第一章:项目概(gai)述(shu)
1.1. 项目背景
长沙农村(cun)商业银行股份有(you)限公司(以(yi)下简称“长沙(sha)农(nong)(nong)商银(yin)(yin)行(xing)(xing)(xing)”)是(shi)经中国银(yin)(yin)监(jian)会批准(zhun),由原湖(hu)(hu)南望城农(nong)(nong)村(cun)(cun)商业银(yin)(yin)行(xing)(xing)(xing)、长沙(sha)雨花农(nong)(nong)村(cun)(cun)合作银(yin)(yin)行(xing)(xing)(xing)、长沙(sha)天心农(nong)(nong)村(cun)(cun)合作银(yin)(yin)行(xing)(xing)(xing)、长沙(sha)芙蓉农(nong)(nong)村(cun)(cun)合作银(yin)(yin)行(xing)(xing)(xing)、长沙(sha)开福(fu)农(nong)(nong)村(cun)(cun)合作银(yin)(yin)行(xing)(xing)(xing)合并组(zu)建的(de)金(jin)融机构(gou),于2016年9月正式挂(gua)牌(pai)成立,是(shi)湖(hu)(hu)南省唯一一家省市共建的(de)股份制商业银(yin)(yin)行(xing)(xing)(xing)。长沙(sha)农(nong)(nong)商银(yin)(yin)行(xing)(xing)(xing)注册资(zi)本50亿(yi)元(yuan)人民(min)币(bi),全行(xing)(xing)(xing)在(zai)职员工2000余名,总行(xing)(xing)(xing)下设(she)14个(ge)一级(ji)支(zhi)(zhi)行(xing)(xing)(xing)、1个(ge)直属支(zhi)(zhi)行(xing)(xing)(xing)、170多个(ge)营业网点覆盖长沙(sha)城乡。截至2020年12月末,全行(xing)(xing)(xing)资(zi)产(chan)总额(e�����)1478.31亿(yi)元(yuan),存款余额(e)1136.35亿(yi)元(yuan),贷款余额(e)801.27亿(yi)元(yuan)。资(zi)产(chan)规模(mo)不断(duan)壮大,市场份额(e)稳步提高,经营效(xiao)益有(you)效(xiao)提升,风险(xian)指标持续达标,致力(li)建设(she)资(zi)产(chan)质量(liang)优良、盈利(li)能力(li)领先、风控水平良好(hao)的(de)现代农(nong)(nong)村(cun)(cun)商业银(yin)(yin)行(xing)(xing)(xing)。
随着信息技(ji)术(shu)与物联网(wang)技术的(de)(de)(de)(de)快速发(fa)展,大量物联网(wang)终(zhong)端接入到(dao)了(le)银(yin)(yin)行安(an)(an)(an)(an)防(fang)网(wang)络(luo)(luo)中,促(cu)进了(le)银(yin)(yin)行安(an)(an)(an)(an)防(fang)系(xi)统(tong)的(de)(de)(de)(de)智能化升级,但也因此(ci)给银(yin)(yin)行安(an)(an)(an)(an�����)防(fang)网(wang)带来了(le)一系(xi)列安(an)(an)(an)(an)全(quan)隐患,安(an)(an)(an)(an)防(fang)系(xi)统(tong)的(de)(de)(de)(de)网(wang)络(luo)(luo)安(an)(an)(an)(an)全(quan)成为银(yin)(yin)行建设立体安(an)(an)(an)(an)全(quan)风险防(fang)范体系(xi)面临的(de)(de)(de)(de)又一大挑战(zhan)。当前(qian)针对(dui)银(yin)(yin)行安(an)(an)(an)(an)防(fang)网(wang)络(luo)(luo)的(de)(de)(de)(de)攻(gong)击(ji)侵害(hai)事件日益增多,由此(ci)引发(fa)的(de)(de)(de)(de)直接经济损失和间(jian)接声誉风险,均给银(yin)(yin)行带来了(le)重大的(de)(de)(de)(de)负面影响(xiang)。