网络信息技术的发展和电子商务的普及,对企业传统的经营思想和经营方式产生了强烈的冲击。以互联网技术为核心的网上银行使银行业务也发生了巨大变化。"网上银行"为金融企业的发展带来了前所未有的商机,但同时银行业务网络与互联网的连接,使得网上银行容易成为非法入侵和恶意攻击的对象,加上目前网络秩序较混乱,黑客攻击事件层出不穷,使开展网上银行业务的银行面临更多的风险。
在开放网络中流动的大量金融交易数据,不仅涉及巨大的经济利益,而且包含大量的用户个人隐私信息,必然吸引不法分子的网络入侵、网上侦听、电子欺诈和攻击行为,对于信用重于一切的银行来说,这都是极大的风险!
北京冠群金辰软件有限公司作为国内著名的全面网络解决方案及服务提供商,为保证银行关键的业务–网上银行系统安全可靠地运行,针对其应用的具体特点,提出了一套严密的、全面的网上银行安全解决方案。
通过采取正确的安全防护策略,合理地选择网络安全产品,建立一套严密的安全体系,包括安全策略、安全管理制度和流程、安全技术措施、业务安全措施、内部安全监控和安全审计等,从而实现网上银行的业务安全要求。目前这一安全方案已经在建设银行、工商银行、华夏银行、中国进出口银行等用户得以应用。
实施核心防护 保护关键资源
eTrust Access Control
互联网是一个开放的网络,银行交易服务器是网上的公开站点,在交易服务器上存储了许多高敏感度的信息。因此,如何保证网上银行交易系统的安全,关系到银行内部整个金融网的安全,这是网上银行建设中最至关重要的问题!
银行交易服务器需要更高级别的安全性,而服务器的安全性又极大的依赖操作系统的安全性。遗憾的是不管是普遍采用的UNIX还是Windows操作系统,其安全性都是远远不够的。访问控制粒度、超级用户的存在以及不断被发现的安全漏洞是操作系统存在的几个致命性问题。
冠群金辰公司的eTrust服务器核心防护(eTrust Access Control)这个产品就是为了解决这个最关键的问题而开发的。它采用了独一无二的技术,能够在不影响现有业务的情况下,从根本上提升服务器操作系统的安全性(可以达到B1级安全性),削弱超级用户的权限,并且彻底解决了安全威胁最严重的缓存区溢出攻击问题。
eTrust 服务器核心防护能够应用于目前基本上所有的UNIX平台和Windows平台,适用于大型企业按照BS7799(ISO17799)标准架构自己的信息安全核心保障体系,为网上银行的关键数据提供一个固若金汤的保险箱。
eTrust Access Control在操作系统的安全功能之上提供了一个安全保护层。通过从核心层截取文件访问控制,以加强操作系统安全性。它具有完整的用户认证,访问控制及审计的功能,采用集中式管理,克服了分布式系统在管理上的许多问题。
eTrust Access Control在操作系统级别实现安全保护的,它在不改变系统执行文件,不修改内核的情况下变成操作系统的有效的一部分,可以在不重写Unix和透明的情况下实现安全控制功能。eTrust Access Control利用专利型技术DSX(Dynamic Security Extensions,动态安全扩展)实现该功能。
■ 有效对超级用户的权限进行削弱和再分配
■ 有效防止内部和相关人员作案
■ 基于时间、地点、访问手段等多种限制条件形成完整的策略数据库,进行细粒度的访问控制
■ 对文件、进程、服务、注册表、外设、共享资源等资源的全方位保护
■ 对关键文件和程序的防篡改保护
■ 防止通过木马和后门实施的攻击
■ 防止成为分布式拒绝服务攻击(DDoS)的傀儡
■ 强大的自我保护机制。可以防止黑客或其他用户(包括超级用户)关闭eTrust
Access Control的安全守护进程
■ 缓存区溢出保护技术(STOP)。STOP能够彻底防止黑客使用所有的缓存区溢出方法对系统进行攻击
■ 强大的审计和跟踪功能
■ 通过策略缓冲机制和选择系统调用多种机制大幅度提升运行效率,资源占用率一般低于5%。支持多CPU
■ 广泛的平台支持。支持SUN Solaris、IBM AIX、HP-UX、Digital UNIX以及SCO、NCR、Sequent等等十余种UNIX平台、几十种操作系统版本,并且能够支持Linux和Windows NT、Windows 2000和Windows XP操作系统
