首頁 > 關(guān)于我們 > 安恒動態(tài) > 2020 > 正文

寧波銀行攜手安恒信息：打造“網(wǎng)絡(luò)資產(chǎn)管理”新樣本

閱讀量：次

寧波銀行

輕量級部署，從攻擊者視角有序開展互聯(lián)網(wǎng)資產(chǎn)暴露面的邊界測繪，實(shí)時感知本單位網(wǎng)絡(luò)資產(chǎn)的安全態(tài)勢，滿足單位內(nèi)部自查、上級核查和行業(yè)普查的安全需求。

面對蓬勃興起的數(shù)字化浪潮，傳統(tǒng)金融行業(yè)的競爭格局正在被顛覆，銀行業(yè)也紛紛主動加快了數(shù)字化的步伐。以金融科技為手段，以大數(shù)據(jù)為驅(qū)動，將數(shù)字轉(zhuǎn)型作為未來生長焦點(diǎn)戰(zhàn)略。

一直以來，有著城商行界“三好生”稱號的寧波銀行，依托優(yōu)越的區(qū)域經(jīng)濟(jì)優(yōu)勢，大力發(fā)展“業(yè)務(wù)線上化、網(wǎng)點(diǎn)智能化”服務(wù)，數(shù)字化升級之路也頗為業(yè)內(nèi)稱道。2007年，寧波銀行掛牌上市，是國內(nèi)首批上市的城市商業(yè)銀行之一，成為城商行發(fā)展的樣本。

大步邁進(jìn)數(shù)字化轉(zhuǎn)型的同時，寧波銀行不斷積蓄“安全”能量。作為國家關(guān)鍵基礎(chǔ)設(shè)施，金融機(jī)構(gòu)核心業(yè)務(wù)系統(tǒng)的安全性是前提，而精準(zhǔn)的資產(chǎn)管控是網(wǎng)絡(luò)安全精細(xì)化管理的基礎(chǔ)，互聯(lián)網(wǎng)暴露面資產(chǎn)的網(wǎng)絡(luò)安全管理又是重中之重。寧波銀行深諳其道、厚積薄發(fā)，創(chuàng)新性地引入了網(wǎng)絡(luò)資產(chǎn)探測服務(wù)模式，摸清網(wǎng)絡(luò)資產(chǎn)家底，打破安全管理的“空中樓閣”。

讓我們走進(jìn)寧波銀行，探尋其秘訣。

01“樹大招風(fēng)”，看見被忽略的安全隱患

寧波銀行信息化進(jìn)化之路，于2008年就已起步。寧波銀行先用3年的時間建設(shè)和改進(jìn)全行的業(yè)務(wù)系統(tǒng)，再用3年的時間提高科技服務(wù)水平，隨后不斷通過自主研發(fā)能力持續(xù)推進(jìn)科技與業(yè)務(wù)融合創(chuàng)新。隨著業(yè)務(wù)全面線上化、數(shù)字化，寧波銀行已具備先進(jìn)、完整的業(yè)務(wù)系統(tǒng)體系。

當(dāng)網(wǎng)絡(luò)規(guī)模愈發(fā)龐大，IT資產(chǎn)越來越多，資產(chǎn)如何管理？大量資產(chǎn)暴露在互聯(lián)網(wǎng)面臨外部攻擊者的威脅，又該如何“阻擊”？寧波銀行同樣面臨著這樣的問題。

不破不立。寧波銀行開始實(shí)踐更先進(jìn)的管理體制，這其中就包含了在線業(yè)務(wù)的資產(chǎn)管理！

02從攻擊者視角，精準(zhǔn)發(fā)現(xiàn)資產(chǎn)盲區(qū)

通過半年多的調(diào)研和排查，今年初，寧波銀行攜手安恒信息開始著手打造一個更為智能化、輕量級的網(wǎng)絡(luò)資產(chǎn)探測服務(wù)平臺，提升全方位資產(chǎn)探測和安全風(fēng)險發(fā)現(xiàn)能力。

