺建設的基礎前提，積極應對業(yè)務上......云安全管理云安全管理云上業(yè)務合規(guī)安全合規(guī)安全數(shù)據(jù)安全Web安全防護API安全防護及審計云上業(yè)務安全APT防護APT防護實戰(zhàn)安全云工作負載安全（物理機、虛擬機、容器安全）云工作負載安全（物理機、虛擬機、容器安全）云平臺VPN零信任 云平臺VPN零信任 流量安全分析（東西）設施...金融行業(yè)解決方案-藍皮書-20241920保險云安全體系設計參考借鑒人行、公安部等云計算安全框架，充分考慮云平臺自身特點和要求，從合規(guī)、風險管理、縱云安全框架設計從基礎設施、云平臺、云上業(yè)務、云安全管理幾個層次出發(fā)，基于每個層次面臨的安全威脅，明確各的安全能力，同時以合規(guī)為基礎，充分參考并借鑒國內外成熟云基礎設施安全規(guī)劃設計：主要由云服務商配合數(shù)據(jù)中心實現(xiàn)，包括物理環(huán)境安全需求、網(wǎng)絡及核心設備冗余、計算及存儲資源冗云平臺安全規(guī)劃設計：主要包括分區(qū)分域及邊界訪問控制、外部邊界安全防護設計、遠程接入安全防護設計、計算資源安全防護設云上業(yè)務（租戶）安全規(guī)劃設計：主要包括云上合規(guī)、云工作負載安全、云上業(yè)務安全、實戰(zhàn)安全（欺騙防御）等。云安全集中管理設計：主要包括面向安全資源池管理員的云安全管理平臺、面向云租戶的租戶管理平臺以及橫跨多云的多云安全管云安全運營：以資產為核心、以安全事件管理為關鍵流程建立一套實時的資產風險模型，協(xié)助管理人員進行事件分析、風險分析、信息安全等級保護是國家在信息安全保障工作的一項基本制度，本方案滿足金融等保三級標準要求。全面應對云基礎設施可無縫對接阿里云、華為云、騰訊云、Ucloud、百度云、青云等主流公有云平臺，同時也支持浪潮云、華為云、VMware等私有云平臺和傳統(tǒng)數(shù)據(jù)中心，一站式覆蓋公有云、私有安全能力支持采用通用許可進行開通，支持回收再利用，用戶證券行業(yè)目前已經(jīng)通過行業(yè)互聯(lián)網(wǎng)資產管理、漏洞掃描、滲透測試和定期網(wǎng)站安全監(jiān)測等方式，開展行業(yè)網(wǎng)絡安全監(jiān)測工作，在一定程度上為行業(yè)網(wǎng)絡和信息安全態(tài)勢感知工作奠定了基礎。面對日益嚴峻的網(wǎng)絡安全挑戰(zhàn)，建設一個行業(yè)級的安全態(tài)勢感知平臺，有助證券期貨業(yè)網(wǎng)絡和信息安全態(tài)勢感知平臺（以下簡稱“態(tài)勢感知平臺”）以主動監(jiān)測、科技賦能、協(xié)調聯(lián)動為目標，全行業(yè)網(wǎng)絡安全態(tài)勢，通報預警網(wǎng)絡安全風險，防范網(wǎng)絡攻擊威脅，提升行業(yè)網(wǎng)絡安全應急處行業(yè)機構需自行建設數(shù)據(jù)報送系統(tǒng)并配置SSL加密認證，并使用數(shù)據(jù)報送系統(tǒng)以自動或手工方式將符合報送規(guī)范的數(shù)據(jù)轉發(fā)到平臺數(shù)AiLPHA安全分析與管理平臺是一款結合大數(shù)據(jù)技術和人工智能算法的安全運營平臺，通過威脅發(fā)現(xiàn)、智能研判和自動化響應處置的流程，提高安全運維工作效率，構建智能安全運營體系，實現(xiàn)安全運營的閉環(huán)管理。