近年来，金融行业的数字化转型浪潮不断涌入。 农行、保险机构加∞大了IT投入，对运维信息技术外包服务的偏好和依赖度也不断ω　提高。 在服务过程中，外包运维人员很难快速掌握分包商的管理制※度，也没有办法阻碍※操作行为。 因此，需要对外包运维人员的相ぷ关权限进行精↙细化管控，防止因授权粗细而导致一系列运维。 发生安【全车祸。

中国银保】监会实施的《银行业保险机构信息科技外包风险监管办法》明确要求，建行保险机构应严格控制信息科▆技外包活动中的远程维护行█为，并运用“必须知道”和“最小化授权”来控制信息△资产。 授权访问，并定期对信息技术外包活动进行网络和信息安全评估。

针对金融行业运维现状和新政要求，天融信依托20余年网络安全建设经验，运用运维安全审计系统等产品，下一步◆一代防火墙、天融信终端威胁防御系统，以资源建网。 整合运维安全通道运维∴管控、精准¤责任认定、安全评估等能力，防范运维信息技术外包活动中的网络安全风险，促进银行保险机构合规卐要求。

资源整合，灵活认∑　证授权

天融信运维安全审计系统（简称“堡垒机”）可提供灵活的▼认证信令接口，支持多种方式的双因素强认证管理，为客户提供所有用户账户和信息资产账〖户的集中管理。 安全、可靠、易于←管理的认证体系。 通过构建“运维人员-用户账户-资产账户”一一对应的双㊣细粒度授权控制，实现对IP地址和登录时间的细粒度控制，使】得访问时间、访问来源、以及运维人员对信息资产的IP 地址等激励进行细粒度的授权控制，防止非法和越权操作。

同时，在区域边界部署天融信下○一代防火墙，阻断外包运维人员直接发起↓对信息资⊙产的访问，将天融信堡垒机作为外包运维人员访问信息资产的唯√一入口。接入信息∩资产，确保所有运维操作都在安全的运维通道中进行，全过程◤可感知可控。

层层把关，严控敏★感操作

近年来，因运维人☆员误操作、恶意操作引发的安全事件时有发生。 天■融信堡垒机可提前设置运维规则，控制运维过程中的剪贴板复制粘贴、高危指令操作、文件上传下载等ㄨ。 当外包运维人员需要临时访问重≡要信息资产和使用特定操作指令时，应根据规则设置提交运维工单申请，运维操作需经管理员审核后方可进行批复，确保管理人员对重要信♂息资产的敏感操作是“有知识的”。

在运维过程中√，管理人员可以实时查看外包运维人员的操作◎过程，如果发现高●危操作，可以一键封锁运维窗口，避免意外●发生。 通过事前事中层层管控，严禁非＠授权敏感操作，显着提升ξ外包运维活动的安全性。

全面审核、精准追溯、责任认定

运维事故发生后，快速有效的定位和溯源手段尤为々重要。 天融信♀堡垒机可以详细记录操作行为中的用户信息、资产信息、管理ξ　地址信息、管理方式信息、操作命令信♀息、操作结果信『息，并支持全文搜索和过滤，大大提高了查询效率。

结合运维操作全屏记录，可以快速准确还原外包运维人员的操作行为。 据悉，天融信堡垒机运维界面支持水▓印功能。 在对运维窗口进行记录、截图或》拍照时，运维人员的信息也会一并记录下来，帮助管理人员快速、准确№地溯源。 责任。

网端协同，立体←安全评估

运维人员的终端也可能成为黑客攻击的入口。 通过在外包运维人员终端安装天融信终端恐吓防御系统，可以╱感知终端的安全状态，并定╱期生成相应报表，帮助管理人员保护外包运维人员。 定期对使用的终端进行安』全评估。

据悉it运维外包，集控中心可在区域边界与♂下一代防火墙配合，将终端安全状态信息上传至防火墙，使其感知终端风险it运维外包，对高风险终端一键生成相应防护策略或动态阻断终端网∏络访问，有效提升内网恐吓防』御能力。 同时，集控中心详尽的数据报表也能为管理者评估信息〓技术外包活动的信息安全提〓供有力支持。

作为外资网︽络安全企业，天融信始终关注金融行业的发展，推动建行保险机构通过可感知、可控〓的运维渠道规避运维信息技术外包活动中的网络安全风险。 未来，天融信将继续加强对前沿技术研究的投入，持续提升自主创新能力和核心竞争▲力，为金融行业全面数字化转型保驾护航！