第1页共6页金融行业网络安全管控解决方案方案背景随着全球信息技术的快速发展与金融行业IT信息化的不断深入,信息科技在金融系统中的应用越来越广,金融机构对信息系统的依赖程度也越来越大,与此同时,金融机构遭受内部攻击、违规操作以及信息泄露等安全威胁也在不断增加。根据美国FBI的相关调查,75%以上的信息安全案件,都是与内部人员有关。在国内的各种信息安全案件中,内部员工作案或者内外勾结作案也占了绝大多数。面对金融体系改革与WTO国际结轨的双重压力,金融机构抵御来自内部的攻击与违规操作风险的能力还有待提高,为此国家相关主管部门也在积极促进信息科技审计工作的推进,意在促进国内金融体系建立起信息安全技术保障机制,以防止金融系统风险的发生。2006年国务院国有资产监督管理委员会向各中央企业发布了《中央企业全面风险管理指引》,要求中央企业加强内控,降低企业风险,并在指引中对内控审计和IT技术建设风险管理信息系统均提出了明确的要求。同年,银监会对国内商业银行也提出了强化内部控制与审计的要求(银监会63号文和313号文),要求不仅仅要加强安全建设,同时也要对IT系统的相关操作进行全面采集和审计。此外,萨班斯法案404条款的相关实施细则要求公众公司必须确保与财务相关的IT系统的安全性和可审计性,这对于在美上市的国内企业又提出了要求。这些政策的相继出台为国内金融机构实施信息安全IT综合审计工作提供了指导与要求。需求分析金融信息系统是技术密集、资金密集、大型复杂、网络化的人机系统。金融行业进行信息化建设起步较早,但传统的IT审计方式主要是利用系统的日志功能,将分散在各地、不同种类的系统设备日志分别进行管理,各系统单独存储,形成信息孤岛,导致日志信息分散,互不相通,安全策略难以保持一致。此外,目前常见的安全控制措施,如防火墙、入侵检测等,都是在网络或主机安全层面来进行防护,对于业务层的安全,很少涉及。随着攻击手段的不断发展,攻击行为及违规行为日益向纵深化、混合化方向发展,利用现有系统日志的方式已经不能满足对网络的操作行为、数据库访问与操作行为、客户端操作行为等进行很好的审计监控并进行事后回放取证。随着攻击与违规操作行为不断朝复杂化、隐蔽化、多样化方向发展,也需要对操作行为之间进行关联分析,因此需要一种能够进行综合数据采集、分析、审计与监控的技术手段,来实现对网络用户的日常行为进行监管。方案描述深圳天助人和信息技术有限公司从金融行业的实际安全需求出发,在全面体现GB17859-1999的等级化标准思想的基础上,充分吸收近年来安全领域出现的信息系统安全保障理论模型和技术框架(如IATF等)、信息安全管理标准ISO/IEC17799:2000和ISO/IECTR13335系列标准,全面参考《银行业金融机构信息系统风险管理指引》、《商业银行内部控制指引》、《商业银行合规风险管理指引》、《中国银行业监督委员会办公厅文件银第2页共6页监办通313号》、《保险公司内部审计指引(试行)》、《保险公司风险管理指引(试行)》、《2002Sarbanes-OxleyAct(bilingual)》、《AuditingStandardNo.2》等相关指引、法规要求,结合天助网多年的攻击防护经验与实践,为银行及保险系统提供IT综合审计与监控解决方案。整体架构天助网E网无忧网络管理机金融行业网络安全解决方案整体功能如下表所示:分类功能详细描述管理功能分布式管理网管可以在能上网的任何地方(本地和远程管理),统一管理整个集团的网络。支持中心节点为动态IP的情况,在线维护和监控。企业式管理按企业→部门→员工的逻辑分层结构进行集团网络及本地资产统一管理。支持部门、员工的背景自编辑,以及员工位置编辑。支持部门和员工的背景图片资源以及内存数据同步功能。网管权限分配支持多个网管用户(超级用户、行政管理、网管用户)分级管理实时管理员工在线管理,以大头像高亮和变灰表示员工是否在线。支持数据广播功能,在任务定义平台中定义各种消息,分发到所有网络终端,实现消息通知。对在线员工支持各种远程管理(如网络行为分析、本地资源分析、资产实时状态、工作业绩分析及远程屏幕等)。设备在线管理,软件客户端在线管理。资产统一管理对全公司的软硬件资产进行统一管理。支持资产在线和离线分析。支持资产变动及时告警。对全公司的共享文件统一管理,支持远程控制共享目录。数据管理对所有的日志数据进行按数据段处理。支持对设备中配置信息数据和所有的日志数据进行备份和恢复进程审核管理支持时间对象下允许或禁止的进程。