引言
据统计,目前我国金融行业已应用超过8200万台智能摄像头、视频门禁、自助服务终端机、指纹传感、环境监测等物联感知终端,这些物联终端为金融业务场景实时数据收集、信息感知与业务分析提供了有效的技术支撑。
然而伴随着金融行业信息化持续的迭代升级,金融企业智能终端数量多、应用分布广、边界逐渐模糊等特点,金融物联网络安全风险也日益陡增,成为很多金融企业网络安全建设中的短板,不法分子通过物联终端设备漏洞利用、私接仿冒入网等手段,甚至带来渗透至银行核心系统的风险。因此,强化金融物联网络安全防护,补齐短板,对于维护金融企业整体信息安全非常关键。
一
金融安保网安全风险分析
从金融企业安保网络结构分析看,金融企业普遍存在如下5大安全风险:
01
广泛的攻击入口:
由于金融企业分支机构多,营业网点数量多,对应使用的智能摄像头、自助服务机等物联终端分布广泛,数量多,且大量终端处于24小时无人管控的环境,导致大量物联资产成为不法分子的攻击入口。
02
物联网终端户外私接仿冒:
大量智能摄像头应用于各金融企业各分支结构,自身安全性由于户外、无人值守等因素,户外物联网终端成为不法分子仿冒私接入网的便利入口。
03
物联网终端脆弱性利用:
安保网内视频摄像头、门禁终端等存在安全漏洞、弱口令,由于设备漏洞与口令修复的滞后性,让攻击者轻松得以控制,成为入侵金融内网的跳板。
04
内网私接互联网:
金融安保网是内部专网,可能存在内网私接互联网的行为。例如内网PC通过手机热点等方式私接互联网时,容易引入互联网上的病毒,感染内部专网,同时私接互联网,也容易导致内部数据泄露出网。
05
敏感视频数据泄露:
金融安保网摄像机采集的视频图像数据大多与人、财物相关,极其敏感,内部未审批的视频调阅与传播,容易导致视频图像被泄露到互联网,有导致金融机构信誉受损的风险。
二
金融安保网安全政策
除了国家层面《网络安全法》、《信息安全技术-网络安全信息等级保护要求》、《数据安全法》等通用要求外。相关安全政策如下:
01
金融行业标准:
2023年发布的第八轮《银行业金融机构安全评估方法》对治安保卫工作做出如下明确要求:
02
公安部要求:
2024年1月,公安部下发布了《关于开展防范恐怖袭击重点目标治安保卫重点单位视频监控系统隐患排查整改攻坚工作的通知》。通知中明确各地银行是检查重点单位,其次视频监控弱口令与漏洞、边界安全是检查重点。详情如下图:
三
金融企业安保网安全解决方案
基于上述背景与政策要求,安恒信息基于物联资产识别、脆弱性监测、违规外联监测、视频数据防泄漏等核心技术,提供金融安保网检测、防御、分析一体化物联安全解决方案。
方案六大核心价值
1.物联资产及网络架构梳理
结合主动探测和被动流量分析技术快速识别金融行业物联网资产;自动测绘金融物联专网的网络拓扑图,同时对于网内IP地址进行测绘,查看IP地址使用情况(正常使用、未使用、长期离线)。
2.金融物联网终端漏洞检测
依托物联资产漏洞库,通过原理性和非原理性漏洞探测技术,快速检测出金融物联网终端漏洞,同时支持模拟人工自动化漏洞验证。
3.资产弱口令检测
依托常见金融行业视频监控等资产口令库,快速发现物联网终端弱口令,此外还支持对视频类弱口令自动化登录截图验证,提高检测可信度。
4.保障物联网终端可信接入
通过视频安全准入系统,依托资产IP、MAC地址、通信协议、安全脆弱性等多因子准入机制,保障仅合法物联终端才能接入网络中,在感知层实时保障物联网终端接入安全。
5.网络边界完整性监测
通过非侵入式监测技术,而非桌面客户端模式,精准发现金融物联专网中一机两用、违规外联、违规内联、网中网、多网卡、4G网卡、无线网卡等破坏网络边界完整性的高危行为。
6.视频图像数据防泄密
通过透明加密技术,对保存在本地的视频文件进行透明加密,文件外泄后自动销毁,并且支持防泄密水印功能,对截屏/录屏行为直接进行进程阻断,针对通过拍摄手段泄密的情形进行追溯。
四
典型应用案例
01
案例名称:
上海某金融服务机构总部
02
项目背景:
该机构多年信息化建设下物联资产众多,安全风险处于盲盒状态,希望能全面采集物联终端设备各类安全信息,并对其进行安全保护;通过统一管理平台看到物联网终端的资产信息、安全风险、活跃状态、安全态势等信息;
03
建设成效:
实际建设效果如下:(注:平台数据为模拟数据)
04
用户收益:
通过部署安恒金融物联网安全解决方案,可以通过物联网安全感知与管理平台实时监测全网物联资产数据、业务数据、交易数据、安全风险数据等信息,帮助用户实现物联资产、风险可视化,有效降低物联网终端安全风险,辅助提升用户业务决策效率。
金融企业网络安全事关国家经济安全,金融物联网安全是安恒信息物联网安全重要方向之一,安恒信息将继续深耕金融物联网行业,为金融企业提供创新、可靠的物联网安全产品方案,为国家金融安全做好应尽之责。
产品试用申请
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...