銀行是我國金融體系中最重要主體,,目前已有超過90%的銀行業(yè)務(wù)依賴于網(wǎng)絡(luò)和信息系統(tǒng),因此針對信息網(wǎng)絡(luò)的風險控制是所有銀行風險內(nèi)控的重中之重,。雖然各銀行已經(jīng)在網(wǎng)絡(luò)與信息安全方面做了大量的投入,但涉及信息安全方面的事件仍時有發(fā)生,。這些安全事件中,,超過80%是來自銀行內(nèi)網(wǎng)" title="內(nèi)網(wǎng)">內(nèi)網(wǎng)。
內(nèi)網(wǎng)安全管理" title="安全管理">安全管理的隱患到底在哪
深入分析后,,我們發(fā)現(xiàn):由于絕大多數(shù)銀行用戶,,其內(nèi)網(wǎng)安全管理薄弱,內(nèi)網(wǎng)用戶違規(guī)行為嚴重,,從而導(dǎo)致內(nèi)網(wǎng)用戶違規(guī)行為和安全問題頻繁發(fā)生,,也因為無法追查到違規(guī)行為和攻擊的違規(guī)行為責任人、攻擊源頭,,從而不能有效抵御和消除內(nèi)網(wǎng)安全威脅和風險,。
之所以存在這樣的困境,是因為內(nèi)網(wǎng)中的用戶是虛擬的,,缺乏有效的技術(shù)手段讓在網(wǎng)絡(luò)中虛擬的用戶與內(nèi)網(wǎng)中真實的用戶一一對應(yīng)起來,,不能做到精確定位和追根溯源。以至于即使發(fā)生了安全事件,,也無法找出隱藏在背后的真正責任人和“真兇”,,安全管理制度和條例也就形同虛設(shè)。
如果能夠建立內(nèi)網(wǎng)用戶實名管理機制,,所有的內(nèi)外網(wǎng)用戶都必須實名上網(wǎng),,則可以彌補現(xiàn)實與網(wǎng)絡(luò)虛擬世界之間的鴻溝,以便保證網(wǎng)絡(luò)中的安全問題都可以精確定位和追根溯源,,這樣就可以建立對內(nèi)網(wǎng)違規(guī)和非法行為的威懾力,,確保用戶在內(nèi)網(wǎng)的各項行為都嚴格按照內(nèi)控管理的要求進行,最終消除內(nèi)網(wǎng)安全問題的隱患,。
天珣準入控制如何構(gòu)建銀行實名制合規(guī)管理系統(tǒng)
銀行網(wǎng)絡(luò)實名制合規(guī)管理,,就是通過建立銀行內(nèi)部網(wǎng)絡(luò)中用戶確定的身份標識,,將網(wǎng)絡(luò)中的用戶標識與現(xiàn)實生活中真實的用戶建立起一一對應(yīng)的關(guān)系,確保銀行內(nèi)部每一個員工都能依據(jù)自己在銀行內(nèi)部的真實角色,,在網(wǎng)絡(luò)虛擬世界中從事與自己本職工作相關(guān)的行為,。
天珣具備業(yè)界最完善的計算機終端準入控制機制,從終端層到網(wǎng)絡(luò)層,,再到應(yīng)用層和邊界層,,提供了客戶端準入、網(wǎng)絡(luò)準入和應(yīng)用準入等多種準入控制手段,, 幫助銀行用戶,,不僅能夠?qū)崿F(xiàn)對所有接入和訪問內(nèi)網(wǎng)的終端和用戶進行身份認證和安全檢測,而且能夠借助準入控制提供的強制力,,保證內(nèi)網(wǎng)用戶必須按照自己的合法身份和網(wǎng)絡(luò)訪問權(quán)限接入和訪問網(wǎng)絡(luò),,實現(xiàn)內(nèi)網(wǎng)用戶實名接入和訪問網(wǎng)絡(luò),,為銀行用戶構(gòu)建實名制合規(guī)管理系統(tǒng),。
圖1為基于天珣多層準入控制基礎(chǔ)上的銀行實名制合規(guī)管理系統(tǒng)邏輯示意圖:
圖1天珣準入控制構(gòu)建銀行實名制合規(guī)管理系統(tǒng)
基于天珣多層準入構(gòu)建的銀行實名制合規(guī)管理系統(tǒng),可以將網(wǎng)絡(luò)用戶名,、終端MAC地址,、終端IP地址、VLAN信息,、終端用戶在授權(quán)的時間周期,、終端自身的安全狀態(tài)和管理狀態(tài)一個或者多個條件綁定作為用戶登錄并訪問網(wǎng)絡(luò)的身份條件,實現(xiàn)實名接入內(nèi)網(wǎng),、實名訪問業(yè)務(wù)系統(tǒng),、服務(wù)器資源以及實名網(wǎng)上鄰居。
1)實名制內(nèi)網(wǎng)接入
