来源:“鑫智奖”第四届金融数据智能优秀解决方案评选
获奖单位:北京华顺信安科技有限公司
荣获奖项:网络影响力TOP10优秀解决方案
一、解决方案简介
金融行业作为关系国计民生的重要支柱行业,其信息安全已经上升到国家安全的高度,近年来为了加强金融行业信息安全管理,各行业监管机构相继出台了针对金融行业的相关政策法规,如《商业银行信息科技风险管理指引》、《证券公司网上证券信息系统技术指引》、和《关于促进互联网金融健康发展的指导意见》等。
随着“十四五规划”中将数字化转型作为最重要的发展方向,亟需针对开展安全防护最基础能力的资产清查,需要针对所有关键信息基础设施单位的网络空间中资产进行主、被动结合的方式探测与识别,完成资产元数据的全方面收集,结合风险和脆弱性扫描技术,从而将金融单位的资产进行全盘清理,解决传统扫描设备主要是针对已知资产进行管理,面对未知资产及突发资产风险,传统资产管理设备的资产识别能力及风险管控能力成为资产管理的瓶颈。
二、应用场景痛点简介
金融行业掌握着国家的重要资源,一旦遭到破坏、丧失功能或者数据泄露,不仅可能会带来巨大的经济损失,还会严重危害到国计民生、公共利益甚至国家安全,后果的严重性不言而喻。另外,网络安全本质上是攻防对抗,金融行业单位虽然不断完善自身的网络安全防御体系,但是针对有组织、有针对的网络攻防对抗仍然存在不足,特别是以下问题依然存在:
1.互联网资产底数不清
单位互联网暴露资产多、变化快,再加上分支机构、业务部门租用的第三方系统和服务,或在互联网私自搭建的系统,这些都是金融单位在进行互联网资产管理中客观存在的困难,再加上缺乏有效的技术手段和产品,导致互联网资产管理能力不足,无法清晰的掌握自身需要防护的互联网资产暴露面,大大加剧了企业资产中的网络安全隐患。
2.弱口令、漏洞等风险普遍存在
网络安全管理措施不善和员工安全意识不足,金融单位在资产管理中针对弱口令、漏洞等风险发现能力不足,金融单位由于企业的数字化转型以及业务信息化进程,天量的数字化资产,必然带来管理的巨大压力,很容易导致弱口令和漏洞被攻击者利用,在攻防对抗中轻易突破金融单位网络安全防线。
3.缺乏常态化安全监测手段
渗透测试安全评估往往是周期性或以事件驱动的,但是网络攻击是持续不断的,在未进行检测期间,新的漏洞很容易被攻击者利用入侵。因此,企业需要能够实现互联网资产与安全风险持续性监测与分析,能够化被动为主动,深入发现暴露的问题和风险,持续有效地对风险进行处理,从而提高攻击门槛,缩减修复窗口期。
三、解决方案亮点介绍
从攻击者角度出发,重新定义网络资产:传统意义上的资产,被定义为服务器和IT设备,仅限于从物理层清点资产,但是攻击者不止