峰盛科技银行行业内网安全管理解决方案
银行业的本质在服务,信息技术和网络技术的发展让银行业把业务延伸到更广阔的地域,为更多的用户提供更便捷的服务,同时,银行业务的横向发展也要求银行和外界业务机构紧密相连,实现信息的安全交互。
从网络结构上看,银行内部网络系统整体分为业务网络与办公自动化OA网络系统:在业务网络,营业服务器,业务服务器通过中心交换机与各地市分行网络中心互联,在各营业网点或公网为客户提供各项业务服务,而中间服务器则与运营商、证券公司等外界单位机构相连,实现业务协作;在办公网内部,则是银行中心用户正常日常办公以及处理内部业务的系统,如邮件、财务系统等。
银行业务的迅速发展也对行业网络系统的安全性建设提出了更高的要求,银行行业网络架构纵向集中的趋势日益深刻,业务网络物理上要求统一,逻辑上要求隔离已经成为银行安全建设的必然趋势。
需求分析:
通过与交流,分析出银行信息化系统目前可能会面临的一些相关问题如下:
1.多级部署:省中支与市县等中支通过专网技术连接,软件需支持多级部署,省中支为一级管理中心,市县等中支为二级或三级管理中心;
2.认证授权:银行内部人员会出现多个用户使用一台计算机的情况,导致管理员无法知道是谁在什么时间做了什么事情,无法将身份定位到人;
3.移动存储介质管理:由于目前农行系统内部所有的移动磁盘权限分配不明确,任何U盘都能在内部随意使用,对数据的安全产生极大威胁,需要对移动磁盘进行统一管理;
4.数据交换:由于银行系统内联网与外联网为物理隔离状态,进行数据交换时必须通过存储设备作为传输介质,目前还没有采取措施对这个数据交换的过程进行权限控制和审计;
5.非法接入:外部计算机通过直连方式接入到农行办公网,通过现有网络进行数据拷贝,威胁内部数据安全;
6.非法外联:内部办公网计算机通过Modem或者其他设备连接到互联网络或者将计算机直连到其他网络,极大的威胁到内部数据的安全;
7.安全管理:软件的安装,故障的维护需要管理员跑到每一个终端进行操作,大大加重了管理员的负担;
8.日志审计:目前银行没有一项措施来记录内部所有人员操作终端的记录,一旦发生威胁内部数据安全的事件时,无法追溯责任;
9.系统安全性要求:安全终端程序必须具备相关部门的资质认证,此外程序应当具备自我保护功能,用于防止内部人员通过卸载终端软件来脱离服务器控制并进行违法操作。
1.用户集中管理。
2.令牌用户双因子身份认证。
3.提供共享文件访问控制、共享文件访问日志、本地文件访问日志以及移动存储设备加密控制等功能,它们以安全策略的形式在科盾内网安全平台管控中心进行描述和编辑,并通过策略下发由峰盛内网安全终端执行。
4.提供终端桌面的远程监视和控制,包括屏幕监控,运行进程监控,CPU、内存和磁盘使用监视等功能。
5.在管理员和终端用户之间提供信息交流的平台。管理员可以选择通信的范围向终端统一发送公告,而终端用户可向管理员发送消息,询问或请求解决某类问题。
6.集中管理和控制的客户端防火墙,其策略由管理员根据单位管理需要指定,可以根据IP地址、URL地址、网络端口和数据流向等设定客户端计算机或者用户访问的权限,以白名单或者黑名单的方式工作。例如发现蠕虫病毒,可以及时全网统一封锁相应的传播端口,从而有效控制该类型病毒的破坏效果。
7.对终端邮件、web邮件进行控制和日志记录。
8.能够限制总流量和针对网络进程控制流量。能够限制终端的上行与下行带宽。防止员工滥用迅雷、BT下载占用大量网络带宽。
9.能够对ARP病毒免疫,确保主机获取网关MAC的正确性以及网关获取主机MAC的正确性。能够对ARP病毒免疫自动拦截和预警,管理员可以根据丰富的预警信息追溯ARP病毒的源头,从而可以彻底的消除该病毒。
10.系统可将网络中的计算机按照管理需求划分成多个虚拟安全域,实现内部网络的分域分级管理。
11.同一个安全域内的计算机可以相互访问,非同一个安全域的计算机则不能相互访问,只有在获得管理员授权的情况下才能建立信任关系,实现网络连接;在保障网络统一维护的前提下,通过虚拟安全域的划分,单位内部不同职能部门之间的重要敏感数据可以实现有效隔离。
12.能够禁止某些保密等级较高的安全域终端访问外部网络。
13.能够禁止外部网络主机通过多次中转后达到内部网络。