当前位置:安全服务 \ 安全征文作品展
三等奖 —— 网络准入控制在银行信息安全建设中的应用
新闻来源:
发布人:计算机安全协会
点击率:450
发布日期:2018.07.18


摘要:随着银行业务的发展和信息化进程的深入,接入内网的设备规模不断扩大,由此引发的网络安全隐患日益突出。银行通过部署网络准入控制系统,将网络控制技术和终端管理技术相结合,使网络安全管理从路由交换层延伸至终端接入层,从源头上保护企业网络边界、强化内网安全,并提高了终端运维的精细化及自动化水平。

关键词:网络准入控制,银行,信息安全

 

《中华人民共和国网络安全法》将金融纳入关键信息基础设施的重要行业,信息化、数字化、网络化已成为现代金融业的重要特征。商业银行内部网络作为承载关键业务、核心流程、敏感数据的设施,其安全建设是保证银行经营活动健康运行的基础性工作。随着银行业务发展和信息化建设的深入,接入设备不断增加,因终端引发的网络安全风险日益突出,例如非授权终端随意接入网络、移动存储介质私自接入终端获取数据、终端未及时安装杀毒软件或操作系统补丁等,这些行为可能引发病毒感染、违规外联、黑客入侵、敏感信息泄露等风险事件,给银行经营带来极大的隐患。因此,网络准入控制系统在银行信息安全建设中具有重要的意义。

 

一、银行网络管理的现状与挑战

一般而言,银行内部网络系统可由核心网络和接入网络两个区域组成。核心区网络涵盖了核心交换、大楼汇聚、服务器区、外联区等网络区域,在关键出口和网段均部署了防火墙、入侵检测等安全设备,通过双机热备、访问控制、统一监控、日志审计等技术手段和管理策略有效保证了核心网络区域的健壮性和安全性。

相比于核心网络区域严格的管控策略,当前银行对网络接入区域的安全管控普遍重视不足,主要以下三方面的挑战:

1、接入设备情况复杂,存在终端违规接入的风险。根据商业银行规模不同,接入内网的设备从几千台到数十万台不等。从接入设备的用途上看,有服务器、办公类设备、自助类设备、视频监控类设备等;从接入设备的操作系统类型上看,主要有Windows操作系统的终端和非Windows操作系统的终端,前者以办公台式电脑和ATM机为代表,后者则涵盖了打印机、扫描仪、监控主机、监控摄像头、视频会议终端、点钞机、清分机、考勤机等十多种哑终端类型设备;从设备接入方式上看,分有线和无线两种方式接入;从设备使用人员上看,有正式员工、临时访客(例如内外部检查人员等)、外包人员等。传统的手动配置加上文档记录的管理方式已无法应对如此复杂的接入需求,终端运维人员顾此失彼,存在违规或越权接入的隐患。

2、敏感信息保护压力突出。数据是银行的核心资产之一,数据尤其是涉及到客户信息的敏感数据泄密将对银行经营造成重大风险。尽管在制度上要求外设、移动存储等设备合规入网,但在技术上无法完全杜绝私接存储或非法外联的情况,仍存在一定的涉密信息外泄风险,需要进一步精准管控。

3、办公终端自动化管理能力不足。银行的办公终端设备一般以Windows操作系统为主,安装防病毒软件,并通过各类型分发服务器实现操作系统补丁的分发和病毒库版本的更新。但由于系统配置缺陷、补丁未及时安装、病毒库升级不及时等因素,难免会存在一些不符合安全配置基线的终端。这些“带病”终端很容易成为木马、蠕虫等威胁攻击的对象,进而造成内网病毒爆发。同时,对内网终端软硬件资产统计费时费力,管理人员无法实时、准确地把握全网终端的软硬件性能及运行状态。

二、银行网络准入控制的设计和实施

目前,银行在准入控制方式上主要采用基于802.1X协议的控制和基于网关模式的控制。下表比较了两种方式的特点:

blob.png

相比于网关模式的准入控制,802.1X协议提供了颗粒度更细、安全级别更高的控制效果,在条件允许的情况下优先推荐基于该协议实施网络准入控制。一个典型的网络准入控制系统组件包括各类计算机终端、接入交换机/路由器、Radius服务器、AD域控服务器、管理后台以及管理员应用界面等。在交换机等网络设备上执行网络数据包的控制指令,在终端上通过安装客户端软件实现应用软件的指令控制。Radius服务器与交换机、准入控制器及AD域控服务器联动,一方面同步原有AD域控服务器中的用户,同时将准入控制设备发送过来的用户名、密码、终端设备MAC地址等信息进行验证,判断入网终端的合法性。为确保系统的高可用,推荐部署两台Radius服务器热备冗余。在管理后台配置逃生机制,在准入系统无响应或系统故障等情况发生时终端用户可自动接入网络,避免系统自身故障对正常办公和业务的影响。下图显示了各组件的工作机制:

blob.png

银行业内网的终端类型繁杂,所以必须采取多种类、多层次的准入控制策略,满足不同类型终端的接入需求,从而确保准入控制的覆盖率和管理的有效性。对于Windows操作系统的终端,必须安装准入控制客户端软件,并在客户端上输入用户名和密码完成准入认证,根据终端设备类型的不同采用不同的身份认证方式:对于无线局域网接入的终端,采用最严格的准入控制策略,除了安装客户端软件和校验用户名口令以外,还使用文件证书作为身份凭据,确保了每一台无线入网设备的真实性;对于普通办公终端,通过同步AD域用户的实时数据,可自动应对人员新增、调岗、离职等需求,无需手动干预,极大地减少工作量;对于自助设备、访客或临时接入等需求,根据终端的物理位置、责任归属、使用期限的不同,按需灵活分配固定用户或临时用户。对于非Windows操作系统的哑终端,无法安装准入控制客户端软件,可通过SNMP协议或在系统中手动维护白名单的方式完成认证。对于服务器等接入区域固定且稳定性要求较高的终端,仍采取表格登记的管理方法,同时在接入交换机上配置端口安全策略,既可实现“交换机端口+服务器MAC地址”的绑定,又避免因安装客户端软件对服务器造成的未知影响。下表概括了不同类型终端适用的技术或策略:

blob.png

网络准入系统在银行的实施一般分四个步骤。第一,准备阶段。全面掌握网络上的接入设备类型、数量、分布,并针对每类设备的特点制定控制策略;通过新装终端预装软件和现有终端下发软件的方式完成Windows终端客户端软件的安装,并重复检查客户端的安装率,直到安装率达到90%以上。第二,上线阶段。接入用户认证并确保后台认证系统正常工作后,已正确安装客户端软件并同步用户名密码的终端可无感知地接入网络;对于应装未装客户端的终端系统会将访问的目标地址重定向至下载客户端软件的URL并指导用户完成软件自助安装;对于无法安装客户端的哑终端设备,管理员在确认设备真实性后可在系统中将其加入白名单,并将设备的IP地址和MAC地址进行绑定,防止白名单中的IP地址用于别处;管理员查漏补缺,使全网所有终端接受管控的比例达到100%。第三,分发策略阶段。制定并下发终端安全策略,对不符合安全基线的终端进行断网处理,直至终端修复。第四,运维阶段,对越权访问、仿冒访问、脱缰设备等进行日常运维和修复,利用系统的数据统计和远程协助功能辅助全网终端管理。

三、网络准入控制系统在银行的应用效果

通过部署网络准入控制系统并实施相关准入控制策略,可以从源头上对所有接入内网设备实现无死角的控制和管理,最大限度地将威胁防御在内网之外,同时强化了敏感信息保护,符合新形势下对信息安全工作的要求。

1、有效保护了内网边界

所有接入内网的终端首先要认证身份,只有通过认证的合法终端才能访问相关资源。终端安装了客户端软件后,未经管理员允许无法私自更改计算机的IP地址、MAC地址或路由表信息,避免用户通过篡改终端信息逃避准入控制策略。客户端软件定时将终端安全软件的版本信息上传至准入控制器,管理员可一目了然地对全网内终端的操作系统版本、补丁更新情况、防病毒版本情况进行管理,可以通过推送补丁或者远程协助完成修复,也可以对不符合安全软件基线的设备进行强制下线处理。由此实现了终端入网认证、安全策略检查、终端隔离、终端修复的闭环流程,有效提升内网边界的安全。

2、提高终端管理效率,减轻运维压力

终端管理是一项费时费力的工作,通过终端准入系统的数据展示和远程协助等功能,可以提高管理员的工作效率,减轻运维压力。从资产管理的角度,系统可以展示出终端的IP地址、MAC地址、设备型号、设备序列号、CPU数量、 内存及硬盘容量等信息,并可以分机构汇总展示,管理员可实时地掌握全网终端资产的变化,对使用年限过长或性能不足的终端有计划地实施更新。从软件管理的角度,系统可以展示各终端所安装的软件以及运行的应用进程,管理员可以导出全网终端软件信息汇总表,对安装了非法或盗版软件的终端进行断网处理。从流量管理的角度,可以对终端进行流量限速,控制保卫监控视频等大流量应用,为业务应用提供网络带宽保证。系统还提供了远程协助等实用功能,终端用户可以发起远程请求,管理员接收请求进行远程,或者由管理员根据用户账号、IP、MAC、主机名等设备信息主动发起远程协助。在远程协助控制终端期间可保持屏幕同步以便于终端用户和管理员进行沟通,提高了解决问题的效率,减少管理员来回奔波的时间,大大减轻了运维压力。

3、加强外接设备管理,杜绝信息非法外传

  通过客户端软件可以对办公终端外接设备进行有效管理,可按需对U盘、光盘、蓝牙、串口等外接设备或接口进行授权管理和审计。禁止终端安装外置无线网卡、随身热点WiFi等无线外设,有效保护内网与互联网物理隔离,同时防止敏感信息外发,有助于规避银行运营风险。

四、结束语

随着《网络安全法》的正式实施,信息安全已被提升至国家安全战略层面,网络安全建设在信息化建设中显得更加重要。千里之堤,毁于蚁穴,只有从网络接入端的安全控制入手,强制实施准入安全策略,使原先实行被动、分散、人为的网络管理转化为主动、集中的、工具化的安全防控,进一步坚固信息安全整体防御体系。同时,针对银行业终端类型繁杂的特点,要合理地根据不同终端类型和特点设计管控策略,技术和制度相辅相成,达到事半功倍的效果。


作者:胡思维(中国银行宁波市分行)

上一篇:三等奖 —— 基于PPDRR模型的规划局安全防护体系研究与实践
下一篇:三等奖 —— 火力发电厂工控系统网络安全防护体系研究
【打印此页】【返回顶部】【关闭本页】
宁波市计算机信息网络安全协会   版权所有 2011-2016   ICP备案号:浙ICP备06028402号   网站维护商:宁波公众
联系电话:0574-87815766/87815706    传真:0574-87815706
EMAIL:nbaqxh@163.com