0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

芯盾时代助力金融行业远程办公安全

芯盾时代 来源:芯盾时代 2024-12-11 16:29 次阅读

随着移动互联网、云计算智能终端的全面普及,远程办公成为了金融机构的常态。远程办公提升了金融业务的效率、丰富了业务渠道、拓展了业务场景,受到了金融机构的欢迎。但是,在远程办公中总会出现一些安全问题,让金融机构提心吊胆,担心黑客会顺着网线摸进内网,给企业造成重大损失,比如——

金融机构的业务应用多、专业性强,应用的开发、维护离不开外包人员的支持。但是,外包人员难以管控,VPN等传统远程接入方案普遍存在身份认证不安全、权限管理不细致的问题。一旦外包人员账号被窃取,黑客就能直接进入内网、随意横移,后果不堪设想。

移动展业所使用的终端设备虽然由金融机构统一派发,但是实际应用中,金融机构难以掌握终端设备的安全状态,用户使用行为不可控、应用访问不可控……非常容易成为攻击者的突破口。

金融机构的业务应用中有大量敏感数据,如用户电话、身份证号、银行卡号。这些数据不但是黑客的重要目标,还容易遭到“内鬼”泄密。一旦爆发数据泄露事件,金融机构不但要面临巨额罚款,商誉也会受到损害……

面对这些安全问题,金融机构迫切需要更安全、更便捷、更可控的远程办公解决方案,保障自身业务安全和网络安全,为员工提供更好的办公体验,满足监管机构的合规要求。

金融行业远程办公的安全挑战

当前,金融机构的业务模式、IT架构都发生了深刻变化。在建设远程办公系统时,金融机构需要面对以下几个方面的挑战:

如何实现“边界模糊化”网络环境下的安全接入?

随着金融机构基础设施云化、业务互联网化和办公移动化,不同角色的人员需要在任意时间、地点,用不同的网络和设备,访问业务资源。在分支机构组网、内部员工远程办公、运维人员远程运维,以及外包人员远程开发、合作伙伴远程访问等场景下,人、业务、数据开始走出内网,内网与外网之间的安全边界逐渐模糊,业务资源在互联网上的暴露面增大,带来了新的安全风险。

以VPN为代表的传统远程接入解决方案,一则IP、端口公开,无法帮助金融机构收敛资源暴露面,二则存在过度信任、静态授权的问题,无法实现细粒度的动态访问控制。在此背景下,金融机构需要重新构建网络安全边界,并基于新的边界实施动态访问控制,以保障远程办公安全。

如何确保终端设备安全可控?

在移动展业、远程办公中,金融无法完全掌控员工使用终端设备的安全状态,BYOD的普及更是使这一问题雪上加霜。一旦分支机构、内部员工、外包人员使用的终端设备被攻破,将成为黑客进入企业内网的跳板,让企业难以防范。

近年来,金融机构积极推进信创建设,引入了大量信创终端设备。这加剧了终端设备的碎片化,造成终端安全部分产品存在不适配的问题,增加了终端安全的不可控性。

由于传统的远程办公方案终端安全能力有限,金融机构要么强制要求终端设备安装EDR、杀毒软件等安全软件,要么在客户端中集成其它厂商的杀毒软件,导致占用资源过度,影响终端设备性能,使得员工的操作体验不佳。

如何保证敏感数据不被泄露?

金融机构的业务应用中,存储着海量的敏感数据,时刻被黑客所觊觎。为了保障数据安全,很多金融机构部署了数据防泄漏(DLP)产品,包括终端侧的EDLP和网络侧的NDLP。但是,传统DLP主要关注数据的外发行为,忽视了数据在访问、传输、存储中的安全问题。

在数据访问场景下,金融机构难以实现数据访问的“最小化授权”,精准控制数据的访问范围。在数据传输上,难以对数据进行加密传输,保证信息的完整性、机密性。在存储上,难以保证敏感数据在终端设备中的安全存储,防范终端侧的数据泄露。

如何满足金融行业合规要求?

