发展是安全的基础,安全是发展的条件,信息化和安全已经是一体之两翼,驱动之双轮,网络安全已成为数字化转型的底板工程。在数字化转型大潮下,终端已不再是单纯的设备,而是组织雇员在数字世界中的代言人。终端作为数据和业务的最终载体,在发挥着关键作用的同时,也吸引了越来越多黑客的关注,这给终端安全带来了前所未有的挑战:
接入湖南农信业务网、办公网、开发测试网以及互联网的终端类型丰富,系统版本多样,甚至还有部分老旧停服的系统,并且除了PC终端以外,还有各种金融机具、哑终端、ATM、柜员机等各类终端。
早年间,湖南农信通过终端桌面安全管理、网络准入控制、终端防病毒构建了基本的终端安全防御措施,受限于当时的市面上技术方案能力,各项安全防护措施基本上都是相互独立的一套系统,导致终端安全层面的产品功能堆砌、防护策略失衡、安全孤岛不断等隐患,安全能力升级越来越困难。
湖南农信下辖上百家农商行,全省涉及终端约四万台,终端统一纳管越来越困难,对终端上的软硬件资产及其变化、终端接入合规的监管正变得日益模糊,对不合规行为的判断和监管力度也变得日益单薄。
由于终端安全隐患的多元化,导致终端安全需求越来越复杂,除了常规的终端杀毒、补丁管理、桌面管控、终端准入以外,终端软件管理、基线管理、数据防泄漏、安全水印、终端安全运营等需求不断涌现,对终端安全管理提出更高要求。
目前终端已安装杀毒软件、桌管客户端、准入等客户端软件,会占用较多终端资源,部分电脑会出现卡顿或者死机现象,无法正常使用。
湖南农信作为金融信创推进的重要单位,正在紧锣密鼓的开展信创终端部署工作。随着信创终端逐步投产使用,可以预见在未来两到三年时间内,湖南农信都将面临信创终端与原有wintel终端并行的局面,如何落地信创终端安全管理是湖南农信不得不考虑的课题。
基于上述背景情况,湖南农信充分考虑未来终端安全管理要求和技术趋势,通过引入“体系化防御、数字化运营”的技术理念,在终端和接入环境上构建面向终端硬件、操作系统、应用软件、数据资源、用户身份、操作行为和末梢网络的一体化安全技术栈;制定和落实标准纳管、分权操作、分级管控、集中分析、全局可视的安全运营目标;充分利用终端的安全能力和数据资源,实现与数据安全、系统安全、身份安全、行为安全等其他安全运营目标的有效衔接和深度聚合,进而从容应对数字化转型过程的不断变化的边缘侧网络安全风险。
紧密围绕湖南农信数字化转型战略规划,全省一盘棋,构建湖南农信终端安全一体化管理平台,完善终端安全防御体系,提升终端安全管理能力,夯实湖南农信数字化转型网络安全底座。具体目标包括:
采用一个终端安全客户端,实现防病毒、补丁管理、终端准入、软件管理、桌面管控、终端审计、数据防泄漏、安全水印等多种管理功能,减少软件冲突、资源占用、兼容稳定性等问题,管理员可以通过一个管理控制台直接对网内所有终端的安全功能进行统一管控。
通过天擎终端安全管理系统实现信创和wintel两类终端统一管理,满足 “双轨并行”期间终端安全能力平滑过渡。
打造一套终端安全运行的流程体系,通过量化的指标对终端安全状况进行实时评定和展示,并基于预设的安全目标不断改进不足,确保终端始终安全。
湖南农信破旧立新,引入“终端安全一体化”理念指导项目建设,一体化技术架构设计具有功能全面、扩展灵活、兼容性好、资源占用低、运维管理简便等技术优势。终端安全一体化管理平台深度集成了补丁管理、病毒查杀、终端管控、检测与响应、数据防泄漏等多项功能,并通过管理中心对上述功能实现统一配置及运行监控,真正实现了通过一个客户端程序、一套管理平台全面解决各类终端的安全问题。