■ 支持同IBM Mainframe OS/390的安全机制统一管理和口令同步功能
■ 独一无二的透明提升操作系统到B1安全级别的功能
■ 图形、命令行和Web三种管理方式
■ 能够在不同操作系统之间进行安全策略的分发和集中管理
■ 能够在不同操作系统之间进行账户口令同步
■ 提供丰富的API接口,能够将其强大的安全机制集成在用户的应用环境中
入侵攻击监控 主动保护网络
eTrust Intrusion Detection
网上银行系统也使银行内部网向互联网敞开了大门。而现有银行的网上银行系统对这一部分的防护还不够严密,使不法分子有可能破坏银行内部应用,或渗透入内网再从这里向银行交易服务器发起进攻。
冠群金辰公司eTrust入侵检测解决方案通过自动检测网络数据流中潜在入侵、攻击和滥用方式,提供了先进的网络保护功能。它可以帮助用户深入了解网络整体安全性、遵守的策略及网络内部的运行情况。
■ 网络访问控制。eTrust Intrusion Detection以规则为基础,定义哪些用户可以访问网络上的特定资源,保证只有授权用户才可以访问网络资源。
■ 高级防病毒引擎。病毒扫描引擎可以检测和阻止包含了计算机病毒的网络数据流。它可以防止用户下载被病毒感染的文件。用户可以定期更新病毒特征文件。
■ 全面的攻击方式库。eTrust Intrusion Detection可以自动检测网络数据流中的攻击方式,即使正在进行之中的攻击也能检测。用户同样可以定期更新攻击特征文件,从而保证eTrust Intrusion Detection总是最新。
■ 信息包嗅探技术。eTrust Intrusion Detection以秘密方式运行,使攻击者无法感知到。黑客常常在没有觉察的情况下被抓获,因为他们不知道他们一直受到密切监视。
■ URL限制。管理员可以指定禁止用户访问的URL,防止毫无效率的网上冲浪。
■ 字匹配扫描。利用eTrust Intrusion Detection,管理员可以定义表明可能会违反策略的字方式。这种方式防止了未经授权就通过e-mail或Web发送敏感数据等情况的发生。
■ 网络使用日志。eTrust Intrusion Detection使网络管理员可以跟踪最终用户、应用程序等对网络的使用情况。它可以帮助改进网络策略的规划,并提供精确的网络控制。
银行还可以通过在内多处位置部署eTrust入侵检测解决方案,利用其强大的功能来保护整个网络。这包括从一个远程或中央位置的稳定控制台监视和响应整个业务范围内的事件。eTrust Intrusion Detection还包含一个中央事件数据库,附加报表及一个可发布的"总览"内容查看器。
■ 集中监视。网络管理员可以在本地或远程集中监控运行eTrust Intrusion Detection的一台或多台工作站。通过在不同网段(本地或远程)上安装由中央工作站控制的eTrust Intrusion Detection代理,管理员可以根据收集的综合信息查看警告并生成报表。
■ 远程管理。远程用户可以通过TCP/IP或调制解调器连接访问运行eTrust Intrusion Detection的工作站。一旦连接成功,用户就可以按照eTrust Intrusion Detection管理员定义的许可内容,查看和监视eTrust Intrusion Detection数据、修改规则和生成报告。
■ 入侵日志及分析。eTrust Intrusion Detection提供了一个综合系统来捕捉信息并进行分析。软件安装完毕并指定一个存档位置后,用户定义一个可以在档案文件中记录任务数据的规则。用户可以使用浏览器过滤、排序和查看归档信息并创建详细报表。
电脑病毒终结者 网络安全守护者
KILL安全胄甲
随着网络与INTERNET的广泛应用与发展,病毒通过网络和电子邮件等途径传播扩散,传播速度更快、影响面更广、危害性更强。近期尤以红色代码、尼姆达等混合威胁的接连出现,向计算机安全防御发起了严峻的挑战。而像银行这样的敏感部门,要保障计算机网络系统的安全,就更要加强对网络计算机病毒的检测与清除。
KILL安全胄甲是北京冠群金辰软件有限公司开发研制的全中文网络防病毒产品,能真正满足银行的需求,它具有世界领先的反病毒技术:主动内核技术(ActiveK)。KILL通过全方位的网络管理、多种报警机制、完整的病毒报告、支持远程服务器、软件自动分发,帮助管理员更好的实施网络防病毒工作。同时,北京冠群金辰软件有限公司在北京、上海和广州的技术研发支持中心,可以独立针对中国流行的病毒进行及时的更新与服务。