近年来,我国网络安全和数据安全法律法规体系不断完善,金融监管部门的执法力度与频率不断加大。金融机构既要遵守《网络安全法》、《数据安全法》、《个人信息保护法》等法律法规的要求,还要执行金融行业的《金融行业网络安全等级保护实施指引》、《金融数据安全 个人金融信息保护技术规范》、《关于加强银行业保险业移动互联网应用程序管理的通知》等行业规章和标准,合规压力不断加大。2023年以来,多家金融机构因网络安全、数据安全问题被处罚,给全行业敲响了警钟。

与此同时,金融行业的信息系统是关键信息基础设施,是攻防演练重点关注的行业。如何在攻防演练中保证远程办公正常开展,避免远程办公系统被攻破,已经成为金融机构必须妥善处理的问题。

芯盾时代SDP,远程办公新选择

面对新的业务模式、新的网络环境、新的安全挑战,以VPN为代表的传统远程接入方案已经无法满足金融机构的远程办公需求。芯盾时代作为领先的零信任业务安全产品方案提供商,以零信任理念为指引,以软件定义边界为架构,以自主研发的核心技术为支撑,打造了零信任业务安全平台(SDP),助力金融机构建立新型远程办公体系。

在架构上,芯盾时代SDP采用软件定义的方式,将控制器与网关分离,在安全性、可用性上具备天然优势。金融机构可以按照自身组织架构、业务需求,以“1个控制器+N个网关”的方式灵活组网。SDP网关支持本地、云上多种部署模式,金融机构能够用一套系统实现多数据中心、多网络域的远程接入,在低改造甚至0改造的情况下将应用、设备与SDP对接,大幅缩减改造周期,降低部署成本,多、快、好、省的建立远程办公系统。在功能上,芯盾时代SDP采用All in One设计,全面整合自主研发的全类型身份标识技术、智能风险度量技术、切面安全技术、终端密码安全技术等核心技术,从网络、设备、身份、权限、数据五个维度,为金融机构构建零信任安全架构,对每一次业务访问实施全程的、动态的、细粒度的动态访问控制,一站式建立安全、便捷、合规的零信任网络访问系统,让远程办公更安全。借助芯盾时代SDP,金融机构能从网络、设备、身份、权限、数据五个维度,保证远程办公的安全:

隐藏应用暴露面,有效防范网络攻击

网络扫描往往是网络攻击的第一步。只有扫描到了IP、端口信息,黑客才能确定攻击入口和攻击方式。VPN的IP、端口暴露于互联网之上,而且普遍存在静态认证、授权过度的问题,一旦被黑客利用,后果不堪设想。芯盾时代SDP采用了网络隐身、加密传输、网络隔离三大技术,能够帮助金融机构实现业务应用和网关自身的双重隐藏,有效收敛资源暴露面,防范端口扫描、DDoS攻击,避免黑客以设备为跳板攻击内网服务,杜绝“逢攻防演练、先关闭远程访问”的尴尬。1.网络隐身:芯盾时代SDP采用应用代理和SPA单包授权技术,由网关统一代理业务应用访问流量,同时对所有连接网关的设备进行预认证,不通过认证不开放端口,实现业务应用和网关双重“隐身”,减少遭受网络攻击的风险。2.加密传输:通过认证后,芯盾时代SDP能在客户端与网关之间建立加密隧道,保证数据通过互联网安全传输。加密隧道采用国密算法,让数据传输更加安全可控。

3.网络隔离:在用户登录客户端访问内网服务时,禁止其终端设备访问互联网,避免终端设备上网时感染病毒,以设备为跳板攻击内网服务。

把好终端安全关,隐患设备早隔离

终端设备作为远程办公的载体,其安全性是确保远程办公安全的关键所在。芯盾时代基于自主研发的终端安全产品线,赋予了SDP客户端一体化的安全能力。在PC端和移动端,用户只需安装一个客户端,就能实现多因素认证、终端身份校验、终端安全基线核查、终端威胁态势感知、App加固、数据防泄漏等功能,打造安全的远程办公操作环境。