湖南农信在2021年完成了全省全流量威胁感知平台的搭建,实现网络侧威胁监测-分析-预警-响应。为落实联防联控要求,提升网络安全协同效应,湖南农信将终端安全一体化管理平台与全省全流量威胁感知平台能力对接,充分利用全省全流量威胁感知平台的威胁发现能力,一旦检测到安全威胁,将联动终端安全一体化管理平台实现威胁文件隔离、威胁终端隔离以及终端病毒扫描等处置机制。从而大幅提升威胁处置效率,发挥不同安全平台之间的协同效应。
Win7/XP停服系统的安全问题是湖南农信当前终端安全管理关注点之一,为了合理解决停服系统漏洞问题,项目中采用奇安信的天狗新一代漏洞攻击防护引擎对停服系统进行安全加固,摆脱了传统安全技术对文件、流量、数据、行为等特征的依赖,采用了内存指令控制流检测技术,并与人工智能、机器学习技术深度结合,可从更底层监测漏洞攻击代码的执行,完全不依赖已知漏洞特征和已知攻击代码的特征,可发现利用未知漏洞发起的攻击。同时,在可信程序被恶意利用、及后门的检测方面,亦有着良好的效果。
为了应对近年来各类网络犯罪组织、APT组织以及攻防演练过程中出现的使用攻击框架进行钓鱼攻击,以及实施攻击过程中涉及的无文件攻击、脚本化攻击、横向渗透等新型的攻击手段,终端安全一体化管理平台通过采集网络安全威胁攻击链的多个维度进行采集攻击行为数据, 结合云上大数据联动进一步研判分析检测, 为终端上高级威胁攻击、勒索病毒、挖矿木马攻击、未知黑客威胁攻击等,提供高效安全防御体系能力和创新技术核心优势。
湖南农信下辖上百家农商行,业务互联带宽有限,如何合理的进行补丁分发和漏洞修复,最大限度降低业务带宽影响是终端安全管理工作的重要内容。
为此,终端安全一体化管理平台提供补丁自动化运维方案。用户可以小范围打补丁,以验证补丁的可靠性。既可以按照既定的漏洞风险级别进行修复,还可以排除一些有一定风险的补丁,或者补充安装一些适合地市行的其他额外风险级别的补丁,还可以只安装经过验证/审批合规的补丁。
考虑到业务带宽占用问题,平台提供了各种不同的打补丁时机,如自动安装、自定义时间段、手动修复等时机来触发漏洞扫描和修复。用户可以合理设置打补丁时机来避开业务高峰期打补丁,防止CPU资源占用过高;同时结合P2P技术,局域网内只要有一台终端更新了漏洞补丁,其他终端均可从改终端进行同步更新,规避业务高峰期补丁升级引起的网络上行带宽占用问题,影响生产环境。
终端安全一体化管理平台技术架构采用“体系化防御,数字化运营”思路进行设计,从管理、功能、数据上真正做到一体化设计,以一套管理系统和一个终端客户端软件为载体,构建体系化的终端安全防御能力,将防病毒、终端准入、桌面管理、补丁管理、软件管理、终端数据防泄漏等多种安全能力覆盖至终端各个分层。
此外,为了实现终端安全的动态性、持续性和整体性管理目标,湖南农信基于终端安全一体化管理平台构建终端安全运营中心,从根本上改变了被动响应单点事件的旧有模式,不再把安全局限在单点的攻防与决战,而是通过平时的积累,建立起一套标准化的流程体系,通过量化的指标对终端安全状况进行实时评定和展示,并基于预设的安全目标不断改进不足,确保终端始终安全。
为压实终端安全管理责任,提高各地市分中心及法人行安全自治能力,充分调动相关岗位人员安全管理积极性,湖南农信终端安全一体化平台采用两级级联模式进行部署,即在省中心生产网部署一级控制中心,在各地市分中心及法人行部署二级控制中心,一级控制中心与二级控制中心形成上下级级联管理模式。
一级控制中心作为省中心开展全省终端安全一体化管理监督和指导的总抓手,在终端安全监管、终端安全策略等起到关键作用,也是支撑开展终端安全运营的基石。二级控制中心对上级联至一级控制中心,对下管理辖区内终端,各自区域的终端都指向区域内的二级控制中心,并从控制中心接收管理指令,上报安全数据,进行病毒库、木马库升级和漏洞修复。
“一体化管理”是湖南农信本次项目建设的核心点,是破除原有终端安全防御系统“多套控制中心,多个客户端”并行的关键。
