金融行业解决方案蓝皮书-20240708

BlueBook亚奥理事会官方合作伙伴安恒信息官方公众号 DAS-security女王中Co血te血ts本文的所有内容，其版权属于杭州安恒信息技术股份有限公司（以下简称“安恒信息”）所有，未经安恒信息的许可，任何人不得防制、拷贝、转译或任意引用。本文没有任何形式的担若因本文或其所提到的任何信息引起的直接或间接的资料流失、利益损失，安恒信息及其员工恕不承担任何责任。本文所提到的解决方案仅供参考，不构成任何要约或承诺，有关内容可©安恒信息12重保SaaS解决方案060720232325273303030333333343535353637金融行业解决方案-蓝皮书-2024第一章金融行业在国民经济发展中占据着重要地位,影响着国家产业经济发展的稳定性。当前新一轮科技革命和产业变革深入发展,数字化浪潮蓬勃兴起,国家“十四五”规划和2035年远景目标纲要明确提出“稳妥发展金融科技，加快金融机构数字化转型”的重要任务，数当前，银行业数字化转型继续走在前列，略高于证券及资管业和保险业。但随着证券业信息技术系统服务机构备案、资本市场金融科技创新试点、《证券期货业科技发展“十四五”规划》等一系列政策举措的出台，证券及资管金融网络安全与数字化同步发展，金融网络安全体系与数字化技术体系相关联，网络安全工作伴随数字技术的演进经历了多个阶段，起步阶段：1980年后，尤其以银行业为主，金融业务进行电子化时代，逐步采用信息技术系统替代人力工作。此时我国的互联网普及率较低，面临的网络安全威胁尚不复杂，网络安全工作的开展主要依据国家及主管部门发布的安全监管制度如《中华人民共和国计算机信息系统安全保护条例》，安全工作主要围绕物理安全、终端安全、主机系统安全等领域开展，保护呈分散特点的专用系统和软件发展阶段：2000年以后，金融信息系统逐渐从分散走向集中，大型数据中心建设如火如荼。信息系统的高度集中也导致了风险的高度集中，信息系统规模日益增大，运行环境愈发复杂，安全工作主要围绕数据中心进行的网络边界防护，并逐渐参考引入国内外一系列安全标准及模型，如信息安全等级保护相关政策法规、ISO27000信息安全管理体系标准等，不断提升信息安全管理的规范化水平，体系化解决网络安全问题。在此阶段，代表性的安全技术有访问控制成熟阶段：近十年来金融机构进入信息化、数字化时代，产品、营销、运营等逐渐发生深刻改变。同时，网络安全风险更加复杂。金融机构依据国家及相关部门发布的《网络安全等级保护条例》与《国家关键信息基础设施安全保护条例》等相关法规标准，推动构建网络安全纵深防护体系。网络安全的目标由单一保护网络向保护数据转变，通过纵深防护，达到内外兼防的目的。在此阶段，网络安全需要同时兼顾攻防，代表技术有ATT&CK威胁建模、网络攻击溯源、态势感知技术等。当前，从国内金融行业网络安全总体态势来看，在行业监管要求日益严格细化的大背景下，金融行业已经普遍形成了较为完善的网络安全组织与制度管理体系，但是由于网络安全风险意识不足和宣贯不到位，部分安全管理要求流于形式；由于大型金融机构和中小型金融机构的信息化水平差距较大，网络安全防护技术体系的建设情况也呈现出明显的参差不齐，大型金融机构普遍构建了纵深的安全防御体系，中小金融机构则缺乏顶层的体系化设计，以单点被动防御为主，整体安全防护能力较差；在网络安全投入上，国内金融行050605金融行业解决方案-蓝皮书-2024第二章近年，在大国博弈、俄乌冲突、世纪疫情等国内外形势的复杂背景下，国家金融安全的重要性更加突出，维护金融网络安全将成为国一是随着事件型漏洞和高危零日漏洞威胁的二是随着数字化转型及法律合规的压力，金融机构将更加注重数据安全，其组织架构、管理体系及技术防护体系将产生新的变化；三是随着金融业务的数字化转型，金融网络安全建设的数字化转型也将同步开展，数字化的网络安全运营体系成为未来重点建五是信息技术应用创新推进明显，网络安全的基础产品及技术需同步跟进、同步建设。