1.终端身份校验:凭借设备指纹技术,金融机构能够通过SDP客户端,精准标识设备身份,发现非常用设备登录、多用户通过同一设备登录等风险行为,限制单个用户最多使用的设备数量,还能够在攻防演练中开启设备审批功能,禁止不可信设备接入系统。

2.终端环境检测:凭借终端威胁态势感知技术,SDP客户端能够识别终端设备是否安装了杀毒软件,是否存在远程控制软件、模拟器、程序双开、攻击框架、Root/越狱等风险,是否加入指定域控,是否安装了操作系统补丁。在访问过程中,客户端持续检测终端安全态势、用户的操作行为,为安全控制中心提供终端侧的风险信息。

3.APP加固:在移动端,SDP客户端可以以SDK形式,集成在泛微、致远、蓝凌或金融机构自建的App移动办公之中,既能帮助金融机构将移动办公入口收缩至内网,缩小资源暴露面,还对移动办公App进行安全加固,防范恶意篡改、病毒/木马植入等风险,满足金融机构移动展业、移动办公的需求。

4.全系统适配:在PC端,SDP客户端全面适配windows、macOS、Linux等操作系统,以及UOS、中标麒麟、银河麒麟、深度等国产操作系统;在PC端,适配iOSAndroid系统。凭借全面的适配性,芯盾时代SDP能够在碎片化的终端环境下,帮助金融机构实施统一的终端管控策略,筑牢终端安全防线。

实施多因素认证,身份认证更安全

零信任的本质是以“身份”为核心实施细粒度的动态访问控制。芯盾时代在IAM市场占有率稳居前三,技术能力行业领先,芯盾时代SDP也由此具备了强大的身份安全能力,能够帮助金融机构提升身份安全能力,消除网络钓鱼、撞库攻击、弱密码带来的安全风险。

1.多因素认证:借助芯盾时代SDP,金融机构能够一站式实施全局多因素认证,为员工提供短信验证码、动态口令、App扫码、指纹识别、人脸识别、企业微信/钉钉/飞书认证等多种认证方式,提升身份认证的安全性和便捷性。借助统一应用门户和单点登录功能,员工能够通过一个门户直接访问权限内的业务应用,实现“一次认证、全网通行”。

2.动态认证:芯盾时代SDP能够综合身份、设备、IP、时间、行为、位置等因素,对每一次访问全程进行实时的风险评估,根据风险级别自适应执行身份认证、访问控制策略。在身份认证上,SDP能够根据风险评估结果动态调整认证策略,自适应执行免认证、默认认证、增强认证、禁止登录等策略,在保证安全的前提下,优化员工的操作体验。

落实“最小化授权”,风险访问全阻断

VPN等传统远程办公方案,普遍存在静态授权、过度授权的问题。黑客一旦侵入内网,就能够越权访问,在内网横向移动,给金融机构造成巨大风险。为了落实零信任的“最小化授权”原则,芯盾时代首创零信任切面安全能力,无改造地为业务系统注入安全能力,将权限管理能力至URL级,帮助金融机构对每一次访问实施细粒度的动态访问控制。

1.细粒度访问控制:芯盾时代SDP支持多种权限管理模型,对于业务资源的管理能力细至URL级。金融机构能够对于内部员工与外部分员工、各个部门与临时项目组的不同角色,授权不同的访问权限,实现对访问权限的差异化、精细化管理。

2.自适应动态授权:在访问控制上,SDP提供多种风险策略模型,金融机构能够根据自身需求灵活定义模型,综合设备、IP、时间、行为、账号、位置等维度的风险信息,对每一次访问实施动态访问控制,实现“安全访问全程无感,不确定访问强化认证,不安全访问直接拒绝”。

数据安全三把锁,保证数据不泄露

在数据安全上,芯盾时代SDP具备安全工作空间、数据脱敏、Web水印三大功能,能够在远程办公场景下,实现数据访问权限动态决策、数据资源隐藏与隔离、数据加密传输,有效提升数据安全防护水平,满足金融行业数据安全合规要求。

