近日，国家金融监督管理总局向各地方银保监局、银行、保险、理财公司等机构下发了《关于加强第三方合作中网络和数据安全管理的通知》（以下简称《通知》）。《通知》指出部分银行保险机构在外包服务管理上存在突出风险，要求相关单位对照通报问题，排查风险加强整改。《通知》通报了5起科技外包风险事件，其中4起与网络安全风险相关，源于第三方业务系统漏洞及第三方人员安全意识缺失等，从而导致勒索事件及敏感信息泄露。

银行保险机构针对网络安全风险的评估是一类典型的科技外包场景：银行保险机构采购安全厂商的渗透测试、安全众测、攻防演习服务，实现全面有效的网络安全风险评估。通常情况下，各类安全检测服务应在用户划定的范围内有组织有约束地进行。但给予第三方测试人员授权，允许其进入其生产环境也存在巨大的风险，例如测试人员恶意破坏系统、使用测试工具存在后门以及隐瞒测试成果等。对此，《银行保险机构科技外包风险监管办法》第二十三条和第三十六条有明确要求：“银行保险机构应当对外包服务过程进行持续监控，及时发现和纠正服务过程中存在的各类异常情况。银行保险机构应当开展信息科技外包及其风险管理的审计工作，定期对信息科技外包活动进行审计”。而实现对测试风险的有效管控并非易事，为提升测试效果，一个任务可能由多家第三方厂商参与形成竞测，且部分测试任务需在非工作时段进行，因大量测试人员同步开展测试工作，导致管理困难；其次安全测试专业性强，对管理人员要求高；再者测试过程数据难以采集、展示，无法及时发现测试风险并留存测试数据备查。基于此，网御星云发布了“渗透测试管控平台”。

该平台能够为用户提供覆盖渗透测试全生命周期的审计闭环管控，对安全测试人员实现“可视、可查、可控、可阻、可追溯”的测试行为管控，为安全测试工作的组织和管理提供高效的技术支撑，为用户提供可信的安全保障和细粒化的安全管理。

平台从渗透测试任务准备阶段开始，对全部渗透测试人员、渗透测试行为进行管控，提供完整管控能力，具体包括：

三大留痕能力：接入身份留痕、测试流量留痕、终端行为留痕

三大接入能力：VPN安全接入、虚拟终端接入、物理终端接入

三大告警能力：异常流量告警、违规行为告警、高危操作告警

三大阻断能力：异常流量阻断、违规行为阻断、高危操作阻断

两大实时管理能力：终端实时操作录屏管理、威胁流量实时管理

两大取证溯源能力：终端历史录屏、历史操作、历史会话取证，网络全流量溯源取证

网御星云“渗透测试管控平台”遵照《GB/Z 41290-2022信息安全技术 移动互联网安全审计指南》标准并结合在银行保险行业大量参与安全测试类项目的实战经验开发，产品设计贴合行业特性，可全方位助力金融行业用户有效管控安全测试服务类外包风险。