消费日报网 > 生态聚焦 > 滚动要闻

干货分享|零信任在金融行业四大场景中的落地

时间:2022-08-15 03:38:16 来源:消费日报网

随着各国在金融科技关键底层技术布局加快,跨国协作加强,监管力度加大,金融科技在经济复苏过程中正发挥着重要作用。中国金融科技产业逐步进入更加规范的发展阶段,同时,对于金融科技应用的识别、管理也更加严格,在此背景下,如何保障金融科技安全显得尤为重要。 8月11日,第四届INSEC WORLD 成都世界信息安全大会系列研讨会金融科技安全专场成功举办,会议邀请网商银行、深信服科技、乐信集团的安全负责人共同探讨金融科技安全。 图片来源:世界信息安全大会 深信服零信任产品总监杨志刚在会上进行了金融行业零信任应用场景及实践分享。 杨志刚认为,金融行业数字化转型带来了资源开放和共享,越来越多的企业将应用部署到云端,企业数据通过云服务共享,资产暴露面变大,受攻击维度也就越多。同时,远程办公、多方协同办公等带来了访问需求复杂性变高和内部资源暴露面扩大的风险。 数字化变革、IT架构转型、业务弹性扩展、安全边界逐渐模糊,我们建议引入零信任理念,通过软件定义边界微隔离身份认证和管理等关键技术落地零信任架构,从传统网络提升到零信任网络,真正实现全面安全保护。 零信任理念及相关技术,在金融行业拥有广泛的应用场景,当前应用较为普遍的主要是远程办公、跨网访问、第三方接入和移动展业。 远程办公场景 远程办公场景首先要解决的问题是:业务系统都在公司内网,员工不在公司时怎么实现访问? 解决了访问问题还得考虑安全问题。例如,远程办公时使用的个人终端如果感染了病毒木马,怎么防止终端接入时对内网系统产生威胁?采用口令认证时,如果口令泄露或者被暴破,如何防止其被不法分子利用登录内部系统? 采用SDP技术路线,部署零信任平台和代理网关,能够实现远程访问安全。 身份认证:多因子身份认证,并根据风险评估情况(如异常地点/时间段/使用终端、账号暴破、僵尸账号等)进行增强认证,保障身份持续可信; 终端检测:终端环境和应用程序合规性检测,阻断风险终端设备访问后端业务; 链路安全:L3+L4隧道加密技术,保证数据传输机密性; 访问控制:基于身份的细粒度权限访问控制,阻断越权访问流量,进一步收缩和保障主客体的受控访问关系; 持续评估:持续监控和分析主客体的访问行为,通过与EDR/态势感知的对接,实现网络、端点、行为多维度风险评估,异常情况实施动态访问控制。 跨网访问场景 传统安全建设采用分区分域+纵深防御的方式解决跨网访问问题,但随着业务和人员规模的不断变化,分区分域面临严峻挑战:用户活动,范围广泛;人员众多,职责切换;入职离职,权限复杂;ACL腐化混乱;一机多网,隔离艰难。 通过部署零信任平台、代理网关/直连网关,可以实现跨网访问安全。 流量身份化:通过对接统一身份管理系统,实现流量的身份化; 终端检测:终端环境和应用程序合规性检测,阻断风险终端设备访问后端业务; 访问控制:基于身份的细粒度权限访问控制,阻断未授权访问流量,进一步收缩和保障主客体的受控访问关系; 数据防护:综合数据沙箱、桌面云、内容审计等,实现差异化的数据泄密防护; 网络隔离:基于安全沙箱的网络隔离技术,实现一机多空间,不同空间访问不同网络区域的业务,实现安全隔离,防止风险横向扩散; 持续评估:持续监控和分析主客体的访问行为,通过与EDR/态势感知的对接,实现网络、端点、行为多维度风险评估,异常情况实施动态访问控制。 第三方接入场景 第三方接入场景面临的主要安全风险有:非法或违规访问业务、带病毒终端访问业务、明文传输泄密、恶意扫描和网络攻击风险高、越权访问等。 零信任的部署,能够在身份、终端、业务、数据、网络等方面为用户第三方接入提供安全保障。 身份认证:多因子身份认证,并根据风险评估情况(如异常地点/时间段/使用终端、账号暴破、僵尸账号等)进行增强认证,保障身份持续可信; 终端检测:终端环境和应用程序合规性检测,阻断风险终端访问业务; 业务收缩:将互联网业务收缩至内网,隐藏对外暴露面,防御恶意扫描和攻击; 数据安全:重要业务通过安全沙箱访问,实现数据落地的隔离/加密、防泄漏; 网络隔离:基于安全沙箱的网络隔离技术,实现终端网络隔离,防止风险横向扩散; 无端访问:高体验要求场景,支持无端访问,不改变原有系统访问习惯。 移动展业场景 移动终端的便携特性,使数据更容易以转存、截屏、分享等方式被外发,或因终端丢失等原因导致数据泄露,难以保障数据安全; 移动展业要求随时随地访问,需要接把业务系统通过边界设备映射到互联网,系统暴露面大、容易遭受攻击/渗透; 随着BYOD的普及,专用终端的采购成本和使用不变制约了移动展业的效率,而传统EMM方案针对设备进行管控,终端干扰大、员工接受程度低、兼容性问题频出。 如何在安全的基础上最大限度的保障用户体验?零信任为用户提供了一种解决方案: 身份认证:多因子身份认证,并根据风险评估情况(如异常地点/时间段/使用终端、账号暴破、僵尸账号等)进行增强认证,保障身份持续可信; SDK集成/应用自动封装:移动APP可集成零信任SDK,实现终端环境基线检查,业务数据本地加密存储、内存拷贝阻断、屏幕水印震慑截屏拍屏行为等能力,以及L3+L4隧道加密,保证数据传输的机密性与安全接入,也可以采用自动封装方式,0开发实现安全改造; 业务收缩:将互联网业务收缩至内网,隐藏对外暴露面,防御恶意扫描和攻击; 访问控制:基于身份的细粒度权限访问控制,阻断越权访问流量,进一步收缩和保障主客体的受控访问关系; 持续评估:持续监控和分析主客体的访问行为,异常情况实施动态访问控制。 深信服零信任aTrust可以满足金融多场景的安全需求,助力金融科技安全建设从传统网络提升到零信任网络,在方案的落地应用上有4大价值点和优势体现: 1.实施部署简单 最小交付场景下,采用标准SDP架构,两个组件就可以满足多场景的安全访问,不管是移动APP接入、Web接入、内网员工接入还是第三方接入均可一站式匹配。 2.用户体验好 全面兼容各类终端系统及浏览器;接入速度快、使用稳定,支持免密上线、自动重连;提供WorkSpace办公体验,统一工作入口,满足各种场景下的办公便捷性,全面提升用户体验。 3.安全有效 丰富的认证手段、基于终端环境的持续检测和认证、融合SDP软件定义边界和终端数据安全沙箱,同时满足接入安全与终端数据安全。 4.满足大规模使用 支持百万规模用户、十万级资源、权限管理的部署应用,支持多网关横向扩容,满足超大规模并发接入。已交付项目中单项目最高达60w并发在线终端。 目前,深信服零信任已在金融、运营商、互联网企业、大型制造业、教育、政府科研、企事业单位等各行各业落地实施,其价值与优势也正在被越来越多的用户认可。

