随着金融系统计算机的应用和发展,计算机网络技术在金融系统得到了广泛的应用,为金融业的集约化经营和高速度发展奠定了坚实的基础。有些二级银行防病毒建设目前处于孤岛式防御、分散式管理。具体表现在外网网络边界有防火墙、防DDOS攻击等传统网络边界防护设备,桌面系统部署的个人版防护墙和杀毒软件。DMZ区的服务器未部署杀毒软件。工作区终端设备部署桌面管理软件,其侧重主机的非法外联检测和主机监控,服务器由于在虚拟化平台和unix系统环境下病毒防御处于长时间未更新或未设置病毒防护状态;生产网的安全域的服务器的防病毒处于长期未更新病毒库,病毒库更新滞后。
随着智能手持终端的流行和发展,BYOD的病毒防御还未引起足够重视,部分支行中的工作人员有通过无线联入内网服务的需求,而且外网无线有私自搭建wifi的现象,这样导致部分使用手机、PAD等个人办公设备连入信息外网,由于现在手机、PAD病毒的快速发展对信息外网的病毒防御形成安全隐患。
一、防病毒安全性分析
金融行业专家往往认为内网是安全的,不存在外来病毒入侵,但从近年来对数据泄密和连续性运营的安全攻击层出不穷告诉我们,来自内部的攻击对内网来说更不能承受。下面我们着重对银行系统的工作区和生产区面对的防病毒形势进行分析
1.区域点的防病毒分析
主机终端
主机终端是办公的主要工具,大量重要数据和信息的存在,实时的数据交互需求让终端防病毒更加困难。桌面终端面临来自邮件系统的攻击、网络、U盘和自身系统应用的脆弱性让桌面安全防不胜防。
银行企业内网桌面终端与互联网处于物理隔离,但面对通过U盘介质传递的病毒、恶意用户通过邮件系统传递的木马、来自内网网络的恶意代码和入侵也同时存在。外网终端的个人防病毒系统处于孤自防御、独立升级、更新滞后、无专人维护而且其病毒库的数量远远小于专业版或企业版的杀毒系统;病毒库升级占用大量网络带宽;孤立的防病毒系统不能形成态势分析和事后追踪;无专人维护导致病毒库更新滞后。
便捷式终端
目前便携式终端包括公司员工的PAD和个人手机,这类终端有时用于办公使用,导致一些重要信息留存在手机或PAD中,同时也会通过wifi将木马、病毒传播到信息外网中。
服务器
虚拟化服务器中的病毒防御处于孤点隔离状态,桌面终端管理系统侧重网络终端资产管理、非法外联监控、软件发布管理、消息推送管理等。对桌面终端的防病毒缺乏有效支撑,所以内网中同时大量多种安装个人防火墙,使统一的防病毒管理和监控成为幻想,对内网安全造成隐患。
各个区域点对于的分析总结如下表所示:
主机终端 | 移动终端 | 服务器 | ||
接入域 | 木马、病毒等威胁 | 乄 | O | 乄 |
系统脆弱性 | 乄 | O | 乄 | |
服务器域 | 木马、病毒等威胁 | P | N | P |
系统脆弱性 | 乄 | N | 乄 |
表格字符解释:P 防御良好,O 防御较弱,乄存在防御漏洞,N 无内容
2.区域线的防病毒分析
网络边界是网络间互通的大门,是网络信息安全的第一道安全防线,计算机病毒、恶意攻击等安全隐患大部分通过网络边界渗透传播,银行业安全视角示意图如下图所示。
某银行安全示意图
接入域与互联网 | 服务器域与接入域 | 服务器域与安全域 | 服务器域与上级银行 | |
恶意代码、病毒入侵、拒绝服务攻击等威胁 | 乄 | P | P | P |
网络边界脆弱性 | 乄 | P | P | P |
3.区域面的防病毒
网络监控预警需求
针对与外网边界部署隔离网闸,在与上级单位部署有防火墙和IPS,在三级安全域内部署有IPS,在服务器上部署有软件,但这些措施只能是单点防御,阻止一般威胁尚有不足,当面对高级持续性威胁(APT)时不能快速有效形成防御。
内网防病毒安全越来越向集中化管理专业化网络监控方向发展,以此应对更专业的黑客入侵、海量病毒查杀、实时异常情况分析等防病毒要求。
