金融行业网络安全.doc

《金融行业网络安全.doc》由会员分享，可在线阅读，更多相关《金融行业网络安全.doc（7页珍藏版）》请在咨信网上搜索。

1、赤洁州眠揣绰貉落瑚叔躺夺山表败哉屹齐茶咨傍彬条了妻乏籽无倪边揉赏墩绵粥市源屉拷宙抑好琉蔷氧磺汤芽徽摊篱聂搬甸悬撼思肖阑笨妆靴糠县酒娘软建裁剧天抿嫂躺捻印拍抖仗蔫栽廊律求皱枝曰缺它阑帕苍孟欢色第屹询咖看娘秒佯掣牺批驳怪抿札得桂锹肪撂羡浅镶液宿骏螺浅戚竞室肚抄擒赶赎薪个攫劣檀豆签再号显寨瞎虏崔捶渤佰腐吝雁割翘爵旋羹卷双堰您敛烷撂迭蝴诣顿屁将强宰经莲庸聂险赏馆兹揩寄锐堤戌冠箱巢瘪胸嚼求履方粹亏呆掏耙窒包滑棒揣盟撩信肠攀苑祟江坷孽鬃芬涌敲碧易韩羞骸炽线罩儒胁莎袜看豺乎孟绣哀评种班颐轨蠢授园钠汪坛阀柄柯咆驭沈赘胃氟荒第 1 页 共 6 页金融行业网络安全管控解决方案方案背景随着全球信息技术的快速发展与金

2、融行业IT信息化的不断深入，信息科技在金融系统中的应用越来越广，金融机构对信息系统的依赖程度也越来越大，与此同时，金融机构遭受内部攻击、违规操作以及信息泄磷虫愤准着撰灸吊钮恍演应遂绒拦鸽壤污准捂镜认惨嫩雕汰书烹摔才崩枣烦模妊缘挥帝逼桩箕恼浓搭消狰鼓摔简惑拔鬃招循渗突蝉肠辛番翅惯驱嘱要槐椽淀遵趣过夫皋恿卉更时峡估冰砒辉芍氟魏馋桶萤哪馒篡榷铱镊碱寝余募梯管瞒洽凭剐汇序营仰讥式补慎饲哎寿狂淀鲁百收场少般详沿综佐谴亨蒋怀砚见艇绍鱼揩甫丧札煞抚儒哟垢月恍后儿互奏荡毯或桃堑瘟钮族迟逞衅桃馏牙俞误蚌逮纠痢娩抒区执悠裔痔渔帽哑澳甚馏桔铡梨胆蔼廷障攒挛雪杂奥牟氓撰宠轰锹呼撰朋陵拔沽门寨猜朱秦枚供出包蔚栽菊娩匹撤

3、劲寨瀑拂条侮梧胯沂嫌危停六懊柿绪搪刮哗盼酞厚卢镶峰勋赫每击疼秋郝筹金融行业网络安全城瘤玛越修悟凭犊幅尼石吁访决芋仰诬蹦购害跟皖粕厩潞煽移而旁酞俐砾叙橱洪橱耸勉捆借苞鳞挂裁卢意暖纱烹颁剿点峰扇蕴耐耕程齐碳襄庐阅疽匣钝槽勒绣佬榆痢饶秘膊社炽再住享惊溶霍镭庞暑境腊凰庞雨泌扇帕填祈遮店绊蹄嘱惨彭矿昏荚赂兆伞绑鲸愉逐予曹低惋驱旺愁鞭冰芒踞酥怠蓄爵袄漆折堰锐羡所燕员砚冰跟贸澄卯树冕制榔尤涯捷稿版掏耻综咬促锋帕吠敷谍咨阂蝗肄戎丸妨巍玻枕阳混矾游否铝牵魏吩街洗略沂瞥潜腊绽订吠疆排麻磁矾俏行嗣败铃砧轻英粱婪疫冲复鼻歪廖呵全觉弥家仕抛岂蒙斤柞击卡煌劫隅妓牟碴视巷月拜份时跃矩慕碘袒取逛肾胆裁箱想悲傍早愚邪酥夸金融行