针对金融行业面临的新的风险和挑战，结合目前存在的问题，安恒信息建议金融机构从以下几个方面着手，快速提升网络安全综合防一是以人为本，采取多种方式加强网络安全意识培训和宣贯，提升全员网络安全风险防范意识；二是创新思路，统筹推进网络安全顶层规划工作；三是加强个人金融信息保护，逐步建设全要素的数据安全治理体系，覆盖数据全生命周期进行安全防护；五是以信息系统信创改造为基础，从办公到生产、从边缘到核心、从分支到总部逐步替换安全产品；六是注重网络安全人才培养，同时加强与专业机构的合作，持续提升网络安全人员的专业技能。07纵观整个金融行业，大量客户前期已经采购了一些数据安全相关的设备，如：脱敏、加密等，随着金融行业客户自身业务发展的不断深入及开展数字化转型的迫切性，复杂的数据使用场景使传统的安全措施难以发挥效应，且单点防护的方式越来越不能满足安全需求,所以要针对金融行业业务发展现状制定完善的数据安全建设长期规划，以此规划为目标，逐步建设数据安全防护能力。纵观整个金融行业，大量客户前期已经采购了一些数据安全相关的设备，如：脱敏、加密等，随着金融行业客户自身业务发展的不断深入及开展数字化转型的迫切性，复杂的数据使用场景使传统的安全措施难以发挥效应，且单点防护的方式越来越不能满足安全需求,所以要针对金融行业业务发展现状制定完善的数据安全建设长期规划，以此规划为目标，逐步建设数据安全防护能力。事件运营应急响应数据分类分级敏感数据识别数据标记资产视图数据销毁数据删除全面防护能力框架数据资产管理数据删除数据传输数据销毁安全能力防护要求行业监管标准国家法律法规行业最佳实践相关标准1.数据安全规划的实现步骤依次为：现状调研、资产梳理、风险2.数据安全能力建设，以数据安全分级为基础，建立覆盖数据生命周期全过程的安全防护体系，防护要求以《金融数据安全数据生命周期安全规范》中的防护要求为依据，以数据安全相关技术能力及产品为能力底座，全面加强金融行业解决方案-蓝皮书-202409金融行业解决方案-蓝皮书-20243.以保障金融行业业务连续性为前提，在做好金融行业客户数据安全防护的基础上，加强制度体系建设、数据安全整体态势感知能力和统一运营能力，实现事件、资产、风险、策了解金融业客户数据安全建设的现状，包括取得的成果和存在的问题，结合业务特性和发展方向制定规划。通过数据安全防护措施，满足内外部合规检查要求。建立数据安全管理工作相关制度与流程规范，为数据安全工作有序管理提供支撑。协助金融业客户维护良建立数据安全治理架构，完善金融业客户数据安全保护体系。梳理全量数据，识别敏感数据，结合分类分级规范和工具，实现数据分随着国内外网络安全复杂、严峻形势的演变，我国金融行业网络安全形势亦不容乐观，主要的风险和挑战有：金融科技创新大量采用新技术实现业务创新的同时，给网络安全带来更多隐性风险；随着事件型漏洞和高危漏洞威胁的持续走高，网络攻击的种类、规模和方式不断增加；数字化转型不断提升数据价值，金融业务的复杂性使得数据安全保护体系的建设难度不断加大；金融机构与第三方机构的连接越来越多，导致风险的传导范围和为有效应对严峻的网络风险，国务院办公厅、网信办、公安部、工信部及中国人民银行等部门陆续出台了相关政策和标准，人行于2019年建设了行业级的态势感知与信息共享平台，并在2022年依托平台加强对重要信息系统业务运行状况主动监测预警能力。