案例名称

工银科技全域信息安全解决方案

案例简介

工银科技将金融行业领先的安全管理体系方法、实施经验、安全设计能力等内容进行了系统总结和提炼，面向行业客户提供金融级全域信息安全解决方案，帮助客户提升信息安全能力。方案包括优质的信息安全咨询服务，从管理、运营和技术等多个层次建设企业数字安全体系，覆盖安全管理组织职责、方针策略、制度规范、安全监控与处置、物理安全、网络安全、数据安全、终端安全等领域，以及依托智慧安全运营平台、安全开发支撑平台、应用安全测试平台等技术平台，打造的数字安全技术能力框架。

创新技术/模式应用

1、信息安全咨询服务：工银科技基于在金融行业多年积累的信息安全实践，结合自创的SMC方法论，经过提炼总结，面向不同场景、不同行业形成标准的，可输出的咨询服务，客户可以短时、高效拥有大行在信息安全领域的管理经验。

2、安全攻防对抗演练服务：依托国家级行业级大型演练积累的丰富实践经验，将成熟运行的金融行业信息安全演练管理实践提炼总结，形成了一套完备的信息安全对抗演练实施框架及服务能力，包括攻、防、裁判及演练组织等，对政务、金融同业提供从赋能到提升的全面信息安全演练方案和实施服务，是金融业内创新的服务模式。

3、安全开发支撑平台：将安全思想注入DevSecOps全生命周期，帮助企业构建起流程化、自动化、持续化的应用安全保障能力。平台通过引入NLP和知识图谱技术实现安全需求分析与设计的自动化分析、安全组件以及安全测试案例推荐与跟踪的能力，形成可闭环的安全管理流程，确保企业软件开发过程安全可靠。

4、智慧安全运营平台：融合大数据及AI技术，具备态势感知、资产管理、威胁管理、漏洞闭环、合规分析等核心功能，提供全面、智能、可视化安全管理。从业务、合规、技术等多种视角把握整体安全态势，统筹协作各类安全角色工作，全局掌控信息安全态势。

5、应用安全测试平台：具备静态安全测试、动态安全测试、交互式安全测试、移动APP安全测试、SDK安全检测等核心功能，提供安全测试编排、智能分析算法、漏洞关联分析、安全问题管理等协同与支撑能力，提供全面、智能、可视化安全测试，为企业应用安全保驾护航。

项目效果评估

·  信息安全咨询服务，在信息安全体系建设规划方面，实现帮助企业建立信息安全方针策略，完善信息安全相关管理制度规范，优化和落实信息安全组织职责，规划安全人员岗位体系，建立符合企业特色的信息安全管理体系；从统一安全运营视角，帮助企业实现资产安全管理、威胁管理、策略管理、漏洞管理的集中统一，建立高效的信息安全运营体系；从安全技术体系化角度，通过对物理安全、数据安全、网络安全、终端安全、应用安全等细分领域的相关技术手段和流程提升，建立高水平的信息安全技术能力体系。信息安全咨询服务已对某农商行、某城商行、某政策性银行等多家金融同业进行输出，为客户定制过近百个优化方案，解决客户安全人员少、管理不成体系化等痛点，极大提升安全管理水平。

· 在某部委落地的智慧安全运营平台，实现将几十类安全设备数据源的汇聚，通过关联各类配置系统，实现安全资产、病毒、终端、漏洞、安全舆情等安全要素的全面管理，构建基于智能分析模型的多层次立体安全监控体系，实现智能分析挖掘，问题风险秒级的精准定位，解决传统安全运营平台存在的风险覆盖不全、运营监控压力大、风险排查困难等问题，显著提升安全运营效率。

·  安全开发体系解决方案，通过“安全左移”，将安全漏洞控制在软件开发早期，降低安全漏洞修复成本。通过不断完善的安全开发体系，将安全开发控制活动嵌入业务活动流程中，在上线前解决绝大部分安全漏洞，保障系统安全运行。

项目牵头人

王贵智 工银科技安全总监

责任编辑：韩希宇