华瑞银行金融一朵云:智慧银行安全建设方案

阿里云安全支撑华瑞银行线上金融业务与DMZ区专有云部署下的动态安全需求,助力“智慧银行”业务安全合规,实现降本增效。

公司介绍

上海华瑞银行打造具有差异化的“智慧银行”,是国内首批试点的五家民营银行之一,立足于自贸区服务自贸改革。依托5G、云计算和大数据技术,除了在业务上遵循领先的交易银行模式外,在安全建设上,华瑞银行同样走在国内银行前列,依托云平台优势,致力于通过云的原生优势,将安全合规与降本增效合而为一。

业务痛点

安全需求:

  • 华瑞银行明确服务定位:面向互联网的金融及非金融业务,提供了多种创新型且具有差异化的服务能力。线上金融业务具有大流量、高并发、强波动的特点,安全建设既要通过技术创新保证智慧银行业务活力,又要控制运维成本和人员投入。

  • 主机安全技术近年来不断发展成熟,但在运行管理层面却始终差强人意,尤其是随着敏态金融业务迁移上云,细粒度、生命周期短、动态变化的云工作负载管理让安全运维、网络和业务人员配合的鸿沟难以逾越。

  • 智慧银行背景下,发展交易服务型业务,会产生大量的互联网流量,从而对IT架构带来更多挑战,深度依赖数字化营销的推广模式,也对数据分析增加了更多要求。因此,业务发展的同时需要建立良好的风控体系和服务能力,避免因为风控不严而导致的资损、黑灰产入侵等问题。

安全建设路径:

  • 2019年8月,华瑞银行与阿里云合作建设“私有云”,承载“祥云”互金平台业务上云,同时开启云上安全建设的步伐。

  • 2020年初,响应人民银行金融行业标准新规倡议,DMZ区域随互金核心整体上云。

  • 2020年8月,以低成本合规为目标,华瑞银行选用“阿里云Linux等保2.0三级版”镜像。

  • 2020年底,以主机层安全管理降本提效为抓手,华瑞银行着手启动主机安全混合云方案,通过单一控制台实现云上云下主机统一管理。同时,适配移动端零售业务需求,依托阿里云智能风控技术为营销作保障。

至此,华瑞银行初步形成了传统核心与互金核心混合部署, DMZ双核并存,云上云下安全统一管控,云端特有安全能力向外扩展的云原生安全架构,并保留了未来逐步向云上迁移的可能性。

解决方案

华瑞银行

方案细节:

  • DMZ双核并存

    为适配线上金融业务大流量、高并发、强波动的特点,阿里金融一朵云安全方案随手机银行业务同时上线测试,并在压测稳定后,形成传统DMZ与云上DMZ并存的双核架构。未来,随着“云防火墙”扩容,逐步将业务从云外DMZ迁移至云内DMZ,降低迁移风险和升级成本,更加适配业务与安全需求。

    华瑞2

    相较于传统DMZ区,云上安全不再“各自为战”:

    • 云DMZ使用了业界最高合规等级(等保四级)的阿里金融专有云平台,使用户无需进行复杂的架构设计和安全规划,尤其适配新建金融机构。

    • 流量入口上云后,Web前置与业务应用交互方式不变,不增加运维负担,大幅提升安全效率。

    • 云盾平台统一安全管控,联动云端威胁情报实现对威胁状态的动态感知,可实现分钟级的全网联动阻断。

    • 数字化开放生态平台,无感应对复杂场景扩容。

    • 自动化编排响应,安全事件处置效率提升百倍。

  • 主机层安全管理助力银行降本增效

    阿里云将主机层安全管理作为帮助华瑞银行降本增效的重要抓手,相继推出的“Linux等保2.0三级版合规镜像”(以下简称:合规镜像)和主机安全混合云方案,把合规融入产品的血液中,把安全植入云上云下服务器架构的骨髓里。业务人员即使在没有安全运维人员协助的情况下也能快速完成大批量服务器的安全合规配置。合规镜像帮助金融用户实现混合云主机安全管理的降本增效。

    华瑞3

    合规镜像为您保驾护航:

    • 合规镜像帮助华瑞银行实现5~6年内,无需逐一单机配置操作系统等保合规项、无需大量的技术投入、无惧配置修改引起系统故障、无需安全预算投入、并获得开箱即用的操作系统支持服务。

    • 一旦出现新发漏洞,主机安全与合规镜像能力互补,快速提供存量主机系统安全补丁,实现无感防护。

    • 云下主机安全日志回流到云端,IDC机房无需准备任何资源,由云上控制台实现混合云主机快速安全扩容和统一安全管理。

    • 白名单机制实现云上云下通信模块间严格的访问控制,采用分级分权的配置管理方式,严格避免数据中心任意一点被突破造成的风险扩散。

  • 智能风控融入营销,规避风险方能“智慧”转型

    结合阿里巴巴集团十余年的风险管控过程中积累的最佳实践,依托阿里云业务风控大数据、流式计算、机器学习算法等创新技术的全