近年來，金融行業數字化轉型浪潮不斷奔涌向前，銀行保險機構紛紛加大IT投資，對運維類信息科技外包服務的偏向度和依賴度也不斷加大。在服務過程中，由于外包運維人員無法快速掌握發包方的管理制度，操作行為無從制約，因而需要對外包運維人員的相關權限進行精細化管控，避免因粗粒度授權導致一系列運維安全事故的發生。

中國銀保監會頒布的《銀行保險機構信息科技外包風險監管辦法》明確要求銀行保險機構應當嚴控信息科技外包活動中的遠程維護行為，以“必須知道”和“最小化授權”原則對信息資產的訪問進行授權，并定期對信息科技外包活動進行網絡和信息安全評估。

針對金融行業運維現狀與政策要求，天融信依托二十余載的網絡安全建設經驗，運用天融信運維安全審計系統、下一代防火墻、終端威脅防御系統等產品，構建具備資源整合、把控操作、精準定責、安全評估等能力的安全運維通道，防范運維類信息科技外包活動中的網絡安全風險，助力銀行保險機構滿足合規需求。

● 資源整合，靈活認證授權

天融信運維安全審計系統（簡稱“堡壘機”）可提供靈活的認證鑒權接口，支持多種形式的雙因子強認證管理，通過集中納管所有用戶賬號與信息資產賬號，為客戶提供安全可靠、便于管理的認證體系。通過建立“運維人員—用戶賬號—資產賬號”一一對應的雙細粒度授權控制，實施IP地址和登錄時間精細控權，進而對運維人員到信息資產的訪問時間、訪問來源、IP地址等因素進行細粒度授權管控，避免違規越權操作。

同時，在區域邊界部署天融信下一代防火墻，阻斷外包運維人員對信息資產直接發起訪問，將天融信堡壘機作為外包運維人員訪問信息資產的唯一入口，確保所有運維操作皆在安全運維通道進行，全過程可感知、可控制。

● 層層把關，嚴控敏感操作

近年來，因運維人員誤操作、惡意操作導致的安全事件時有發生。天融信堡壘機在事前可通過設置運維規則，對運維過程中的剪切板復制粘貼、高危命令操作以及文件的上傳下載等行為進行管控。當外包運維人員需要臨時訪問重要信息資產、使用特定操作指令時，根據規則設定提交運維工單進行申請，經管理員批準后方可進行運維操作，確保管理人員對于重要信息資產的敏感操作做到“心中有數”。

在運維過程中，管理人員可實時查看外包運維人員的操作過程，發現高危操作可一鍵阻斷運維窗口，避免安全事故發生。通過事前和事中的層層把控，嚴格阻斷未授權的敏感操作，大幅提升外包運維活動安全性。

● 全面審計，精準溯源定責

快速有效的定位和追溯手段，是出現運維事故后極為重要的一環。天融信堡壘機可對操作行為中的用戶信息、資產信息、管理地址信息、管理方式信息、操作命令信息、操作結果信息進行詳細記錄，并支持全文檢索過濾，極大提升查詢效率。

搭配對運維操作的全程錄屏，可快速精準地還原出外包運維人員的操作行為。此外，天融信堡壘機的運維界面支持水印功能，當運維窗口被錄像、截屏或者拍照操作時，運維人員的信息也會被一并記錄，幫助管理者快速準確地溯源定責。

● 網端協同，立體安全評估

運維人員的終端亦可成為黑客攻擊的入口，通過在外包運維人員的終端上安裝天融信終端威脅防御系統TopEDR，感知終端安全狀態，定期生成對應報告，幫助管理人員對外包運維人員使用的終端進行定期的安全評估。

此外，TopEDR集中控制中心可與區域邊界的下一代防火墻進行協同聯動，將終端安全狀態信息上傳至防火墻使其感知終端風險，并對風險等級高的終端一鍵生成對應防護策略或動態阻斷該終端入網，有效提升內部網絡的威脅防御能力。同時，TopEDR集中控制中心詳細的數據報告也可為管理人員對信息科技外包活動的信息安全評估提供有力支持。

TOPSEC

作為國內頭部網絡安全企業，天融信時刻關注金融行業發展，以可感知、可控制的運維通道，助力銀行保險機構規避運維類信息科技外包活動中的網絡安全風險。未來，天融信將不斷加大前沿技術研究投入，持續提升自主創新能力與核心競爭力，為金融行業的全面數字化轉型保駕護航！