金融行业GSN专题解决方案 1.缩略语 GSN:全局安全料络解决方案《G1 obalSecurityNetwork)的缩写, SP:安全管理平台(SecuritylanagenentPlatforn)的第写. HI:主机完整性(Host1 ntegrity)的缩写。 IDS:入侵检测设备(IntrusionDetect ion5 ysten》的缩写。 安全策略:X中用于对接入用户进行处理的方法,实现原理为断和允许某些报文在 安全交换机上进行转发。 2金融内控现状。 随着我国经济的不新进步,以及近年来股市行情的一路走高,“上市”成为一个非常热 门的话题,尤其是处于经济发展简沿的金融企业,更是在上市的路上走在了藏列。为了保障 股民的利益,不论是我国还是其他国家都出台了额多相关的法规。来对上市企业进行控制, 这其中较为出名的就是在“安然事件”之后美国出台的塞班所法案,这个法案中对于上市公 司的内部控制提出了根高的要求,不论从审计角度还是从管理角度,都您须满是相关的规定, 公可才能够上市。而在我国,也有像《上海交易所上市公司内部控制番引》、《深圳交易所上 市公司内部控制指引》这样的有关内部控制方面的法规和规范。为上市公司的内部控制指明 了方向。 那么金验企业目前的内部控制情况是怎样的呢?我们以恨行的办公局域网为例,案荷要 的分析一下。 4硬件授货大、安全设备多。 金触行业的网络建设起步非常早,面其业务的特殊性也使得金聪行业对于安全性的重视 非常之高。早期的眼行业,业务单一,在办公同域网中也没有连接internet的需求,可以 说在那个时候,办公局城网的安全性是非常高的。面随着业务的件类不断丰富,许多新的业 务的引进也带来了耳联网防问的需求,可以说现在的银行网络是一个越来越开战的网络。侧 之而米的问题。就是这个越米越开放的料络如何面对外界种类繁多的病毒和政击了。一般米 说,银行局域网在都署的时候,在安全方面都有着详细的规范,尤其是在互联网出口的位置, 更是部著重兵,诸如防火墙、防水墙、防毒墙、S、5,代弹服务器、流控设备等等安全 设备一个都不能少,这一系列安全设备的罗列,的确带米了一定的安全性。但这种集中式的 安全部署,将重兵全都部署在出口位置,给内网的安全带来了一些漏洞,例如在某省行办公
金融行业 GSN 专题解决方案 1.缩略语 GSN:全局安全网络解决方案(GlobalSecurityNetwork)的缩写。 SMP:安全管理平台(SecurityManagementPlatform)的缩写。 HI:主机完整性(HostIntegrity)的缩写。 IDS:入侵检测设备(IntrusionDetectionSystem)的缩写。 安全策略:GSN 中用于对接入用户进行处理的方法,实现原理为阻断和允许某些报文在 安全交换机上进行转发。 2.金融内控现状。 随着我国经济的不断进步,以及近年来股市行情的一路走高,“上市”成为一个非常热 门的话题,尤其是处于经济发展前沿的金融企业,更是在上市的路上走在了前列。为了保障 股民的利益,不论是我国还是其他国家都出台了很多相关的法规,来对上市企业进行控制, 这其中较为出名的就是在“安然事件”之后美国出台的塞班斯法案,这个法案中对于上市公 司的内部控制提出了很高的要求,不论从审计角度还是从管理角度,都必须满足相关的规定, 公司才能够上市。而在我国,也有像《上海交易所上市公司内部控制指引》、《深圳交易所上 市公司内部控制指引》这样的有关内部控制方面的法规和规范,为上市公司的内部控制指明 了方向。 那么金融企业目前的内部控制情况是怎样的呢?我们以银行的办公局域网为例,来简要 的分析一下。 a.硬件投资大、安全设备多。 金融行业的网络建设起步非常早,而其业务的特殊性也使得金融行业对于安全性的重视 非常之高。早期的银行业,业务单一,在办公局域网中也没有连接 internet 的需求,可以 说在那个时候,办公局域网的安全性是非常高的。而随着业务的种类不断丰富,许多新的业 务的引进也带来了互联网访问的需求,可以说现在的银行网络是一个越来越开放的网络。随 之而来的问题,就是这个越来越开放的网络如何面对外界种类繁多的病毒和攻击了。一般来 说,银行局域网在部署的时候,在安全方面都有着详细的规范,尤其是在互联网出口的位置, 更是部署重兵,诸如防火墙、防水墙、防毒墙、IDS、IPS、代理服务器、流控设备等等安全 设备一个都不能少。这一系列安全设备的罗列,的确带来了一定的安全性,但这种集中式的 安全部署,将重兵全都部署在出口位置,给内网的安全带来了一些漏洞,例如在某省行办公
