本文来源于《中国数字安全产业年度报告(2023)》,首发于数世咨询公众号。
某大型金融机构行业案例
北京指掌易科技有限公司
01
用户需求
近年来,云计算、人工智能和5G等新技术广泛应用,给金融机构在数字化转型建设、运营效率等方面提供了基础条件。并随着智能终端设备的种类、功能不断丰富,某大型金融机构顺势实现了业务应用和办公应用的移动化,新增了混合办公、移动展业和移动营销等多个移动化场景。
移动化不仅给员工带来了便捷性,流程处理、外出走访和移动办公等效率也有了极大地提升。但是在方便员工访问移动应用服务和数据资源的同时,对外开放的服务端口有增无减,存在来自互联网的恶意攻击活动。碎片化的移动设备接入和使用,仍然出现非法泄露、账号被盗用和冒用等安全问题。在个人自带终端上进行远程办公,工作数据无意识的留存、转发分享、恶意程序窃取导致泄露等情况经常发生。针对该金融机构的现状,打造一体化、多场景的移动化安全管理平台,适应于手机、PC端和信创终端等多种设备环境使用,同时兼具较好的用户体验。
02
解决方案
某金融机构现有员工5万多人,不同类型的应用,根据系统属性、用户范围、数据敏感性等在多个网络中部署。该金融机构根据未来战略计划和科技发展规划,整体网络架构,结合移动安全场景的需求,采用以全局视角设计全场景、按需弹性扩展的指掌易移动化安全解决方案。
整体解决方案采用了终端安全沙箱、SDP和MFA等关键技术,适用于金融机构的办公、展业、开发和运维管理等场景,提供用户可信接入控制、终端应用和数据保护、收敛互联网暴露面、数据传输安全等安全能力。
根据金融机构办公终端设备类型,提供安卓、iOS、鸿蒙、Windows、MacOS和信创等跨平台终端的安全沙箱,办公应用和数据在沙箱环境中运行,增加水印、防止截屏、限制转发和数据加密等防泄露保护。对应用提供单点登录、应用预置和客户端调用能力,确保安全、稳定且简单易用。针对配发展业设备统一管理,推送、安装展业应用,根据相关政策要求,审计记录设备使用行为。
建立“以身份为中心”的零信任体系,通过SDP的两个核心组件,将控制面和数据面分离,由IAM提供多因素认证和统一身份管理,全面落实零信任“从不信任-持续验证”的理念。该金融机构所有接入的终端设备先认证后连接,确保用户、设备和环境可信接入,最小化授权资源访问,以及安全通道数据加密传输。同时,应用服务端口不再直接向互联网暴露,隐藏在SDP之后。
在OA网、生产网、研发管理区以及子公司网络6个相互独立隔离的网络中,采用集群高可用方式部署于同城双数据中心。一体化安全管理平台,提供用户、设备、安全策略和日志报表等可视化管理。截止目前,现有已将30多个APP、B/S和C/S等办公业务应用通过指掌易平台提供安全可信接入和数据防泄露保护。
03
用户评价
指掌易安全管理平台上线2年多时间以来,原来向互联网开放的办公业务应用服务实现了隐藏,被攻击的频率明显减少。长期存在的社工、网络钓鱼等攻击手段,结合产品安全策略配置,得到有效抑制。近期,我行持续参与第三方的多次攻击演练活动,有效抵御了各类攻击。在安全性方面得到了验证,达到了预期目标。
接下来,我行陆续将办公、业务应用基于指掌易平台使用,业务模式也不再依赖于以往的指定配发设备,逐步推广“全员营销”加速业务发展。整体产品方案,值得投入建设和推广使用。
网站声明:如果转载,请联系本站管理员。否则一切后果自行承担。
加入交流群
请使用微信扫一扫!