2018年10月中旬,由安在新媒体组织,CSO100(稀锁首席安全官联盟)、诸子云(企业网络安全专家联盟)参与,并在上海市信息安全行业协会、上海赛博网络安全产业创新研究院等机构的支持下,我们发起了“2018·金融网络安全优秀解决方案评选”活动。
活动初衷,是为了让甲乙双方在长期以来合作又“对抗”的供需关系中,通过一次关于“何谓解决方案以及什么才是好的解决方案”的直接对话中互通共识。
活动一经发起,我们收到了各方的积极响应和持续反馈。在感觉惊喜和欣慰的同时,我们更“意外”地发现:原本立意纯粹看似简单的一次评选活动,竟引发一番热议,一时间“唇枪舌剑”,好不热闹。
在短短不到两个月的时间里,我们共计收到20多家厂商的参选意向和参选方案,同时邀请到50多位评委参与评选,他们分别来自北京、上海、广州、深圳、南京等地区,覆盖银行、保险、证券、基金、互金等多个金融细分领域。作为甲方安全从业者和行业专家,他们为本次评选贡献卓越,为此,我们表示衷心的感谢。
好了,个中精彩且不多说,最终,谁家“宝贝”经过甲方专家挑剔眼光并脱颖而出?我们这就揭晓答案。
注:此处序号仅代表公司名称拼音顺序,不代表实际排名
01公司名称:安华金和
方案名称:结构化数据资产(个人信息)安全保护系统建设方案
方案简介
数据资产梳理技术中的SQL语句精确解析原理实现数据资产的管理、敏感数据的发现、数据的分级分类和权限梳理,以及数据资产的动态发现、访问分析、资产使用热度分析和静默资产梳理;利用脱敏技术实现敏感信息的脱敏;利用数据安全防护模块实现细粒度访问控制、危险操作过滤;通过应用关联技术实现业务、用户、功能模块三级策略动态脱敏,UEBA;大数据处理技术实现数据采集、存储、分析;利用动态感知实现数据可视化展示,数据统计、告警信息、数据流向一“屏”打尽。
适合于银行类金融行业信息安全建设,成体系的解决方案,可以实现全向、多维的数据资产保护能力,让数据使用更安全。
能力模型
02公司名称:安全狗
方案名称:基于CWPP/EDR的金融安全平台解决方案
方案简介
随着攻击越来越多,攻击手段越来越高明;安全防御体系不能再是由单一的硬件防火墙进行堆叠,而需要构建多点联动防御。安全狗金融安全平台解决方案基于持续监控和分析的大数据安全分析平台来加强安全防御能力和安全管理能力,从以漏洞规则为中心的防御模型向以持续威胁分析为中心的防御模型演进,融合CWPP和云资源池能力,丰富安全防护层面。
安全狗金融安全平台解决方案为互联网企业提供从主机资产梳理、主机安全服务、网站云防护服务、业务安全服务、抗DDOS服务以及态势感知展示服务为一体的纵深防御云服务方案,以及安全专家在线值守的贴身服务,保证互联网业务平台的日常的安全运营!
