返回大厅
万物安全金融内网资产测绘和哑终端安全管理解决方案
投票数量:124 票
助力海报
解决方案介绍
技术框架及优势
应用场景
荣誉及资质
万物安全金融内网资产测绘和哑终端安全管理解决方案
在新一轮科技革命和产业变革的背景下,金融科技蓬勃发展,人工智能、大数据、云计算、物联网等信息技术与金融业务深度融合,为金融发展提供源源不断的创新活力,众多新概念在银行业涌现,从社区银行到智慧网点,再到开放银行、数据中台,银行业数字化转型始终走在各行业前列,转型过程中,伴随业务的驱动,银行的IT规模增大,系统复杂度增加,越来越多的系统和各类设备接入到银行内网,除传统PC和服务器外,打印机、IP电话、点钞机、视频设备、报警、门禁、清分机、智能柜台等终端在金融科技领域的应用不断延伸,为银行的生产、办公、客户服务、品质提升带来了很大的便利,但技术是一把双刃剑,赋能提速同时,也带来了一定的管理与安全隐患:
1.资产的多样性加剧管理难度:除传统的PC、服务器、网络设备外,网络中混杂着大量的物联终端资产,包括IP电话、打印机、视频会议、摄像头、门禁系统、对讲系统等,各类资产属性多样,接入环境复杂,如何实现所有资产可视?遭遇安全事件,如何快速定位?如何识别资产归属,快速响应闭环?
2.哑终端安全管理成为盲点痛点:私接仿冒,安全管控缺失,资产不清,暴露面、攻击面激增,加剧内网安全风险挑战。
3.资产信息割裂,安全管理难见成效:资产信息分散在不同的管理系统,数割裂,缺乏统一的资产管理信息,资产安全管理难见成效。
4.资产自身的脆弱性易引入安全风险:无论是基于“财务视角”的固定资产盘点,还是基于“运维视角”的资产性能及运行监控,均缺乏资产风险要素(漏洞、弱口令等),资产自身的脆弱性(漏洞、弱口令等)以及资产的动态变化,使得安全管理员无法了解真实的网络及资产安全状况,外来威胁往往利用这些脆弱性(漏洞、弱口令等)达到非法侵入的目的,如何快速识别资产的脆弱性,避免被攻击利用?如何识别并阻断异常终端的接入及访问行为?
5.物联网设备入侵不同于传统攻击入侵:攻击者可通过仿冒方式(比如仿冒打印机、IP电话),绕过金融科技现有网络准入防护措施,直接接入内网,威胁银行内网及数据安全。
《中国人民银行科技司关于做好金融业科技信息综合管理平台第三批接入工作的通知》对金融资产有明确的上报要求,如何清晰掌握全网资产、识别资产属性及风险、跟踪资产的动态变化、满足合规监管要求,是银行业普遍面临的挑战。与此同时,伴随《网络安全法》、《网络安全等级保护2.0》、《关键信息基础设施保护条例》等法律规范的颁布施行,针对网络基础设施的安全检查、评估与保护成为强制要求,传统的网络与信息安全的范畴,已然上升到“网络空间安全”的概念领域,银行业需高度重视内网空间的信息安全,采取有效的防控措施,未雨绸缪,助力银行金融业务稳定持续高效开展。
建立以资产测绘和哑终端安全管理为核心的泛终端资产安全管控平台,持续自动获取与跟踪设备信息;实现智慧终端设备的动态清单整理,赋能合规检查、攻击面管理、安全策略配置、IP智能管理、数据分析、决策调度等工作。
内网信息资产测绘技术实现技术方案:
1.已适配金融信息指纹库;
2.实物资产测绘实现:联动台账数据,应用RFID标签,实现资产台账属性采集和管理;
3.产属性整合:资产画像刻画;
4.数据赋能:联动第三方系统数据,打破数据壁垒,提升资产数据价值。
安全防护实现技术方案:
1.近源攻击检测处置;
2.内网信息资产脆弱性评估;
3.内网信息资产威胁性分析;
4.资产与风险的关联分析处置。
运维管理方案:
1.实物资产管理:抵押物粘贴RFID电子标签,通过部署RFID读写器周期性自动盘点或手持枪手动盘点,替代人工,高效管理。
2.IP地址运维管理:主动探测梳理网络IP占用与未用信息;实时监控网点IP段、绑定、使用、终端归属。识别可删IP/MAC、可回收IP,简化管理。
3.合规性检测分析:PC在网合规、交换机配置合规。
数据报表分析。
内网信息资产测绘技术、安全防护实现技术、运维管理技术等。
基于多协议综合扫描识别设备资产,基于Banner技术深度识别业务应用:公有和私有协议扫描/操作系统指纹扫描/端囗和Banner扫描/MAC地址识别,已实现了几十种协议扫描,以及10万+物联网指纹库。设备发现快,识别资产信息全且精准
系统使用云原生架构,由K8S进行统一的容器编排,可以任意扩展和收缩。
系统采用微服务架构,将所有的功能都抽象成一个个独立的数据源,以微服务承载于Docker容器中,相当于插件化实现各个功能。
