长亭科技金融行业应用安全解决方案_企业安全塔防体系

长亭科技金融行业应用安全解决方案

长亭科技金融行业应用安全解决方案，从安全防御和业务发展角度出发，充分考虑提升企业安全建设价值。提升安全技术能力，完善安全保障机制，有效支撑安全防护体系运转。从关键防护环节入手来构筑企业安全塔防体系，通过产品自动化+人工服务辅助，及时发现并补齐企业安全短板。

立即咨询

首页 > 产品中心 > 应用安全 > 长亭科技金融行业应用安全解决方案

当前金融行业面l临的安全挑战 icon

近年来，随着云计算、大数据、人工智能等技术的普及，大量的金融操作行为转向线上进行。据统计，70%以上业务无需人工干预即可通过电子化完成，业务流转化为信息流在网络空间中流转。这些转变给数据、系统和网络的安全保护带来了严峻挑战。

金融企业上云势在必行

Gartner分析显示，中国云计算产业的市场规模以接近每年38%的速度增长，并在2016年以后进入集中的爆发期，增长的动力来源于合规、观念转变、对新兴威胁的认知，以及数字化业务战略的变革。云计算作为一种灵活的计算资源获取平台和数据处理模式，让金融企业可以及时处理不断增长的业务需求，并快速适应组织规模的变化，甚至可以实现业务的复制、黏贴，及时响应市场变化。此外，云计算使得金融企业在IT上的投入，相较传统方式降低了一个量级，为金融服务的创新提供了支撑。 2016年7月，银监会发布的《中国银行业信息科技“十三五”发展规划监管指导意见》指出，银行业应稳步实施架构迁移，到"十三五"末期，面向互联网场景的重要信息系统尽可能迁移至云计算架构平台。金融业拥抱云不再是竞争优势，而是一种必然。

上云导致安全挑战加剧

云计算的广泛运用使得网络边界从服务集中转向分散，逐渐向动态发展，由此带来的安全风险因素也日益增多，保证业务连续性、保护核心敏感数据资产安全等问题成为金融行业在上云过程中需要克服的重重关卡。

风险高度集中

相对传统应用，云服务上用户和信息资源高度化集中，由此引发的安全事件和风险也高出很多。其中，敏感信息泄露是金融网络安全最关注的问题，一旦出现数据丢失，客户隐私、权益均会受损，甚至影响企业的生存。据云安全联盟（CSA）统计分析显示：未来云安全的12大威胁中，数据泄露高居榜首。

业务边界模糊加速风险外溢

金融业务逐渐连接到多种场景，服务方式向虚拟化、超融合、跨地区转变，网络边界逐渐模糊从而加速了业务风险外溢。在金融业转型阶段，对于信用风险、流动性风险等把握不当极易导致用户失去信任流失市场。

更强的业务连续性要求

对金融企业来说，业务连续性不仅是应对灾难的工具，更与经营管理息息相关，对流量巨大的云端服务而言，单点故障意味着重大损失。从全球范围来看，发生的几期信息系统故障事件都表明，金融上云时代，业务连续性水平亟待提高。

安全合规是金融云基础

金融行业涉及资金、交易、客户身份等大量敏感信息，对云服务供应商的安全、合规提出了很高的要求。调查表明，17％的专业技术人士表示，由于安全问题，他们尚未准备好将整个基础架构迁移到云端。云服务数据的安全性和隐私性仍然是大多数金融机构的主要关注点。金融业上云安全风险的背后，是复杂的合规难题和技术挑战。 2017年6月正式实施的《网络安全法》明确规定了网络运营商关于个人信息保护的责任。如不得泄露、篡改、毁损其收集的个人信息；应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失；符合 “网络安全等级保护测评”、ISO/IEC 27000信息安全管理体系认证、ISO/IEC 20000信息技术服务管理体系认证等相关标准等。这也意味着，企业在上云的时候，需要符合各自的行业标准和行业监管要求。实