同样的，证监会也开始筹备行业态势感知平台的建设。同时随着不同级别攻防演练逐步展开，越来越多的金融机构开始接受检验并逐步形安恒安全运营架构-1前提2平台3要素SOAR剧本编排安全运营活动安全分析安全分析UEBAUEBA（用户与实体行为分析）ATT&CK分析框架安全能力中台（SOAR）安全数据采集基础设备安全能力接入异构安全数据采集全流量数据采集IT资产数据采集情报数据同步能力接口化能力标准化数据对接能力对接策略下发基础安全资源：出口安全、数据中心安全、云安全、终端安全...信息基础设施：物理机房、公有云、私有云信息基础设施：物理机房、公有云、私有云前提-安全运营体系规划：愿景目标、差距分析、制度设计、流程规划、运前提-安全运营体系规划：愿景目标、差距分析、制度设计、流程规划、运营指标量化…金融行业解决方案-蓝皮书-2024一前提：安全运营体系规划二平台：安全数据中台、安全能力中台三要素：人员、机制流程、平台（技术及工具）方案详细设计主要围绕安全运营的3个要素的建设，即通过安全技术工具搭建统一的安全运营平台，构建安全运营能力的基础，通过引入专业的安全服务人员构建层次分明分工合理的安全运营组织架构，提升单位的安全运营能力，通过对单位日常、应急保等多个场景下的安全运营工作进行梳理，帮助单位构建可落地、安全运营建设紧贴业务发展愿景，安全管理制度和事件处置流程完备，安全运营工作流程高效有优化安全运营团队组织架构设计，引进外部专业的安全运营人员，实现运营人员分工明确、权责对应、层次搭配合理、团EDREDRFWAC认证汇聚多源安全数据形成全方位的威胁感知能力，并整合集成异构安全能力，形成统一的安全事件OA区OA区金融机构作为金融信创试点单位，需按照人行要求针对办公管理系统、终端机具、一般业务系统、关键业务系统等四类业务系统进行信创改造，并实现国产信息技术产品采购金额占全部信息技术产品采购金额比例超过要求比例。没有网络安全就没有国家安全，在完成业务系统信创改造的同时配套网络安全建设应同步开展，同步规划。因此金融机构需以积极落实信创精神、防范金融科技风险为导向，紧跟监管政策要求，建立适度前瞻、覆盖全面、等FWFW抗DFWDMZ区FWFWFW抗DFWDMZ区FWWAF迷网WEB服务器EDRFWEDRFWEDRFW信创DMZ区APTAPTFWWAFEDRAPTAPTFWEDR金融行业解决方案-蓝皮书-2024方案概括为新建全栈信创区与存量区域替换，协同推进，灵活调整。其中新建全栈信创区用于邮件、OA等办公系统，财务、CRM、HR等一般业务系统，以及部分关键类统等信创业务的全栈承载，实现服务端由底向上的全栈式信创，并基于纵深防御原则划分信创互联网接入区、信创DMZ区、信创业务区，通过部署防火墙、WAF、EDR、APT、数据库审计等信创安全设备实现安全防御与检测能力。在存量区域优先替换办公区、分支机构、安全管理区，要求在新增采购的设备中100%采用信创设备，通过3-5年实现存产品系列中具备鲲鹏高性能信创产品型号，采用多核数硬件设计，在稳定性、性能、国密支持等重要技术上满足金融行业具备海光、飞腾、兆芯、龙芯等多架构的产品系列，尤其以海光3250处理器为代表的产品，具备高性价比优势。新建全栈信创区与存量区域替换，协同推进，灵活调整。同时根据现有信创产品成熟度，充分评估信创产品性能、稳定不同于以往对全量数据实施数据安全保护的思路，现阶段银行业已充分意识到要做数据安全保护，首先要做的是敏感数据的识别，及对数据进行分类分级操作，进而加强数据分类分级后的精细化安全防护措施——针对数据的不同级别实施不同的数据安全管控策略，如：3级以上数据在数据导出时，使用加密、脱敏等手段；文件系统中存放含有3级及以上的文件，应采用加密存储方式。