局域网中,管理员就反映,s总是报代理服务器在对外发起攻击,而代理服务器是局域网 内每台℃访利互眠网的必经之溶,很明显这是由于某台局拔网中的办公℃通过代理服务圈 发起的攻击,由于安全不够边缘化,又没有身份认证系统,所以这种攻击始终无据可查, 随夫塘P月关 大塘 办公檬0 大量安全设高的坤网,看似显第安全,却嘟只显在坡的御,依然无法抵即 网培支全事件的发生【 图1经典的银行局域网出口架构 另外,现在根多银行的办公局域网都存在名自拔号,私自架设代理的非法外联行为,员 工为了满足白己不被监控的互联网访问行为,而私白外联,这无疑将互联网出口处的层层安 全都署变成了马奇诺防线,病毒和攻击可以轻而易举的绕过安全设备,进入办公局域网。 b软件种类多,使用靠自觉 除了上面提到的种种安全设答的堆聊外,金融企业还会胸买大量的防护软件来如强内网 的安全,如魔产管理软件、防病毒软件,防火墙软件等等,这些软件保障了办公℃的安全。 但不得不面对的一个现实,就是这丝软件的使用,完全是基于员工自觉的基础之上。有些员 工安全意识淡薄,经常会觉得开着这些安全软件拖慢了机署的速度,于是全都关掉,甚至即 载掉,“棵奔”上网,还有的员工自己重新安装了操作系统之后,什么防护软件都没有安装 就联入1 ternet,这些情况在金胞局域网中比比皆是。一个普通的省行大楼里,有几百台 办公心,而负责这些氏的网管人员或白动化管理人员不过十人,没有可能一台一台机器去 检查,这线使得那些花重金购入的防护软件形同虚设,依据这些载件建立起来的内控系统也 土期瓦解了:
局域网中,管理员就反映,ids 总是报代理服务器在对外发起攻击,而代理服务器是局域网 内每台 PC 访问互联网的必经之路,很明显这是由于某台局域网中的办公 PC 通过代理服务器 发起的攻击,由于安全不够边缘化,又没有身份认证系统,所以这种攻击始终无据可查。 图 1 经典的银行局域网出口架构 另外,现在很多银行的办公局域网都存在私自拨号,私自架设代理的非法外联行为,员 工为了满足自己不被监控的互联网访问行为,而私自外联,这无疑将互联网出口处的层层安 全部署变成了马奇诺防线,病毒和攻击可以轻而易举的绕过安全设备,进入办公局域网。 b.软件种类多,使用靠自觉 除了上面提到的种种安全设备的堆砌外,金融企业还会购买大量的防护软件来加强内网 的安全,如资产管理软件、防病毒软件、防火墙软件等等。这些软件保障了办公 PC 的安全, 但不得不面对的一个现实,就是这些软件的使用,完全是基于员工自觉的基础之上。有些员 工安全意识淡薄,经常会觉得开着这些安全软件拖慢了机器的速度,于是全都关掉,甚至卸 载掉,“裸奔”上网,还有的员工自己重新安装了操作系统之后,什么防护软件都没有安装 就联入 internet,这些情况在金融局域网中比比皆是。一个普通的省行大楼里,有几百台 办公 PC,而负责这些 PC 的网管人员或自动化管理人员不过十人,没有可能一台一台机器去 检查,这就使得那些花重金购入的防护软件形同虚设,依据这些软件建立起来的内控系统也 土崩瓦解了
服务落下发楼多安全件和前略,但是活安装极是活开启却发靠客户糖自觉, 即梗不装或不开,依然可以上网,帝来安全遗 Windows LANDesk McAfee 图2防护载件虽多,却是要靠用户的自凳来保障 从金融企业中的安全硬件和教件的情况,我们可以看出,金雕企业在安全方面是投入了 非常多的财力和人力的,也是非常重视的。可是为什么如此巨大的投入没有得到相应的国报 呢?为什么内网安全事件还是层出不穷呢?这是因为: 》安全不够边蜂化 想要做好内网安全,就一定要将网络安全尽量的边峰化,将内部控制做到网络的核入层, 从控制内网开始做安全,而不是集中火力在出口,要知道。现在企业中的安全事件T作是米 白内网的攻击。 )软硬件没有联动 软件和硬件各为其主,这使得安全大打折扣。一个真正安全的网路,香要教件和硬件一 起构成一素安全的大网,实现“牵一发而动全身”的效果。 3》防护过于梭动 无论是硬件的堆商,还是软件的罗列,银行局域网的安全一直处于被动的“防守“状态, 俗语道“道高一尺,魔高一丈”,更何况病毒是不要线的,面想要时刻斯住最新的病毒,却 要花费大量的资金,所以。防不是办法,只有主动出击。找到病毒和政击的源头。这才是解 决安全问题的出路,一套完香的身份认证体系正是解决这个问题的最佳方法 3锐捷网络SW全局安全解决方案 悦捷网铬GS器解决方案将身份认证,主机安全和网储安全三大部分联动起米。实现了真 正的GlobalSecurityNetwork