以AiLPHA安全分析與管理平臺作為數(shù)據(jù)報送系統(tǒng)，可實現(xiàn)數(shù)據(jù)上報滿足監(jiān)管要求，并支持手動填寫、通過kafka的方式>>WAF通過kafka的方式>>WAF>IPSAPT >行業(yè)機構滿足證券行業(yè)依托“行業(yè)網(wǎng)絡與信息安全態(tài)勢感知平臺”數(shù)據(jù)上報要求，完成相關規(guī)定數(shù)據(jù)轉發(fā)的監(jiān)控和實施，符合證券模塊化插件部署不影響AiLPHA態(tài)勢感知平臺其他功能使用，可實現(xiàn)項目快速上線和上報模塊的功能迭代。金融行業(yè)解決方案-藍皮書-20242014年《金融領域密碼應用指導意見》要求各金融機構5年內完成在網(wǎng)上銀行、移動支付、網(wǎng)上證券等重點領域國密的應用。2018年《金融和重要領域密碼應用與創(chuàng)新發(fā)展工作規(guī)劃（2018-2022年）》進一步要求金融、政務等重點行業(yè)國密應用。2020年，人行在此基礎上頒發(fā)《金融領域信息系統(tǒng)國產密碼改造基線要求》和《金融領域國產密碼改造評價指標體系》，細化金融業(yè)國密改造要求。目前商密在銀行和證券業(yè)已經(jīng)開展廣泛應用，隨著《密碼法》、信創(chuàng)、密評等產業(yè)指引落地，國密改造在各金融機構核心系統(tǒng)中有望持續(xù)深化?；鹁W(wǎng)上交易系統(tǒng)通過銀聯(lián)的在線支付網(wǎng)關聯(lián)接各大銀行，實現(xiàn)個人投資者的銀行賬戶與網(wǎng)上直銷專戶間的網(wǎng)上資金劃蓋了：基金賬戶開立、客戶資料維護、網(wǎng)上交易委托、安全認證、資金結算。本方案主要應用于網(wǎng)上交易系統(tǒng)APP的改造，通過對移動端與系統(tǒng)端的密碼應用改造，對系統(tǒng)涉及到的關鍵數(shù)據(jù)包括身份鑒別數(shù)據(jù)、敏感信息數(shù)據(jù)和交易數(shù)據(jù)等實現(xiàn)機密性、完落實中國人民銀行關于印發(fā)[2020]140號文，結合《金融領域國產密碼改造評價指標》梳理完成國產密碼改造任務。結合交易系統(tǒng)業(yè)務特點和行業(yè)需求，在原有業(yè)務流程中實現(xiàn)國密應21金融行業(yè)解決方案-藍皮書-20242223SaaS化的安全能力具有輕量化部署優(yōu)勢，在重保期間僅需結合少量本地安全設備及云端安全專家就可提供風險自查、安全監(jiān)測、復SaaS化的安全能力具有輕量化部署優(yōu)勢，在重保期間僅需結合少量本地安全設備及云端安全專家就可提供風險自查、安全監(jiān)測、復在重保期間，安恒信息提供7*24小時全天候值守，安全服務專家將與用戶建立專屬溝通服務群，協(xié)助用戶分析告警日志，幫助用戶在海量的告警中提取關鍵的有效信息，在第一時間對緊急事件進行處置閉環(huán)并對防護策略調優(yōu)，讓用重保SaaS解決方案金融行業(yè)作為關系國計民生的重點行業(yè)，從過往經(jīng)驗分金融行業(yè)作為關系國計民生的重點行業(yè)，從過往經(jīng)驗分析看，每逢我國舉行重要活動、會議期間，各類網(wǎng)絡攻擊都會呈增加趨勢，針大量金融機構長期采用“堆人頭式”的傳統(tǒng)安全服務開展重保工作，而特殊時期人力緊張且服務水平參差不齊，大量中小金融機構無法有效進行防護，亟待一套能夠實現(xiàn)一站式的輕量化的安全服務方案以重保安全能力Web攻擊防護惡意IP封禁重保安全能力Web攻擊防護惡意IP封禁安全服務7*24小時安全值守+安服專家響應支撐方案概括為結合7*24小時安全專家重保服務及安恒方案概括為結合7*24小時安全專家重保服務及安恒SaaS安全能力在重保前、重保中以及重保后為客戶提供閉環(huán)解決方案，主要服務摸底加固：重保前安全體檢，將業(yè)務系統(tǒng)摸清家底、漏洞體檢，協(xié)助用戶進行風險加固，降低被攻擊的風險。