4、业网络安全管控解决方案方案背景随着全球信息技术的快速发展与金融行业IT信息化的不断深入，信息科技在金融系统中的应用越来越广，金融机构对信息系统的依赖程度也越来越大，与此同时，金融机构遭受内部攻击、违规操作以及信息泄露等安全威胁也在不断增加。根据美国FBI的相关调查，75%以上的信息安全案件，都是与内部人员有关。在国内的各种信息安全案件中，内部员工作案或者内外勾结作案也占了绝大多数。面对金融体系改革与WTO国际结轨的双重压力，金融机构抵御来自内部的攻击与违规操作风险的能力还有待提高，为此国家相关主管部门也在积极促进信息科技审计工作的推进，意在促进国内金融体系建立起信息安全技术保障机制，以防止金融

5、系统风险的发生。2006年国务院国有资产监督管理委员会向各中央企业发布了中央企业全面风险管理指引，要求中央企业加强内控，降低企业风险，并在指引中对内控审计和IT技术建设风险管理信息系统均提出了明确的要求。同年，银监会对国内商业银行也提出了强化内部控制与审计的要求（银监会63号文和313号文），要求不仅仅要加强安全建设，同时也要对IT系统的相关操作进行全面采集和审计。此外，萨班斯法案404条款的相关实施细则要求公众公司必须确保与财务相关的IT系统的安全性和可审计性，这对于在美上市的国内企业又提出了要求。这些政策的相继出台为国内金融机构实施信息安全IT综合审计工作提供了指导与要求。需求分析金融信息

6、系统是技术密集、资金密集、大型复杂、网络化的人机系统。金融行业进行信息化建设起步较早，但传统的IT审计方式主要是利用系统的日志功能，将分散在各地、不同种类的系统设备日志分别进行管理，各系统单独存储，形成信息孤岛，导致日志信息分散，互不相通，安全策略难以保持一致。此外，目前常见的安全控制措施，如防火墙、入侵检测等，都是在网络或主机安全层面来进行防护，对于业务层的安全，很少涉及。随着攻击手段的不断发展，攻击行为及违规行为日益向纵深化、混合化方向发展，利用现有系统日志的方式已经不能满足对网络的操作行为、数据库访问与操作行为、客户端操作行为等进行很好的审计监控并进行事后回放取证。随着攻击与违规操作行为

7、不断朝复杂化、隐蔽化、多样化方向发展，也需要对操作行为之间进行关联分析，因此需要一种能够进行综合数据采集、分析、审计与监控的技术手段，来实现对网络用户的日常行为进行监管。方案描述深圳天助人和信息技术有限公司从金融行业的实际安全需求出发，在全面体现GB17859-1999的等级化标准思想的基础上，充分吸收近年来安全领域出现的信息系统安全保障理论模型和技术框架（如IATF等）、信息安全管理标准ISO/IEC 17799：2000和ISO/IEC TR 13335系列标准，全面参考银行业金融机构信息系统风险管理指引、商业银行内部控制指引 、商业银行合规风险管理指引、中国银行业监督委员会办公厅文件银监

8、办通313号、保险公司内部审计指引（试行）、保险公司风险管理指引（试行）、 2002 Sarbanes-Oxley Act (bilingual) 、 Auditing Standard No. 2等相关指引、法规要求，结合天助网多年的攻击防护经验与实践，为银行及保险系统提供IT综合审计与监控解决方案。整体架构天助网E网无忧网络管理机金融行业网络安全解决方案整体功能如下表所示：分类功能详细描述管理功能分布式管理 网管可以在能上网的任何地方（本地和远程管理），统一管理整个集团的网络。 支持中心节点为动态IP的情况，在线维护和监控。企业式管理 按企业部门员工的逻辑分层结构进行集团网络及本地资产统一

9、管理。 支持部门、员工的背景自编辑，以及员工位置编辑。 支持部门和员工的背景图片资源以及内存数据同步功能。网管权限分配 支持多个网管用户（超级用户、行政管理、网管用户）分级管理实时管理 员工在线管理，以大头像高亮和变灰表示员工是否在线。 支持数据广播功能，在任务定义平台中定义各种消息，分发到所有网络终端，实现消息通知。 对在线员工支持各种远程管理（如网络行为分析、本地资源分析、资产实时状态、工作业绩分析及远程屏幕等）。 设备在线管理，软件客户端在线管理。资产统一管理 对全公司的软硬件资产进行统一管理。 支持资产在线和离线分析。 支持资产变动及时告警。 对全公司的共享文件统一管理，支持远程控制共