消费日报网版权及免责声明:
1. 凡本网注明“来源:消费日报网” 的所有作品,版权均属于消费日报网。如转载,须注明“来源:消费日报网”。违反上述声明者,本网将追究其相关法律责任。
2. 凡本网注明 “来源:XXX(非消费日报网)” 的作品,均转载自其它媒体,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。
3. 任何单位或个人认为消费日报网的内容可能涉嫌侵犯其合法权益,应及时向消费日报网书面反馈,并提供相关证明材料和理由,本网站在收到上述文件并审核后,会采取相应措施。
4. 消费日报网对于任何包含、经由链接、下载或其它途径所获得的有关本网站的任何内容、信息或广告,不声明或保证其正确性或可靠性。用户自行承担使用本网站的风险。
5. 基于技术和不可预见的原因而导致的服务中断,或者因用户的非法操作而造成的损失,消费日报网不负责任。
6. 如因版权和其它问题需要同本网联系的,请在文章刊发后30日内进行。
7. 联系邮箱:xfrbw218@163.com  电话:010-67637706

标签:
编辑: 米少松
上一篇:情系大山 倾心帮扶 下一篇:没有了
相关新闻

情系大山 倾心帮扶

  神州瞭望网讯(记者曹晓霞通讯员张立衡)2018年10月,张立衡被甘肃农业职业技术学院选派到文县玉垒乡大山村担任驻村帮扶工作队队长、第一书记。一年半以来,他带领帮扶队按照省、市、县、乡安排部...

北京地铁17号线13标项目成功穿越特级风险源

  神州瞭望网讯(记者 曹晓霞 通讯员 伍振黄金山)日前,中铁十八局集团市政公司承建的北京地铁17号线右线顺利下穿地铁14号线十里河站特级风险源,一举啃下了项目施工最硬的...

5G荣耀登珠峰,巅峰连线助全民共享“中国荣耀”时刻

  珠穆朗玛峰(以下称珠峰)作为世界海拔最高的山峰,是攀登者们昂首无畏挑战的巅峰。就在不久前,华为联合中国移动成功将5G基站建在珠峰素有“魔鬼营地”的前进营地,实现珠峰峰顶5G覆盖的历史性突破,为登...

宇泉无忧客服外包:伴您“疫”往无前

  宇泉无忧客服外包服务中心成立于2014年,注册资金壹仟万元整,拥有全国呼叫中心资格证书。宇泉无忧拥有专业客服团队,是一家专注于高效服务的客服外包平台,主营业务为呼入型服务、呼出型服务、电商...

五粮液成长势能领跑行业

  四川经济日报记者杨波  4月27日晚间,宜宾五粮液股份有限公司(以下简称“五粮液公司”)发布2019年业绩报告。报告显示, 2019年,股份公司实现营业收入达到501.18亿元,同比增长25.20%;实现归属...

爱无国界,DJM德技医疗全球支援!

  德国DJM,全称深圳德技医疗器械有限公司。其公司分别坐落于中国深圳与德国维利希,是一个集研发生产销售于一体的,国家高新技术企业,是专业的医疗器械生产商。  德技医疗器械有限公司是国家工...