能力模型
03公司名称:瀚思科技
方案名称:HanSight UBA检测保单信息泄露解决方案
方案简介
保单信息泄露一直是保险行业网络安全的痛点和难点,不仅给广大的保险机构带来了客户客户投诉以及客户流失,也严重的造成了声誉的负面影响或面临严厉的监管处罚。瀚思科技利用大数据安全分析、用户行为分析技术,关联了用户活动和相关实体信息构建人物角色与群组,进一步定义这些个体与群组的合法和正常行为,把这些人物角色在群体与群体、群体与个体、个体与个体(那些远离合法和正常行为的群体与个体)维度上相互比对分析,将异常用户(失陷账号)和用户异常(非法行为)检测出来,从而提前进行业务风险预警,有效避免业务损失。
能力模型
04公司名称:平安科技
方案名称:UEBA终端用户风险行为分析平台
方案简介
平安集团为全生态的金融服务企业,业务类型众多,组织架构复杂,其技术架构、业务多元化、复杂化决定了其在数据安全生态治理中存在若干难点。在数据治理方面,平安集团从多个层级去解决潜在的数据泄露风险,UEBA-终端用户风险行为分析就是从终端员工层:监控企业是否存在风险员工进行非授权获取数据及泄露的风险行为的一种探索和实践。
针对员工信息泄露风险场景,行为数据的采集和获取、业务行为的解释、风险行为的定性、风险行为的数据积累,以及基础数据的多元化、复杂度,在行业内无成型的技术或经过实践检验的产品,将多元化的行为路径结合员工行为、动机、意愿来识别潜在的员工风险,在行业监管、法规、及企业内在安全驱动下,希望建立主动监控机制来实现该场景的主动性控制。
能力模型
05公司名称:瑞数信息
方案名称:瑞数动态安全——为金融业务场景保驾护航
方案简介
随着互联网+金融的推进,金融行业机构正面临着严峻的新兴交易欺诈与安全威胁挑战。然而,依赖于特征、规则进行攻击检测和防御的传统安全技术却有心无力。撞库、盗用账户、虚假申请、促销推广被恶意套现、用户信息泄露、保单账单泄漏欺诈交易等行为令金融机构遭受巨大的业务风险及商誉损害。
由瑞数信息提出的“动态安全”技术具备技术领先性,完全颠覆了传统的被动式防御技术。动态安全通过对服务器网页底层代码的持续动态变换,隐藏攻击入口,阻止针对性攻击;同时能够及时、高效地甄别并拦截模拟正常行为的已知和未知自动化攻击,全面保护金融行业客户的网站安全、业务安全及用户数据。
能力模型
06公司名称:微通新成
方案名称:浏览器去插件化趋势下的客户端安全解决方案
方案简介
通过创建客户端本地HTTPS服务的非插件模式,与应用进行JS交互,实现了本地程序与应用页面的安全通讯。还可提供内嵌安全浏览器的轻客户端解决方案。
1.由于不依赖于浏览器插件,统一了控件功能接口,不用区分浏览器进行开发,可支持多种浏览器,特别是不支持插件架构的浏览器,支持Windows、Mac OS X,Linux等多操作系统;
2.UI交互可以不依赖于控件UI,而是页面UI;
3.不会由于控件bug导致浏览器不稳定;可一揽子解决密码控件、签名控件、证书下载控件、UKEY控件、其他功能控件等浏览器支持问题;
4.相比其他产品通过纯JS软键盘方式提供的密码安全控件,非插件模式安全控件在键盘输入内核驱动底层保护机制上,与浏览器控件版本保持一致,安全性上并无降低。
5.对于通过浏览器扩展方式实现签名控件的产品,需要分别针对Google Chrome、Edge、Opera、Firefox、Safari等浏览器实现扩展,相互不兼容,用户使用不同的浏览器需要单独从浏览器对应的扩展应用商店搜索,选择下载安装,下载安装速度慢,Google Chrome Web Store国内用户无法直接访问,单独下载安装.crx,对于普通计算机使用者而言,为非标准Windows程序双击安装方式,体验较差。对于产品厂商而言,也需要开发维护多个浏览器扩展程序。