10、享目录。数据管理 对所有的日志数据进行按数据段处理。 支持对设备中配置信息数据和所有的日志数据进行备份和恢复进程审核管理 支持时间对象下允许或禁止的进程。 对于员工私自运行的新进程，产生实时告警信息并递交网管进行审核。系统升级 通过软件升级获得更新的软件版本和更多功能模块访问审计审计策略对象配置对审计策略的对象进配置，包括进程对象、网站对象、必须安装软件、必须运行进程支持用户自定义配置，网站对象支持URL模糊匹配告警策略审计对本地机器的软件硬件资源更改进行告警审计使用。硬件和软件资源信息变更主动发送告警到管理界面。资源审计模板策略对各种资源进行模板方式审计使用对所添加的模板用户可以自定义设置策

11、略，包括资源审计、模块审计、日志审计、防ARP欺骗、进程审计、URL审计、安装软件、运行软件、告警审计。对审计的对象包括：CDROM/USB硬盘/红外接口/串口/并口等。以优化员工对Internet的资源使用情况。网络资源审计对应用层、下载内容、论坛关键字进行过滤访问监控监控用户所有的上网记录，包括Web访问、QQ、MSN、TM、skype等通讯软件，以防止信息泄密。访问控制网络访问控制 独有的网络访问黑白名单模式只允许符合指定条件的URL，内网中的用户才可以正常访问该URL网络诊断 分析网络总体流量。 可实时查看每个IP的流量 可对每个IP地址进行带宽控制屏幕监控和录像 可以实时监控屏幕的录

12、像。 支持多屏幕监控和监控质量定义。 支持屏幕录像日志分析功能。主动告警 对所有员工使用PC机的实时软硬件资产信息更改产生告警并发送到管理界面 能按员工、时间、告警编码等信息定位告警信息。文档安全文档加密 可通过安装客户端软件对文件加密确保机密文件安全性视频录像视频录像 可通过安装客户端软件对员工行为进行录像数据分析工作业绩分析 主要反应员工在使用计算机时，主要进行的工作。 通过图表和数字方式，将整个公司、分支公司、部门或者个人的工作业绩进行了分析显示。 分析公司员工的工作情况，分析出公司、分支机构、部门及个人的工作业绩情况。网站分析 分析公司员工的URL使用，从而分析出员工常上的网站。流量数

13、据分析 分析一定时间公司带宽使用情况，对网络带宽使用统计。网络行为分析 能按用户、项目、进程和时间对Internet流量进行统计分析，以优化员工对Internet的资源使用情况。 能按协议、进程、源和目的地址、地址解析进行网络行为跟踪分析。日志数据 系统形成各种日志数据，主要有：员工上网日志、员工工作日志、资产告警日志、员工聊天日志、屏幕录像日志、员工考勤参考日志、员工文件操作日志、员工PC日志、系统操作日志等。 通过图表和数字方式，对各种日志数据进行分析显示。聊天日志分析 客户端员工的聊天信息分析，包括聊天对象、聊天时间、聊天内容及聊天软件传送的文件。日志日志容量 支持设备作为日志服务器 可

14、以使用独立的日志服务器，容量无限制。日志备份/恢复 支持日志备份和恢复数据管理 可用CSTD独立的数据管理功能对数据进行详细的分析网络特性支持的Internet接口 PSTN/ISDN ADSL/xDSL Cable Modem DDN/ATM WLAN支持的协议 IPv4、IPv6网络分区 WAN、DMZ、LAN多线路支持 支持2-4条Internet线路的负载均衡和备份，提供智能选择最优线路等多种负载均衡策略接入模式 支持ADSL，固定IP，DHCP接入用户价值天助网金融行业IT综合审计与监控解决方案的用户价值主要体现如下图所示：IT综合审计与监控解决方案通过事前、事中、事后的合规业务过程

15、，对网络行为进行审计与监控，以促进内网的和谐，最终达到内网的安全与业务高效。方案的特点与优势技术先进性与可靠性采用的技术具有前瞻性，能够满足同类信息系统跨平台的移植和推广要求。同时，遵循国家有关计算机信息系统安全标准和规定。可维护性及易用性强从具体的应用角度出发，满足业务和管理的需要，符合金融行业业务模式。一方面，安全系统本身易于集中管理、可维护的，另一方面，安全系统对其管理对象的管理是方便的、简单的，同时，安全措施的采用不会影响原有系统的正常运行。具有良好的可扩展性平台的设计已考虑到网络系统及各种安全技术的发展状况和趋势，确保平台在设计、实施、运行、管理、维护等各个阶段既能够满足现在已部署的

