当金融科技的触角延伸至田间地头,农村信用社(后简称:农信社)的数字化转型正如火如荼,随之而来的是越来越多的技术与管理漏洞,外部勒索病毒攻击手段逐渐“武器化”,黑客潜伏暗处伺机而动,网络安全形势日益严峻。内部行业合规要求不断收紧,数据安全保护被提升至新高度,同时,金融信创加速推进,农信社改革不断深化。到底如何构建一个稳固、高效、合规的网络安全体系,成为一道亟待解决的难题。
联软深耕金融安全领域20年,调研农信社数字化转型中的安全挑战,基于实际落地案例经验,推出《农村信用社安全一体化解决方案》。
五步走,搭建农信社安全一体化建设整体框架
联软认为,新形势下农信社需要以“一体化”思路进行整体安全规划,结合管理与技术,从业务与IT战略规划入手,规范管理制度,部署覆盖空间(边界)安全、端点安全、数据安全和安全对抗的技术与产品,建设解决全网零信任接入、防入侵(防勒索)、防泄密、提升效率的能力中台,最后实现准入可视化、系统自检整体感知、敏感文件外发感知以及可视化展示的安全运营能力。分步建设,打造农信社安全一体化保护平台。
场景化方案,满足多样化安全需求
1
网络边界控制
面对内网终端准入、远程办公访问、访客安全接入、哑终端防仿冒等场景下的安全挑战,联软提供精准高效空间(边界)安全解决方案。
联软根据农信社各网络边界环境及其业务性质,应用不同网络准入技术,确保行内各角色人员网络接入的安全可控和稳定。并基于零信任理念,实现设备、接入、身份、应用及数据的可信,构建起动态的、持续评估的信任体系,为远程接入终端配备严密的身份控制和授权系统。
针对农信社内部广泛使用的哑终端,联软提供基于设备指纹的仿冒检测技术,为每一台哑终端生成独一无二的“电子身份证”。一旦发现伪冒或未经授权的设备试图接入,立即发出警报并采取隔离措施,将风险拦截在门外。
▲联软哑终端仿冒接入方案
2
专机专用
针对互联网终端、网银体验机、配发平板等行内专用设备,提供特色的专用设备安全管控方案。
对于互联网办公,通过定制化客户端安装包,内置管理员账户,简化安装流程,提升运维和使用效率,实现互联网终端持续安全管控。
对于网银体验机类和配发平板等特殊专用设备进行严格管控,确保指定用户仅能使用指定应用访问行内授权数据,并控制数据存储和通道,防止数据泄露和违规使用,保障专用设备安全合规、专机专用。
▲对企业办公平板、测试手机、仓库手持pda、智慧屏、立式广告机等配发设备从接入到淘汰的全生命周期进行管理。
3
终端运维
针对设备安全基线、远程运维管理、软件管理等终端安全运维需求场景,联软方案可确保终端的安全合规,并提高运维效果。
在终端安全性配置方面,联软提供外设连接控制、终端防火墙、软件标准化、网络连接检测、补丁管理等8大策略标准化模板,实现有效禁止开启双网卡、限制移动存储、自动关闭非连接管理平台网卡等功能。
IT管理员运维管理时,联软方案可确保在员工终端接入公司业务/网络情况下,公司运维管理员可对受控终端进行远程协助、配置下发、命令下发、消息通知等远程运维操作,快速处理员工使用过程中的操作故障和问题。
对终端软件实现从获取到删除的全周期跟踪与分析,强化软件正版化管理,大幅度降低由非法软件引发的数据窃取和攻击行为风险,并利用联软四朵云(云软件仓库、云端软件类型识别库、云端绿色软件识别库、云端高风险软件识别库)协助管理员更加高效地管理企业终端软件。
▲联软软件管理解决方案
4
数据安全
数据是数字化转型的核心资产,联软的数据梳理、数据分级分类、外发通道管控、监管数据隔离、跨网数据交换、数据泄露追溯、敏感数据运营与分析等功能,从源头到终端,全方位保障数据安全。
利用专门的数据梳理工具,输出数据分级分类清单,并进行防泄露策略设计。进行敏感数据分类识别时,联软云端敏感规则库内置金融行业特色规则,助力银行持续进行数据梳理、优化。