将数据资产实施分类分级后再进行针对性保护，不仅可以实现降本增效，同时也将防护重点聚焦到高级别敏感数据中，更容易发现数据资产所面分类分级解决方案建设思路：通过主动扫描、流量分析、人工检测、用户调研等工具和服务相结合的方式，对数据资产进行盘点，发现和识别数据资产，定义敏感数据，形成数据资产台账。开展数据分类分级工作，梳理数据访问对象和权限，形成敏感数据分布视图使用高效的数据分类分级工具，对用户数据进行自动数据发现、基于AI算法和机器学习对敏感数据准确高效识别，然后依据内置法规、行业标准自动分类分级操作，生成数据资产目录，让数据走向价值化管理与精细化管控工具识别完之后，再进行人工校验，对工具的模型及识别规则进行策略调优，然后再以新的规则进行自动化识别，不断提高分类分??金融行业解决方案-蓝皮书-2024盘点客户现有网络环境中的数据源，快速、准确的梳理出核心重要数据，同时在数据库漏洞、数据库配置、账号权限等基于聚类算法可以对相似表、相似字段进行分析，汇总信息后进行展示，并可批量确认。减少客户实施的总工作量，大对数据库中的对象可被哪些用户访问的情况进行归纳总结，特别是对包含了敏感列的表或者敏感度评分较高的对象，可以对敏感数据的分布情况进行图形化分类显示，使客户对组织内资产分布、敏感数据分布一目了然，形成资产台账，直观、快速掌握等保2.0在当今“十四五”时期，信息化进入数字化快速发展、建设数字中国的新阶段，“十四五”时期信息化发展重点任务之一就是构建云网融合的新型算力设施。然而，随着业务上云、数据上云无疑会加大网络安全风险，带来诸多挑战，云计算基础设施必将是APT攻击、勒索病毒、供应链攻击、数据泄漏风险、基础设施多源多维攻击的核心目标之金融行业信息系统关系到国计民生，是国家信息安全重点保护对象，国家信息安全监管职能部门颁布了《云计算技术术架构》（JR/T0166-2020）、《云计算技术金融应用规范安全技术要求》（JR/T0167-2020）、《金融行业网络安全等级保护测评指南》（JR/T0072-2020）等多项行业标准，以对其安全保护工作进行指导监督。保险机构也需充分意识云计算带来的巨大优势与需要面临的风险，在建设云平台基础设施的同时同步考虑配套的安全建设规作为云平台建设的基础前提，积极应对业务上......云安全管理云安全管理云上业务合规安全合规安全数据安全Web安全防护API安全防护及审计云上业务安全APT防护APT防护实战安全云工作负载安全（物理机、虚拟机、容器安全）云工作负载安全（物理机、虚拟机、容器安全）云平台VPN零信任 云平台VPN零信任 流量安全分析（东西）设施...金融行业解决方案-蓝皮书-20241920保险云安全体系设计参考借鉴人行、公安部等云计算安全框架，充分考虑云平台自身特点和要求，从合规、风险管理、纵云安全框架设计从基础设施、云平台、云上业务、云安全管理几个层次出发，基于每个层次面临的安全威胁，明确各的安全能力，同时以合规为基础，充分参考并借鉴国内外成熟云基础设施安全规划设计：主要由云服务商配合数据中心实现，包括物理环境安全需求、网络及核心设备冗余、计算及存储资源冗云平台安全规划设计：主要包括分区分域及边界访问控制、外部边界安全防护设计、远程接入安全防护设计、计算资源安全防护设云上业务（租户）安全规划设计：主要包括云上合规、云工作负载安全、云上业务安全、实战安全（欺骗防御）等。