终端安全一体化安全平台控制中心为管理员提供统一防病毒、统一补丁管理、统一终端准入、软件统一分发卸载、终端安全策略管理多种管理功能,管理员可以通过控制台直接对网内所有终端进行统一管控。确保全网终端安全看得见、管得住。
终端安全一体化管理平台客户端深度集成病毒查杀、补丁修复、终端外设管控、数据防泄漏、软件管理、合规准入、安全水印、终端审计等多样化防护手段于一体,终端上仅需要安装一个客户端软件,即可构建立体防护网,确保终端安全。
终端安全一体化管理平台客户端可以统一收集终端上的各种安全状态信息,包括:漏洞修复情况、病毒木马情况、危险项情况、安全配置以及终端各种软硬件信息等。这些安全状态信息会汇集到服务器端的控制中心,使管理员全面了解网内所有终端的安全情况、硬件状态以及软件安装情况等。可以帮助管理员对全网安全态势掌握一目了然。
为了加强终端安全策略管理,确保省中心安全策略的一致性,在级联管理安全策略上,湖南农信设计采用“强制策略”模式,即省中心一级总控制中心向二级控制中心下发策略为强制策略,二级控制中心管理员对一级控制中心下发的策略不能修改和覆盖。同时,二级控制中心具备根据各地情况自定义本地安全策略的能力。
湖南农信终端环境复杂,终端类型和操作系统版本多种多样,同时,还面临部分国产终端的安全管理,并且原有终端和国产化终端将并行,直至终端全面国产化。在终端安全需求涉及多个功能模块情况下,终端安全一体化管理平台需要能够满足wintel平台+国产平台终端统一管理。
终端安全一体化管理平台全面适配兼容国产硬件和国产操作系统,从控制中心到客户端软件,各种能模块均已完成兼容性适配,通过一套系统即可实现wintel平台+国产平台终端统一管理。
终端安全一体化管理平台上线运行后,湖南农信将面临全省约4万台终端的安全运行管理工作量,传统安全运行管理模式已经不能应对新形势下的安全事件监测、响应与处置需求,未知风险对业务系统及数据信息的威胁巨大。
为实现“打造一套终端安全运行的流程体系,通过量化的指标对终端安全状况进行实时评定和展示,并基于预设的安全目标不断改进不足,确保终端始终安全”的目标,湖南农信依托自有人员能力培养,结合平台技术提升,优化流程技术指标,打造安全平台+人+流程指标的终端安全运营体系。
运维人员通过终端安全一体化管理平台收集、检测终端数据、终端行为、漏洞问题、安全隐患,全面感知终端层安全运行状况。通过终端安全模块组合对外部攻击、内部攻击进行防御,尽量在终端业务信息受影响前拦截攻击行为。
对于未及时拦截的攻击行为,运维人员可通过终端安全一体化管理平台,对安全事件进行全方位的分析研判,判断安全事件影响范围、危害程度,识别攻击意图、攻击手段。
通过合规控制、安装率、更新率、实名率等指标及时发现终端存在的安全隐患并进行修复,降低终端暴露的攻击面;通过日常的安全预防维护与运营,提升网络安全管理人员技能、意识,保障信息安全管理工作落实到位。
为量化终端安全运营效果,湖南农信终端安全运营初期以安装率、实名率、更新率及基线合规率作为基础运营指标持续开展。
安装率指已安装终端安全管理系统软件的终端占比,其明确办公终端安全产品的真实的安装覆盖情况,给出真实的安装数量、防止内网黑点。安装率提升,意味终端安装杀毒软件的数量提升,可进一步降低终端的中毒风险。
实名率指已进行实名资产登记的终端占比,其明确终端资产信息及分布情况,帮助湖南农信终端资产可达到人、机实名对应的情况,提升资产清晰性。实名率提升可持续推动终端资产对应到人,使资产清晰化,提高后续威胁追踪准确性。
更新率指终端安全管理系统软件基础功能正常更新运行的终端占比,该指标主要用于监控主程序版本及时更新、保障病毒库版本及时更新、保障补丁库版本及时更新情况。更新率指标提升可有效降低内网终端中毒率、降低内网终端威胁性、提高产品稳定性。