内网 | 外网 | |
apt攻击、组合式病毒攻击、0day攻击、未知病毒攻击 | O | O |
网络防病毒监控预警 | O | O |
二、防病毒整体设计
通过上述分析来自APT攻击、未知攻击和0day攻击的出现对银行服务器病毒网防御形成全新挑战。
为应对来自全方位的入侵,需要从技术和管理手段加以应对:
技术层面,选择更专业化更高、覆盖网络更全面的防病毒产品;管理手段,制定严格和切合实际可操作的的规章制度。瑞星从技术角度为银行业提供一整套防病毒设计方案。
1.建立终端防病毒点
桌面终端防病毒系统
瑞星企业终端安全管理系统软件(简称ESM)是北京瑞星信息技术有限公司推出的新一代企业级计算机终端安全防护软件产品,它对加强企业网络信息的全面管理提供了一套统一的桌面终端防病毒方案。
产品采用BS/CS融合架构、实现了管控平台+子功能产品的组合模式,允许客户按需购买客户端授权点数的同时,还能够做到无缝添加客户端功能,真正达到与企业应用完美结合的效果。独创的病毒追踪技术通过大数据挖掘分析,在传统病毒查杀的基础上快速定位网内病毒源以及传播媒介;内置领先的U盘管理理念使U盘禁用、申诉、杀毒、制作绿色杀毒盘等融为一体,全新的ARP防御技术有效防御各种攻击威胁。与此同时还能够对防止泄漏内网信息提供有力保障。可对网络中各计算机的信息、资源以及移动电脑设备随意接入、非法外联行为、软硬件资产滥用、网络故障频发等进行有效的审计和控制,是企业网络终端安全解决方案的重要组成部分。
在统一的管理平台上,提供强大的管理功能在安装部署、升级、策略任务的设置及分配、即时命令的处理等等方面都提供方便的操作。
产品功能
产品部署
提供复杂、多级的网络用户提供集中、分级的网络防病毒管理系统,集中管理表现在上级管理中心可以管理下级中心,分级管理表现为各级中心可以管理本中心的防病毒客户端,并且上级管理中心可以直接管理下级管理中心所属的每一个客户端。
服务器防病毒系统
瑞星虚拟化系统安全软件是瑞星公司推出的国内首家企业级虚拟化平台防病毒解决方案。该产品是基于VMware公司vShield Endpoint技术,采用无代理模式,具有系统资源消耗低、实时防护未启动虚拟机、安全策略随虚拟机迁移灵活配置、避免安全风暴发生等优势,是各行业VMware虚拟化产品用户推行安全防护解决方案的首选。
针对银行业部分服务器采用虚拟化技术使用瑞星虚拟化系统安全软件。
产品功能
便携式终端防病毒系统
瑞星企业移动管理系统软件(Rising Enterprise Mobile Management,以下简称REMM) 是瑞星公司研发的企业移动设备管理系统,它拥有完整的自主知识产权,能够针对移动设备生命周期提供完整管理。从设备注册、激活、使用、淘汰各个环节进行全面管理,能够实现用户及设备管理、配置管理、安全管理、资产管理等功能。通过设备、网络、应用及数据等多个层次,建立多维度的安全管理体系,实现企业移动业务的集中管理与安全防护。
产品功能
2.建立边界安全防病毒线
防毒墙
瑞星UTM防毒墙是一款具备高性能和高稳定性的网络安全产品。面对日益增强的混合性攻击和社会工程学陷阱,防毒网关逐渐成为了用户的主要安全产品选择。瑞星UTM防毒墙集多种安全技术于一身,包括防火墙、反病毒、防挂马、VPN、IPS、Web内容过滤、内网管理及流量控制等功能,用户无需安装任何附加软件,便可以极大程度的提高企业的安全和网络管理水平。
作为一个应用在网络边缘的安全产品,UTM防毒墙能够与现有网络安全产品无缝结合,病毒库及时更新,支持断点续传,保证在各种网络环境中都可以更新。庞大稳定的用户群体和完善的监控骨干网络监控,为各种样本收集提供有力的保障。
产品功能
产品部署