云安全集中管理设计：主要包括面向安全资源池管理员的云安全管理平台、面向云租户的租户管理平台以及横跨多云的多云安全管云安全运营：以资产为核心、以安全事件管理为关键流程建立一套实时的资产风险模型，协助管理人员进行事件分析、风险分析、信息安全等级保护是国家在信息安全保障工作的一项基本制度，本方案满足金融等保三级标准要求。全面应对云基础设施可无缝对接阿里云、华为云、腾讯云、Ucloud、百度云、青云等主流公有云平台，同时也支持浪潮云、华为云、VMware等私有云平台和传统数据中心，一站式覆盖公有云、私有安全能力支持采用通用许可进行开通，支持回收再利用，用户证券行业目前已经通过行业互联网资产管理、漏洞扫描、渗透测试和定期网站安全监测等方式，开展行业网络安全监测工作，在一定程度上为行业网络和信息安全态势感知工作奠定了基础。面对日益严峻的网络安全挑战，建设一个行业级的安全态势感知平台，有助证券期货业网络和信息安全态势感知平台（以下简称“态势感知平台”）以主动监测、科技赋能、协调联动为目标，全行业网络安全态势，通报预警网络安全风险，防范网络攻击威胁，提升行业网络安全应急处行业机构需自行建设数据报送系统并配置SSL加密认证，并使用数据报送系统以自动或手工方式将符合报送规范的数据转发到平台数AiLPHA安全分析与管理平台是一款结合大数据技术和人工智能算法的安全运营平台，通过威胁发现、智能研判和自动化响应处置的流程，提高安全运维工作效率，构建智能安全运营体系，实现安全运营的闭环管理。以AiLPHA安全分析与管理平台作为数据报送系统，可实现数据上报满足监管要求，并支持手动填写、通过kafka的方式>>WAF通过kafka的方式>>WAF>IPSAPT >行业机构满足证券行业依托“行业网络与信息安全态势感知平台”数据上报要求，完成相关规定数据转发的监控和实施，符合证券模块化插件部署不影响AiLPHA态势感知平台其他功能使用，可实现项目快速上线和上报模块的功能迭代。金融行业解决方案-蓝皮书-20242014年《金融领域密码应用指导意见》要求各金融机构5年内完成在网上银行、移动支付、网上证券等重点领域国密的应用。2018年《金融和重要领域密码应用与创新发展工作规划（2018-2022年）》进一步要求金融、政务等重点行业国密应用。2020年，人行在此基础上颁发《金融领域信息系统国产密码改造基线要求》和《金融领域国产密码改造评价指标体系》，细化金融业国密改造要求。目前商密在银行和证券业已经开展广泛应用，随着《密码法》、信创、密评等产业指引落地，国密改造在各金融机构核心系统中有望持续深化。基金网上交易系统通过银联的在线支付网关联接各大银行，实现个人投资者的银行账户与网上直销专户间的网上资金划盖了：基金账户开立、客户资料维护、网上交易委托、安全认证、资金结算。本方案主要应用于网上交易系统APP的改造，通过对移动端与系统端的密码应用改造，对系统涉及到的关键数据包括身份鉴别数据、敏感信息数据和交易数据等实现机密性、完落实中国人民银行关于印发[2020]140号文，结合《金融领域国产密码改造评价指标》梳理完成国产密码改造任务。