终端安全案例研究 | 股份制商业银行终端安全一体化升级

某股份制商业银行是全国 19 家系统重要性银行之一，是上海证券交易所主板上市企业，位列 2023 年全球银行品牌 500 强，稳居全国城商行 Top 行列。

在金融业国产化及监管合规的大背景下，该银行需要将其现有的终端安全产品进行国产化替换。该银行组织规模庞大，拥有广泛的分支机构和大量的员工，终端设备数量数以万计，且架构多样，类型复杂。因此，该银行迫切需要一套能够实现不同架构终端的统一管理，支持多级分布式部署的终端信创产品。

该银行在终端安全方面面临的挑战主要包括：

• 终端架构多样化与统一管理难题: 银行终端设备类型多样，包括个人电脑、服务器、ATM 机、POS 机等，且分布在总行、分行以及子公司等多个层级，管理起来非常复杂。银行业务涉及支付清算、客户服务、内部办公等多个场景，每个场景对终端设备的需求和安全要求都有所不同。银行的 IT 架构包括核心业务系统、支付清算系统、办公自动化系统等，这些系统可能运行在不同的硬件和软件平台上，增加了统一管理的难度。

• 信创产品替换与兼容性挑战: 在信创替换过程中，需要保证业务不受影响，且银行的 IT 架构需要支持新旧系统的平滑过渡，同时保证新系统的安全性和兼容性，这增加了替换的复杂性。

• 终端安全管理平台的整合难题: 金融机构普遍存在终端产品 agent 多、管理平台多的问题，导致管理效率低下，且容易出现安全漏洞。该银行需要一个能够整合各类终端安全管理工具的平台，以实现对全行终端的统一管理。

• 终端安全防护与HVV 应对: 金融行业每年都会面临 HVV（黑客攻击模拟）的挑战，这对终端安全防护提出了更高的要求。在 HVV 期间，银行需要确保所有终端设备都能够抵御外部攻击，保护客户和银行的数据安全。

构建一个强壮、有效的终端安全运营体系，实现对全行终端的统一管理和安全防护。

信创非信创一体化管理: 实现对信创和非信创终端的统一管理，包括授权和策略的统一下发。

• 攻击面管理: 提供未知资产发现、互联网暴露面资产发现、资产分级、漏洞风险管理等能力。

• 全网威胁分析与处置: 提升办公终端全网威胁可视、可查、可控的能力。

• 分域防控与纵深防御: 控制域间访问权限，防止网内风险跨域扩散。

• 统一平台与分批建设: 基于统一平台建设，各子产品共用终端注册接口，方便用户逐步扩展应用。

• 实施思路和方法论: 采用结合产品、防御策略、服务为一体的终端安全运营体系，构建逻辑结构为三层的终端安全管理体系，形成多层次的防护服务。

• 部署亚信安全终端安全管理平台，支持多种信创 CPU 架构和多种操作系统，实现对信创和非信创终端的统一管理。

 集中管理示意图

• 构建多层次的终端安全管理体系，包括总行、分支机构和二级控制中心，实现集中管理和分权管理;

• 实施攻击面管理，提供未知资产发现、互联网暴露面资产发现、资产分级、漏洞风险管理等能力;

• 实施全网威胁分析与处置，通过全网告警关联分析、告警聚合、调查分析、联动处置等配套机制，提升办公终端全网威胁可视、可查、可控的能力;

• 实施分域防控与纵深防御，采用微隔离方式，将网络划分成不同的逻辑域，控制域间访问权限，防止网内风险跨域扩散。

• 技术优势: 亚信安全终端安全管理平台支持多种信创 CPU 架构和多种操作系统，实现了信创和非信创终端的统一管理。

• 针对性: 方案实施充分考虑到了客户分权分域跨地区管理的需求，采用分域防控与纵深防御的设计，有效控制了风险的跨域扩散。

• 创新性: 项目创新性引入攻击面管理和全网威胁分析与处置的理念，提升办公终端全网威胁可视、可查、可控的能力。

• 可落地性: 项目采用了成熟的技术和解决方案，如终端安全一体化管理平台、攻击面管理、分域防控，项目的解决方案采用模块化设计，可以根据不同的业务场景和需求进行灵活配置和扩展。

• 提升业务处理效率: 业务系统部署周期缩短 30%，日常运维时间缩减一半，显著降低运维成本。

• 减少风险暴露面: 通过攻击面管理方案，排查资产存在的攻击面并提供修复措施，减少企业 70% 的风险暴露面。

• 提高运营效率: 通过全网告警关联聚合，减少 85% 的告警量，减少管理员分析告警的成本。