能力模型
07公司名称:芯盾科技
方案名称:观行•智能行为认证(IPA)
方案简介
芯盾时代智能行为认证(IPA)在充分剖析行业痛点,深入分解具体业务流程及业务场景基础上,综合运用大数据技术、知识图谱、机器学习和深度学习技术,提出了包括 用户画像模型、欺诈关联图谱、异常检测及样本标注、深度网络欺诈检测、欺诈新模式持续发掘、自适应规则引擎 一站式智能反欺诈解决方案。
利用流式分析处理、数据挖掘和机器学习等关键技术,构建出独有的以设备安全为核心的智能实时身份反欺诈模型,可有效解决批量注册/虚假开户、薅羊毛、账户信息窃取、盗转盗刷和商户虚假交易等银行行业面临的各类欺诈,帮助客户降低资金损失风险和提升品牌美誉度。
能力模型
08公司名称:智言金信
方案名称:摄星场景化漏洞管控方案
方案简介
摄星结合Gartner的CARTA自适应风险与信任评估模型,形成22个场景化解决方案,81个能力要点指标,解决用户碎片化的需求和痛点。同时整合漏洞资源,帮助用户建立高效的漏洞管控体系,实现漏洞跨平台、跨流程、跨组织的高效精准管控。
资产管理:在零信任架构下,资产即是边界,构建以资产为核心的漏洞管理体系;
漏洞检测:基础的、重复性的、劳动密集的工作实现统一管理、自动调度和无人值守;
威胁情报:使用威胁情报为渗透测试、修复拍有工作提供直观、有效支持;
数据管理:改变缺少数据管理、分析方法和平台的现状;
修复缓解:提供除了打补丁和配置修改之外的网观侧方案;
分析和报告:真实、即时、多维、全景、自动化的数据分析图表与报告;
体系化建设:改变各自为战,缺少漏洞治理目标,缺少体系化建设的状况。
能力模型
09公司名称:中睿天下
方案名称:金融行业信息资产安全管理解决方案
方案简介
结合数据流量、弹性分布式主动探测等方式,将资产录入汇聚到主动探测引擎,进行资产的识别和提取后,将数据流量转入指纹识别引擎,对数据进行存活判断、端口识别、应用识别、设备类型识别、操作系统识别等;
经过比对判断及路径关系选择,进入合并降噪引擎,对数据进行降噪处理,并落地到动态资产库进行存储。
读取动态资产库,对数据进行分析展示,采用6大引擎及6个维度展示,从安全角度出发绘制网络架构图,解决日常变更业务造成变化的资产定位。基于漏洞的回溯查找、隐藏攻击路径的动态变化比对,自动化完成数据资产动态展示,从上帝视角动态展示数据资产。
能力模型
10公司名称:指掌易
方案名称:移动业务安全整体解决方案
方案简介
移动安全已经不仅仅只是端上的问题,更是需要配合IT战略,实现从端到整体架构的转变。因此SAME框架把涉及到移动端的所有节点——云管端都考虑进来,「云管端」自然对应的企业核心数据库、员工手中可接入数据库的智能终端,以及两者间的交互通道都能在该框架的四大模块中一一对应:1.「云」对应的是安全基础支撑平台,2.「管」对应安全业务交付平台,3.「端」对应安全业务运行环境,最后再辅以安全感知确保持续优化。创新性的解决了企业移动化的两大问题:1.保证业务流程和企业数据的安全。2.保证移动办公提高工作效率。
模块化的移动业务安全框架,就像是把安全防护做成一座由积木搭成的城墙,目的是应对复杂多变的业务环境。指掌易让所有的安全模块都可以在不同型号的手机上、不同的业务场景中完美运行。SAME就是把业务和安全连接起来,保护业务流程和安全无缝融合,解决多层次的安全风险,在数字经济的时代帮企业交付更敏捷、更可靠移动业务,通实现真正的改革。
能力模型
专家综述
李丽红
太平洋保险
一口气认真看完,整体感觉不错,其中有些不太了解,可能打分不一定准确。但不管怎样,我觉得我们作为用户,可以了解目前市场上有哪些产品或方案在解决我们日常安全工作中的痛点,这很有意义,我们也有打算联系一些来交流和测试。其实,厂商是需要和用户一起成长的,对厂商来说,这也是有意义的一次推介。当然,活动组织上还可以再完善,但至少这是个好的开端,我要点赞。资料留存了,我会发给搞安全的同事了解学习。