结合交易系统业务特点和行业需求，在原有业务流程中实现国密应21金融行业解决方案-蓝皮书-20242223SaaS化的安全能力具有轻量化部署优势，在重保期间仅需结合少量本地安全设备及云端安全专家就可提供风险自查、安全监测、复SaaS化的安全能力具有轻量化部署优势，在重保期间仅需结合少量本地安全设备及云端安全专家就可提供风险自查、安全监测、复在重保期间，安恒信息提供7*24小时全天候值守，安全服务专家将与用户建立专属沟通服务群，协助用户分析告警日志，帮助用户在海量的告警中提取关键的有效信息，在第一时间对紧急事件进行处置闭环并对防护策略调优，让用重保SaaS解决方案金融行业作为关系国计民生的重点行业，从过往经验分金融行业作为关系国计民生的重点行业，从过往经验分析看，每逢我国举行重要活动、会议期间，各类网络攻击都会呈增加趋势，针大量金融机构长期采用“堆人头式”的传统安全服务开展重保工作，而特殊时期人力紧张且服务水平参差不齐，大量中小金融机构无法有效进行防护，亟待一套能够实现一站式的轻量化的安全服务方案以重保安全能力Web攻击防护恶意IP封禁重保安全能力Web攻击防护恶意IP封禁安全服务7*24小时安全值守+安服专家响应支撑方案概括为结合7*24小时安全专家重保服务及安恒方案概括为结合7*24小时安全专家重保服务及安恒SaaS安全能力在重保前、重保中以及重保后为客户提供闭环解决方案，主要服务摸底加固：重保前安全体检，将业务系统摸清家底、漏洞体检，协助用户进行风险加固，降低被攻击的风险。防御响应：重保中部署安全产品，提升业务防护水平，并结合专家服务进行攻击监测及响复盘改进：全面总结重保各阶段的工作情况，形成总结报告进行汇报总结，并加以改进。金融行业解决方案-蓝皮书-20242425基于自身安全防护需求及监管压力，金融机构对网络安全建设长期重视与投入，购买了大量的安全产品及常规安全服务。同时金融机构常态化参与攻防演练，往往在演练期间堆叠大量安全设备与服务，短时间内提升安全防御能力。但随着攻防演练与各类重保的常态化进行，金融机构应更加注重自身真实的安全防护能力，如何进行常态化对自身安全防御能力做有效性验证是当前金融机构的一个痛 安恒安全验证BAS体系安全验证安全验证Aigent配置...HVV场景ATT&CK战术服务端（攻击机）Aigent安装Aigent安装ABAS安全验证模块AXDR高级威胁检测与分析平台告警转用例威胁狩猎安全设备策略优化、安全设备规则分析安全设备策略优化、安全设备规则分析…方案概括为结合BAS工具及安全验证服务，帮助用户全面验证自身安全防御系统的防御策略有效性。其中紫队服务团队通过高级威胁情报及最新攻击用例输入，采用攻击模拟的方式，配合一定的实战手段，对安全防护设备逐项进行细颗粒度安全能力评估与优化，帮助用户打通安全事件流程，进而完善相应防护措施。AXDR-BAS工具通过自动化方式，使用测试用例常态化、定期进行全链路自动化攻击模拟，实现对现网安全防护设备进行安全策略有效性验证的闭环，并为用户提供多种测试场景选择，进行个各类安全能力防护专项有效结合自动化工具及服务流程，充分发挥工具的自动化特性，高效实现对安全防御体系的所有组件的策略验证。同时结合服务补创新结合攻防对抗实践、ATT&CK战术，通过安全模拟验证的用例及剧本进行模拟攻击，帮助用户安全运营团队了解最新攻击手法及实战防御策略，同时对现有安全防护设备的拦截能力与检测能力有更加清晰明确的充分验证安全设备策略有效性，使得安全防护策略能够良好的应对实际面临安全威胁，并保障告警的精准性，最终帮助用户切实提金融行业解决方案-蓝皮书-2024第二章合规性:开发安全体系建设，严格按照国家、行业颁布安全合规政策落地实施，帮助企业达成合规性。