运营者应当自行或者委托网络安全服务机构对关键信息基础设施每年至少进行一次网络安全检测和风险评估,对发现的安全问题及时整改,并按照保护工作部门要求报送情况。
——《关键信息基础设施安全保护条例》
第十七条
银行作为关键信息基础设施,其网络安全检测和风险评估至关重要。某大型商业银行将安全“体检”的重任交给了360数字安全集团。
某大行积极推进业务数字化发展
近年来,数字技术在金融业逐渐落地应用,某大型商业银行积极推进互联网+金融发展,银行业务与应用逐渐与以大模型和数字人为代表的人工智能、云计算、生物识别等新兴技术相融合,手机银行、移动支付等新金融业务迅速发展。
数字技术为传统金融行业赋能,加速金融服务升级的同时,也引入新的安全风险,网络暴露面不断增加,各种新型漏洞层出不穷,银行安全防御能力“体检”刻不容缓。展开来说:
\ | /
★
首先,随着数字金融的不断发展,行业对于银行的网络安全要求也在不断提升。《网络安全法》和《关键信息基础设施安全保护条例》等法律法规和行业标准都对银行等关键基础设施明确提出网络安全检测和风险评估要求;
\ | /
★
其次,银行拥有大量用户个人信息和企业金融数据等敏感信息,关系到国计民生,数据传输、存储和处理的安全性要求极高,任何安全漏洞都可能导致数据泄露,给客户和银行带来巨大损失;
\ | /
★
第三,银行业务的连续性和稳定性对于用户体验和银行声誉至关重要。一旦出现安全漏洞,可能导致的系统崩溃、服务中断等问题,影响业务的正常运行和用户的体验和满意度。
为进一步提高网络安全防护能力,保障各业务系统稳定运行,提升用户满意度,某银行决定为其安全防御体系开展全面“体检”。为此,该银行选择携手360数字安全集团,通过专项渗透测试服务,以实战化评估手段为该银行提供全方位、高标准的网络安全保障。
360开出安全能力全面“体检单”
经过充分的技术调研和现状梳理,360数字安全集团为该银行开出针对性安全体检单。以该银行业务场景为基础,围绕资产梳理与发现、重要业务安全评估、漏洞排查与分析、安全合规标准检测等维度,为该银行制定针对性金融专项安全“体检”服务。
\ | /
★
首先,基于360实战攻防技战术能力,以技战术评估手段检验安全防御能力,为该银行建设安全渗透工具链,以实战化渗透测试促进该银行业务系统防护和安全建设;
\ | /
★
其次,对该银行开展全面漏洞挖掘、分析与风险排查工作,对该银行安全检测能力、布防架构覆盖范围、内外网应用系统防护等方面进行检测;
\ | /
★
最后,在应用系统安全基础知识、漏洞原理、安全检测技术、渗透战术技术等安全技能方面对该银行安全人员开展培训,完善安全生态运营建设。
这套渗透测“体检”方案,包含该银行网页和app应用,测试范围覆盖网络层、主机层、应用层和数据层等多个维度,将该银行安全问题不断聚集“由空间到面再到点”,做到问题发现、分析、复测的全程跟踪,实现全生命周期安全防护。
360该项目负责人表示,“本项目通过全面、深入的安全测试,发现并修复web和app中的安全漏洞,显著提升该银行系统的安全性;同时,通过优化系统性能,减少因安全问题导致的系统崩溃和服务中断,保障系统稳定,进一步提升用户满意度,也为该银行业务创新提供有力支撑。”
未来,360将基于安全即服务理念,持续助力该银行数字安全防护能力提升,高效应对网络威胁挑战,护航数字金融安全发展。
往期推荐
| |||
| |||
| |||
|