国舜内控安全平台:”数字化+模型化+智能化”识别内部风险,加固内控安全 – 作者:国舜科技

提起网络安全,用户往往只关注建立安防体系针对外部网络威胁,却对内部安全问题缺乏足够的重视。作为内部人利用合法获得的访问权对组织信息系统中信息的机密性、完整性以及可用性造成负面影响的行为,内部威胁因攻击者来自于内部,导致检测更难、危害更大。

旁遮普国家银行 :作为印度第二大国有商业银行,去年2月其孟买分行一位银行雇员窃取了环球银行金融电信协会银行间交易系统的密码,伙同钻石商人做局骗取银行资金17.7亿美元。

Nuance:美国医疗语音识别软件开发商Nuance一名前员工离职后登陆公司服务器,访问并泄漏了4.5万名客户的信息,包括生日、医保账号、健康状况、治疗情况等。

太阳信托银行:去年4月,美国太阳信托银行一前雇员窃取了150万位客户的姓名、地址、手机号、银行存款金额等资料,并试图把信息倒卖给犯罪机构。

 

国际上各领域发生的数起大型内部泄密事件已经为我们敲响警钟:信息安全须“内外兼修”,加强内控安全刻不容缓!


内部威胁防控痛点

隐蔽性高:安全事件发现得越晚,补救的成本就越高。内部人员的威胁特殊性就在于有害行为与正常工作很难区分,由于高度隐蔽因而很难发现。


取证困难:恶意行为发生的事中、事后都很难检测并精准定位到个人,并且违规操作的技术员工基本都知道如何抹消痕迹来隐藏行为。
危害严重:一旦内部人员动了恶意,其造成的影响可能会比典型的数据泄露事件严重得多,规模更大、范围更广、损失更多。 

内部威胁防控手段

面对日益升级的网络安全威胁,我国立法也在不断完善:《刑法修正案(九)》中加入对侵犯公民个人信息的定罪解释;网络安全法规定,网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损和丢失。关键信息基础设施的运营者应当履行安全保护责任;今年两会新闻发布会上宣布,《个人信息保护法》、《数据安全法》已明确列入立法规划。

在内部网络安全事件频发的情况下,安全防护能力的提升除了仰仗外部法规政策的完善,还需加强内部网络的安全审计和监管控制,提升自身安全防护检测能力,尽可能降低内部安全威胁影响。国舜股份自主研发的内控安全平台为解决机构内部网络安全威胁提供了更好的解决方案。

图片[1]-国舜内控安全平台:”数字化+模型化+智能化”识别内部风险,加固内控安全 – 作者:国舜科技-安全小百科业务安全异常分类
 针对可能的业务安全异常情况,国舜股份内控安全平台基于UEBA用户和实体行为模式分析识别,数字化、模型化、智能化地管控内部人员主动或无意识的操控风险。

图片[2]-国舜内控安全平台:”数字化+模型化+智能化”识别内部风险,加固内控安全 – 作者:国舜科技-安全小百科

通过整合外部情报数据、业务操作数据、人力资源数据,建立内部人员/设备/应用安全行为基线,建立告警监测平台。防范内部人员参与黑灰色产业、内部信息流出、商业机密泄露、异常操作风险、内部设备安全风险等问题。

数字化、模型化、智能化 <<<<

【安全数字化运营】安全服务能力可视化,安全风险定位快速可靠,风险预警处置及时高效。【安全能力模型化】固化安全风险模型,降低日常运维事务,降低运维人员要求,提升运维保障效率。【业务安全威胁平台】引入外部威胁情报、结合行内的业务渠道的信息、发现潜在风险,保护业务运营安全。【内控平台】通过整合多种安全操作数据源比如OA、安全桌面、安全助手、统一身份认证平台等,建立安全内容平台。

价值实现/功能优势 <<<<

【场景化】以行为安全出发,根据业务/操作/应用场景提供解决风控方案。

【多维度】从系统、多角色、多应用、多场景的角度出发,全链路预防风险。

【多引擎】整合专家规则引擎和人工智能引擎多元评估。

【可视化】从时间关联、行为关联、资产设备关联、人员关联等多专题深入可视化分析,发现风险、溯源风险、改进防控模型。

【更全面】实时分析能力、事后分析能力、迭代分析能力、基础平台能力。



国舜股份内控安全平台通过构建全面的信息安全安防体系,为确保机构数据资产的安全、可靠、稳定提供技术保障,实现智能可靠的安全管理,为企业网络信息安全保驾护航!

作为新型网络安全企业,国舜股份一直坚持自主创新,以八大产品体系护航网络安全,着力推动金融领域和运营商领域等关键行业全线安全产品与服务的高性能化,从安全云化、安全数据化、安全服务化、全生命周期开发等多维度把关键行业的安全服务做精、做深。致力于做关键行业安全精深化的信息安全服务商,业务覆盖百余家金融机构及上千家金融、通信、政企、能源、航空、医疗等企事业单位。

图片[3]-国舜内控安全平台:”数字化+模型化+智能化”识别内部风险,加固内控安全 – 作者:国舜科技-安全小百科

国舜股份着力推动金融、运营商等关键行业全线安全产品与服务的高性能化,从安全云化、安全数据化、安全服务化、全生命周期开发等多维度把关键行业的安全服务做精、做深。致力于做关键行业安全精深化的信息安全服务商,业务覆盖百余家金融机构及上千家金融、通信、政企、能源、航空、医疗等企事业单位。

来源:freebuf.com 2019-10-25 16:14:25 by: 国舜科技

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论