KILL是功能强大的新一代网络防病毒产品。KILL系列产品采用的是服务器/客户端构架,能够实时保护您的Windows NT/Windows 2000、Unix、Linux、NetWare、Windows95/98、Windows3.X、DOS工作站、Lotus Notes 和 Microsoft Exchange 群件系统的服务器及Internet网关服务器,防止各种引导型病毒、文件型病毒、宏病毒、传播速度快且破坏性很大的蠕虫病毒等进入企业内部网,阻止不怀好意的Java、ActiveX小程序等攻击企业内部网络系统。KILL以一系列无与伦比的功能为银行网络提供强大的保护。
■ 实时防护:KILL的实时监视器可以24小时全面检测并清除可能出现的病毒,防护的范围包括:软盘、硬盘、光盘、网络映射驱动器、Internet、电子邮件等。
■ 定时扫描:KILL允许用户预定扫描作业,到达预定时间KILL会自动启动,扫描您所指定的服务器或工作站。此功能可进一步填补因人为地关闭实时监控等原因带来的病毒防护漏洞。管理员可以选择非工作时间设定预扫描作业,如,在夜间零点开始完整的扫描作业,减轻系统工作压力。
■ 病毒源跟踪与隔离:KILL实时监视器的高级保护模式,可以帮助病毒管理员快速定位病毒源,并在启动"隔离"功能的情况下将带毒用户从网络上隔开,防止病毒在网络中传播,保护企业网络的安全。 灵活而强大的网络报警:通过设置防病毒中心的KILL报警管理器,KILL可以自
■ 报警:集网络中所有机器的病毒报警消息,然后,通过网络广播、Notes/Exchange邮件、寻呼机等方式,向病毒管理员和相关用户进行病毒报警。管理员无论身在何处,均可以及时获得报警信息,及时进行处理。
■ 网络自动更新、软件分发:KILL系统具备病毒特征文件的自动下载、更新和分发系统。通过管理员简单的配置,无需人工干预,KILL每月会自动从冠群金辰站点下载最新的特征文件,然后,自动下发特征文件,并自动完成更新工作,实现全网络病毒特征文件的更新。所有的下载、更新和分发工作全部由KILL自动启动、控制,自动完成。此外,为了不影响正常业务的运行,可以设置让所有的更新工作全部安排在夜间进行。
■ 重点服务器的实时监控:对于系统中重要的服务器或工作站,KILL能够结合Windows NT的性能监视器功能对其进行实时监控。能够监控的参数包括发现的感染文件数量、清除的病毒数量、压缩文件病毒数量等等。
■ 集中的网络管理系统:支持远程服务器管理,实现统一配置、集中式日志管理等。通过KILL域管理功能可以实现对系统中的工作站和服务器进行集中统一管理,同时还可以远程设置扫描作业和扫描选项。管理员也可以根据网络防病毒的需求,在网络中设置多个KILL防病毒域,为每个域设置不同级别的病毒防护方案,以优化网络资源及管理。
安全风险分析与安全政策审计
除了以上的安全防护方案之外,冠群金辰公司还为网上银行提供了安全风险分析与安全政策审计解决方案:
金辰漏洞扫描器是冠群金辰公司依据黑客攻击的思想开发的漏洞扫描产品,用以在黑客发起攻击前先堵住他可能利用的途径。使用金辰漏洞扫描器,可将系统与设备漏洞预先报告给网管,并提出相应解决建议,可以协助网管断掉?客攻击的前提与基础。金辰漏洞扫描器是基于网络的适合于企业的漏洞评估工具和安全扫描工具,目的是检查互联网环境下的各种网络系统与设备的安全漏洞,它通过检查网络系统上打开的端口,按顺序诊断这些端口所提供的网络服务的漏洞,并向系统管理员提供详细的漏洞诊断报告,从而协助网管防漏堵漏。
安全策略审核系统eTrust Policy Compliance是提供网络化的主机风险评估和能预防越权使用的策略审计的解答,能确保网上银行关键业务系统的安全性。eTrust Policy Compliance提供的是风险评估和政策审查技术,可寻找和报告在网络,程序,记录,口令和文件系统/容量等方面的安全缺陷, 并提供纠正方案修复确认的问题。 它建立基线政策定义,然后监视所有关系到该政策和措施的变动。 它有交互方式和预定操作方式。 eTrust Policy Compliance的查询, 报表和模拟工具允许监视特定节点, 数据库和整个网络。