为防(fang)控(kong)网(wang)络(luo)(luo)攻(gong)击(ji)侵害(hai)和规(gui)避安(an)(an)(an)(an)全(quan)风险,长沙(sha)农村商业(ye)银(yin)(yin)行紧(jin)(jin)紧(jin)(jin)围绕(rao)《网(wang)络(luo)(l������uo)安(an)(an)(an)(an)全(quan)法》《网(wang)络(luo)(luo)安(an)(an)(an)(an)全(quan)等级保护(hu)》等相关法律(lv)法规(gui),重点加(jia)强安(an)(an)(an)(an)防(fang)系(xi)统(tong)的(de)(de)(de)(de)网(wang)络(luo)(luo)安(an)(an)(an)(an)全(quan)建设和安(an)(an)(an)(an)全(quan)管(guan)理(li)工作,提(ti)高安(an)(an)(an)(an)防(fang)网(wang)络(luo)(luo)安(an)(an)(an)(an)全(quan)运(yun)营的(de)(de)(de)(de)自动化和智能化水(shui)平,建成全(quan)行视频监控(kong)网(wang)络(luo)(luo)安(an)(an)(an)(an)全(quan)运(yun)营中心(xin)。
1.2. 痛(tong)点分析(xi)
u 安(an)防(fang)网络存安(an)全风险
网(wang)点安(an)(a����n)防网(wang)络容易被不法(fa)分子破坏(huai)、非法(fa)接入,或者仿冒成合法(fa)设备接入安(an)(an)防网(wang), 入侵存储设备,删除、替换(huan)、窃取银行(xing)(xing)视频录像。或通过非法指令对安(an)(an)防网(wang)络造成(cheng)DDos攻(gong)击,让(rang)监控平(ping)台瘫痪(huan),甚至远程(cheng)撤布防、控制门禁启闭。银行(xing)(xing)面临安(an)(an)防系统(tong)被(bei)非法控制的风险;同时安(������an)(an)防终端进网(wang)安(an)(an)装时,普(pu)遍采(cai)用默认(ren)密码或简(jian)单口令,且银行(xing)(xing)安(an)(an)防网(wang)不能连外网(wang)无法在(zai)线升级补丁,银行(xing)(xing)安(an)(an)防终端自(zi)身普(pu)遍存在(zai)安(an)(an)全(quan)风险,容易被(bei)攻(gong)击和利用;
u 安(an)防(fang)资产难(nan)管理(li)
银(yin)行(xing)的(de)(de)(de)安防(fang)终端数量多,分布(bu)在各区域的(de)(de)(de)营业网(wang)点(dian)或离行(xing),网(wang)点(dian)位置分散,全(quan)行(xing)资产(chan)登记(ji)造册全(quan)靠人工,容(rong)易出现(xian)错记(ji)漏记(ji)、资产(chan)信息登记(ji)不全(quan)的(de)(de)(de)情况,同时资产(chan)的(de���)(de)(de)定期盘点(dian)缺乏(fa)有(you)效的(de)(de)(de)工具(ju),资产(chan)上线(xian)、下线(xian)、退网(wang)、维修无(wu)法及(ji)时跟踪,资产(chan)更新维护(hu)难(nan)。
u 安防网络难运维
安防系统IP化后(hou),安(an)(an)防(fang)网的运(yun)维给安(an)(an)保部门带来(lai)了新的挑战,金融业务(wu)场(chang)景下,要(yao)求(qiu�������)银行安(an)(an)防(fang)系统要(yao)求(qiu)7x24小时不(bu)间断(duan)运(yun)行,整(zheng)个安(an)(an)防(fang)系统的前(qian)端(duan)设(she)备、中间传输(shu)设(she)备、后(hou)端(duan)服务(wu)器设(she)备数量(liang)庞大(da),运(yun)维工作(zuo)压力(li)巨大(da),运(yun)维难度急剧(ju)增(zeng)加。总行对全市下辖的网点安(an)(an)防(fang)网络的运(yun)维,需要(yao)投入大(da)量(liang)的人(ren)力(li)和财力(li)。
1.3. 建(jian)设(she)目标
u 规(gui)范(fan)网点(dian)安(an)防网络(luo)的(de)安(an)全管理