图 2 防护软件虽多,却是要靠用户的自觉来保障 从金融企业中的安全硬件和软件的情况,我们可以看出,金融企业在安全方面是投入了 非常多的财力和人力的,也是非常重视的,可是为什么如此巨大的投入没有得到相应的回报 呢?为什么内网安全事件还是层出不穷呢?这是因为: 1)安全不够边缘化 想要做好内网安全,就一定要将网络安全尽量的边缘化,将内部控制做到网络的接入层, 从控制内网开始做安全,而不是集中火力在出口,要知道,现在企业中的安全事件 70%是来 自内网的攻击。 2)软硬件没有联动 软件和硬件各为其主,这使得安全大打折扣。一个真正安全的网络,需要软件和硬件一 起构成一张安全的大网,实现“牵一发而动全身”的效果。 3)防护过于被动 无论是硬件的堆砌,还是软件的罗列,银行局域网的安全一直处于被动的“防守”状态, 俗语道“道高一尺,魔高一丈”,更何况病毒是不要钱的,而想要时刻防住最新的病毒,却 要花费大量的资金,所以,防不是办法,只有主动出击,找到病毒和攻击的源头,这才是解 决安全问题的出路,一套完善的身份认证体系正是解决这个问题的最佳方法。 3.锐捷网络 GSN 全局安全解决方案 锐捷网络 GSN 解决方案将身份认证、主机安全和网络安全三大部分联动起来,实现了真 正的 GlobalSecurityNetwork
图3GSN忽署的典型拓扑 S解决方案是一套软硬件联动、网路和计算机联动的解决方案。它由五部分构成: ·RG-SAM:脱镜身份认正管理系统,对接入网络的用户进行 身份识刚。 RG-SMP:锐捷安全管理平台,GSN的楼心组件,担贵对全 侧的状行统一的安全策路管进和日志汇总分析的任务, RG-SU:锐塘麦全认证客户端,执行入网时的以证操作,对 用户的主机完整性进行评估,进行修复程序自动下发等功能。 RGDS:锐捷入侵检测系统,对网葛中发生的安全事件进行 险测收集,并反使至RG-SMP进行统一处理。 RG-S2100系列安全线入交失机,负贵对使入网培的用户进 图4G5X的组成部分 通过以上五部分软件域硬件的联动,GS%实现了强制的用户身份认证,强制的用户主机 安全检查,强制的用户安全事件处理等功能,将用户代安全与网洛准入结合在一起,保障 了入网即安全,不安全不脆入网。S的几大安全功陵包括: L国络安全方面 1》完善的主机完整性检测 S通过获取接入网路的主机信息(教件安装情况、硬件配置、网络信息)来了解主机 的情况,管理员通过对主机的安全状态进行判断后,即可制定出对应的主机完整性即H规 则,来保障主机必须/禁止安装哪些软件、必须/禁止开白哪些服务、必须/禁止运行事些进
图 3GSN 部署的典型拓扑 GSN 解决方案是一套软硬件联动、网络和计算机联动的解决方案,它由五部分构成: 图 4GSN 的组成部分 通过以上五部分软件或硬件的联动,GSN 实现了强制的用户身份认证,强制的用户主机 安全检查,强制的用户安全事件处理等功能,将用户 PC 安全与网络准入结合在一起,保障 了入网即安全,不安全不能入网。GSN 的几大安全功能包括: a.网络安全方面 1)完善的主机完整性检测 GSN 通过获取接入网络的主机信息(软件安装情况、硬件配置、网络信息)来了解主机 的情况,管理员通过对主机的安全状态进行判断后,即可制定出对应的主机完整性即 HI 规 则,来保障主机必须/禁止安装哪些软件、必须/禁止开启哪些服务、必须/禁止运行哪些进