防御響應：重保中部署安全產品，提升業(yè)務防護水平，并結合專家服務進行攻擊監(jiān)測及響復盤改進：全面總結重保各階段的工作情況，形成總結報告進行匯報總結，并加以改進。金融行業(yè)解決方案-藍皮書-20242425基于自身安全防護需求及監(jiān)管壓力，金融機構對網(wǎng)絡安全建設長期重視與投入，購買了大量的安全產品及常規(guī)安全服務。同時金融機構常態(tài)化參與攻防演練，往往在演練期間堆疊大量安全設備與服務，短時間內提升安全防御能力。但隨著攻防演練與各類重保的常態(tài)化進行，金融機構應更加注重自身真實的安全防護能力，如何進行常態(tài)化對自身安全防御能力做有效性驗證是當前金融機構的一個痛 安恒安全驗證BAS體系安全驗證安全驗證Aigent配置...HVV場景ATT&CK戰(zhàn)術服務端（攻擊機）Aigent安裝Aigent安裝ABAS安全驗證模塊AXDR高級威脅檢測與分析平臺告警轉用例威脅狩獵安全設備策略優(yōu)化、安全設備規(guī)則分析安全設備策略優(yōu)化、安全設備規(guī)則分析…方案概括為結合BAS工具及安全驗證服務，幫助用戶全面驗證自身安全防御系統(tǒng)的防御策略有效性。其中紫隊服務團隊通過高級威脅情報及最新攻擊用例輸入，采用攻擊模擬的方式，配合一定的實戰(zhàn)手段，對安全防護設備逐項進行細顆粒度安全能力評估與優(yōu)化，幫助用戶打通安全事件流程，進而完善相應防護措施。AXDR-BAS工具通過自動化方式，使用測試用例常態(tài)化、定期進行全鏈路自動化攻擊模擬，實現(xiàn)對現(xiàn)網(wǎng)安全防護設備進行安全策略有效性驗證的閉環(huán)，并為用戶提供多種測試場景選擇，進行個各類安全能力防護專項有效結合自動化工具及服務流程，充分發(fā)揮工具的自動化特性，高效實現(xiàn)對安全防御體系的所有組件的策略驗證。同時結合服務補創(chuàng)新結合攻防對抗實踐、ATT&CK戰(zhàn)術，通過安全模擬驗證的用例及劇本進行模擬攻擊，幫助用戶安全運營團隊了解最新攻擊手法及實戰(zhàn)防御策略，同時對現(xiàn)有安全防護設備的攔截能力與檢測能力有更加清晰明確的充分驗證安全設備策略有效性，使得安全防護策略能夠良好的應對實際面臨安全威脅，并保障告警的精準性，最終幫助用戶切實提金融行業(yè)解決方案-藍皮書-2024第二章合規(guī)性:開發(fā)安全體系建設，嚴格按照國家、行業(yè)頒布安全合規(guī)政策落地實施，幫助企業(yè)達成合規(guī)性。標準化、自動化:搭建安全開發(fā)一體化平臺，采用人工+工具的方式，與企業(yè)現(xiàn)有流程完美融合，達成流程自動化，做到安全工作有提高質量、降低成本:開發(fā)安全體系建設和運行，大大提高系統(tǒng)的安全性，降低漏洞的修復成本，減少了研發(fā)、測試、安全人員溝通培養(yǎng)安全意識、提高安全技能:構建安全知識庫，培養(yǎng)安全共識，以安全能力為基石，并進行常態(tài)化的開發(fā)安全培訓，提升開發(fā)人員為加強銀行保險機構供應鏈安全管理，防范風險，確保系統(tǒng)安全穩(wěn)定運行，2021年，銀保監(jiān)會發(fā)布了《關于供應鏈安全風險提示的為加強銀行保險機構供應鏈安全管理，防范風險，確保系統(tǒng)安全穩(wěn)定運行，2021年，銀保監(jiān)會發(fā)布了《關于供應鏈安全風險提示的函》，基本內容包括：提高供應鏈安全風險防范意識，加強對于供應鏈的安全統(tǒng)籌管理，充分評估第三方供應商的安全能力，提升系統(tǒng)自主研發(fā)能力，加強對供應商廠商的監(jiān)督檢查。