近年來，金融行業(yè)數(shù)字化轉(zhuǎn)型浪潮不斷奔涌向前，銀行保險機(jī)構(gòu)紛紛加大IT投資，對運(yùn)維類信息科技外包服務(wù)的偏向度和依賴度也不斷加大。在服務(wù)過程中，由于外包運(yùn)維人員無法快速掌握發(fā)包方的管理制度，操作行為無從制約，因而需要對外包運(yùn)維人員的相關(guān)權(quán)限進(jìn)行精細(xì)化管控，避免因粗粒度授權(quán)導(dǎo)致一系列運(yùn)維安全事故的發(fā)生。

中國銀保監(jiān)會頒布的《銀行保險機(jī)構(gòu)信息科技外包風(fēng)險監(jiān)管辦法》明確要求銀行保險機(jī)構(gòu)應(yīng)當(dāng)嚴(yán)控信息科技外包活動中的遠(yuǎn)程維護(hù)行為，以“必須知道”和“最小化授權(quán)”原則對信息資產(chǎn)的訪問進(jìn)行授權(quán)，并定期對信息科技外包活動進(jìn)行網(wǎng)絡(luò)和信息安全評估。

針對金融行業(yè)運(yùn)維現(xiàn)狀與政策要求，天融信依托二十余載的網(wǎng)絡(luò)安全建設(shè)經(jīng)驗(yàn)，運(yùn)用天融信運(yùn)維安全審計系統(tǒng)、下一代防火墻、終端威脅防御系統(tǒng)等產(chǎn)品，構(gòu)建具備資源整合、把控操作、精準(zhǔn)定責(zé)、安全評估等能力的安全運(yùn)維通道，防范運(yùn)維類信息科技外包活動中的網(wǎng)絡(luò)安全風(fēng)險，助力銀行保險機(jī)構(gòu)滿足合規(guī)需求。

● 資源整合，靈活認(rèn)證授權(quán)

天融信運(yùn)維安全審計系統(tǒng)（簡稱“堡壘機(jī)”）可提供靈活的認(rèn)證鑒權(quán)接口，支持多種形式的雙因子強(qiáng)認(rèn)證管理，通過集中納管所有用戶賬號與信息資產(chǎn)賬號，為客戶提供安全可靠、便于管理的認(rèn)證體系。通過建立“運(yùn)維人員—用戶賬號—資產(chǎn)賬號”一一對應(yīng)的雙細(xì)粒度授權(quán)控制，實(shí)施IP地址和登錄時間精細(xì)控權(quán)，進(jìn)而對運(yùn)維人員到信息資產(chǎn)的訪問時間、訪問來源、IP地址等因素進(jìn)行細(xì)粒度授權(quán)管控，避免違規(guī)越權(quán)操作。

同時，在區(qū)域邊界部署天融信下一代防火墻，阻斷外包運(yùn)維人員對信息資產(chǎn)直接發(fā)起訪問，將天融信堡壘機(jī)作為外包運(yùn)維人員訪問信息資產(chǎn)的唯一入口，確保所有運(yùn)維操作皆在安全運(yùn)維通道進(jìn)行，全過程可感知、可控制。

● 層層把關(guān)，嚴(yán)控敏感操作

近年來，因運(yùn)維人員誤操作、惡意操作導(dǎo)致的安全事件時有發(fā)生。天融信堡壘機(jī)在事前可通過設(shè)置運(yùn)維規(guī)則，對運(yùn)維過程中的剪切板復(fù)制粘貼、高危命令操作以及文件的上傳下載等行為進(jìn)行管控。當(dāng)外包運(yùn)維人員需要臨時訪問重要信息資產(chǎn)、使用特定操作指令時，根據(jù)規(guī)則設(shè)定提交運(yùn)維工單進(jìn)行申請，經(jīng)管理員批準(zhǔn)后方可進(jìn)行運(yùn)維操作，確保管理人員對于重要信息資產(chǎn)的敏感操作做到“心中有數(shù)”。

在運(yùn)維過程中，管理人員可實(shí)時查看外包運(yùn)維人員的操作過程，發(fā)現(xiàn)高危操作可一鍵阻斷運(yùn)維窗口，避免安全事故發(fā)生。通過事前和事中的層層把控，嚴(yán)格阻斷未授權(quán)的敏感操作，大幅提升外包運(yùn)維活動安全性。

● 全面審計，精準(zhǔn)溯源定責(zé)

快速有效的定位和追溯手段，是出現(xiàn)運(yùn)維事故后極為重要的一環(huán)。天融信堡壘機(jī)可對操作行為中的用戶信息、資產(chǎn)信息、管理地址信息、管理方式信息、操作命令信息、操作結(jié)果信息進(jìn)行詳細(xì)記錄，并支持全文檢索過濾，極大提升查詢效率。

搭配對運(yùn)維操作的全程錄屏，可快速精準(zhǔn)地還原出外包運(yùn)維人員的操作行為。此外，天融信堡壘機(jī)的運(yùn)維界面支持水印功能，當(dāng)運(yùn)維窗口被錄像、截屏或者拍照操作時，運(yùn)維人員的信息也會被一并記錄，幫助管理者快速準(zhǔn)確地溯源定責(zé)。

● 網(wǎng)端協(xié)同，立體安全評估

運(yùn)維人員的終端亦可成為黑客攻擊的入口，通過在外包運(yùn)維人員的終端上安裝天融信終端威脅防御系統(tǒng)TopEDR，感知終端安全狀態(tài)，定期生成對應(yīng)報告，幫助管理人員對外包運(yùn)維人員使用的終端進(jìn)行定期的安全評估。

此外，TopEDR集中控制中心可與區(qū)域邊界的下一代防火墻進(jìn)行協(xié)同聯(lián)動，將終端安全狀態(tài)信息上傳至防火墻使其感知終端風(fēng)險，并對風(fēng)險等級高的終端一鍵生成對應(yīng)防護(hù)策略或動態(tài)阻斷該終端入網(wǎng)，有效提升內(nèi)部網(wǎng)絡(luò)的威脅防御能力。同時，TopEDR集中控制中心詳細(xì)的數(shù)據(jù)報告也可為管理人員對信息科技外包活動的信息安全評估提供有力支持。

TOPSEC

作為國內(nèi)頭部網(wǎng)絡(luò)安全企業(yè)，天融信時刻關(guān)注金融行業(yè)發(fā)展，以可感知、可控制的運(yùn)維通道，助力銀行保險機(jī)構(gòu)規(guī)避運(yùn)維類信息科技外包活動中的網(wǎng)絡(luò)安全風(fēng)險。未來，天融信將不斷加大前沿技術(shù)研究投入，持續(xù)提升自主創(chuàng)新能力與核心競爭力，為金融行業(yè)的全面數(shù)字化轉(zhuǎn)型保駕護(hù)航！