近年来，金融行业数字化转型浪潮不断奔涌向前，银行保险机构纷纷加大IT投资，对运维类信息科技外包服务的偏向度和依赖度也不断加大。在服务过程中，由于外包运维人员无法快速掌握发包方的管理制度，操作行为无从制约，因而需要对外包运维人员的相关权限进行精细化管控，避免因粗粒度授权导致一系列运维安全事故的发生。

中国银保监会颁布的《银行保险机构信息科技外包风险监管办法》明确要求银行保险机构应当严控信息科技外包活动中的远程维护行为，以“必须知道”和“最小化授权”原则对信息资产的访问进行授权，并定期对信息科技外包活动进行网络和信息安全评估。

针对金融行业运维现状与政策要求，天融信依托二十余载的网络安全建设经验，运用天融信运维安全审计系统、下一代防火墙、终端威胁防御系统等产品，构建具备资源整合、把控操作、精准定责、安全评估等能力的安全运维通道，防范运维类信息科技外包活动中的网络安全风险，助力银行保险机构满足合规需求。

● 资源整合，灵活认证授权

天融信运维安全审计系统（简称“堡垒机”）可提供灵活的认证鉴权接口，支持多种形式的双因子强认证管理，通过集中纳管所有用户账号与信息资产账号，为客户提供安全可靠、便于管理的认证体系。通过建立“运维人员—用户账号—资产账号”一一对应的双细粒度授权控制，实施IP地址和登录时间精细控权，进而对运维人员到信息资产的访问时间、访问来源、IP地址等因素进行细粒度授权管控，避免违规越权操作。

同时，在区域边界部署天融信下一代防火墙，阻断外包运维人员对信息资产直接发起访问，将天融信堡垒机作为外包运维人员访问信息资产的唯一入口，确保所有运维操作皆在安全运维通道进行，全过程可感知、可控制。

● 层层把关，严控敏感操作

近年来，因运维人员误操作、恶意操作导致的安全事件时有发生。天融信堡垒机在事前可通过设置运维规则，对运维过程中的剪切板复制粘贴、高危命令操作以及文件的上传下载等行为进行管控。当外包运维人员需要临时访问重要信息资产、使用特定操作指令时，根据规则设定提交运维工单进行申请，经管理员批准后方可进行运维操作，确保管理人员对于重要信息资产的敏感操作做到“心中有数”。

在运维过程中，管理人员可实时查看外包运维人员的操作过程，发现高危操作可一键阻断运维窗口，避免安全事故发生。通过事前和事中的层层把控，严格阻断未授权的敏感操作，大幅提升外包运维活动安全性。

● 全面审计，精准溯源定责

快速有效的定位和追溯手段，是出现运维事故后极为重要的一环。天融信堡垒机可对操作行为中的用户信息、资产信息、管理地址信息、管理方式信息、操作命令信息、操作结果信息进行详细记录，并支持全文检索过滤，极大提升查询效率。

搭配对运维操作的全程录屏，可快速精准地还原出外包运维人员的操作行为。此外，天融信堡垒机的运维界面支持水印功能，当运维窗口被录像、截屏或者拍照操作时，运维人员的信息也会被一并记录，帮助管理者快速准确地溯源定责。

● 网端协同，立体安全评估

运维人员的终端亦可成为黑客攻击的入口，通过在外包运维人员的终端上安装天融信终端威胁防御系统TopEDR，感知终端安全状态，定期生成对应报告，帮助管理人员对外包运维人员使用的终端进行定期的安全评估。

此外，TopEDR集中控制中心可与区域边界的下一代防火墙进行协同联动，将终端安全状态信息上传至防火墙使其感知终端风险，并对风险等级高的终端一键生成对应防护策略或动态阻断该终端入网，有效提升内部网络的威胁防御能力。同时，TopEDR集中控制中心详细的数据报告也可为管理人员对信息科技外包活动的信息安全评估提供有力支持。

TOPSEC

作为国内头部网络安全企业，天融信时刻关注金融行业发展，以可感知、可控制的运维通道，助力银行保险机构规避运维类信息科技外包活动中的网络安全风险。未来，天融信将不断加大前沿技术研究投入，持续提升自主创新能力与核心竞争力，为金融行业的全面数字化转型保驾护航！