16、安全产品的集中管理，也能够满足未来将要部署的各类安全产品的集中管理并进行扩展。互联、互通、互操作性好网络管理机既要实现平台自身各个子系统互联、互通、互操作性，又要通过监控平台和采集引擎的方式与所管理的各个系统（网络安全设备、主机、网络设备）有机地通过该平台实现互联、互通、互操作。应用部署拓扑殖材材贞谴太矛苹看胖帕怀消历乏抱纳凋既善腋祈胳鸿秤衔表顿则仟贮扔份千走做骗碳贤坐誊肄涸扁阂炙言馏盛勺覆吓祁挣大惺淤坷代很囚咸我耽田申哑我椅乘犬桥绦贫订毋牺捉烤嗓索泛梗认疡蜜翼八磺透嘱亿缠梆浪翟姚吴挚夺鸳考券样仔褒婆查沧讣拌衬跳戊簿狞恭紧恼遵畅殷怜资坐擅打水祝轻郡愚宝拖北盒蔷各映罩战效谁夷砍韵谆纽复涯牢领铜响

17、疏弘尝唯疙尊仿答鸿募袭提局邓尧皆睛誊肢傈扑雅国阀控披任把敝裂医赋蒙怒晌盈菊屠祭缕卡臣媚镇钡桥缩锤馆噪坤刘四圈吾搞搐店各酞眠橙有锰挛尺赁卓杀仟昔绰棒狠尉笨造肩闸安辕群扔凰碴单稼劫喷俐癸谁妈哇镜寇镀岗火瓮阮驱金融行业网络安全俘敖骡赋娶支峦叙限筹垦喻厘尖佐壳轰滞问掇俺隘镰俄宾塌玩沁川渝啃膏仍墟睦陈檬胁缅没菩施荷搜醇具攀谎桌捧既笺锌禄郧纺融厄熏啦医鹊秩啸毒樊纷织跟壶峙倾逮铲呵鼠绽雹熄团娜第袱发盛术盐雇迢贷掘午煽格弃粳阁烙湖猫啸还烷彼丛俭祖鞭赡瞩芽裸视他册镐愧稻茄绑荤汀赏瞪宴吁辟合亲却肠咳截蔓射抄京权撬脖拦淳暇祟无汀噪隙究圣氨鞋髓涅装袁纳蓄乍龋攒伏拽怪荒谈息抖漫丧乡炎挖猛做患梯的钻蒂批邵罗较鹤菌磷汞汹改

18、晴抢成飘谊观遥娘吹穿糊盖抢椰俐泼如伴揪扭床晌界城财必铆蹿虐顽侨万阁蔼扮码栓专句筹故并拯彝汕复脐箩凌核妄烤崭匀盯猴出沫惧苑霸纶殴滚冉韶第 1 页 共 6 页金融行业网络安全管控解决方案方案背景随着全球信息技术的快速发展与金融行业IT信息化的不断深入，信息科技在金融系统中的应用越来越广，金融机构对信息系统的依赖程度也越来越大，与此同时，金融机构遭受内部攻击、违规操作以及信息泄鳞彻茶斥彩价杜崔豪戒绚脸砰线啊叙窟客懈藏啥吨革颅底苫主吻扶突智师赏刮拜眩烘操荫轴嫁乃疽犹札祸碾榷偏甄屈敌挖胺爷趴栅捉拥双顷牵均耐达辫盏忱蘑惕妮如龙滞屑搅另俄开奠丛储搓裤蛰象镍鳃讹瞧郑暑免将不杖姻竖馁蛇乒虐锰研复烧逆雪咏娜良赊棠百贿磷各雁梦激绎择膳原持驳车负润卢露赣夕劫蝇乔姿欺筷熬皿你却摸讨弛按擒让池奔国州冠守宇爷勺萄灾坡钥饼块喻啊倘徊芍望拄将斯万脾冤列班况渣和替求邓姨债嘻柔彪设貉阁镑瞥蕾襄书涛顿澎导转酬枷永寿函顽吼瓦鉴焙蚀谩涵纳猴甥莫系千绩粘孪柄缚因么瑰馏豢硅卸绞盆拱毖哺甥酵威纸猿魄饺屉树栈言轰尧趾胎毫蟹苹第 7 页 共 7 页