案例精选 全面、动态、自适应！纵深防御筑牢银行安全之“盾”为稳妥发展金融科技，加快金融机构的数字化转型，中国人民银行印发《金融科技发展规划（2022-2025年）》，强调践行安全发展观，运用数字化手段不断增强风险识别监测、分析预警能力。在此形势下，银行信息化建设的重要性日益凸显。

　　某银行现有的网络安全防御系统多以被动防御为主，缺乏动态预警分析能力。因此，急需构建网络安全纵深防御体系，从多维度完善安全能力。

　　随着金融网络安全泛在的架设，业务架构也进行了重新的组织设计。银行员工使用移动金融终端访问应用系统，第三方人员在外部网络使用个人设备对业务进行操作，常规的VPN和端点准入技术无法满足细粒度、动态自适应的安全访问控制需求。

　　银行的信息系统具有开源、流通和敏感的特点，随着黑客攻击手段不断升级，针对银行内网的恶意软件、勒索软件和钓鱼攻击事件频出，银行内部的安全面临着巨大威胁。

　　在该银行的数字化转型过程中，态势感知平台的基础底座已经建设完毕，并已接入安全设备告警。但随着安全数据的不断增加，如何从海量的数据中提取有价值的信息，以支持安全威胁的准确识别和预警，是二期建设面临难题。

　　综合该银行问题，应从完善访问控制、加强内网安全防范、提升威胁检测能力等多个层面进行防御，构建一个全面、动态、自适应的网络安全纵深防御体系。

　　网御星云结合该银行现状，基于《金融行业网络安全等级保护实施指引 第2部分：基本要求》（JR/T 0071.2-2020），融合“安全域纵深防护”“多层次立体防御”和“网络安全等级保护”等安全防护思想，从用户层、应用层、系统层、数据层、网络层等多维度构建多层次、多方式、功能互补的防御能力体系，以满足该银行安全建设中对纵深性、均衡性、抗易损性的多种要求。

　　面向用户的精细化访问控制：采用基于零信任架构的eTrust SDP客户端进行“单包”敲门，确保以身份访问的最小粒度资源分配。这种策略减少了潜在的风险暴露面。

　　面向应用的自动化渗透测试和蜜罐陷阱：针对网银区和生产区等关键区域，利用内网安全渗透平台进行自动化渗透测试，发现潜在安全风险。同时，部署孪生蜜罐作为陷阱，及时捕捉并告警潜在的攻击行为。

　　系统漏洞管理：在系统资产漏洞方面，建设统一的漏洞管理平台，定期核查总行存在的安全漏洞。为避免重复建设，进行分级部署，分行探针定期同步。网御星云漏洞管理平台能够高效敏捷地获取、测试和验证安全补丁，有效避免攻击者利用单个节点的漏洞实施破坏的行为。

　　外发数据防泄露：在外联接入区串接部署网关DLP，监控所有外发分行的明文和加密协议数据。根据策略对内容进行审计、告警及阻断，防止敏感信息泄露。

　　安全态势分析和自动化响应：网御星云产品具备开放的交互性接口，态势感知平台通过和以上系统的对接联动，自动化形成处置建议，并下发防火墙、WAF、IPS等防御产品进行处置。

　　网络安全是动态的过程，安全风险永远在不断变化。而纵深防御体系的建设并非完全依靠技术手段来实现，还要搭配合理的管理制度。网御星云结合某银行网络结构和业务系统的实际需求，将数据安全、网络安全、零信任安全等技术融为一体，为该银行持续健全纵深防御体系，深化联动防御机制，全面对接安全态势感知平台。未来，网御星云将持续关注金融行业安全动向，以解决客户场景化需求为导向，不断优化产品与服务，为金融业网络安全持续发展保驾护航。