系统设计考虑高可用性,服务器支持集群部署,多机互为备份,业务负载均衡到所有机器上,允许任意扩展和收缩。
风险识别技术,漏洞扫描 :主动扫描方式+版本匹配模式,弱口令扫描 :目前弱口令采用爆破的方式,会判断设备是否开启相应的协议服务,开启则进行轮询破解,字典库可配置。
强化资产防护建设成果;加强哑终端安全管控;扫清安全防护盲点,助力合规与建设;提高安全运营效率;防护物联网设备,补齐安全短板;辅助运维决策;助力企业建设全量安全知识图谱。
(1)技术效益:金融科技行业引入全维度资产运营管理方案,基于CAASM等理念,实现金融科全网资产的梳理、管理与安全建设,助力泛金融科技物联网建设,助力数字化转型,有助于金融科技科技创新;
(2)管理效益:通过本次项目建设,可以增强金融科技物联网感知层哑终端管理,通过实时指纹比对、威胁监测阻断,有效弥补以往金融科技安全防护体系对于物联网终端防护的不足,完善金融科技整体安全防护体系,提升安全防护能力;
(3)经济效益:通过本次项目建设,可以有效提升金融科技资产故障处置效率、降低人员成本。通过实时内网资产测绘、IP地址管理、资产拓扑刻画、声光告警、资产关联搜索、合规准入、自动化阻断、周期化威胁扫描等功能,可以提升故障定位处置效率50%,降低人力时间压力30%以上,攻击威胁危害降低30%,资产盘点效率提升60%,提升运维效率,降低运维压力,助力数字化转型;
(4)合规效益:通过本次建设,可以很好的满足《等级保护2.0》、《关键信息基础设施保护条例》、《金融行业网络安全等级保护实施指引》、《中国人民银行科技司关于做好金融业科技信息综合管理平台第三批次接入工作的通知》、《中国银保监会办公厅关于开展银行业和保险业网络安全专项治理工作的通知》等法律法规对于物联网安全建设的要求,更好的支持护网行动、重大安保、节假日保障等工作。
金融数字化转型战略:数字化、智能化背景下,内网信息资产与攻击面管理成为单位安全建设与运营管理的基础工作。国务院《“十四五”数字经济发展规划》/人民银行《金融科技发展规划2022-2025年》/银保关于银行业保险业数字化转型的指导意见。
支撑业务转型的基础设施发生变革,资产复杂度增加,暴露面扩大,风险加剧:保护对象范围扩大:除传统IT资产外,OT资产也需覆盖,管理工作量剧增:规模庞大、分布广泛、变更频繁,暴露面攻击面扩大:传统防护技术成熟,哑终端成为短板
任一遗漏的资产都是潜在攻击入口,信息不对称加剧攻防不对等|:数字化转型带来的挑战,漏洞的多样性,攻击者更快,安全建设盲区,网络安全的本质是攻防,而决定攻防胜负的核心要素就是信息是否对称,只有准确掌握保护目标与脆弱点,才能比攻击者更快一步
合规管理压力剧增,安全管理需要全面兼顾:传统IT资产:防护技术/合规挑战,
新型IoT资产:防护技术/安全挑战
哑终端风险与日俱增,物联网安全事件频发:北京X行,金库摄像头被控制或渗透,敏感数据泄露/XX电子显示屏被入侵,播放不雅视频;
某股份制银行视频会议终端感染勒索病毒,造成部分分行病毒扩散;
首都JC显示大屏遭受黑客入侵,播放FD宣传视频;
华东地区某商业银行营业网点大屏遭受黑客入侵,播放SQ视频。
物联网安全和资产测绘相关政策逐步提上日程:关基安全保护条例/网络安全等级保护/金融行业网络安全等级保护测评指南/银行业金融机构安全评估办法。
内网信息资产管理贯穿整个科技运营:财务、桌面管理、IT运维、安全等视角。
银行的资产管理需求难点:数字化、智能化背景下,信息资产数量激增。在网络IT资产和IoT资产共存的复合型网络环境下,智能化终端的暴露面、攻击面激增,加剧内网安全风险挑战,已成为各银行亟需补齐的安全短板。
金融科技资产管理痛点:资产数据准确性、实时性、全面性、全面性难以保障。
物联网智能终端成为管理盲点:物联网终端资产规模庞大、变化频繁,实时监测的自动化手段不足,可能导致资产管理盲点。
网络攻击重心往资产侧转移。
先后荣获CCIA“2024年网络安全优秀创新成果大赛—创新产品优胜奖”,华夏银行“金融科技一等奖、二等奖”,兴业银行“十大优秀案例”,平安集团“信息安全二等奖”等,总计获得客户/协会/联盟/媒体/研究机构数百项荣誉,发明专利申请量超过50个(物联网安全领域第一),参与多项国家级/省级/行业级标准/规范/文件制定,并多次发表权威文章于国家信息中心杂志《信息安全研究》、国家金融监督管理总局书籍《银行业安全保卫管理》等。