結合文件內容，金融業(yè)做好軟件供應鏈安全需要從管設計度量方法和持續(xù)提高機制，持續(xù)提高人員安全意識和對各類軟件開發(fā)環(huán)境進行風險控制，嚴格控制輸入到對各類軟件開發(fā)環(huán)境進行風險控制，嚴格控制輸入到設計和實現(xiàn)安全開發(fā)流程，以達到研發(fā)安全的軟件的目的，使++oIDE安全插件檢查oSCA成分分析oSAST靜態(tài)分析oDAST黑盒測試oIAST被動測試準備階段需求分析與設計開發(fā)階段集成階段通過安全開發(fā)一體化平臺的建設，實現(xiàn)“安全左移”，及時響應并解決漏洞，通過人工+工具、測試任務復測、漏洞去重，達到降低安全開發(fā)一體化平臺DevSecOps的核心理念就是將軟件安全集成在軟件開發(fā)的每一個階段，而不僅僅是在上線發(fā)布階段做一次安全272627金融行業(yè)解決方案-藍皮書-2024由于業(yè)務的增長，某股份制銀行安全運營中心每年都在安全運營上投入大量的人力財力，并逐步開始關注自動化安全運營的需求，主利用劇本編排，覆蓋重復工作，包括：防火墻自動阻斷；周期性安全運營報告；定期弱點、資產掃描結果發(fā)送；自動化設備狀態(tài)巡檢對用戶環(huán)境內各種孤立的安全設備進行梳理整合、集中管控，將大量的單點告警數(shù)據(jù)匯入SOAR，加大數(shù)據(jù)源頭的網(wǎng)羅和監(jiān)測，通過自動化編排整合人員、流程和技術，縮短響應時間，快速形成自動閉環(huán)”的安全運營需求，實現(xiàn)安全運營數(shù)字化、智能化目標。其中“十全”安全運營平臺包括：全資產安全管控、全方位威脅建模、全漏洞快速定位、全場景劇本編排、全攻擊有效溯源、全平臺安全大腦、全天候威脅監(jiān)測、全告警聯(lián)動分析、全事件秒級響應、302930金融行業(yè)解決方案-藍皮書-2024第三章ISPISP流量鏡像VLAN標簽SOAR流量鏡像VLAN標簽TAPAiLPHATAPIPS出口IPS出口IPS出口IPS出口IPS外聯(lián)防火墻外聯(lián)防火墻VPNIPsecDMZ防火墻DMZ防火墻DMZ主機外聯(lián)黑名單DMZ防火墻DMZ防火墻DMZ核心交換機DMZ核心交換機F5F5F5ImpervaWAFWAFWAFWAFWAFWAFWAFWAFWAF F5F5WAFWAFWAFWAFSSLSSLDMZ(SDN網(wǎng)絡）IPS內網(wǎng)IPS內網(wǎng)IPS內網(wǎng)IPS內網(wǎng)(SDN網(wǎng)絡）利用實時分析引擎、攻擊鏈分析、智能模型、情報碰撞、漏洞驗證等方式，為安全管理員提煉重點關注告警幾十條，并將其余99%的幫助安全人員專注安全分析建模和追蹤溯源，提升安全運維人員工作效率。定期修補Web業(yè)務系統(tǒng)開發(fā)架構常見漏洞，減少漏洞利用告警信息實時推送，平臺可聯(lián)動安全防護設備，自動下發(fā)處置策略，第一時間阻斷威脅，形成安全閉環(huán)，減輕安全人員應對大量告警金融行業(yè)解決方案-藍皮書-2024第三章3334為精細化管理數(shù)據(jù)，防止敏感數(shù)據(jù)泄露，同時監(jiān)對數(shù)據(jù)庫操作人員的操作行為是否合規(guī)進行實時審計，從而加強對數(shù)據(jù)庫操作系統(tǒng)內部的防護以及人員管理。實現(xiàn)數(shù)據(jù)庫的運維人員和第三方外包人員精細化管控；數(shù)據(jù)庫中的高敏感數(shù)據(jù)，不適合對運維人員直接暴露；希望內置多種場景數(shù)據(jù)安全訪問規(guī)則，方便使用和上手；數(shù)據(jù)庫種類多，許多數(shù)據(jù)庫不適合升級，但是對暴漏的數(shù)共采購數(shù)據(jù)庫審計20套，數(shù)據(jù)庫安全網(wǎng)關8套，其中，集團部署了5套數(shù)據(jù)庫審計和3套數(shù)據(jù)庫安全網(wǎng)關，數(shù)據(jù)庫審計采用分布式部署方