阿里云首页

华瑞银行金融一朵云:智慧银行安全建设方案

阿里云安全支撑华瑞银行线上金融业务与DMZ区专有云部署下的动态安全需求,助力“智慧银行”业务安全合规,实现降本增效。

公司介绍

上海华瑞银行打造具有差异化的“智慧银行”,是国内首批试点的五家民营银行之一,立足于自贸区服务自贸改革。依托5G、云计算和大数据技术,除了在业务上遵循领先的交易银行模式外,在安全建设上,华瑞银行同样走在国内银行前列,依托云平台优势,致力于通过云的原生优势,将安全合规与降本增效合而为一。

业务痛点

安全需求:

  • 华瑞银行明确服务定位:面向互联网的金融及非金融业务,提供了多种创新型且具有差异化的服务能力。线上金融业务具有大流量、高并发、强波动的特点,安全建设既要通过技术创新保证智慧银行业务活力,又要控制运维成本和人员投入。

  • 主机安全技术近年来不断发展成熟,但在运行管理层面却始终差强人意,尤其是随着敏态金融业务迁移上云,细粒度、生命周期短、动态变化的云工作负载管理让安全运维、网络和业务人员配合的鸿沟难以逾越。

  • 智慧银行背景下,发展交易服务型业务,会产生大量的互联网流量,从而对IT架构带来更多挑战,深度依赖数字化营销的推广模式,也对数据分析增加了更多要求。因此,业务发展的同时需要建立良好的风控体系和服务能力,避免因为风控不严而导致的资损、黑灰产入侵等问题。

安全建设路径:

  • 2019年8月,华瑞银行与阿里云合作建设“私有云”,承载“祥云”互金平台业务上云,同时开启云上安全建设的步伐。

  • 2020年初,响应人民银行金融行业标准新规倡议,DMZ区域随互金核心整体上云。

  • 2020年8月,以低成本合规为目标,华瑞银行选用“阿里云Linux等保2.0三级版”镜像。

  • 2020年底,以主机层安全管理降本提效为抓手,华瑞银行着手启动主机安全混合云方案,通过单一控制台实现云上云下主机统一管理。同时,适配移动端零售业务需求,依托阿里云智能风控技术为营销作保障。

至此,华瑞银行初步形成了传统核心与互金核心混合部署, DMZ双核并存,云上云下安全统一管控,云端特有安全能力向外扩展的云原生安全架构,并保留了未来逐步向云上迁移的可能性。

解决方案

华瑞银行

方案细节:

  • DMZ双核并存

    为适配线上金融业务大流量、高并发、强波动的特点,阿里金融一朵云安全方案随手机银行业务同时上线测试,并在压测稳定后,形成传统DMZ与云上DMZ并存的双核架构。未来,随着“云防火墙”扩容,逐步将业务从云外DMZ迁移至云内DMZ,降低迁移风险和升级成本,更加适配业务与安全需求。

    华瑞2

    相较于传统DMZ区,云上安全不再“各自为战”:

    • 云DMZ使用了业界最高合规等级(等保四级)的阿里金融专有云平台,使用户无需进行复杂的架构设计和安全规划,尤其适配新建金融机构。

    • 流量入口上云后,Web前置与业务应用交互方式不变,不增加运维负担,大幅提升安全效率。

    • 云盾平台统一安全管控,联动云端威胁情报实现对威胁状态的动态感知,可实现分钟级的全网联动阻断。

    • 数字化开放生态平台,无感应对复杂场景扩容。

    • 自动化编排响应,安全事件处置效率提升百倍。

  • 主机层安全管理助力银行降本增效

    阿里云将主机层安全管理作为帮助华瑞银行降本增效的重要抓手,相继推出的“Linux等保2.0三级版合规镜像”(以下简称:合规镜像)和主机安全混合云方案,把合规融入产品的血液中,把安全植入云上云下服务器架构的骨髓里。业务人员即使在没有安全运维人员协助的情况下也能快速完成大批量服务器的安全合规配置。合规镜像帮助金融用户实现混合云主机安全管理的降本增效。