张嵩
华泰证券
此次活动为安全从业者提供了了解中小厂商面向金融行业解决方案的机会,了解细分技术的发展动态,也提供了一些有益点子和思路。总体上看,仅从PPT去了解一个厂商、产品和解决方案是不充分的,PPT更多的作用是发现一些有兴趣的点,产品和方案是否具备在大企业的应用性、协同效率、可集成性、效果和收益,还需要日后进一步的交流、调研和测试。欢迎初创公司提供面向金融安全的见解和技术,扩大交流的广度和深度有益于金融安全发展。
张强
中国银行
从专业角度讲,仅从单薄的纸面方案给厂商打分是有点不负责任的,难免会有偏差,结果也仅供参考吧。其中一些项依照现有信息很难真实评价,比如有效性,你没实际测试或使用,就无法判断是否可落地、好运维,这方面厂商方案里也多没提及。还有经济性,没有真实价格,怎么做性价比评价?当然,安在第一次组织这样的评选,用意是让真正用户来提意见,这很好,我一定支持。以后活动组织,应该更能体现出借此真正促进厂商改进产品、创新思路的效果。
陈勤伟
华瑞银行
建议以后方案评选能限定一些具体的品类,这样横向就有比较,也有利于客观打分,不然评委们掌握的标准不一,不同评委分数互相也就缺乏参考。从甲方来看,单凭PPT方案来评选稍显不够,少了必要的互动问答环节,建议以后能设置像现场或线上答辩的场景。
赵锐
金融及互联网安全专家
整体感觉不错,通过方案评选既加深认识,又补充学习薄弱环节。本次评选是广大甲方、乙方的交流平台,希望通过评选能建立长期普适的交流机制,帮助甲乙双方提升自己的服务能力和水平 ,让大家在自己擅长的领域有长足进步,并有效补充短板增加安全治理能力和水平。建议下次评选有方案讲解、沟通环节,更能深入发掘双方的长处和需求,保障方案有效落地。
薛忠胜
太平保险
我觉得初次组织此类活动,大家要求不能太高。整体上来看,参选方案还是比较多样性的,基本上覆盖了这两三年里网络安全最新的一些技术和产品,也比较贴合甲方用户的应用场景,至少我本人是挺开眼的。
李强
农业银行
本次活动开阔了视野,进一步了解了一些中小公司的特色产品。活动中提供的解决方案跨度较大,因没有答辩环节,仅从ppt看介绍内容偏虚,给出的技术方案也是业内较通用性技术路线,核心的技术指标并没有明确展示以及客观的横向比较。因此只通过纸面方案进行打分的确困难,评委难以对打分和评价负责。 建议以后可以先统计甲方较通用性的问题,针对单个问题向厂商征求解决方案。厂商提供的解决方案也不必局限于自家产品,而是可以考虑布局于整体方案中的几个环节。这样甲方投票出的认同方案,才有助于厂商把握市场需求方向,调整技术力量。
李吉惠
民生银行
本次活动是供需双方互动的新模式,即帮助需求方集中了解多种技术和实现方案,也帮助安全企业提高对需求方的需求理解和技术评价,拓展了双方的思路,收获颇丰。任何一种评价模式都有它的弊端和优势,如何在公平公正、效率以及通用性等方面给出一个答案,这本身就是一个课题。
本次评选还是有一定的难度:一是参选方案侧重点不同,进行横向对比有难度;二是参选方案的编写模式多样,难以有效把握要点;三是多数介绍材料笼统,可能是用于现场介绍的场景,评价结果与评委个人对介绍内容的理解有关,偏主观。后续如果能增加线下或线上的问答环节,可能更有助于对方案的理解和评价。
本次参评项目有较为通用技术路线,也有聚焦特定场景的方案,评委对后者的理解相对更全面、也能更客观评价。就技术方向而言,各方案介绍的都是信息安全技术主流趋势,也是金融行业正在实践的技术路线,如果更聚焦、增强互动,相信可以相互启发、促进,使双方获益。
吕毅
人民银行
IT里的安全,是安全对IT部门的支持,由于其不产生效益及成本限制,同时又属于典型负面黑天鹅行业,注定概念大于实际支持而又需要承担过量风险。