基线合规率指符合湖南农信最小安全规定要求的终端占比,通常安全基线包括:文件共享、密码长度与强弱、屏保+锁屏、脱缰终端(僵尸终端)长期离线终端处理、 guest账号检查,U盘自动运行检查、特殊漏洞检测等等。基线合规率提升可确保网内终端符合基线安全要求,起到保障终端合规,加固终端安全,最大程度提升终端防护能力的目的。
终端安全运营成果可视化可以帮助湖南农信安全管理员对全网终端安全定义可量化的指标。根据湖南农信运营初期定义的终端安全运营指标,包括安装率、实名率、更新率及基线合规率等,通过可视化大屏进行精准展示,从而告诉管理员当前内部的终端安全情况,为下一步的安全运营决策作出基础。
仅有安全技术防护,无严格的安全管理相配合,难以保障湖南农信整个终端安全防护系统的稳定安全运行。在系统建设、运行维护、日常管理中都要重视安全管理,制定并落实安全管理制度,明确责任权力,规范操作,加强人员、设备的管理以及人员的培训,提高安全管理水平,同时加强对紧急事件的应对能力,通过预防措施和恢复控制相结合的方式,使由意外事故所引起的破坏减小至可接受程度。
为此,湖南农信依据《金融行业信息系统信息安全等级保护实施指引》《商业银行信息科技风险管理指引》《商业银行数据中心监管指引》《银行业金融机构重要信息系统投产及变更管理办法》等有关规定,制定《湖南农信系统计算机终端安全管理规定(试行)》。
该办法中明确了相关角色与职责,由省联社信息科技部负责组织指导全省开展内网终端安全工作,按照属地管理原则,各市办事处科技部负责归口管理市本市内网及互联网终端安全工作,负责本市内网及互联网终端安全工作的具体落实。对终端安全相关要素,如物理安全、基线安全、防病毒、接入安全、桌面管理、补丁管理、应用安全、数据防护、安全审计及检查等方面制定了详实的管理制度和要求,为提升全省终端安全工作效用提供了有效指导和管理依据。
终端安全一体化管理平台项目在推进落地过程中,有两个问题需要考虑:一是原有终端安全防御体系替换,即卸载原有的终端杀毒、终端准入、桌面管控系统,上线新的终端安全一体化管理平台。湖南农信全省涉及多个地市分中心和法人行,如何平滑迁移进行过渡,是项目落地环节需要着重考虑的。二是国产终端平滑接入,即国产终端上线后能够快速接入终端安全一体化管理平台进行安全管理。
在面向全省开展本次项目终端安全一体化管理系统部署过程中,需要充分考虑已有的终端桌管、终端准入、终端防病毒替换过渡情况,为保障稳步切换,决定采取以下方式落地推进:
优先在省中心部署终端安全一体化管理平台控制中心,该中心将作为一级控制中心。省中心其他网络区域控制中心和安全准入网关设备可以同步部署安装,控制中心作为二级控制中心与一级控制中心级联对接,二级控制中心上线后可以对省中心终端进行部署,同时下线已有终端上安装的桌管、准入、防病毒客户端。过渡期需要暂时保留省中心已有桌管、准入、防病毒系统的管理中心,与本次的终端安全一体化管理控制中心并行。
待省中心一级控制中心部署完成后,对分中心及法人行分批进行部署。每部署一个分中心/法人行的二级控制中心,一级控制中心就级联接入一个,同时分中心/法人行本地已有桌管、准入、防病毒下线全省安装完成后,下线已有系统
待全省各分中心/法人行都全面安装部署完成,最后对省中心已有的桌管、准入、防病毒系统进行下线处理,由终端安全一体化管理平台进行全省统管,完成原有终端安全防御系统的平滑迁移替换。
随着全省农信系统国产终端上线,终端安全管理将面临现有wintel终端和国产终端共存的情况,因此,在国产终端替换过渡阶段,方案充分考虑存量wintel终端安全管理需求。
在wintel终端与国产终端共存期间,湖南农信采取“上线一台,接入一台”策略,即每上线一台国产终端,部署一个对应版本的终端安全客户端,控制中心接入管理一台国产终端,该阶段控制中心对wintel和国产终端实现跨平台统一管理。
