华瑞银行金融一朵云安全建设实践,智慧银行“合”而不同

中国最好的一朵云飘进了华瑞银行。阿里云将进一步助力华瑞银行All in Cloud。

--蒋洪 华瑞银行 副行长


自成立之初即着手打造差异化智慧银行的上海华瑞银行,是国内首批试点的五家民营银行之一。依托5G、云计算和大数据技术,除了在业务上遵循领先的交易银行模式外,在安全建设上,华瑞银行同样走在国内银行前列。


华瑞银行安全建设路径:


  • 2019年8月,华瑞银行与阿里云合作建设私有云,承载“祥云”互金平台业务上云,同时开启云上安全建设的步伐;
  • 2020年初,响应人民银行金融行业标准新规倡议,DMZ区域随互金核心整体上云;
  • 2020年8月,以低成本合规为目标,华瑞银行选用“阿里云Linux等保2.0三级版”镜像;
  • 2020年底,以主机层安全管理降本提效为抓手,华瑞银行着手启动主机安全混合云方案,单一控制台实现云上云下主机统一管理;
  • 同时,适配移动端零售业务需求,华瑞银行始终坚持依托阿里云智能风控技术支持营销,规避风险。


至此,华瑞银行初步形成了传统核心与互金核心混合部署, DMZ双核并存,云上云下安全统一管控,云端特有安全能力向外扩展的云原生安全架构,并保留了未来逐步向云上迁移的可能性。

华瑞银行金融一朵云安全建设实践,智慧银行“合”而不同

图 华瑞银行互联网核心平台网络安全架构


DMZ双核并存:民营银行差异化定位突出重围


华瑞银行设立之初就明确面向互联网的金融及非金融业务,打造多种创新模式的服务能力的差异化定位。既要通过技术创新保证智慧银行业务活力,又要控制运维成本和人员投入,云计算和大数据技术的加持成了不二选择。


为适配线上金融业务大流量、高并发、强波动的特点,阿里金融一朵云安全方案随手机银行业务同时上线测试,并在压测稳定后,形成传统DMZ与云上DMZ并存的双核架构。未来,随着“云防火墙”扩容,逐步将业务从云外DMZ迁移至云内DMZ,降低迁移风险和升级成本,更加适配业务与安全需求。

华瑞银行金融一朵云安全建设实践,智慧银行“合”而不同


相较于传统DMZ区,云上安全不再各自为战


  • 业界最高合规等级(等保四级)的阿里金融专有云平台,用户无须进行复杂的架构设计和安全规划,尤其适配新建金融机构;


  • 流量入口上云后,Web前置与业务应用交互方式不变,不增加运维负担,大幅提升安全效率;


  • 云盾平台统一安全管控,联动云端威胁情报实现对威胁状态的动态感知,单点威胁可分钟级实现全网联动阻断;


  • 数字化开放生态平台,无感应对复杂场景扩容;


  • 自动化编排响应,安全事件处置效率提升百倍


银行业降本增效从主机层安全管理入手


主机安全技术近年来不断发展成熟,但在运行管理层面却始终差强人意,尤其是随着敏态金融业务迁移上云,细粒度、生命周期短、动态变化的云工作负载管理让安全运维、网络和业务人员配合的鸿沟难以逾越。


阿里云将主机层安全管理作为帮助华瑞银行降本增效的重要抓手,相继推出的“Linux等保2.0三级版合规镜像”(以下简称:合规镜像)和主机安全混合云方案,把合规融入产品的血液中,把安全植入云上云下服务器架构的骨髓里,业务人员即使在没有安全运维人员协助的情况下也能快速完成大批量服务器的安全合规配置,帮助金融用户混合云主机安全管理降本增效。

华瑞银行金融一朵云安全建设实践,智慧银行“合”而不同


  • 合规镜像帮助华瑞银行实现5-6年内,无需逐一单机配置操作系统等保合规项、无需深入理解技术、无惧配置修改引起系统故障、无需安全预算投入、开箱即用的操作系统支持服务;


  • 一旦出现新发漏洞,主机安全与合规镜像能力互补,快速提供存量主机系统安全补丁,实现无感防护;


  • 云下主机安全日志回流到云端,IDC机房无需准备任何资源,云中控制台实现混合云主机快速安全扩容和统一安全管理;


  • 白名单机制实现云上云下通信模块件严格的访问控制,采用分级分权的配置管理方式,严格避免数据中心任意一点被突破造成的风险扩散。


智能风控融入营销,规避风险方能“智慧”转型


智慧银行背景下,发展交易服务型业务,会产生大量的互联网流量,从而对IT架构带来更多挑战,深度依赖数字化营销的推广模式,也对数据分析增加了更多要求。因此,业务发展的同时需要建立良好的风控体系和服务能力,避免因为风控不严而导致的资损、黑灰产入侵等问题。


结合阿里巴巴集团十余年的风险管控过程中积累的最佳实践,依托阿里云业务风控大数据、流式计算、机器学习算法等创新技术的全链路跨风险场景的+联防风控方案,再叠加银行的账户和交易信息,可以实现精准的黑产画像和客户画像,更加全面客观地评价客户的信用状况,实现对业务风险的分类分级管理。


客户价值


  • 云端安全资源按需调用,尤其适配线上金融业务动态扩缩容,云上部署终极状态下,安全成本预计降低80%;


  • 混合云场景网络、应用和数据安全实现云中控制台统一管理,人效提升3-5倍,不断释放云下管理成本;


  • 云端安全产品在关键节点联动,云的原生一体化安全优势实现一键统一管控,云上安全组件横向拉通,应急处置能力提升8倍以上,保障数字金融业务无延迟、不中断;


  • DMZ上云后,运维人员面对数据中心级别故障时能够敢于下决策进行切换,在不可抗灾难中有效保障数据不丢失;


  • 更全面客观的银行客户信用状态评估,更精准的业务风控能力。
上一篇:JSBot无文件攻击,云安全网络全链路防御


下一篇:200多项分类+5级标准,金融行业数据分类分级最全模板来了