数篷科技在金融行业多场景落地零信任数据安全解决方案 – 作者:DataCloak

5月13日，由《金融电子化》杂志社主办的“2021中国金融业金融科技应用发展研讨会”在广州市成功召开。中国人民银行科技司、中国人民银行广州分行、国有大型商业银行、股份制银行、城商行等60多家单位出席会议，围绕“金融监管”、“金融科技”、“金融安全”等专题展开热烈研讨。数篷科技高级安全顾问高杨受邀出席本次会议，在会上做了题为《基于零信任的数据安全解决方案——金融行业的落地场景分享》的主旨发言，引发了与会嘉宾的浓厚兴趣，受到普遍关注。

中国人民银行广州分行副行长陈玉海、中国金融电子化公司董事翟象晖等嘉宾在研讨会上指出，金融科技方兴未艾，正在推动金融业态深刻变革。金融单位需要持续推进金融科技研究和应用创新，加快由业务导向、科技驱动的数字化转型，全面提升科技赋能业务的创新能力。

随着移动支付的兴起、行业监管的加强，金融企业纷纷采取科技赋能的手段，来提升运营效率、改善用户体验和促进产品创新。在这个数字化转型的过程中，金融企业的IT基础架构大量引入云计算、移动计算、大数据等新兴技术。过去，金融机构通常使用物理隔离（区分内网与外网）来建立企业安全边界，但随着业务边界模糊化，数据安全和分级分类等监管要求的提升、数据共享计算需求的增加，传统解决方案愈发捉襟见肘，特别是在敏捷性、安全性、适应性等方面面临巨大挑战。

数篷科技高级安全顾问高杨在分享中表示，零信任理念是面向解决开放网络环境下的合理授权和访问安全问题，是全球网络安全发展的趋势，获得了广泛认可。面向多云、无处不在、智能自治的IT基础架构发展趋势，数篷科技提出了“安全即基础设施”的安全理念，推出的零信任终端安全工作空间（DACS），采用新一代安全沙箱、高性能网络隧道、软件定义边界（SDP）、AI安全策略引擎等核心技术，用创新的解决方案为金融机构解决数字化转型过程中遇到的数据安全和业务连续性问题。

数篷科技的零信任数据安全解决方案，已经在十余家大型国有银行、保险公司和证券公司得到了应用，获得了良好评价。在本次研讨会上，数篷科技高级安全顾问高杨与参会嘉宾就就金融行业的几个共性场景的技术方案做了分享和讨论。

场景一：金融数据、代码防泄漏——降本增效易扩展

金融企业有严格的数据安全要求和规范，通常采用云桌面的解决方案保证数据不落地、不泄漏和安全研发的需求，但同时面对以下问题：

• 体验差：云桌面视频传输依赖高质量网络，网络卡顿极为影响用户体验

• 兼容差：外设兼容性不好，包括外接摄像头，OCR设备等外设使用有效性差

• 管理难：在服务器端难以做到精细化隔离，难以保证数据安全

• 成本高：需要采购大量服务器、网络设备和授权，扩容周期长

某大型银行采用了DACS解决方案后，成本大幅降低，从近亿级开销直接降至百万级，在提升安全性的同时大幅提升用户体验、外设兼容性，且支持快速灵活扩容和随时随地安全办公，充分保障业务的连续性和有效性。

场景二：安全远程办公——解决VPN安全性问题

金融企业员工的远程访问通常采用VPN连接企业内网，面临着以下问题：

• 安全漏洞：传统VPN技术采用先连接后认证方式，存在安全漏洞和扩容复杂问题

• 过度授权：访问权限管控粒度过粗，易产生东西向攻击和渗透，带来很大安全隐患

• 数据泄漏：在远程终端部分没有数据防控手段，易造成金融数据泄漏

某大型证券公司采用DACS的解决方案后，不仅实现了业务系统对外隐身，大幅减少互联网暴露面，同时通过人、设备、资源的持续验证，确保业务精准安全访问和防泄露，实现了最小权限访问，抵御了内部渗透的风险。

场景三：数据安全和分级分类——数据全生命周期安全防护

中国人民银行发布的《金融数据安全数据安全分级指南》中指出数据生命周期安全防护的概念，从数据采集、传输、存储、使用流转、删除、销毁等多个环节提供标准指引。数篷科技DACS解决方案帮助金融企业解决数据隔离和全生命周期的安全：

• 数据采集：在终端设备建构安全工作空间，业务人员对客户照片、证件、资料等采集工作在安全工作空间内进行，数据无法被私自发送出安全空间

• 数据传输：终端设备上采集和处理的数据通过高性能加密隧道传输到企业后台服务器，确保数据的安全可信

• 数据存储：金融和客户数据无论是在本地还是远端不落地，都可以被加密存储，未经授权无法访问，即使设备丢失或硬盘拷贝也无法获取

• 实时计算：员工或客户仅能使用DACS安全空间访问和使用数据，系统对计算环境做了有效安全隔离，确保金融数据安全

• 删除销毁：通过对密钥的管理和远程控制，企业可以随时删除、销毁无用或未授权的数据，确保金融数据安全

场景四：外包人员管理——灵活部署、实时调整

金融企业往往雇佣了很多外包工程师来帮助研发和维护IT系统，也存在大量的合作伙伴驻场服务。通常情况下金融企业为外包人员提供了专门的办公场所，采用了多种防护手段来确保数据安全，比如独立的网段、云桌面、DLP、专用物理机等等。但在业务和人员快速扩张的情况下往往存在以下问题：

• 办公场所受限：受限于物理空间和网络问题，外包人员增加往往带来大量部署问题

• 设备管理困难：企业提供设备带来成本负担，外包人员自带设备又存在管理困难

• 权限管理复杂：外包研发通常要同时访问外部资源和企业内网，安全策略管理复杂

• 人员流动性高：外包人员频繁更换带来大量管理成本，且对及时性和精准度要求高

• 数据安全风险：外包人员自带设备或外设，大大增加了数据防泄漏难度

某金融科技公司采用数篷科技DACS解决方案，满足了2000人以上的外包人员使用自己的电脑设备安全办公的需求，实现数据公私分离，既保证了数据无法被泄露给第三方，还能大幅提升研发效率。同时大幅节约了设备采购成本，减少了办公场所面积，实现了更灵活的人员配置、部署。此外，还对外包人员设备上的数据做了有效管控，即使外包人员离职也可以远程删除非授权访问的数据。

基于在基础架构、大规模分布式系统、密码学和企业服务方面丰富的经验，数篷科技成功帮助十多家金融企业实现了零信任安全架构的落地和应用，在降本增效的同时，帮助企业加快数字化转型和升级。

除金融行业外，数篷科技DACS解决方案也被互联网、高端制造、专业服务等众多行业大量头部客户采用。凭借领先的技术、优良的用户体验、良好的口碑，数篷科技在2020年入选了Gartner推荐供应商名单。

来源：freebuf.com 2021-05-17 14:42:43 by: DataCloak