对邮件、即时通讯软件、移动存储介质、打印、网络等办公敏感数据外发通道进行严格控制。
针对终端高密数据,采用安全沙箱技术实现监管数据的隔离保护,满足既不存储于本地终端又可以安全使用的需求。
提供可靠的云桌面/跨网数据交换机制,统一跨网文件交换通道,禁止远程桌面传输文件,只允许RDP类协议传输,对所有传输文件进行审计、留痕,并进行病毒查杀与敏感内容识别。
运用拍照水印、截屏水印、矢量水印、隐形水印等多项水印技术进行数据操作提醒与震慑,一旦发生数据泄露事件,能够快速定位泄露源头,追究责任人,挽回损失。
▲数据操作提醒与震慑
5
终端风险检测与防护
面对日益猖獗的勒索病毒和钓鱼攻击,联软推出“五位一体”立体式防御方案和钓鱼攻击检测方案。
基于联软EDR能力,可对终端高级威胁进行记录、告警、发现、调查以及处置。分布式存储架构,保证EDR遥测数据的完整性和安全性,为终端高级威胁检测提供可靠的数据支持,有效针对持久化攻击、无文件攻击、钓鱼邮件攻击、凭证访问窃取进行威胁狩猎和告警追溯。
钓鱼攻击的一种常见形式是在正常的文件中隐藏恶意的附件。联软防病毒客户端可持续监控邮件或者QQ、微信等即时通讯工具的附件,执行后续行为和动作,及时发现并隔离可疑文件。
联软还可基于各种钓鱼攻击深度检测模型,发现各个进程、注册表、文件等上下关联关系,发现异常行为可及时告警或自动处置,也可基于实际场景进行自定义规则策略实现更高级别的安全防护。
6
移动终端安全管理
基于零信任安全理念,构建移动终端安全管理框架,对设备、应用、数据、身份进行统一管理,解决移动终端防入侵、防泄密和个人隐私保护问题。
▲联软移动终端安全管理框架
设备管理方面通过策略控制、远程管控等手段,可实现对移动设备的统一集中管理包括配置推送、数据保护、自动终端注册、远程锁屏、Wi-Fi配置推送等功能。
应用管理方便具有移动安全门户,也支持第三方应用门户,可实现H5轻应用、原生应用的快速推广和发布,支持灰度发布、静默安装等,同时提供统一应用权限管理功能。
数据管理方面,具有标准化服务能力,包括统一的安全开发框架、行为管理、快速集成、安全沙箱、安全隧道、禁止复制粘贴、SDK集成、安全阅读、安全浏览器等,以确保数据的安全性。
联软科技的移动终端安全管理策略是多层次、全方位的,涵盖了从设备配置到应用发布,再到数据保护和安全架构的各个方面。通过这些措施,可以有效地提高移动设备的安全性,保护企业和个人的数据安全。
7
设备外部对接联动
在外部对接联动的场景中,联软提供标准化API接口,方便与第三方系统集成,实现安全能力的扩展,满足个性化安全需求,提高安全体系的灵活性和扩展性。
信创平台全面支持,无感知变更平滑过度
信创平台全面支持,无感知变更平滑过度联软《农村信用社安全一体化解决方案》已全面适配主流信创平台,包括鲲鹏、飞腾、龙芯、兆芯等国产CPU,以及银河麒麟、统信UOS等国产操作系统,服务端和客户端皆可实现平滑迁移,保障业务连续性,帮助农信社在信创环境下构建安全可控的信息系统,提升自主可控能力。
联软的产品与解决方案已成功在浙江农商联合银行、山东农村信用社、广东农信及四川农信等众多金融机构落地实施,展现了其广泛的适用性与高效能。
遵循联软精心设计的方案路径,浙江农商联合银行稳步构建起集边界安全、终端安全、数据安全及安全对抗于一体的全方位防护平台。当前,全省70000+终端(包括办公终端、助农自助终端、信创终端)均已实现了终端实名准入和安全检查、权限控制,做到了“实名准入、可信准入”。远程移动办公接入终端也已通过零信任技术实现了全网可信接入100%覆盖。
这一平台不仅显著增强了浙江农商联合银行在边界安全、终端安全、数据安全领域的防护能力,还确保了业务运营符合监管机构的各项要求,在近三年的监管评估中实现了零扣分记录,彰显了其在金融安全领域的卓越表现与持续进步。
科技赋能,联软科技愿与农信社携手,共筑安全防线!