金融行业安全建设思索对于安全建设的思考 icon

在数据世界中企业的运营能力取决于维持可信环境的能力，尤其是金融企业掌握着客户资金和信息双重重要信息，更需在日趋复杂的IT环境中紧抓网络安全中的关键环节，将安全化繁为简，助力业务转型。但安全建设无法一蹴而就，如何用有限的资源去最大化地解决安全问题，从而提升投资回报率，成为安全从业者需要思考的难点。长亭科技从安全防御和业务发展角度出发，充分考虑安全建设价值最大化，在安全事件的前、中、后阶段，参考PPDR概念思考企业在各阶段遇到的难点问题，从攻、防、查、抓四个关键防护环节入手来构筑企业安全塔防体系，将安全建设发挥到极致。

攻防查抓构建更完善的安全建设体系 icon

攻击者通过收集信息寻找切入路径，进而通过漏洞实现提权以完成攻陷，企业在安全建设中应该把有限的资源进行聚焦。长亭在帮助多家金融企业进行安全建设中总结出如下关键点：攻、防、查、抓直击入侵路径各阶段，针对性地进行安全建设。

攻

“未知攻，焉知防”，企业安全建设中未雨绸缪才是理想境界。面对激增的漏洞与安全事件，企业须建立一套完善的安全评估体系，利用准确、易用的扫描器周期性进行资产和漏洞扫描，同时通过漏洞扫描、渗透测试、安全意识检测等方式，先于攻击者发现安全隐患，也可通过安全技术培训学习黑客攻击知识，更好地预测（Predict）自身系统易被攻击的薄弱环节。

防

金融企业容易存在逻辑弱点、运维漏洞和安全人员实力不足等问题，而随着业务向线上转移，大量网络攻击行为已转向了应用层，这使得企业部署高效防御的Web应用防火墙成为关键，同时还可借助安全意识培训、攻防实训和红蓝对抗等措施提升整体安全防御（Prevent）能力。

查

安全攻防是不对等的，攻击者只要成功利用一个弱点即可切入并发动更多攻击，而捍卫者必须堵住每个漏洞，企业可通过基线检查和代码审计自查排除可被利用的隐患。金融企业多已通过堡垒机、邮件管理系统和二次认证等方式对访问进行审查，但倘若攻击者成功触及服务器，如何检测出来便显得至关重要，应当善于利用HIDS类工具，如基于 Agent 的服务器安全平台，获得从服务器内部观察网络环境的安全视角。

抓

安全建设仅做到对攻击的遏制还不够，如何捕获攻击者和发现自身问题才是安全攻防的最终目标。通过合理部署蜜罐陷阱构建内网威胁感知系统，可赋予内网主动对抗能力，在攻击者进行提权时告警，以此争取时间并记录信息，进而在应急处置中占领先机。另一方面，企业可通过攻防实训平台、举办安全竞赛等手段提升自身响应攻击的能力；若自身精力不足，则可选择专业应急响应服务作为后备力量。

长亭应用安全防护塔防体系 icon

随着金融行业信息化进程的快速推进，其业务模式发生了巨大的变革，数据核心由传统机房逐步向云上迁移，信息安全保障工作也面临着全新的挑战。专业的信息化安全团队和先进的网络安全体系是保障金融单位信息安全的必要条件。面对庞大的网络和业务系统时，团队需能快速发现安全隐患，消除安全风险，有效应对各类安全事件；因此企业需要不断提升安全技术能力和完善安全保障机制，长亭科技为此提供了全面而有效的安全防护塔防体系。

通过产品自动化提升整体安全水平

结合多年高水平的攻防经验，长亭科技将实战中的攻防技术融入多款安全产品，高效提升产品在安全建设中的价值。同时，长亭科技持续创新，紧跟国际先进技术理念，在提升产品所呈现结果准确性的同时，增强其智能化及联动能力，通过一系列自主研发产品助力企业完善安全建设体系。

「攻」洞鉴（X-Ray）安全评估系统

洞鉴（X-Ray）集合多类型漏洞与资产的扫描和发现于一体，提供丰富的自定义功能模板，用户可自由组合扫描模块，真正实现高度自定义扫描，尽可能从交叉维度更全面而准确地发现安全问题。

