金融业VPN安全加固的背景

内外网的边界模糊化
员工的办公地点多样化
交互时段超越工作时间
员工全时段接触内网
内网边界开始往外延伸

绝对的信任不复存在
攻击和泄露事件在增加
大量存在的身份盗用
不安全的人、用户和设备
企业急需重构信任的基础

零信任的安全模式
现有安全机制不够安全
我们选择不相信任何人
在明确授权下，并接受完全审查才能访问内网资源
信任关系需要重新构建

等保2.0新增的重要要求项
安全审计：应确保审计记录的留存时间符合法律法规。
具体要求：应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。
出自等保第三级→安全通用要求→8.1.3 安全区域边界→8.1.3.5 安全审计

等保2.0框架和思路的变化
原来等保1.0没有完整的体系思路，以单点的、被动防御为主。
现在等保2.0变成了事前，事中，事后，防不住要审计，出现问题还可以事后溯源，是一个整体化的体系进行分类管控。

法律条款
第二十一条规定：保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改
第二十一条 防止网络数据泄露或者被窃取、篡改
（四）采取数据分类、重要数据备份和加密等措施
第四十二条
网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失

铭冠网安金融业VPN终端管理安全加固五大需求

铭冠网安金融业VPN安全加固方案的全局视图

场景一：VPN接入前的主机安全检测
场景需求描述
在“零信任”理论的安全发展趋势下，外部计算机通过VPN接入银行内网可能会带来安全风险，需要更严格的接入安全检测，实现更有效的“身份认证”

场景二：VPN接入后文档下载加密保护
场景需求描述
VPN用户远程接入银行内网后，有可能会直接从重要的业务系统下载资料到本地电脑，有很大的重要数据信息泄露的风险，需要对下载文件进行加密，实现有效的“事前防护“

场景需求描述
VPN用户远程接入银行内网后，有可能会直接从重要的业务系统下载资料到本地电脑，有很大的重要数据信息泄露的风险，需要对下载文件进行加密，实现有效的“事前防护“

场景三：VPN接入后的用户操作管控
场景需求描述
对接入的终端计算机进行必要的权限控制，避免因为用户随意访问银行内网或者下载文件带来安全风险，有效的实现“事中控制”。

场景四：VPN接入后的用户行为审计
场景需求描述
对用户访问银行内网的行为进行全面记录，有效实现事前震慑与事后追溯，实现有效的“事后审计”

场景五：对同一个用户账户的智能区分
场景需求描述
使用同一个域账号，在两种接入状态下（vpn远程接入/在银行内网接入）自动进行智能区分，执行有差别的控制策略，实施灵活有效的安全管理

场景六：更安全的堡垒机接入场景
场景需求描述
更好的提高远程终端通过VPN接入银行内网堡垒机的安全性，降低因违规运维操作导致的泄密风险

铭冠网安金融业信息防泄漏方案总结

铭冠网安金融业VPN安全加固组件功能明细