理想丰满,现实骨感,黑产规模大于安全产业规模既是同理。随着近年来安全重要性提高,甲方安全理念和能力明显提高,工程化能力还需跟着人才和资源进一步提升,乙方中大厂的虹吸效应和溢出效应同时存在,传统和初创各自纷争,概念纷杂,但日子整体来说均不好过,存在赔钱赚吆喝现象。
有幸此次张耀疆先生给了一些案例,有甲方自研,也有乙方创新,翻阅过程是技术学习也是同行交流,继续充电。时间仓促,个人感受是希望项目能够知行合一切合痛点进行落地,有一个沉得下心的项目经理打磨产品而不是噱头,更希望产学研用体系形成良性循环,让产业能够良性发展。老规矩,以上观点谨代表个人而不代表单位。
主办方综述
作为主办方,第一次组织此类评选活动,眼看告一段落,不免万般感慨。
首先,我们非常感谢参与此次评选活动的各位厂商和甲方专家代表。虽然临近年底,大家都为“盘点”而忙,但还能热情参与并积极反馈,可以说是给了我们相当大的动力和信心。评选难搞,尤其第一次,但既然上路了,那就像烧起冬天里的第一把火那样,有照亮并温暖你我的勇气吧。
其次,搞评选,我们的想法真的很简单,就是让一直没有太多机会和场合发声的甲方专家们,变被动为主动,接过话语权,想说就说,直接审阅并评判厂商方案。从实际过程来看,受邀参与评选的50位甲方专家评委,始终保持着极高的专业态度,认真负责,积极参与,对每一个参选解决方案都能给出中肯的建议和意见,这让我们感动不已。
是厂商“菜单”上有什么就只能“吃”什么?还是用户想“吃”什么再看你有无能力提供并做出什么?在公说公有理婆说婆有理的供需关系上,似乎总是鸡生蛋蛋生鸡的难解问题。其实,问题不是没有解,往往症结在于信息不对称,只是一方吆喝推销,另一方却屏气小声或无处发声,当然就无解。
这次评选中,甲方专家们似乎终于找到了一次“宣泄”之机,无论是惊叹有些方案的精彩,还是“痛斥”另一些方案的粗糙,无不体现出自己身为用户的精准视角和专业精神。当然,对于主办方以及这次评选机制存在的问题,评委们也毫不留情,一时间我们颇为汗颜,但无论如何,这才是我们希望看到的。
把近两年来活跃且创新的网络安全技术和产品集中式地呈献给用户,同时让用户来评判和发言,至少这一点,我们做到了。而由此引发的新的问题,无论是对方案细节的进一步疑问,还是甲方与厂商后续对话的愿望,都会引发一系列沟通、协作的效应。从这一点来讲,我们就像一个火种,点燃了某些热烈而又正向的东西。
当然,作为主办方,我们更多会审视自己的不足。
首先,从整体来看,尽管参选方案基本上能够代表近两年来业界涌现出的一些创新技术和产品,参选厂商发展迅速,产品较为定型,也多有较强的综合能力。但由于征集时间较短,又近年关时节,这让厂商在准备方面稍显仓促,影响了参选的更大覆盖面。
其次,由于材料的充实度、可演示度以及实证性欠缺丰满,作为用户方的专家评委们也没有足够的时间更深入地确证,这就给评选带来了一定的困难。此外,在评选标准上,对参选方案的性价比衡量也缺乏有力的凭据,这让方案的应用面和推广性上弱了许多。
再有,因为本次评选并不对解决方案进行品种划分,不同品类的方案很难在同一个框架里进行横向比较,这也给打分评价带来困难。
当然,也许最大的问题,还是时间太紧张,过程中间缺乏互动环节的设计,这让评选过程相对单向。无论是厂商还是评委,都没能借机有进一步深入的互动和了解。
综合上述,虽然我们可以用第一次举办、经验缺乏等作为“借口”,但无论如何,对于我们的不足,这里必须表达歉意。
安在诚心诚意,安在也会积极进取,在今后的类似活动中,我们一定会有信心做好更完善的机制设计和更专业的过程控制,给所有关注、参与和支持者更好的体验并带来真正的价值。
最后,再次感谢老朋友们一如既往的支持和捧场,祝福用户企业的安全能力一路高升,并期待厂商不断推出更多优秀的解决方案。