如何管理？寧波銀行另辟蹊徑，從攻擊者視角入手，對單位內(nèi)互聯(lián)網(wǎng)暴露面資產(chǎn)梳理開展一次“大體檢”，摸清單位網(wǎng)絡(luò)資產(chǎn)底數(shù)，對內(nèi)發(fā)現(xiàn)未知資產(chǎn)和資產(chǎn)風(fēng)險，包含高危漏洞和主機(jī)資產(chǎn)脆弱性、資產(chǎn)變化、設(shè)備用途的私自變更等安全威脅，以及外部發(fā)現(xiàn)在Github、網(wǎng)盤、文庫上泄露的資產(chǎn)信息，當(dāng)發(fā)現(xiàn)資產(chǎn)異?；虼_定為安全風(fēng)險時，及時告警并給予加固建議。并且，建立完整且及時的企業(yè)互聯(lián)網(wǎng)暴露面IT資產(chǎn)信息庫、風(fēng)險庫，為安全風(fēng)險管理提供基礎(chǔ)數(shù)據(jù)?！斑吘壔Y產(chǎn)、不常用的資產(chǎn)，都在探測范圍內(nèi)，盡量減少暴露面。”

目前，大量企業(yè)仍存在采用人工錄入的方式或者使用半本地化管理系統(tǒng)對互聯(lián)網(wǎng)暴露面IT資產(chǎn)進(jìn)行管理維護(hù)的情況，寧波銀行引入主動發(fā)現(xiàn)新接入IT資產(chǎn)的技術(shù)手段，能自定義、自動化開展資產(chǎn)探測。

“這一排查工作是基于saas化服務(wù)平臺，在遠(yuǎn)程辦公的特殊時期，‘輕裝上陣’非常關(guān)鍵?！睂幉ㄣy行安全運(yùn)營負(fù)責(zé)人表示，輕量級部署即可協(xié)助用戶感知本單位整體網(wǎng)絡(luò)資產(chǎn)的安全態(tài)勢，建立健全網(wǎng)絡(luò)資產(chǎn)治理和風(fēng)險管理機(jī)制，提高單位的網(wǎng)絡(luò)安全管理工作效率。

除用于單位自查，發(fā)現(xiàn)本單位暴露在互聯(lián)網(wǎng)上的各類主機(jī)和web應(yīng)用、對資產(chǎn)進(jìn)行統(tǒng)一監(jiān)控和管理外，網(wǎng)絡(luò)資產(chǎn)探測服務(wù)平臺還可滿足上級核查和行業(yè)普查的需求。

通過網(wǎng)絡(luò)資產(chǎn)探測服務(wù)平臺，寧波銀行可對下屬的分支機(jī)構(gòu)網(wǎng)絡(luò)資產(chǎn)上報情況進(jìn)行核查，是否存在漏報或誤報情況，協(xié)助下級單位或分公司摸清資產(chǎn)底數(shù)；針對金融行業(yè)或是區(qū)域內(nèi)監(jiān)管的要求，可實(shí)現(xiàn)行業(yè)資產(chǎn)普查，消除監(jiān)管死角和盲區(qū)，為實(shí)施行業(yè)網(wǎng)絡(luò)安全監(jiān)管工作提供數(shù)據(jù)支持。

“平臺投入使用后，還可與寧波銀行現(xiàn)有的大數(shù)據(jù)平臺打通，將發(fā)現(xiàn)的新數(shù)據(jù)與業(yè)務(wù)平臺對接、同步輸送?！睂幉ㄣy行安全運(yùn)營負(fù)責(zé)人說道。

面對日新月異的金融科技變化和日益嚴(yán)峻的安全攻勢，網(wǎng)絡(luò)安全將會深度融入金融數(shù)字化發(fā)展進(jìn)程中。寧波銀行緊抓機(jī)遇、積極變革，堅(jiān)持“業(yè)務(wù)發(fā)展”和“網(wǎng)絡(luò)安全”并駕齊驅(qū)，一方面加速數(shù)字化轉(zhuǎn)型，另一方面以資產(chǎn)為基礎(chǔ)，提升安全態(tài)勢感知能力，為企業(yè)發(fā)展注入源源不斷的“活水”。

關(guān)閉

AI+安全>

數(shù)據(jù)安全>

數(shù)據(jù)基礎(chǔ)設(shè)施>

態(tài)勢感知>

云安全>

基礎(chǔ)安全>

終端安全>

商用密碼>

軟件供應(yīng)鏈安全>

網(wǎng)絡(luò)空間靶場>

工業(yè)互聯(lián)網(wǎng)安全>