对于员工私自运行的新进程,产生实时告警信息并递交网管进行审核。系统升级通过软件升级获得更新的软件版本和更多功能模块访问审计审计策略对象对审计策略的对象进配置,包括进程对象、网站对象、必须安装软件、必须运行进程第3页共6页配置支持用户自定义配置,网站对象支持URL模糊匹配告警策略审计对本地机器的软件硬件资源更改进行告警审计使用。硬件和软件资源信息变更主动发送告警到管理界面。资源审计模板策略对各种资源进行模板方式审计使用对所添加的模板用户可以自定义设置策略,包括资源审计、模块审计、日志审计、防ARP欺骗、进程审计、URL审计、安装软件、运行软件、告警审计。对审计的对象包括:CDROM/USB硬盘/红外接口/串口/并口等。以优化员工对Internet的资源使用情况。网络资源审计对应用层、下载内容、论坛关键字进行过滤访问监控监控用户所有的上网记录,包括Web访问、QQ、MSN、TM、skype等通讯软件,以防止信息泄密。访问控制网络访问控制独有的网络访问黑白名单模式只允许符合指定条件的URL,内网中的用户才可以正常访问该URL网络诊断分析网络总体流量。可实时查看每个IP的流量可对每个IP地址进行带宽控制屏幕监控和录像可以实时监控屏幕的录像。支持多屏幕监控和监控质量定义。支持屏幕录像日志分析功能。主动告警对所有员工使用PC机的实时软硬件资产信息更改产生告警并发送到管理界面能按员工、时间、告警编码等信息定位告警信息。文档安全文档加密可通过安装客户端软件对文件加密确保机密文件安全性视频录像视频录像可通过安装客户端软件对员工行为进行录像数据分析工作业绩分析主要反应员工在使用计算机时,主要进行的工作。通过图表和数字方式,将整个公司、分支公司、部门或者个人的工作业绩进行了分析显示。分析公司员工的工作情况,分析出公司、分支机构、部门及个人的工作业绩情况。网站分析分析公司员工的URL使用,从而分析出员工常上的网站。第4页共6页流量数据分析分析一定时间公司带宽使用情况,对网络带宽使用统计。网络行为分析能按用户、项目、进程和时间对Internet流量进行统计分析,以优化员工对Internet的资源使用情况。能按协议、进程、源和目的地址、地址解析进行网络行为跟踪分析。日志数据系统形成各种日志数据,主要有:员工上网日志、员工工作日志、资产告警日志、员工聊天日志、屏幕录像日志、员工考勤参考日志、员工文件操作日志、员工PC日志、系统操作日志等。通过图表和数字方式,对各种日志数据进行分析显示。聊天日志分析客户端员工的聊天信息分析,包括聊天对象、聊天时间、聊天内容及聊天软件传送的文件。日志日志容量支持设备作为日志服务器可以使用独立的日志服务器,容量无限制。日志备份/恢复支持日志备份和恢复数据管理可用CSTD独立的数据管理功能对数据进行详细的分析网络特性支持的Internet接口PSTN/ISDNADSL/xDSLCableModemDDN/ATMWLAN支持的协议IPv4、IPv6网络分区WAN、DMZ、LAN多线路支持支持2-4条Internet线路的负载均衡和备份,提供智能选择最优线路等多种负载均衡策略接入模式支持ADSL,固定IP,DHCP接入第5页共6页用户价值天助网金融行业IT综合审计与监控解决方案的用户价值主要体现如下图所示:IT综合审计与监控解决方案通过事前、事中、事后的合规业务过程,对网络行为进行审计与监控,以促进内网的和谐,最终达到内网的安全与业务高效。方案的特点与优势技术先进性与可靠性采用的技术具有前瞻性,能够满足同类信息系统跨平台的移植和推广要求。同时,遵循国家有关计算机信息系统安全标准和规定。可维护性及易用性强从具体的应用角度出发,满足业务和管理的需要,符合金融行业业务模式。一方面,安全系统本身易于集中管理、可维护的,另一方面,安全系统对其管理对象的管理是方便的、简单的,同时,安全措施的采用不会影响原有系统的正常运行。第6页共6页具有良好的可扩展性平台的设计已考虑到网络系统及各种安全技术的发展状况和趋势,确保平台在设计、实施、运行、管理、维护等各个阶段既能够满足现在已部署的安全产品的集中管理,也能够满足未来将要部署的各类安全产品的集中管理并进行扩展。互联、互通、互操作性好网络管理机既要实现平台自身各个子系统互联、互通、互操作性,又要通过监控平台和采集引擎的方式与所管理的各个系统(网络安全设备、主机、网络设备)有机地通过该平台实现互联、互通、互操作。应用部署拓扑