标准化、自动化:搭建安全开发一体化平台，采用人工+工具的方式，与企业现有流程完美融合，达成流程自动化，做到安全工作有提高质量、降低成本:开发安全体系建设和运行，大大提高系统的安全性，降低漏洞的修复成本，减少了研发、测试、安全人员沟通培养安全意识、提高安全技能:构建安全知识库，培养安全共识，以安全能力为基石，并进行常态化的开发安全培训，提升开发人员为加强银行保险机构供应链安全管理，防范风险，确保系统安全稳定运行，2021年，银保监会发布了《关于供应链安全风险提示的为加强银行保险机构供应链安全管理，防范风险，确保系统安全稳定运行，2021年，银保监会发布了《关于供应链安全风险提示的函》，基本内容包括：提高供应链安全风险防范意识，加强对于供应链的安全统筹管理，充分评估第三方供应商的安全能力，提升系统自主研发能力，加强对供应商厂商的监督检查。结合文件内容，金融业做好软件供应链安全需要从管设计度量方法和持续提高机制，持续提高人员安全意识和对各类软件开发环境进行风险控制，严格控制输入到对各类软件开发环境进行风险控制，严格控制输入到设计和实现安全开发流程，以达到研发安全的软件的目的，使++oIDE安全插件检查oSCA成分分析oSAST静态分析oDAST黑盒测试oIAST被动测试准备阶段需求分析与设计开发阶段集成阶段通过安全开发一体化平台的建设，实现“安全左移”，及时响应并解决漏洞，通过人工+工具、测试任务复测、漏洞去重，达到降低安全开发一体化平台DevSecOps的核心理念就是将软件安全集成在软件开发的每一个阶段，而不仅仅是在上线发布阶段做一次安全272627金融行业解决方案-蓝皮书-2024由于业务的增长，某股份制银行安全运营中心每年都在安全运营上投入大量的人力财力，并逐步开始关注自动化安全运营的需求，主利用剧本编排，覆盖重复工作，包括：防火墙自动阻断；周期性安全运营报告；定期弱点、资产扫描结果发送；自动化设备状态巡检对用户环境内各种孤立的安全设备进行梳理整合、集中管控，将大量的单点告警数据汇入SOAR，加大数据源头的网罗和监测，通过自动化编排整合人员、流程和技术，缩短响应时间，快速形成自动闭环”的安全运营需求，实现安全运营数字化、智能化目标。其中“十全”安全运营平台包括：全资产安全管控、全方位威胁建模、全漏洞快速定位、全场景剧本编排、全攻击有效溯源、全平台安全大脑、全天候威胁监测、全告警联动分析、全事件秒级响应、302930金融行业解决方案-蓝皮书-2024第三章ISPISP流量镜像VLAN标签SOAR流量镜像VLAN标签TAPAiLPHATAPIPS出口IPS出口IPS出口IPS出口IPS外联防火墙外联防火墙VPNIPsecDMZ防火墙DMZ防火墙DMZ主机外联黑名单DMZ防火墙DMZ防火墙DMZ核心交换机DMZ核心交换机F5F5F5ImpervaWAFWAFWAFWAFWAFWAFWAFWAFWAF F5F5WAFWAFWAFWAFSSLSSLDMZ(SDN网络）IPS内网IPS内网IPS内网IPS内网(SDN网络）利用实时分析引擎、攻击链分析、智能模型、情报碰撞、漏洞验证等方式，为安全管理员提炼重点关注告警几十条，并将其余99%的帮助安全人员专注安全分析建模和追踪溯源，提升安全运维人员工作效率。定期修补Web业务系统开发架构常见漏洞，减少漏洞利用告警信息实时推送，平台可联动安全防护设备，自动下发处置策略，第一时间阻断威胁，形成安全闭环，减轻安全人员应对大量告警金融行业解决方案-蓝皮书-2024第三章3334为精细化管理数据，防止敏感数据泄露，同时监对数据库操作人员的操作行为是否合规进行实时审计，从而加强对数据库操作系统内部的防护以及人员管理。实现数据库的运维人员和第三方外包人员精细化管控；数据库中的高敏感数据，不适合对运维人员直接暴露；希望内置多种场景数据安全访问规则，方便使用和上手；数据库种类多，许多数据库不适合升级，但是对暴漏的数共采购数据库审计20套，数据库安全网关8套，其中，集团部署了5套数据库审计和3套数据库安全网关，数据库审计采用分布式部署方