程以及管理注哥表中对应键值的数值,通过这些检测,对主机的安全情况有了一个细政的检 测,同时,在检测失版后,给出用户如问修复不安全因素的解决方法,同时,对用户的上网 行为进行限制,例如只允许访问修复服务器去下载补丁或这相关款件。 通过主机完整性检测的启用,保障了用户安装并开启必须的防范软件和服务,同时对病 毒所引起的注册表修改等行为也可以有效的恢复,最重要的是。通过这些行为与网络控制的 结合,使得用户必须通过主机完整性检测才能入网,否则就是无法上网办公,保障了安全手 段的强制性,也将不安全因素排障在了网外, )安全的联动防范网洛攻击 在G5N的解决方案中,除了传统的入侵检测设备5的加入外,还如入了[Ds跟安全管 理平台S婚的联动,在发现安全事作之后,可以及时准确的定位到攻击的发起者,并通过下 发安全策略,警告消息和修复程序来制止攻击者保护被攻击者,必要时可以通过定位攻击者 采取行政手段。 在A脸病毒斯范方面。GSX通过安全网关,安全智能交换机,S和S之间的联动,实 现了网关的源定,A即表的静态推护,客户端P-C的部定,通过多重工事的立体防御。 b网络管理方面 1》入网身份验证 S利用面一-SW安全认证系统,配合安全智陵交换机G一52I①系列,实现了入网用户 的身份险证,通过[P、汇交换机瑞口等多元素佛定,保证入树用户身份的合法性,拒绝非 授权用户访月网络,知强了网络的安全性,在发生安全事件时也可以第一时间找到事件责任 人。 而入网身份险证的多元素绑定,也有效的杜绝了P地址冲突现象的发生,具有用自己 的IP才能叠陆上网,而通过BL漫游功能,也实现了用户在不同地区认正上网的雷求。 2防非法外展 通过一SM的防丰法外联功能,可以限制接入主机的霞号、架设代理的功能,防止不 受控的上网行为发生。将危验置之网外。 3》有效制止违禁软件 心的主机完整性检测功能可以对用户已安装款件进行检测,并可以通过设置规则米限 制用户不能安装/运行某些软件,通过隔离策略来限制用户,如果安装了这些软件则不允许 入网,实现了软件的有效限制。 4总结
程以及管理注册表中对应键值的数值,通过这些检测,对主机的安全情况有了一个细致的检 测,同时,在检测失败后,给出用户如何修复不安全因素的解决方法,同时,对用户的上网 行为进行限制,例如只允许访问修复服务器去下载补丁或这相关软件。 通过主机完整性检测的启用,保障了用户安装并开启必须的防范软件和服务,同时对病 毒所引起的注册表修改等行为也可以有效的恢复,最重要的是,通过这些行为与网络控制的 结合,使得用户必须通过主机完整性检测才能入网,否则就是无法上网办公,保障了安全手 段的强制性,也将不安全因素排除在了网外。 2)安全的联动防范网络攻击 在 GSN 的解决方案中,除了传统的入侵检测设备 IDS 的加入外,还加入了 IDS 跟安全管 理平台 SMP 的联动,在发现安全事件之后,可以及时准确的定位到攻击的发起者,并通过下 发安全策略、警告消息和修复程序来制止攻击者保护被攻击者,必要时可以通过定位攻击者 采取行政手段。 在 ARP 病毒防范方面,GSN 通过安全网关、安全智能交换机、SMP 和 SU 之间的联动,实 现了网关的绑定,ARP 表的静态维护,客户端 IP-MAC 的绑定,通过多重工事的立体防御。 b.网络管理方面 1)入网身份验证 GSN 利用 RG-SAM 安全认证系统,配合安全智能交换机 RG-S2100 系列,实现了入网用户 的身份验证,通过 IP、MAC 交换机端口等多元素绑定,保证入网用户身份的合法性,拒绝非 授权用户访问网络,加强了网络的安全性,在发生安全事件时也可以第一时间找到事件责任 人。 而入网身份验证的多元素绑定,也有效的杜绝了 IP 地址冲突现象的发生,只有用自己 的 IP 才能登陆上网,而通过 BACL 漫游功能,也实现了用户在不同地区认证上网的需求。 2)防非法外联 通过 RG-SAM 的防非法外联功能,可以限制接入主机的拨号、架设代理的功能,防止不 受控的上网行为发生,将危险置之网外。 3)有效制止违禁软件 GSN 的主机完整性检测功能可以对用户已安装软件进行检测,并可以通过设置规则来限 制用户不能安装/运行某些软件,通过隔离策略来限制用户,如果安装了这些软件则不允许 入网,实现了软件的有效限制。 4.总结
悦捷网洛SN全局安全解决方案,通过软件与硬件的联动,网路与应用的联动,保证了 正确的人,使用安全的主机,访问规范的网储。做正确的事,对料峰访月的各个环节都做了 有效的防护,从而保障了全局的安全,是真正的全局安全网路!
锐捷网络 GSN 全局安全解决方案,通过软件与硬件的联动、网络与应用的联动,保证了 正确的人,使用安全的主机,访问规范的网络,做正确的事。对网络访问的各个环节都做了 有效的防护,从而保障了全局的安全,是真正的全局安全网络!