在营业(ye)网(wang)点安(an)防网(wang)络(luo)接(jie)入(ru)侧,建立终端(duan)授权(quan)准入(ru)机制,只允许授权(quan)终端(duan)接(jie)入(ru)安(an)防网(wang)络(luo),非授权(quan)设备(bei)禁(jin)止接(jie)������������入(ru);并(bing)能识别出仿(fang)冒接(jie)入(ru)的设备(bei),禁(jin)止其接(jie)入(ru)安(an)防网(wang)络(luo)。
u 主(zhu)动(dong)感知网点安防终(zhong)端的(de)安全风险
能(neng)够(gou)主(zhu)动(dong)探测感知(zhi)营业(ye)网(wang)点安(an)防终(zhong)(zhong)端(duan)存在的(de)安(an)全隐患,对于(yu�������)终(zhong)(zhong)端(duan)设备常见的(de)弱口令和高危端(duan)口的(de)安(an)全风险(xian),能(neng)够(gou)主(zhu)动(dong)扫描发现(xian)并记录(lu)下来。
u 实(shi)现全(quan)行(xi������ng)安(an)防设备资(zi)产(chan)的安(an)全(quan)管理
能够主动探测并识别(bie)全行所有安防(�������fang)设备,实现跨品牌、跨系统、跨平台安防������(fang)设备的统一管理(li),对于安防(fang)资产的在网、退(tui)网、维修进行全生(sheng)命周期的管理(li)。
u 实(shi)现安(an)防网络的自动化智(zhi)能(neng)化运(yun)维
能(neng)够自动(dong)构建(jian)出全行(xing)视频(pin)专网(wang)的网(wang)络(luo)架构,实(shi)现全行(xing)所(suo)有网(wang)点(dian)(dian)安(an)防(fang)(fang)网(wang)可视化管理。能(neng)够实(shi)时监(jian)测网(wang)点(dian)(dian)视频(pin)监(jian)控、报(bao)警(jing)、对讲、门禁等安(an)防(fang)(fang)设(she)备的工作状态(tai),及(ji)传输网(wang)络(luo)的运行(xing)状态(tai),实(shi)现故(gu)障自动(dong)发现、主(zhu)动(dong)告(gao)警(jing)、自动(dong)定位,最终实(�����shi)现银行(xing)安(an)防(fang)(fang)网(wang)络(luo)的智(zhi)能(neng)化运维。
第(di)二章:解决方案
2.1. 方案概(gai)述
万网(wang)博通安(an)(an)防物联(lian)网(wang)安(an)(an)全防护(�������hu)系统,围绕《网(wang)络安(an)(an)全等(deng)级保护(hu)》2.0—物联网安(an)(an)(an)全扩展要求,基于物联网的(de)业务流(liu)(liu)程(cheng)(cheng),并结合银行(xing)安(an)(an)(an)防(fang)(fang)物联网的(de)应(ying)用(yong)场景出发,在(zai)零信任(ren)架构的(de)安(an)(an)(an)全背景下,从(cong)终端设备安(an)(an)(an)全风险感知、网络接入控(kong)制(zhi)、流(liu)(liu)量监测异常行(xing)为管控(kong)、存储(chu)安(an)(an)(an)全、视频外泄(xie)防(fang)(fang)护(hu)、 资产的(de)安(an)(an)(an)全管理(li)及智能运(yun)维等方面,对安(an)(an)(an)防(fang)(fang)物联网全流(liu)(liu)程(������cheng)(cheng)节点,配置智能安(an)(an)(an)全检测技术(shu)和防(fang)(fang)护(hu)手段(duan),实现(xian)银行(xing)安(an)(an)(an)防(fang)(fang)系统(tong)全业务流(liu)(liu)程(cheng)(cheng)的(de)安(an)(an)(an)全态势感知和安(an)(an)(an)全防(fang)(fang)护(hu)。
2.2. 架构(gou)说明
Ø 部署说(shuo)明:
