一、案例背景:
随着金融行业业务的快速发展,以及信息化和移动化智能时代的到来,用户规模及第三方合作伙伴规模日渐庞大,金融行业各类产品也越发丰富,企业的用户数据以及业务系统正演变成为企业最重要的核心资产。与此同时,网络的边界随着移动互联网、云计算、大数据等技术的发展与变革日渐模糊,安全威胁也开始呈现多样化的增长趋势(例如勒索病毒肆虐、ATP攻击常态化、DDoS攻击加剧),过去相对独立、分散的网络已经融合为深度关联、相互依赖的整体。而2019年爆发的新冠疫情加剧了上述问题的暴露,突发的大规模远程办公需求推动着金融行业企业寻求更好的办公安全解决方案。安几网安从顶层设计开始到产品研发、技术实施、执行落地,遵从中国网络安全法、信息安全等级保护、金融行业规范及标准,以工信部于2019年要求着力突破的三大网络安全关键技术之一的零信任网络安全技术为核心,融入人工智能算法,完整推出金融行业办公安全整体解决方案。
二、案例概述:
移动互联网和云计算的快速兴起,悄然改变着金融行业企业的办公场景,不再仅限于过去单一的办公环境(用户使用内部设备,通过内部网络,访问部署在内部服务器上的应用)。当下,不限时间、不限地点的多组织协同办公已变得越来越普遍,用户可以使用企业电脑、个人电脑、各类移动设备,通过内部网络、互联网,访问部署在内部服务器、公有云、私有云、混合云上的应用,而日常办公所涉及的海量核心业务系统及数据也因此正面临着极大的安全隐患。在保障业务顺利开展的同时,确保接入前的身份安全,接入中的联接安全,接入后的行为和数据安全皆至关重要。安几网安金融行业办公安全整体方案以工信部要求着力突破的三大网络安全技术之一的“零信任”技术为核心,结合人工智能算法,在不更改现有网络架构及纵深防御体系的基础上,通过人工智能大脑的计算能力结合各组件之间的互相联动,将安全能力覆盖的更全面,将安全管控能力最大程度细粒度化。在数字化时代为金融行业企业提供“业务、数据、流量、身份”四维防护,实现安全、便捷、高效的办公环境,为业务驱动赋能,为核心资产保驾护航。
三、安全技术应用情况:
为响应国家政策号召,加强对核心技术的自主掌控,更好的保障企业数字资产的安全,某大型金融机构选择安几构建的金融行业办公安全整体解决方案,从自身实际出发,将技术与应用场景相结合,以零信任安全之力推动机构提高信息安全能力,更加有效地服务于实体经济的发展。目前,安几金融行业办公安全整体解决方案已经在该客户内取得不错成效,具体可归结为以下几点:
1、 提升安全能力
安几金融行业办公安全整体解决方案的服务隐藏功能让业务可以不被陌生人和设备访问到,管理员也可以通过控制中心对保险代理人和第三方合作伙伴进行细粒度访问服务配置。根据业务系统重要程度设置访问的条件、安全基线规则,做到默认最小权限,缩小了网络暴露面,极大降低了异常流量。每次服务访问都通过后端进行认证,可以对不同用户访问不同服务实现细粒度控制。将访问用户所使用的终端设备与所获取的数据彼此深度隔离,确保获取的数据“看得见,带不走”,从源头阻止数据泄露的可能性。
2、 降低运营成本
智能化动态防御机制在面临潜在网络威胁时可自动进行拦截和处置,也可以分类处理,将特定类型威胁设置为告警提示,又或是设置为需要执行审批流,提升了响应效率,使运维变得高效且便捷。部署时方便、无侵略性,无需提前规划边界或是重新设计网络架构,也无需摘除任何现有设备,并且各模块之间可灵活拆组。与现有IT运维系统对接,实现一站式审计及报表呈现,降低运维难度,提升运维效率及使用体验感。
3、 合规性
网络安全策略遵从中国网络安全法、信息安全等级保护、金融行业规范及标准,并将被迫暴露在互联网的业务系统网站改变为只有受限用户才能访问的内部系统,就此隐形于未授权用户,降低了行业审计规范。
4、 全流程检测
对用户、流量、访问等信息进行实时监控和审计,并通过人工智能算法对行为进行大数据分析,识别异常访问后及时处置响应,全流程以可视化态势感知形式呈现。
四、客户反馈效果:
ü 安几网安金融行业办公安全整体解决方案的服务隐藏功能让业务可以不被陌生人和设备访问到,管理员也可以通过控制中心对保险代理人和第三方合作伙伴进行细粒度访问服务配置。
ü 智能化动态防御机制在面临潜在网络威胁时可自动进行拦截和处置,也可以分类处理,将特定类型威胁设置为告警提示,又或是设置为需要执行审批流,提升了响应效率,降低了运维难度。
ü 通过身份溯源平台,使之前采购的IT设备展现价值,将经过网关的流量IP赋予身份,找寻原先无法定位的威胁和隐患。
ü 可以通过开发相应的API接口对接现有的运维系统,降低了审计的难度,也提供了实时的态势感知。
ü 通过提供独立的防御手段,使业务扩展快速且高效,并且改变新业务所在的安全域边界也十分方便。
ü 将被迫暴露在互联网的业务系统网站改变为只有受限用户才能访问的内部系统,降低了行业审计规范。
ü 无需提前规划边界或是重新设计网络架构,也无需摘除任何现有设备,并且各模块之间可以轻易组合,部署起来方便、无侵略性。