由于瑞星防毒墙是一种硬件型产品,有着即插即用的特点,所以部署起来十分灵活方便。可以把它安装在任何需要保护的内部网络出口处,也可以放置在特定服务器集群前面。
示例网络拓扑结构图如下:
下一代防火墙
产品功能
在底层专用高性能硬件平台之上,为RSOS安全操作系统。操作系统内集成了多种下一代防火墙的安全功能。其中,需要有特征库升级的安全功能,如防病毒、IPS等,由RSService升级服务提供。
用户认证本地数据库
RADIUS/LDAP/TACACS PKI IPSEC VPN Xauth扩展认证 RSA SecurID认证 防火墙 路由、透明、混合模式 DHCP 服务器 DNS转发 DNS服务器 NAT/PAT VLAN 链路聚合 交换/路由 支持多链路流量分配 支持ADSL 支持静态路由/策略路由 动态路由RIP v1 & v2, OSPF, BGP 支持STP 支持802.1X 支持VLAN 支持链路聚合 支持IPv6 |
虚拟专用网(VPN)PPTP, IPSec, L2TP, GRE,SSL VPN
支持CA 星型VPN/网状VPN OSPF over IPSec IPSEc over GRE OSPF over GRE IPsec over L2TP 防病毒 支持各种文件传输协议 自动升级病毒库 支持文件压缩 网页过滤 支持URL 地址/域名黑白名单 支持关键字过滤 支持对HTTP协议的参数过滤,比如 HOST,URI等 反垃圾邮件 支持SMTP/POP3/IMAP协议 在线查询库 IP 地址和Email黑名单 关键词过滤 虚拟化 硬件平台虚拟化 支持vmwareESXi, Xen, KVM |
入侵防御系统支持6000多种特征库
基于策略部署 可以设置免屏蔽IP 可以记录数据包内容 DOS和DDOS攻击控制 自动升级特征库 可自定义特征库 支持隔离攻击者和可以设置隔离时间 支持在线和旁路式部署 支持自动生成策略和发送Reset阻断攻击
上网行为管理 支持2000多种应用 基于策略部署 支持对应用监控、阻断和限制带宽 通过特征指纹方式识别应用 支持在线式和旁路式部署 基于IP带宽管理 安全审计 支持各种传输文件的协议 支持压缩文件 支持TXT、PDF和Word类型文档 内置敏感样本 |
RFW-NG产品功能表
产品部署
RFW-NG支持多种部署方式,可以满足各种规模、各种复杂网络环境的需求。
NAT/路由方式部署为部署在网络出口时最常见的部署方式。
RFW-NG在路由模式下支持各种路由协议,包括静态路由、动态路由(RIP、OSPF、BGP路由及组播路由)、策略路由(根据不同的源地址、目的地址、端口等确定下一条路由网关)、基于用户认证的路由(客户PC输入不同用户名密码进行认证,可以获得不同的路由途径)。
在NAT模式下,RFW-NG可以实现双向NAT(网络地址转换)和PAT(端口转换),包括1:N、N:1、N:N的转换。
在NAT/路由模式下,RFW-NG还可提供链路负载及服务器负载均衡功能。
透明模式下,RFW-NG可在不改变网络拓扑的前提下,无缝部署在现有网络中,与NAT/路由模式提供相同的安全功能。
透明方式部署时,RFW-NG不需要配置接口IP,只需要配置管理IP。客户端及其它网络设备的配置不需要有任何改动。此时,RFW-NG同样可以支持防火墙功能及防病毒、IPS等应用层安全功能。
RFW-NG可以实现路由/透明的混合模式,用于更复杂的网络部署需求。
如上图,内网与DMZ是同一网段,所有内网到DMZ为透明模式;内网访问Internet时,需要开启NAT。所以,防火墙需要同时支持透明及NAT模式。
RFW-NG可以旁路在部署,对网络进出的流量进行监视,并记录日志。
网络流量可以通过交换机镜像接口发送到RFW-NG,RFW-NG对流量进行进行扫描,并按要求进行记录和告警。
