派拉软件：2022银行零信任安全白皮书（31页）.pdf

1、银行零信任安全白皮书Zero Trust Security Bank派拉软件发展研究院银行零信任安全白皮书Zero Trust Security Bank派拉软件发展研究院摘 要 近年来，随着新技术在银行业的广泛应用，加快了银行业数字化转型的步伐，银行的业务和管理向着线上化、数字化、智能化演进，银行的价值链也由封闭走向开放。随着银行业数字化进程的逐渐深入，信息安全风险也日益凸显。零信任作为信息安全领域的又一次技术革新，正在成为银行业构建信息安全防护体系的重点之一。本白皮书意在指引利用零信任安全技术的优势，加快推进银行业务安全的建设，针对银行业的安全挑战，提出银行零信任安全框架，并对银行的业务场

2、景实现、数据安全与隐私保护等方面进行阐述，以期对银行业务安全提供发展指引，供读者思考和实操参考。summary派拉软件发展研究院content目录P11.1 环境背景1.2 安全挑战01现状与需求 P33.1 远程办公3.2 数字银行3.3 系统运维08业务场景实现 P44.1身份和权限治理4.2安全访问4.3 API安全4.4数据安全13安全合规与隐私保护P55.1 银行业零信任安全总结5.2 银行业零信任安全发展趋势25总结与展望P22.1 技术特点2.2 部署方式04银行零信任安全框架 page 01派拉软件发展研究院1.1 环境背景1.2 安全挑战现状与需求 p art011.2 安全

3、挑战 派拉软件发展研究院现状与需求1.1 环境背景 随着云计算、互联网、移动计算和物联网的发展，银行业务场景复杂导致的数据安全受到更多的威胁。由于业务的不断快速发展，金融机构的业务系统多达几百上千个，应用场景繁多，其中承载着大量的客户基础信息、业务交易数据、业务产品数据、企业经营数据、机构数据、认证信息、生物特征信息、企业员工信息等大量业务和系统数据。这些数据由于业务需要在各个系统间不停的流转,其面临的风险也随之变化。银行面临的安全挑战有以下方面：“十四五”时期，我国金融业安全和信息化发展的外部环境和内部条件发生复杂而深刻的变化，机遇与挑战前所未有。作为数据密集型行业，银行业更需要严格落实法律

4、法规，将监管要求的网络与数据信息安全指导方针、风险管理、监督和检查管理的流程和机制 等内容整合到现有安全管理策略和制度建设当中。健全数据安全治理体系，强化数据全生命周期安全防护，严防数据误用滥用。推动数据分级分类管理，科学界定数据所有权、使用权、管理权和收益权，明确数据适用范围成为金融机构首要基础安全建设。近年来，国内外网络攻击和数据泄露事件频发，攻击手段不断升级，从数据的采集、传输、存储、处理到访问，国家、企业和个人面临着各类的网络与数据安全威胁。国家高度重视网络与数据安全工作，网络安全法在2017年起实施后，于2021年陆续发布数据安全法、个人信息保护法等法律法规，为推进网络与数据安全建设

5、提供了法理依据。page 02派拉软件发展研究院 (1)基于网络物理边界的防护理念在新型的安全攻击下暴 露 出 很 多 问 题，先连接后认证的方式增加了后端服务的危险，即便是VPN本身也只解决访问网络的身份，不会对终端以及访问服务的身份与权限进行验证；另外，后端服务无法做到隐藏，对外固定的端口很容易受到外部恶意的探测与攻击，导致服务崩溃而无法访问。基于匿名终端和无权限访问服务的身份认证影响着整个后端服务安全，而端到端没有建立加密隧道的连接方式也影响着整个网络安全。（2）数字化转型的大背景下，银行系统架构除了支持进行数据治理，还要提供采集、传输、处理、存储、访问整个数据安全周期的保障，其中 各

6、业 务 系 统API的安全成为关键，不仅涉及到业务的互联互通，还与数据安全周期的保障直接关联，也关系到企业API资产统计与管理。现有的RBAC授权模式已无法提供对敏感数据的访问保护；大量的API权限范围的合法性也需要监管；非一对一关系的业务请求涉及到多个业务系统接口的组合和编排，安全性如何保障？这些问题充满着安全挑战，现有的系统架构已无法满足。（3)传统防护技术的升级，往往是有针对性的、局部的，且仅限于预设静态防范模式，并没有整体的动态安全防护概念，无法做到一体化的安全架构体系，即“持续访问，持续验证”的理念，根据请求者、终端环境、网络环境、服务环境实现访问权限自适应，自动把风险控制到最低，直