1.安全工作空间:借助SDP客户端,企业可以在终端设备中构建与本地空间完全隔离的安全工作空间,实现“数据不落地”,并实施禁止复制、禁止截屏、禁止打印、外发审批等行为管控,阻断数据外发。在软件供应商、外包人员远程访问内网的场景下,SDP能够对终端数据进行保护,有效防止数据泄露。

2.自定义数据脱敏:借助动态数据脱敏功能,金融机构可以对业务应用中的手机号、银行卡、身份证号等敏感数据进行动态脱敏。针对不同人群,金融机构可以自定义脱敏内容、脱敏长度,精确控制敏感数据的访问范围。

3.Web水印:针对Web应用,芯盾时代SDP可以在无改造的情况下为Web页面添加水印,对用户进行安全教育、安全震慑和安全追溯,降低拍照截屏外发风险。

在合规层面,芯盾时代SDP拥有完全自主知识产权,既满足《网络安全法》、《数据安全法》、《个人信息保护法》等法律法规对访问控制、身份认证的要求,也满足《金融行业网络安全等级保护实施指引》、《金融数据安全 个人金融信息保护技术规范》等行业规章和标准对网络安全防护、个人信息保护的要求。同时,芯盾时代SDP全面适配国产芯片、数据库、中间件、云平台等信创产业链软硬件,能为金融机构建立信创化的零信任网络访问体系,为信创建设提供有力支撑。

凭借先进的架构、全面的功能、强大的性能,芯盾时代零信任业务安全平台(SDP)在实际应用中展现了巨大的价值,在替换VPN、攻防演练、多云接入等场景下,展现了领先的安全性、可用性、适配性,有力保证金融机构远程办公安全,获得了金融机构的高度认可。

如果你也想让每一名员工在任何时间、地点,用任何网络和设备,安全便捷的进行远程办公,芯盾时代零信任业务安全平台(SDP)是你的不二之选。

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 金融
    +关注

    关注

    3

    文章

    427

    浏览量

    15914
  • SDP
    SDP
    +关注

    关注

    0

    文章

    35

    浏览量

    13158
  • 芯盾时代
    +关注

    关注

    0

    文章

    203

    浏览量

    1820

原文标题:金融行业远程办公解决方案丨芯盾时代SDP,开启远程办公“零信任”时代

文章出处:【微信号:trusfort,微信公众号:芯盾时代】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    时代参编的零信任体系行业标准即将施行

    近日,工信部发布公告,时代深度参与编写的行业标准《YDT 4598.5-2024 面向云计算的零信任体系 第5部分:业务安全能力要求》(
    的头像 发表于 12-23 16:20 168次阅读

    时代入选《API安全技术应用指南(2024版)》API安全十大代表性厂商

    近日,国内知名网络安全媒体安全牛正式发布《API安全技术应用指南(2024版)》报告,帮助用户更好地开展API安全规划和安全建设,并提供有效
    的头像 发表于 12-18 11:04 237次阅读
    <b class='flag-5'>芯</b><b class='flag-5'>盾</b><b class='flag-5'>时代</b>入选《API<b class='flag-5'>安全</b>技术应用指南(2024版)》API<b class='flag-5'>安全</b>十大代表性厂商

    时代API安全监测平台荣获WitAwards 2024年度大奖

    近日,由国内专业的网络安全行业门户FreeBuf主办的FCIS 2024网络安全创新大会在上海隆重举行。会上,FreeBuf公布了WitAwards 2024获奖名单。
    的头像 发表于 11-25 10:25 375次阅读
    <b class='flag-5'>芯</b><b class='flag-5'>盾</b><b class='flag-5'>时代</b>API<b class='flag-5'>安全</b>监测平台荣获WitAwards 2024年度大奖

    时代荣获2024金融科技应用场景大赛“探索实践奖”

    近日,由中关村西城园管委会(西城区科委)主办,北京金融科技产业联盟(以下简称“联盟”)承办的“2024金融科技应用场景大赛颁奖活动”成功举办。
    的头像 发表于 11-09 10:12 406次阅读