當終端試圖通過交換機接入內(nèi)網(wǎng)時:天珣能夠在內(nèi)網(wǎng)接入層,,甚至內(nèi)網(wǎng)匯聚層,,與接入層或匯聚層的網(wǎng)絡(luò)設(shè)備聯(lián)動,對嘗試聯(lián)網(wǎng)的終端實施網(wǎng)絡(luò)準入控制,,執(zhí)行身份驗證和合規(guī)檢查,,保證只有使用專屬于指定的用戶名/密碼、指定的終端,、指定的IP地址,,并在授權(quán)有效期限內(nèi),接入內(nèi)網(wǎng),。對于不合規(guī)的終端,,系統(tǒng)將自動對其進行隔離或者自動劃入修復(fù)區(qū)。
2) 實名制業(yè)務(wù)系統(tǒng)和服務(wù)資源訪問
當接入網(wǎng)絡(luò)的終端試圖訪問內(nèi)網(wǎng)服務(wù)器或關(guān)鍵業(yè)務(wù)系統(tǒng)時:天珣在關(guān)鍵業(yè)務(wù)系統(tǒng)服務(wù)器之上,,執(zhí)行應(yīng)用層準入控制,,可以對來訪的終端執(zhí)行合規(guī)檢查,保證使用專屬于指定的用戶名/密碼、指定的終端,、指定的IP地址,,并在授權(quán)有效期限內(nèi),才能對內(nèi)網(wǎng)服務(wù)資源進行授權(quán)訪問,,如果來訪終端非受控或不合規(guī),,將被拒絕訪問該服務(wù)器或業(yè)務(wù)系統(tǒng)。天珣可以詳細記錄由終端發(fā)起的各種網(wǎng)絡(luò)行為,,其中包括終端對業(yè)務(wù)系統(tǒng)服務(wù)器的網(wǎng)絡(luò)訪問記錄,,如果業(yè)務(wù)系統(tǒng)或服務(wù)器發(fā)生了意外的非法訪問或攻擊,可以通過天珣所記錄的網(wǎng)絡(luò)行為信息,,定位非法方位或攻擊是從那臺終端發(fā)起,,追查事件的責任人。
3)實名制網(wǎng)上鄰居
當兩個終端相互之間進行訪問時:合規(guī)受控的終端可以對來訪的終端實施客戶端準入控制,,對來訪的終端執(zhí)行合規(guī)檢查,,只接受合規(guī)安全的終端的訪問,杜絕不安全的終端進行非法訪問,,也有效切斷感染蠕蟲病毒的非受控終端對合規(guī)終端的病毒感染和傳播,。
借助實名制管理系統(tǒng),還可以幫助銀行實施實名制終端行為審計和實名制移動存儲管理,,即便是內(nèi)網(wǎng)意外發(fā)生安全事件,,借助實名管理系統(tǒng),即可精確定位到發(fā)起網(wǎng)絡(luò)訪問的終端和用戶賬號,,并通過集中管理的用戶系統(tǒng),,很容易就找出當時具體是哪個員工在訪問網(wǎng)絡(luò),從而為加強企業(yè)安全管理,,將安全管理政策的執(zhí)行,,具體落實到每一個員工,并在企業(yè)網(wǎng)突發(fā)安全事件,,也能夠快速定位源頭,,并找出該安全事件的責任人。
銀行實名制合規(guī)管理系統(tǒng)案例賞析
中國建設(shè)銀行廣東省分行一直都很關(guān)注網(wǎng)絡(luò)實名制對內(nèi)控管理的價值,,而啟明星辰的天珣多層準入控制的獨特價值,,正切中了實現(xiàn)企業(yè)網(wǎng)實名制管理的關(guān)鍵,經(jīng)過與啟明星辰深入交流之后,,中國建設(shè)銀行廣東省分行最終選擇了啟明星辰的天珣內(nèi)網(wǎng)安全風險管理與審計系統(tǒng),,為廣東建行構(gòu)建用戶實名制合規(guī)管理系統(tǒng)。
圖2 建設(shè)銀行廣東分行基于天珣的實名制管理系統(tǒng)示意
廣東建行實名制管理合規(guī)系統(tǒng)是由安裝在每一臺終端的天珣客戶端軟件,、接入層交換機和天珣后臺認證和管理服務(wù)器組成的,。其中天珣客戶端不僅作為用戶進行驗證和登錄網(wǎng)絡(luò)的起點,,也是終端全程安全防御的起點;后臺的天珣認證和管理服務(wù)器作為驗證和管理終端與用戶的系統(tǒng),,維護終端實名制管理列表,,而接入交換機則作為終端和用戶接入和訪問網(wǎng)絡(luò)的唯一入口,實現(xiàn)內(nèi)部合法用戶使用實名接入和訪問網(wǎng)絡(luò),。
系統(tǒng)上線后,,收效顯著,不僅再未發(fā)生過因個別不安全終端導(dǎo)致的內(nèi)網(wǎng)大面積堵塞和癱瘓,,原先層出不窮的內(nèi)部人員違規(guī)網(wǎng)絡(luò)行為也有效的杜絕了,,這些均為廣東建行核心業(yè)務(wù)的持續(xù)、穩(wěn)定運行提供了可靠的支持和保證,。