上网行为审计
产品部署
瑞星上网行为管理系统RAC系列设备采用串接方式接入网络,支持网桥模式、路由模式和旁路模式。
以透旁路方式接入网络,可对网络的流量进行前面的监控和记录,无需改动用户网络结构和配置。
以透明网桥方式接入网络,可以部署到网络的网关位置或各部门的出口位置。无需改动用户网络结构和配置,即插即用,支持单网桥、多网桥的部署方式。
将设备串接网络中,可以放于内网的任意子网边界,或与核心交换机相连。可以代替防火墙或路由器,需要为设备配置内网和外网接口的 IP 地址。
3.建立监控预警区域防病毒面
随着全球信息化及网络技术的不断发展,网络安全问题特别是内部网络安全问题日益突出。病毒是网络安全问题中最为严重的问题之一,发生的频率高、损失大、潜伏性强、覆盖面广,给内部网络造成极大的安全隐患。
网络中存在分散的、各自为政的单一层次的防病毒产品,已经难以满足网络防病毒的整体要求,仍然存在一些未知的病毒安全问题。为了进一步完善网络安全情况,我们需要另外架设网络安全监测系统进行协防,使其和网络版反病毒软件相辅相成,共同发挥作用,并对其实施行之有效的组织管理,才能达到整体病毒防控目的。
瑞星网络安全监测系统NDS是集病毒扫描、入侵检测和网络监视功能于一身的网络安全产品。它能实时捕获网络之间传输的所有数据,利用内置的病毒和攻击特征库,使用模式匹配和统计分析的方法,检测出网络上发生的病毒入侵、违反安全策略的行为和异常现象,并记录相关事件于数据库中,作为管理员事后分析的依据。其主要功能为:
对网络中出现的病毒情况进行统一的病毒报警,全面,准确,高效,稳定,安全,快速。
对实时传输的数据流进行病毒监测,全面检测已知的、未知的各种病毒;检测的结果准确,误报率低。
实时关注网络中的流量,对敏感流量统一收集、汇总和分析,提供网内敏感流量情况的总体报告。
产品功能
产品部署
网络安全监测系统支持多种部署机制,包括旁路监测、串行监测、再次镜像数据等。
银行企业采用旁路监测:不影响原有网络拓扑,旁路接入到网络环境中,可以实时监测到网络中的数据流,抓取数据包,监测数据包中是否含有病毒文件。
示例网络拓扑结构图如下:
三、防病毒解决方案产品列表
银行业防病毒整体防护方案根据各个区域点、线、面的安全特点,给出相关的安全技术及其产品。方案中使用的技术,最终会通过设备体现出来。通过以上的分析本方案使用的安全产品及其数量、用途、部署位置如下表所示:
序号 | 产品名称 | 产品用途 | 部署区域 |
1 | 企业安全管理软件 | 用于防病毒 | 生产域终端、服务器、DMZ域 |
2 | 虚拟化防病毒软件 | 用于防病毒 | 生产域服务器域 |
3 | 便携式终端管理 | 用于BYOD管理 | 接入域终端用户域 |
4 | 下一代防火墙 | 用于访问控制 | 网络边界 |
5 | UMT防毒墙 | 用于边界防毒 | 接入域与互联网边界 |
6 | 上网行为审计 | 用于网络行为审计 | 接入域与互联网边界 |
7 | 网络病毒检测预警系统 | 用于防病毒监控预警 | 生产域 |
四、方案收益
防病毒安全是一个风险管理过程,我们通过加固区域每个点、防护区域每条线、监控区域整个面,构建了一个静态防护与动态监控相结合的安全保障体系架构。同时,我们通过网络防病毒监控预警系统,把防病毒事件的做到了病毒趋势的分析、防病毒事件的流程化处理,形成金融行业尤其针对银行业防病毒风险处理PDCA优化循环机制。
本防病毒整体解决方案实现了对已知病毒防御、未知病毒防御、0Day漏洞防御、APT攻击防御等多种新型攻击,形成有效的纵深防御的安全策略;通过网络防病毒监控与预警系统,对病毒的的监控、识别、控制形成了完整的防病毒管理机制。通过病毒防御机制建立和管理制度的应用,可以使银行信息系统安全、稳定、持续、健康运行。