    时代为汇丰石化集团构建用户身份与访问管理平台

    时代中标山东汇丰石化集团有限公司(简称:汇丰石化集团)!时代基于零信任
    的头像 发表于 08-28 09:47 529次阅读

    时代中标深圳市重大产业投资集团有限公司

    时代中标深圳市重大产业投资集团有限公司(简称“深重投集团”),运用统一终端安全,零信任网络访问和智能决策大脑等技术,结合
    的头像 发表于 07-23 09:25 423次阅读

    时代中标金龙鱼,助力食品制造行业升级数字安全防线

    时代中标金龙鱼,助力食品制造行业升级数字安全防线
    的头像 发表于 05-21 14:05 339次阅读
    <b class='flag-5'>芯</b><b class='flag-5'>盾</b><b class='flag-5'>时代</b>中标金龙鱼,<b class='flag-5'>助力</b>食品制造<b class='flag-5'>行业</b>升级数字<b class='flag-5'>安全</b>防线

    时代中标招联消费金融股份有限公司,进一步保障客户的业务安全

    时代中标招联消费金融股份有限公司,运用零信任网络访问等技术,从身份,设备和行为等维度,为客户构建基于可信身份网络的零信任业务安全平台SD
    的头像 发表于 05-14 14:16 410次阅读

    时代中标中国联通某省分公司 以零信任赋能远程访问安全

    时代中标中国联通某省分公司零信任远程访问安全,实现数据访问最小化授权、网络暴露面收敛、细粒度动态访问控制等功能,为客户建立内外网一体的零
    的头像 发表于 04-16 11:32 544次阅读
    <b class='flag-5'>芯</b><b class='flag-5'>盾</b><b class='flag-5'>时代</b>中标中国联通某省分公司 以零信任赋能<b class='flag-5'>远程</b>访问<b class='flag-5'>安全</b>

    时代中标西安西热电站信息技术有限公司!

    时代中标西安西热电站信息技术有限公司!时代基于完整的身份
    的头像 发表于 04-09 11:32 509次阅读

    时代用实力赢得汉口银行的认可 极大助力客户信息化建设

    时代中标汉口银行交易反欺诈项目并如期上线,实现交易欺诈风险的自动化实时甄别、预警和处置,为行方提供场景化的全流程业务安全防护。
    的头像 发表于 04-02 11:39 467次阅读

    时代中标正川股份 零信任替换VPN更安全更便捷

    时代中标重庆正川医药包装材料股份有限公司(简称:正川股份),基于零信任安全理念,重构企业远程接入系统,替代客户采用VPN接入
    的头像 发表于 03-19 11:26 589次阅读
    <b class='flag-5'>芯</b><b class='flag-5'>盾</b><b class='flag-5'>时代</b>中标正川股份 零信任替换VPN更<b class='flag-5'>安全</b>更便捷

    时代中标秦农银行 构建安全便捷的业务体系

    时代中标陕西秦农农村商业银行股份有限公司(以下简称“秦农银行”)!时代运用统一终端
    的头像 发表于 03-12 11:05 638次阅读
    <b class='flag-5'>芯</b><b class='flag-5'>盾</b><b class='flag-5'>时代</b>中标秦农银行 构建<b class='flag-5'>安全</b>便捷的业务体系

    时代中标某外资保险集团 市场版图再添一角

    时代中标某外资保险集团(以下简称“X保险”)!时代基于零信任
    的头像 发表于 02-27 14:18 396次阅读
    <b class='flag-5'>芯</b><b class='flag-5'>盾</b><b class='flag-5'>时代</b>中标某外资保险集团 市场版图再添一角

    中标喜讯 | 时代中标广州农商银行 获评“年度优秀供应商”

    星标“时代” 第一时间接收新鲜推文 时代中标广州农商银行!
    的头像 发表于 12-26 10:15 506次阅读
    中标喜讯 | <b class='flag-5'>芯</b><b class='flag-5'>盾</b><b class='flag-5'>时代</b>中标广州农商银行 获评“年度优秀供应商”