观点 河南农信曹拥军:一体化终端安全管理系统

来源:金科创新社 作者:河南省农信联社信息科技部副总经理曹拥军

近年来,河南省农村信用社联合社持续开展新一代IT系统建设,遵循“服务业务、服务客户、服务基层、服务管理”的总体要求,信息科技建设水平不断提升,全省农信社信息化速度不断加快,各项业务经营管理得到了长效提升。但网络安全也面临日益严峻的挑战。内网终端作为内外部信息交互的窗口,是内网安全防护的“第一道防线”。面对日益复杂的网络安全形势,加强内网终端安全管理显得尤为重要。

在11月28日,在由农信银资金清算中心主办,金科创新社承办的“2019农村金融科技创新与共享发展会议暨第三届农村金融科技创新优秀案例评选”上,河南省农信联社信息科技部副总经理曹拥军介绍了河南农信一体化终端安全管理系统建设实践。

一、项目背景

河南农信共有县级法人机构139家,营业网点5200个,投入生产使用的内网终端设备包括柜面终端、办公电脑、农民金融自助终端、ATM、查询机、超级柜台、银铁通、虚拟柜员机等,各类内网终端数量共计6万余台。终端安全管理面临内网终端网络接入不规范、日常管理维护不到位、防病毒功能欠缺、病毒扫描处置不及时、U盘无法有效管理等诸多问题。而内网终端类型、品牌、型号、数量较多以及各市县行社管理方法的不同,导致对内网终端统一进行安全管理存在较大难度。

在《中华人民共和国网络安全法》、《信息安全技术 信息系统安全等级保护技术要求》(GB/T 22239-2008)、《信息安全技术 信息安全风险评估规范》(GB/T 20984-2007)、《商业银行信息科技风险管理指引》(银监发2009-19 号)、《商业银行内部控制指引》(银监发2014-40号)、《关于银行业金融机构信息系统安全等级保护定级的指导意见》(2012-163 号)、《金融行业信息系统信息安全等级保护实施指引》(JR/T 0071-2012)等监管要求下,结合自身终端安全管理需求,河南农信于2018年8月启动了“一体化终端安全管理系统”项目。

二、项目实施情况

针对终端安全管理面临的问题,项目建设初期,在充分调研需求的基础上,结合各类内网终端的运行情况以及业务场景,制定了不同的解决方案,并严格按照方案有序推进。

河南农信一体化终端安全管理系统于2018年9月-11月完成系统功能性测试、兼容性测试、功能模块定向开发测试;2018年11月在郑州市市区联社、市郊联社、三门峡市全辖农信社进行生产环境测试;2019年2月完成上线培训、机构信息导入、三级管理员账号创建、应急流程及应急预案等上线准备工作;2019年3月开始在全省农信社安装部署,针对不同类型设备分别安装办公电脑完整包、柜面终端安装包、自助设备安装包、农民金融自助终端安装包;2019年5月全面开启网络准入控制策略。

截至2019年10月31日,全省农信社共安装部署柜面终端20562台、办公电脑13903台、自助终端12395台,安装量占设备总数量的 97%以上。

三、系统功能

1.功能模块‍

一体化终端安全管理系统包括网络准入控制模块、终端安全管理模块、防病毒模块、统一登录模块和SOC展示平台五大模块,共同构成联动、集成、完整的终端安全防护体系。

(1)网络准入控制模块。该模块可控制可信计算机的访问权限,防止非法终端的接入,为终端入网安全管理提供强有效的保障,规避来自内外部的网络安全风险。具备立体式内网安全防护(终端认证和安全检查、硬件准入网关实现网络层访问控制、细粒度的授权管理保障业务系统安全)、灵活的安全策略管理(全面的安全策略检查、方便和终端安全管理模块进行结合)、高可用的终端管理方案(部署简单,不改变原有网络,易用性高)等特点。

(2)终端安全管理模块。该模块以终端管理为核心,集主机监控审计、补丁管理、桌面应用管理、信息安全管理、终端行为管控等终端安全管理措施为一体,营造安全的内网环境,保障终端安全稳定运行。安全管理人员根据各项规范、制度,结合各类设备网络环境以及运行场景,制定相应的安全管理策略,形成“防、控、审”一体的安全管理策略。