中心(xin)端:在长沙(sha)农商行(xing)(xing)总(zong)行(xing)(xing)监控(kong)(kong)中心(xin),视频专网(wang)的(de)核心(xin)交换机(ji)旁挂部(bu)署(shu)一台安(an)防物联网(wang)安(an)全(quan)管(guan)控(kong)(kong)平台服务(wu)器(qi),对(dui)全(quan)行(xing)(xing)安(an)防网(wang)络的(de)安(an)全(quan)指(zhi)数(shu)(shu)进(jin)行(xing)(xing)动态评估,同时为全(quan)行(xing)(xing)制定并下发安(an)全(quan)策略,统计并汇总(zong)全(quan)行(xing)(xing)的(de)接入安(an)全(quan�������)风险数(shu)(shu)、终端安(an)全(quan)风险数(shu)(shu)、访问安(an)全(quan)风险数(shu)(shu)。同时实现对(dui)长沙(sha)农商行(xing)(xing)近(jin)180个网(wang)点安防资产(chan)的汇总与(�����yu)统(tong)计并投屏(ping)显示,并支(zhi)�����持在GIS地图(tu)上(shang)标注出安防资产的地理位������置及(ji)空间(jian)�����分布情况;同时为全行(xing)提供了一个安防系统集中运维平台。
网(wang)(wang)点侧:在网(wang)(wang)点汇������聚(ju)交换机(ji)旁挂部署一台边缘网(wang)(wang)关作为前端(duan)设备,不影响网(wang)(wang)点原有网(wang)(wang)络架构,部署简单(dan),实(shi)现本网(wang)(wang)点安防(fang)(fang)网(wang)(wang)所(suo)有安防(fang)(fang)设备的(de)探测与(yu)发现,并执行服(fu)务器(qi)端(duan)的(de)安全(quan)(q������uan)准入管(guan)控机(ji)制,对安防(fang)(fang)内网(wang)(wang)的(de)所(suo)有行为进(jin)行跟踪与(yu)记录,深度(du)识别非法行为并进(jin)行拦截,同时将(jiang)本网(wang)(wang)点的(de)资产、安全(quan)(quan)、运维等方面的(de)数据上报给服(fu)务器(qi),便(bian)于集(ji)中管(guan)理、统(tong)一呈现。
2.3. 方案(an)介绍
2.3.1 网络安全防护
Ø 全网动态安全评(ping)估
安(an)防(fang)物联网(wang)安(an)全防(fang)护系(xi)统(tong),从网(wang)络安(an)全、资产状态(tai)(tai)、网(wang)络传输质量三个维度对(dui)长沙(sha)农商行(xing)安(an)防(fang)系(xi)统(tong)进(jin)行(xing)动(dong)态(tai)(tai)安(an)全评(ping)估,通过评(ping)分机制能(neng)够实(shi)时掌握全行(xing)安(an)防���(fang)系(xi)统(tong)当前(qian)的健康(kang)态(tai)(tai)势。
Ø 网络边界安全防护
安防物联网安全防护系统,在设(s������he)备接入网络(luo)时,采用(yong)终端授(shou)权准入的(de)安全机制,未经授(shou)权的(de)设(she)备禁止接入网络(luo),有效杜绝(jue)了私接乱接的(de)现象。
Ø 终端安全风(feng)险扫描
安(an)防物联网(wang)安(an�����)全防护系统定期对内网(wang)设备进行登录密(mi)码和开启(qi)的(de)(de)通(tong)信端口进行扫描,主动扫描发现存在弱(ruo)口令(ling)和高危漏洞(dong)的(de)(de)终(zhon����g)端设备,及(ji)时查明设备自身存在的(de)(de)安(an)全风险。
Ø 行为(wei)安全审计(ji)与入侵识别
安(an)(an)防物联网安(an)(an)全防护系统对(dui)内网所有数据流进行(xing)(xing)深度行(xing)(xing)为(wei)(wei)分(fe�����n)析(xi),判定(ding)其合(he)法性,对(dui)非(fei)授权(quan)的设备登(deng)录(lu)(lu)、非(fei)法视频访问、非(fei)法扫描等行(xing)(xing)为(wei)(wei)进行(xing)(xing)识(shi)别并(bing)生成访问日志记录(lu)(lu),并(bing)支持制定(ding)访问控制策略进行(xing)(xing)拦截。
Ø 视频存储安全
安防物联网安全防护系统(tong)通过SDK与硬盘录像机NVR对接,智(zhi)能检(jian)测出视频(pin)(pin)存储的天数(shu)和(he)视频(p��in)(pin)存储质量,发(fa)现存储时长不(bu)达标和(he)漏录的视频(pin)(pin),主动(dong)记录下来并告警(jing)通知。
