2020年新冠肺炎疫情爆发,使具有依赖线下交易、人员密集等特征的行业受到了明显的冲击,金融行业也在其列。为了应对服务方式和交易方式的变化,各金融机构纷纷利用科技手段优化丰富“非接触式服务”渠道,提高线上化金融服务效率,保障金融服务质量,以此支持疫情防控工作。
一、行业背景
与此同时,随着经济全球化扩展、金融行业信息化程度高速发展,金融行业对于信息技术的依赖程度逐步增强,所面临的网络安全风险也越来越大。
1、多方监管,严格合规需求
为了促进金融行业的安全健康发展,国家及金融行业监管部门先后出台了包括《网络安全法》、《金融行业网络安全等级保护测评指南》、《金融行业网络安全等级保护实施指引》等多部针对网络安全的相关政策法规,使金融科技网络信息安全需要面临法律、行政法规、央行、银保监会、证监会和公安机关等多层面的监管,要求严格符合合规需求。
2、网络环境复杂,网络空间资产规模庞大
以银行为典型代表的金融机构对于网络运行的稳定性、持续性的要求较高,会根据生产环境、测试环境及实际应用环境等不同网络区域进行严格划分,加之正常运转所需的办公系统、管理系统等,使得网络环境的复杂性极高。
在此基础上,银行物理空间分布范围大、组织架构复杂、网络空间资产位置分散管理困难等问题普遍存在,这一切也造就了银行网络空间资产规模异常庞大的现状。
3、业务价值高,安全隐患影响巨大
高敏感、高价值的金融行业数据一直以来都是攻击者追逐的重要目标,随着攻击者越来越注重攻击行为的“性价比”,越是高价值的业务系统越容易深陷攻击威胁,因此需要配备更完善、更周密、更主动的防御体系。
二、客户需求
为积极提升自身应对网络安全风险的能力,某股份制商业银行提出如下需求:
1、查清自身资产,实时管控响应:该银行客户需要摸清自身网络空间资产情况,进行统一的网络空间资产管理及风险的识别,要求支持实时获知资产状况,能够支撑重要时期的高危风险排查等响应工作。
2、隔离网域统一管理:由于不同网络区域按要求清晰隔离,客户需求对不同网域的网络空间资产分别识别、统一管理。
3、HW重保期间,资产应急梳理核查:在HW、重保等特殊时期,客户需要通过全面资产梳理、风险梳理、策略核查等措施,以确保包括安全防御范围全资产覆盖、安全风险识别清晰、高危因素及时修复或处置等网络空间资产基础安全。
4、资产探测要求网络稳定运行:考虑银行网络稳定性、可持续性安全运行的重要性,客户要求资产探测梳理以保障网络安全运行为第一要务,在高效资产梳理、风险扫描的同时,不影响或至少将对网络的影响降至最低。
三、产品方案
ZoomEye Pro本身可以实现一台设备对上万网络空间资产进行安全管理,是集合了全面资产发现梳理、精准详细信息提供、重要漏洞影响评估、日常安全管理及数据输出等功能为一体的综合的网络空间资产安全管理系统,可以提供稳定的高性能表现。
此次在满足此银行客户的需求方面,面对的主要挑战是在保证网络的稳定安全运行的基础上实现跨地区、跨网域的网络空间资产统一管理,所以方案设计及实现都以这两点为重点目标进行设计:
1、跨地区隔离网域资产统一管理
该银行客户在物理空间上分布范围大,这也使得规模庞大、分散较广的客户网络空间资产管理困难。
针对跨地域的情况,ZoomEye Pro采用分布式部署的方式,在各地机房部署探针,并在总部机房部署管理中心;而针对同一机房中存在多个隔离网段的情况,则采用多网口扫描的方式深入各个隔离区。ZoomEye Pro通过多种方式部署节点覆盖所有网域,使清晰隔离的不同网域资产实现跨网域统一管理。
2、精准控制并发连接数的建立
并发连接数是衡量防火墙性能的一个重要指标,是防火墙能够同时处理的点对点连接的最大数目。ZoomEye Pro的主动探测方式能够精准的控制设备对外建立的并发连接数,扫描即便是经过防火墙,也不会对防火墙性能造成影响,进而保证企业整个网络的正常运行。
四、客户价值
本项目建设完成后,通过ZoomEye Pro对该银行客户各区域网络空间资产普查梳理、统一管理。
1、ZoomEye Pro周期性对全部网络空间资产进行监控,一旦发现高危端口、服务、组件及高危漏洞、弱口令等影响网络空间资产安全的情况,即可启动报警,督促整个系统进行安全排查和整改。
2、HW及重保期间网络攻击集中,是对网络空间资产安全管理日常工作的严峻考验。ZoomEye Pro应对此类集中攻击和高对抗性安全防护时,通过全面发现网络空间资产,进行清晰的归属责任确认,并结合梳理结果进行资产分级、下线非主要资产、整改高危端口,并对各类安全防护设备对应安全策略复查并确认。
3、在HW及重保期间,或在高对抗的网络攻击防护过程中,ZoomEye Pro基于自身详实可靠的资产数据,可以及时发现并跟踪攻击、及时确认全资产运行状态,同时对高危端口、高危特征进行监控,提供快速检索查询功能。
同时依赖ZoomEye Pro本身的组织架构功能及组织架构自动对接功能,进行资产归属的自建或者自动关联,将资产分配给对应负责人,实现在真实网络对抗中秒级精准定位资产及资产归属责任人。