• 结果精准——高质量漏洞库，扫描结果低误报

• 业务安全——无害Payload，扫描模式自由调整

• 快速响应——极速提供0day漏洞POC，快速清查

• 全面发现——超强爬虫能力，新页面及应用支持良好

「查」牧云（CloudWalker）服务器安全平台

牧云（CloudWalker）提供从内部观察服务器的角度，提升资产能见度并有效防御入侵。长亭科技通过研究梳理发现，服务器安全平台应抓住三个维度：管理维、排查维和监控维，并基于此设计了开源产品牧云的技术框架。

• 安全开源——专业厂商开源代码，安全放心

• 精准检测——高召回率同时，稳定控制精准率

• 探针可控——非root运行，自主限制资源占用

• 维护简易——主机发现结合批量管理，可视化数据呈现

「防」雷池（SafeLine）下一代Web应用防火墙

雷池（SafeLine）是全球首发的基于智能语义分析的下一代Web应用防火墙产品，能够基于上下文逻辑实现攻击检测，有效提升企业对安全威胁的识别能力和处理能力，从而对Web 系统提供更高效的防护。

• 化繁为简——语义分析引擎智能识别攻击，无需维护规则

• 精准分析——更接近漏洞和攻击本质，降低误报漏报

• 优良联动——全开放API，方便集成使用

• 轻松上云——多模式灵活部署，适用多种环境

「抓」谛听（D-Sensor）内网威胁感知系统

谛听（D-Sensor）结合黑客入侵思维、博弈理论与伪装技术等多种高级反攻击手法，诱骗非法渗透内网的攻击者进入陷阱，全面提升内网发现、记录、溯源等攻击行为的威胁感知能力，为企业争取应急响应时间。

• 告警精准——极低误报，拒绝无效告警

• 产品轻量——灵活部署，业务系统零干扰

• 巧妙伪装——真实环境，难以分清真假

• 高效管理——集中管理，攻击行为直观呈现

利用服务完善整体安全建设

长亭科技安全专家服务团队依托多年实战经验，以用户安全技术体系、规范制度和人员组织为服务目标，结合业务不同阶段沉淀梳理安全服务需求，为用户提供基线检查、代码审计、渗透测试、红蓝对抗、应急响应和安全培训六大安全服务，覆盖业务系统从设计开发、测试上线到运营维护的全生命周期。

基线检查

金融行业IT基础设施庞大，一个高危漏洞或不安全配置都可能成为安全防护短板，进而导致整体安全防护体系失效。长亭安全服务专家团队依照国际CIS（Center for Internet Security）标准和国内相关行业监管安全标准，依托专业人员和工具，结合实时安全风险态势，制定贴合用户防护需求的安全基线标准，有效消除安全短板、降低安全事件发生概率，从而建立安全合规、稳定高效的业务运行环境。

代码审计

金融行业用户业务系统更新频繁，代码质量直接影响业务系统安全程度，代码审计能够发现隐藏在代码深处的安全问题。长亭资深安全服务专家团队结合业务逻辑和需求，通过对金融业务系统进行综合分析，分析发现代码中存在的错误、漏洞和缺陷，并提供详细的说明与解决方案，在系统上线前消除风险与隐患，有效避免上线后修正问题可能导致的业务中断、数据丢失等风险。

渗透测试

渗透测试能够模拟攻击入侵行为，快速发现安全体系中存在的可利用弱点，综合评估安全风险，从而及时采取整改措施。长亭安全服务专家团队在取得用户合法授权后，严格在授权范围内，以不影响业务正常运行为前提，对目标系统进行全面而深入的检测，对发现的风险点模拟可能造成最大程度的危害，使企业先于攻击者发现问题，做到防患于未然。