2.3.2 资产集中管理(li)
安防物联网安全防护系统(tong)通(tong)过指纹库、协议对接、Agent插件等(deng)(deng)多种(zhong)方式(shi),自动识别(bie)������安防各子(zi)系(xi)统的(de)(de)终(zhong)端(duan)设(she)备(bei)(bei)(bei)(bei)、网络传(chuan)输设(she)备(bei)(bei)(bei)(bei)以及服务器(qi)等(deng)(deng)设(she)备(bei)(bei)(bei)(bei),并(bing)将(jiang)识别(bie)出来的(de)(de)设(she)备(bei)(bei)(bei)(bei),按类型(xing)进行分类统计,记录设(she)备(bei)(bei)(bei)(bei)的(de)(de)详细(xi)信息(IP、MAC、品牌(pai)、型(xing)号等(den�����g)),在(zai)监控中心(xin)能够(gou)实现全网所有安防资产的集中管理,杜绝多个平台多套数�������(shu)据。
2.3.3 全网智(zhi)能(neng)运维(wei)
安防(fang)物联��������网安全防(fang)护系(xi)统实时监测安防(fang)网络(lu������o)的通信(xin)质量、设备在线状态、网络(luo)故障等网络(luo)异常(chang)情(qing)况,一(yi)旦发现异常(chang)及时弹窗告(gao)警,并生成日志记录方便溯源。
第三章:方案(an)特色
3.1. 全(quan)流(liu)程(cheng)安(an)全(quan)管控(kong)
安(an)防(fang)物联网安(an)全(quan)防(fang)护系统,给长(zhang)沙农商(shang)行提供了一套从(cong)前端(duan)接入(ru�������)到(dao)后(hou)端(duan)应用(yong)的(de)全(quan)流程安(an)全(quan)防(fang)护系统,从(cong�������)终(zhong)端(duan)的(de)接入(ru)、终(zhong)端(duan)风险感知、行为(wei)跟踪审计、入(ru)侵行为(wei)识别与阻(zu)断(duan)、视(shi)频存(cun)储安(an)全(quan)检(jian)测等环节,为(wei)长(zhang)沙农商(shang)行180个网(wang)点的(de)安防(���fang)(fang)网(wang)提供全(quan)方(fang)位的(de)安全(quan)防(fang)(fang)护措施。
3.2. 资(zi)产数字化管理
安防(fang)物联网安全������防(fang)护系(xi)统(tong),实现了长沙农商行(xing)全行(xing)近180个网(wang)点动态、数(shu)字化的(de)安(an)防(fang)资(zi)产(chan)的(de)统一管理,多维度(du)刻画出网(wang)点安(an)防(fang)网(wang)单(dan)资(zi)产(chan)、单(dan)系统的(de)资(zi)产(chan)画像。实现资(zi)产(chan)与物(wu)联(lian)、业务、组��������织架构的(de)关联(lian)及安(an)防(fang)物(wu)联(lian)资(zi)产(chan)动态全(quan)(quan)景可视。建立起了长沙农商(shang)行安(an)防(fang)网(wang)络基础(chu)、动态、全(quan)(quan)网(wang)的(de)数(shu)字资(zi)产(chan)安(an)全(quan)(quan)管理体(ti)系。
3.3. 运维效(xiao)率提升(sheng)
安(an)防(fang)物联(lian)网(wang)(wang)安(an)全(quan)防(fang�����)护系统,不仅大(da)大(da)提升了(le)(le)长沙农商行(xing)(xi�������ng)安(an)防(fang)物联(lian)网(wang)(wang)的(de)安(an)全(quan)性(xing),通过(guo)全(quan)行(xing)(xing)智能运维(wei)技术手段,大(da)大(da)提高了(le)(le)售后运维(wei)的(de)工作(zuo)效率,同时大(da)幅度减少了(le)(le)长沙农商行(xing)(xing)安(an)防(fang)网(wang)(wang)运维(wei)人员的(de)投(tou)入,极大(da)降低了(le)(le)全(quan)行(xing)(xing)安(an)防(fang)网(wang)(wang)的(de)维(wei)护成本。