终端安全管理模块的主要功能包括:①终端安全管理,对终端设备的登录密码、账户权限进行管理,对协议防火墙设置实现访问网络管理,对杀毒软件实现统一管理,注册表的监控和管理、IP/MAC地址绑定;②主机运维管理,对终端设备运行资源进行监控报警,终端流量进行管控审计,软件进程异常取证,终端设备重要文档备份;③IT资产管理,终端设备的软硬件资产统计,软硬件的变更信息审计报警,软硬件报表输出,手动更改信息;④终端桌面管理,针对于终端设备软件、进程、服务的黑白名单进行管理,软硬件端口管理,管理平台查看单台设备的详细运行信息,远程解决问题,定时关机等;⑤文件分发管理,向指定终端指定目录分发文档和软件安装,在管理平台实时查看下载安装情况;⑥安全监控审计,对终端的操作和运行状况进行监控审计,包括上网访问、文档操作、文件内容检查等;⑦非法外联管理,对生产网的终端进行实时监测,一但有终端违规联入互联网,快速处置、告警、定位锁定,并向管理平台报警;⑧补丁管理,对内部终端统一安装补丁。采用先指定设备补丁测试,测试完毕后采用增量式进行补丁下载安装,在管理平台可以实时查询补丁下载安装情况。

(3)防病毒模块。该模块以大数据技术为支撑、以可靠服务为保障,能够为用户精确检测已知病毒木马、未知恶意代码,有效防御APT攻击等,并提供终端资产管理、漏洞补丁管理、Windows XP安全防护等诸多功能。管理平台为管理员提供了统一修复漏洞、统一杀毒、统一升级等多种管理功能,管理员可以通过控制台直接对网内所有终端进行统一防病毒管理。

(4)统一登录模块。该模块为实现各子模块的登录入口统一、账号密码一致等功能而设计,可实现使用一个账号登录网络接入控制模块、终端安全管理模块、防病毒模块、SOC展示平台,方便管理人员日常维护,加强各模块之间的预警联动。

(5)SOC展示平台。该平台将网络接入控制模块、终端安全管理模块、防病毒模块服务端提取的数据统一进行大屏展示,展示省、市、县各级相关数据,集中展示了客户端安装数量、补丁安装情况、策略执行情况等数据,对于管理人员直观了解系统运行情况,及时发现问题、及时响应处理提供了参考依据。

2.安全防护体系

安全防护体系如图1所示,通过对网络接入控制管理、终端安全管理、防病毒管理等功能模块进行优化整合,形成了内网终端安全防护的“第一道防线”。通过SOC展示平台以及统一登录模块,将系统各管理功能进行整合,在方便日常运维管理的同时,形成了内网终端安全防护的“第二道防线”。

图1 安全防护体系

3.系统架构‍

系统架构见图2,采用“1+7”的部署方式,即1个一级控制中心和7个二级控制中心,形成树状结构,所有服务器均统一部署在省联社。在二级控制中心创建各市县级管理员,按照不同权限分级进行管理。

图2 系统架构

四、建设意义及特点

内网终端是河南农信业务运营服务的基础设施,一体化终端安全管理系统上线后,对全省农信社所有接入内网的终端设备网络接入进行了规范;有效解决了内网终端操作系统加固问题,可以统筹安排对操作系统重大缺陷或漏洞等风险隐患快速进行应急处置;有效解决了内网终端设备资产信息管理、软硬件管理、防止非法外联等问题;有效解决了移动存储设备安全管理问题,保障了内网数据安全;可以快速有效的定位内部网络中的病毒、木马及其他高危程序,营造高效、快速、安全的内网环境;通过日常管理,有效提高了员工合规操作意识。为防范内网终端潜在的网络安全隐患提供了一站式解决方案。

第一,高效集成,合理有效。将终端安全管理方面的各项管控措施如网络接入控制、终端安全管理、防病毒集成在一套系统中,删减了不必要或者重复性的功能,既避免了对正常业务运行带来压力,又保证了安全措施合理有效,达到了安全管理与业务效率的平衡。通过建设统一登录模块与SOC展示平台,方便了日常的统一管理与维护。

第二,个性开发,契合实际。由于终端类型多、品牌型号多、硬件配置参差不齐且功能需求不同,有针对性的研发了柜面终端安装包、办公电脑安装包、自助终端迷你包、自助终端安装包等多个安装包,减少终端运行压力。并根据各类终端的网络运行环境,采取现场安装、远程推送等多种安装方式,极大的减轻了安装部署工作压力。

第三,集中部署,分级管理。所有服务器集中在省联社部署,保障了系统运行稳定。系统功能权限分为“省-市-县”三级,各司其职,既制定了全省农信社内网终端网络安全基线,又满足了各市县法人行社日常管理个性化需求。

以上内容由李庆莉编辑整理。

发表评论