应急响应

金融行业用户安全团队常常面临着人手不够或应急响应经验少的问题，当面对爆发性病毒、重要信息系统破坏等重大安全事件时，难免力不从心。长亭科技应急响应安全服务，能协助用户第一时间采取行之有效的处置措施，迅速恢复系统从而降低损失，同时还原事件过程，必要时配合执法机构进行取证。在事件处置之后，团队针对事件提供完整的说明报告和改正建议，避免同类事件再次发生。。

红蓝对抗

实战是检验安全防护体系的最佳手段，在面对专业黑客入侵时，安全防护体系能否发挥预期作用，既定处置措施能否得到有效执行，设备、人员和系统能否做到高效协同？长亭安全服务专家团队提供高水平的红蓝对抗服务，与多次在国际大赛得奖的战队成员进行红蓝攻防演练，是检验安全建设体系的最好衡量标尺之一。

安全培训

安全建设体系的核心是人，具备安全知识体系的人才是保障整个安全体系有效运转的核心主体，然而金融行业用户在建设安全体系过程中常常面临专业安全人才不足的问题。长亭科技特别针对金融行业安全培训需求，提供贴合实战的安全培训课程。培训讲师拥有业界领先的攻防经验和技术水平，内容覆盖金融全领域，结合自主研发的安全攻防实训平台，让安全人员能够快速掌握实战知识及技能，有效支撑安全防护体系的运转。

金融云应用安全最佳解决方案 icon

近年来，金融行业的技术发展突飞猛进。即使大众使用者也已经能明显感觉到，支付已经从 “无现金化”逐步过渡到“无卡化”。对于金融IT从业者来说，随着云计算、大数据、人工智能等技术的普及，大量的金融操作行为转化为数据在网络空间中流转，业务流转化为信息流。金融上云，或者说，金融业拥抱创新技术过程中，对安全的需求时常面临着海量敏感信息和严格合规监管双压齐下的情况。

长亭应用安全塔防体系能带给用户以下竞争优势

1. 创新技术让安全更精准

长亭解决方案的特色是算法创新，区别于传统思路的规则防护，从语言的角度提升检测拦截的精准度，降低误报漏报，增强未知威胁的防御能力。

2. 创新思路让安全更透明

金融业技术迭代意味着企业将拥有数量庞杂的网络资产，长亭体系化产品防线在增强检测拦截能力的同时，通过对全盘资产的可见性管理，提升安全全流程透明度，清除安全死角。

3. 扩展性、灵活性、高可用性

可扩展性是云计算最大的技术优势，与此同时，对安全产品的要求势必也是高度可扩展性。此外，企业为了及时应对企业规模和市场情况而发生的快速变化，金融安全负责人需要更灵活的创新，有助于提升安全和运维效率。无论对内部员工或外部客户，维持高可用性是强关注项。而这些正是长亭解决方案作为新型安全产品的核心特色，助力企业的云安全建设处于优势地位。

4. 全程降低人工参与比例

极快安装部署、极低学习成本、极简操作流程。

5. 满足合规监管需求

产品自动化+人工服务辅助的基线检查，及时发现企业安全短板。

6. 贴身安全服务，7x24小时保障金融安全

长亭安全服务团队在国内外顶级安全赛事久经历练，服务于国内百余家金融企业，拥有丰富的技术储备和成熟的服务理念。响应及时、质量上乘、解决问题是众多客户给予长亭安全团队的三大标签

行业案例

客户的声音

1. 您最喜欢的产品（或服务）是什么？

客户1：雷池（SafeLine），因为它使用了更先进的语义分析技术，能非常精准地识别出正常请求和攻击威胁，误报率很低。客户2：雷池（SafeLine），它的部署模式非常创新，可以在私有云上直接进行部署，同时解决了我们对轻量级和可定制化的双重需求。客户3：谛听（D-Sensor），这个产品刚部署不久就抓住了一起攻击事件，及时发出告警给安全团队提供了处理时间，最终没有造成损失，我们现在每天上班都要看一下谛听界面有没有预警。客户4：渗透测试服务，长亭的渗透技术实力很强，能发现其他厂商都没挖出的漏洞，而且报告结果也很有参考性，在修复网站的安全缺陷上帮助很大。据