    华瑞3

    合规镜像为您保驾护航:

    • 合规镜像帮助华瑞银行实现5~6年内,无需逐一单机配置操作系统等保合规项、无需大量的技术投入、无惧配置修改引起系统故障、无需安全预算投入、并获得开箱即用的操作系统支持服务。

    • 一旦出现新发漏洞,主机安全与合规镜像能力互补,快速提供存量主机系统安全补丁,实现无感防护。

    • 云下主机安全日志回流到云端,IDC机房无需准备任何资源,由云上控制台实现混合云主机快速安全扩容和统一安全管理。

    • 白名单机制实现云上云下通信模块间严格的访问控制,采用分级分权的配置管理方式,严格避免数据中心任意一点被突破造成的风险扩散。

  • 智能风控融入营销,规避风险方能“智慧”转型

    结合阿里巴巴集团十余年的风险管控过程中积累的最佳实践,依托阿里云业务风控大数据、流式计算、机器学习算法等创新技术的全链路跨风险场景的“端+云”联防风控方案,再叠加银行的账户和交易信息,可以实现精准的黑产画像和客户画像,更加全面客观地评价客户的信用状况,实现对业务风险的分类分级管理。

客户效益

金融一朵云方案为华瑞银行提供以下价值:

  • 按需调用云端安全资源,尤其适配线上金融业务动态扩缩容,在全部业务部署到云上的情况下,安全成本预计降低80%。

  • 混合云场景网络、应用和数据安全实现云中控制台统一管理,人效提升3~5倍,不断释放云下管理成本。

  • 云端安全产品在关键节点联动,凭借云的原生一体化安全优势,实现一键统一管控,云上安全组件横向拉通,应急处置能力提升8倍以上,保障数字金融业务无延迟、不中断。

  • DMZ上云后,运维人员面对数据中心级别故障时能够敢于下决策进行切换,在不可抗灾难中有效保障数据不丢失。

  • 更全面客观的银行客户信用状态评估,更精准的业务风控能力。

客户证言

“中国最好的一朵云飘进了华瑞银行。阿里云将进一步助力华瑞银行All in Cloud。”——华瑞银行副行长 蒋洪

相关产品

  • DDoS防护

    阿里云DDoS防护服务是以阿里云覆盖全球的DDoS防护网络为基础,结合阿里巴巴自研的DDoS攻击检测和智能防护体系,向您提供可管理的DDoS防护服务,自动快速地缓解网络攻击对业务造成的延迟增加、访问受限、业务中断等影响,从而减少业务损失,降低潜在DDoS攻击风险。

    更多关于DDoS防护的介绍,请参见DDoS防护产品详情页

  • Web应用防火墙

    Web应用防火墙(WAF)对网站或者App的业务流量进行恶意特征识别及防护,将正常、安全的流量回源到服务器,避免网站服务器被恶意入侵,保障业务的核心数据安全,解决因恶意攻击导致的服务器性能异常问题。

    更多关于Web应用防火墙的介绍,请参见Web应用防火墙产品详情页

  • 云安全中心

    云安全中心是一个实时识别、分析、预警安全威胁的统一安全管理系统,通过防勒索、防病毒、防篡改、合规检查等安全能力,帮助用户实现威胁检测、响应、溯源的自动化安全运营闭环,保护云上资产和本地主机并满足监管合规要求。

    更多关于云安全中心的介绍,请参见云安全中心产品详情页

  • 云防火墙

    阿里云云防火墙(Cloud Firewall)是业界首款公共云环境下的SaaS化防火墙,可统一管理南北向和东西向的流量,提供流量监控、精准访问控制、实时入侵防御等功能,全面保护您的网络安全。

    更多关于云防火墙的介绍,请参见云防火墙产品详情页

相关最佳实践

首页 华瑞银行金融一朵云:智慧银行安全建设方案