AAS应用系统安全审计系统在银行业的落地实践

摘要:随着金融行业信息技术的迅猛发展,银行业正经历着前所未有的变革。传统定制化开发和SDK集成等手段已难以满足当前银行业向其他行业渗透金融特性的需求。为了更快速、高效地拓展金融生态版图,银行业正积极推动开放银行平台架构的建设,并致力于打造多元化的应用API服务体系。

随着金融行业信息技术的迅猛发展,银行业正经历着前所未有的变革。传统定制化开发和SDK集成等手段已难以满足当前银行业向其他行业渗透金融特性的需求。为了更快速、高效地拓展金融生态版图,银行业正积极推动开放银行平台架构的建设,并致力于打造多元化的应用API服务体系。

开放API金融科技模式的出现,无疑为金融生态建设带来了极大的便捷性,促进了金融数据要素的流动,推动数字经济的发展。然而,这一模式也带来了新的风险挑战。为了应对这些风险,银行业对于应用API服务体系的安全保护意识正在不断加强。

中国人民银行于2021年发布的《JR/T 0223金融数据安全 数据生命周期安全规范》,就是针对这一问题而制定的重要规范。该规范明确要求各家银行需要具备对数据进行溯源、流量分析、异常行为监测、态势感知等安全监测能力。帮助银行更好地掌握数据的安全状况,及时发现并应对潜在的安全风险。

建立完善应用资产台账

API野蛮快速的建立过程,容易导致API资产台账复杂多变。建立完整且清晰的API台账,并实现API资产的有效发现与管理,需借助应用安全审计系统进行全面梳理、识别和采集不同类型的应用数据资产,尤其是监管部门重点关注的银行单位与第三方进行应用交互的数据资产,依据监管数据分类分级标准对数据进行定级打标,完善数据资产台账及分布状况;将数据资产纳入全生命周期管理体系,深层次、多视角挖掘数据流转状态与路径,动态快速准确定位数据资产,为实施不同安全级别数据的管理措施和技术保护打下坚实基础。

内外部风险行为监测预警

为进一步保障应用系统安全,满足数据安全监管标准要求,银行业需要关注应用系统的内生风险安全监测即动态监测应用系统脆弱性,尤其是关注是否存在OWSAP组织公布的十大弱点;同时需要关注数据流转安全即数据的异常访问、攻击行为监测等。

数据泄露事件追溯

银行业内存在大量敏感数据流转的场景,容易导致敏感数据泄露,构成严重威胁。一旦发生数据泄露事件,银行业将面临巨大的经济损失和声誉损害。因此,快速缕清数据泄露链条、定位敏感数据泄露事件,并及时采取有效管控手段制止泄露事件,是银行业必须重视和解决的问题。

安华金和应用系统安全审计系统解决方案(以下简称AAS)通过旁路部署,在不影响应用正常使用的前提下,实现对应用数据资产的全面梳理和监测,为数据安全防护提供有力的支持。同时,AAS还具备应用系统脆弱性监测、异常行为监测与预警等功能,为用户提供全方位的数据安全保障。

应用系统安全审计系统

明确数据资产分布情况 建立全量应用资产台账

AAS基于网络流量解析技术,自动发现应用及接口资产清单,通过动态梳理应用接口资产、实时了解数据资产分布情况;面对发现的巨量应用及接口资产清单,系统内置常用智能合并策略,根据restful规则进行资产智能合并;采用相似度算法离散分析,自动化对API进行标准化归类。通过对各资产的生命周期、风险情况、涉敏情况、接口类型等多维度对资产进行分类打标,最终建立全量清晰的应用资产台账。

应用系统安全审计系统

发现内外生风险 触发告警和联动处置

AAS识别API内生脆弱性:包括接口权限类、数据暴露类、安全规范类、口令认证类、高危接口类等问题,覆盖OWASP API Top 10相关问题点,并满足主管部门及监管机构的合规要求。

AAS识别数据访问行为风险:以接口为中心,针对业务安全场景,识别并刻画业务接口关键参数关系画像,从而能够以此画像为基线,发现接口的访问行为风险。识别的API新型攻击风险类型包括异常API请求/响应、异常访问行为模式、异常接口访问轨迹、异常数据调用行为等。

对于识别到的风险,AAS通过邮件、短信等多种方式实时进行推送,同时可以将标准化日志外送至银行的综合平台进行告警展示以及联动处置,为用户提供了便捷的数据分析和决策支持工具。

数据链路风险事件全面溯源分析 快速定位及时止损

AAS可以根据敏感数据泄露进行访问轨迹回溯,通过下发溯源任务,主动进行关联事件的相关性检索分析,锁定风险主体。同时可以通过风险主体进行进一步溯源分析,绘制出一定时间内接口的访问轨迹,纵向分析影响的业务范围,横向分析接口暴露的敏感数据量,并进行完整证据留存,有效管控制止数据泄露的发生。

灵活的策略配置与定制化需求满足

AAS提供了强大的策略配置能力,包括初始默认通用规则策略和策略自定义能力。这意味着用户可以根据自身的业务需求和安全要求,灵活配置敏感信息识别、行为监测等策略,以满足个性化的安全需求。这种灵活的策略配置能力,使得AAS解决方案能够更好地适应不同用户的业务场景和安全环境。

高效的安全事件响应与处理能力

AAS建立了行为习惯模型,通过智能行为分析引擎持续自学习来完善用户行为模型。当系统检测到异常的敏感数据行为风险时,能够自动分析风险级别,并根据用户自定义告警策略及时将敏感行为风险预警通知用户。这种高效的安全事件响应与处理能力,有助于用户及时采取措施处置安全风险,防止安全事件的发生和扩散。

专业的技术支持与服务

作为数据安全领域的专业厂商,安华金和提供了专业的技术支持与服务。用户在使用AAS解决方案的过程中,如果遇到任何问题或需要帮助,都可以获得及时、专业的技术支持和解答。这种专业的技术支持与服务,为用户提供了可靠的技术保障和后续支持。

未来,安华金和将继续坚持自主研发与创新,持续打造数据安全治理硬核实力,为保障用户的数据安全而不懈努力。通过不断提升产品的技术水平和服务质量,为用户提供更加优质的数据安全解决方案和服务。

来源:王者级科技

相关推荐