2. 您为什么购买这个产品（或服务）？

客户1：改善合规性和风险管理，帮助我们更好地达到政策和指引的规范。客户2：弥补传统WAF在检测未知威胁能力上的不足，提高安全业务流程的灵活性，从而改善对客户的服务。

3. 您之前考虑过其他公司的产品（或服务）吗？

客户1：考虑过别的WAF，但是通过测试对比发现，雷池（SafeLine）在大流量的情况下不会占用很多的CPU，而且能够保持很强的攻击检测能力，有效地防御SQL注入、命令注入和 XSS。客户2：渗透测试用过厂商众测的模式，多个厂商依次渗透，长亭科技是最后一个进行测试的，依然挖出来了质量很高的漏洞。

4. 对于其他用户，您会给出一些建议吗？

传统的WAF依赖规则来检测攻击，这会导致很高误报率，而且维护起来非常困难。雷池（SafeLine）使用语义分析技术，非常便于使用，并且能够精准地防御未知威胁，所以我建议是时候放弃基于正常规则表达的传统WAF了。

5. 对于长亭的产品，您的部署需要多长时间？

部署很快。我们发现长亭的产品都非常灵活，在我们不同的网络环境和应用下可以任意选择其部署模式，所以我们的应用程序几乎不需要太多的改动就能完美融合。

6. 您多久使用一次我们的产品（或服务）？

售后服务很好，有定期的产品检查和技术共享；反应的速度很快，应急响应一般在2小时内就会快速到位，1天就能解决问题。

7. 您对我们产品（或服务）有什么评价？

售后服务很好，有定期的产品检查和技术共享；反应的速度很快，应急响应一般在2小时内就会快速到位，1天就能解决问题。

8. 请您用三个关键词评价长亭的产品及服务。

技术全球领先、产品轻量灵活、服务省力省心。

关于长亭科技

长亭科技是国际顶尖的网络信息安全公司之一，全球首发基于智能语义分析的下一代Web应用防火墙产品。目前，公司已形成以攻（漏洞扫描器）、防（下一代Web应用防火墙）、查（云服务器安全）、抓（内网威胁感知系统）为一体的全方位企业级应用安全防护塔防体系，并提供优质的安全测试及咨询服务，为企业级客户带来智能的全新安全防护思路。

技术优势

全球首个智能语义分析下一代Web应用防火墙（NGWAF），服务过百余家大型银行、互联网企业等强技术需求机构，包揽国内外安全大赛前三名，DefCon全球第二名，迄今国内参赛最佳成绩保持者，Pwn2Own世界黑客大赛全球第三名。

技术优势

业内绝对领先的应用解决方案，服务于诸多一线客户，技术受到多家国际权威机构认证，总部北京，上海、深圳设立分公司，并在郑州、南京、武汉、成都等地拥有直属分支机构。

行业认可

OWASP Web应用防火墙认证证书，公安三所销售许可证（增强级），入围Gartner 2018《Web应用防火墙魔力象限报告亚太版》，Gartner《Web应用防火墙魔力象限》提名，获评Cyber Defense Magazine 2017全球网络安全领导者Top25，获评亚太区25家最热门人工智能公司，公安三所授牌“信息安全合作伙伴”，安全评估、风险评估资质，二级漏洞支持单位，国际CMMI三级认证，国家保密局涉密信息系统产品认证。

产品推荐查看更多>>

通付盾安全合规产品（一）

主要介绍代码审计、应用检测（Android/iOS）、应用加固（Android/iOS/H5/SDK）

高效稳定

安全可靠

立即咨询查看详情

视频应用审计

天玥视频安全审计系统基于SIP协议的视频流量和BS架构视频管理系统进行审计的系统，通过对视频流量镜像，旁路部署，分析记录视频中播放、下载、回放、云台操作等行为，同时智能发现账号越权操作等异常行为，实时监控视频管理系统操作，发现异常实时告警。

功能完备

使用便捷

立即咨询查看详情

文档权限管理系统【DRM】