专利:网页加载方法、设备及可读存储介质 第6729456号 ZL2023 1 1517305.5 2023/11/15 2024/1/23 CN117235398B 已授权 国家知识产权局 钟国辉;周悦;赵岩;简景亮
数据资源的处理方法、数据资源的处理装置及存储介质 第6735548号 ZL2023 1 1526158.8 2023/11/16 2024/2/23 CN117294673B 已授权 国家知识产权局 钟国辉;周悦;陈康健
网络限速方法、终端设备及存储介质 第6737206号 ZL2023 1 1534948.0 2023/11/17 2024/2/23 CN117255058B 已授权 国家知识产权局 钟国辉;贾超晨;董兴水
北向接口提供方法、设备及可读存储介质 第6763528号 ZL2023 1 1551980.X 2023/11/21 2024/3/8 CN117278599B 已授权 国家知识产权局 周悦;钟国辉;王永超
应用程序安装方法、装置、终端设备以及存储介质 第6767610号 ZL2023 1 1526157.3 2023/11/16 2024/3/8 CN117234545B 已授权 国家知识产权局 周悦;董兴水;徐泽威
微服务项目的配置方法,微服务项目的配置装置及介质 第6767162号 ZL2023 1 1519904.0 2023/11/15 2024/3/8 CN117251173B 已授权 国家知识产权局 周悦;潘俊;钟国辉
网络设备识别方法、网络设备识别设备和存储介质 第6777023号 ZL2023 1 1774623.X 2023/12/22 2024/3/12 CN117439898B 已授权 国家知识产权局 钟国辉;周悦;谢庆锋
基于容器化技术的设备测试方法、装置及存储介质 第6815002号 ZL2023 1 1812876.1 2023/12/27 2024/3/22 CN117478570B 已授权 国家知识产权局 周悦;董兴水;龙泫霖
出口流量管理方法、设备及可读存储介质 第6821797号 ZL2023 1 1689220.5 2023/12/11 2024/3/22 CN117395316B 已授权 国家知识产权局 董兴水;钟国辉;徐泽威
网络设备的资产测绘方法、设备及存储介质 第6831148号 ZL2023 1 1841990.7 2023/12/29 2024/3/26 CN117499267B 已授权 国家知识产权局 陈缘 董兴水 周悦
基于分级管理的升级方法、终端设备及可读存储介质 第6829172号 ZL2023 1 1787432.7 2023/12/25 2024/3/26 CN117453257B 已授权 国家知识产权局 董兴水;周悦;黄日
交换机视图显示方法、设备及计算机可读存储介质 第6828036号 ZL2023 1 1651213.6 2023/12/05 2024/3/26 CN117376282B 已授权 国家知识产权局 陈康健;钟国辉;周悦
数据库优化建议生成方法、终端设备及存储介质 第6842061号 ZL2023 1 1685706.1 2023/12/11 2024/3/29 CN117389996B 已授权 国家知识产权局 钟国辉;周悦;李章普
信息传输方法、装置、终端设备以及存储介质 第6838402号 ZL2023 1 1774470.9 2023/12/22 2024/3/29 CN117478504B 已授权 国家知识产权局 徐泽威;钟国辉;董兴水
密钥托管方法、装置、终端设备以及存储介质 第6880994号 ZL2023 1 1826485.5 2023/12/28 2024/3/29 CN117478326B 已授权 国家知识产权局 周悦 钟国辉 刘敖
密码检测方法、密码检测设备和计算机可读存储介质 第6910458号 ZL2023 1 1829537.4 2023/12/28 2024/4/16 CN117473485B 已授权 国家知识产权局 董兴水;钟国辉;庞钦
录像文件的保存时间延长方法、设备及存储介质 第6915534号 ZL2023 1 1826484.0 2023/12/28 2024/4/17 CN117472291B 已授权 国家知识产权局 钟国辉;周悦;肖日永
监控视频的漏录时间检测方法、设备及存储介质 第7046271号 ZL2023 1 1706936.1 2023/12/13 2024/5/28 CN117411987B 已授权 国家知识产权局 董兴水;周悦;肖日永
长按海报可保存至本地
提供云计算服务