随着全省农信系统国产化推进不断深化,终端层面全面完成国产化后,控制中心将全面纳管国产化终端,实现在终端国产化上线过程中终端安全能力的平滑过渡。
未来,随着国产终端安全需求不断延申,终端安全的管理可以随着整个信息化国产化的进度,在终端安全功能模块可以“成熟一项,应用一项”,逐步完善国产终端安全防护能力。
目前,该项目已建设覆盖包括湖南农信省联社、13个分中心及5家法人行在内的终端安全一体化管理平台,纳管各类终端资产数量约4万台,当属全国同业规模最大。
平台建成以来,省中心依托平台积极统筹全省终端安全管理工作,制定终端安全管理办法,设计终端安全合规基线,督促和指导各地市落实终端资产实名登记、终端安全客户端软件安装、合规准入接入、终端病毒查杀、终端漏洞修复等一系列工作,逐步完善形成全省终端安全态势“一张图”,为省中心长期持续开展终端安全运营工作提供有力支撑。
在安全运营方面,先后制定了安装率、实名率、更新率及基线合规率等相关运营指标,为现阶段终端安全运营工作提供了方向。当前,湖南农信终端安全运营已具备雏形,后续将开展中期深化运营工作。
在安全协同方面,终端安全一体化管理平台与全流量威胁感知平台协同联动,全流量威胁感知平台利用自身安全数据关联分析和威胁情报能力,发现针对终端层面的未知威胁攻击行为,及时调动终端安全一体化管理平台能力,针对特定终端进行隔离或特定文件进行病毒查杀,有效提升终端安全威胁响应和处置效用。
终端安全一体化管理平台的建设,构建起了覆盖全省农信终端安全的纵深防御体系,实现全省农信终端安全管理一盘棋,有效提升湖南农信全网终端安全管理和运营能力,有效保障湖南农信数字化转型建设中的终端安全和敏感数据安全,为湖南农信数智化转型添砖加瓦。
终端安全一体化管理平台的建设为湖南农信实现全省终端安全统一管理提供了有力抓手,摒弃原有多套系统并行,相互割裂管理的弊端,原来单独防病毒与准入桌管价格就与本次终端安全一体化管理平台价格相当,且不支持国产化终端,如果再单独采购补丁管理、软件管理、终端数据防泄漏等模块,价格将远超终端安全一体化管理平台建设费用。
通过建设终端安全一体化管理平台,实现可持续的终端安全运营体系,有效的将平台、人员、制度、流程有机的结合起来,建立终端安全运营指标,从安全事件的事前、事中、和事后三个维度出发,形成终端安全管理的闭环,极大提高了终端安全管理和运营效效用。安全管理人员工作由以往分散式向集中式转变,管理工作量大幅降低,而工作效率大幅提高,从而实现降本增效的作用。
网络安全工作成果或价值如何体现一直以来都是一大难题,通过终端安全一体化管理平台项目建设,湖南农信搭建完整的终端安全运营体系,在安全价值量化与成果可视方面,实现自动化输出和安全运营工作相关的绩效指标,如安装率、实名率、更新率及基线合规率等,最终将运行成效可视化,通过量化的指标展示,能够简单直接的体现终端安全建设绩效。
原有的终端安全分散在多套系统中,系统相互独立,数据相互割裂,给管理工作带来诸多不变。终端安全一体化管理平台项目建设,有力推动湖南农信终端安全管理由低效分散向高效集中式管理模式跨越,通过“一套系统+一个客户端”实现终端安全所有功能、数据、策略度统一管理,提升管理效率的同时,也大大提升了湖南农信终端安全体系化防御能力。
通过该项目建设,建立了全省终端安全管理抓手,强化湖南省联社对全省各分中心及法人行终端安全建设指导和监管作用,为湖南省联社有效履行行业网络安全监督、指导职责提供了技术支撑。
“终端安全一体化”是大势所趋,也是业内一直以来的技术难点。一体化架构能够带来更便捷管理,更强的可扩展性以及适用场景更丰富。各大金融机构都在逐步用“一体化”架构替换原有“多套系统,多个客户端”并行的终端安全防御体系。此外,原有的终端安全防御体系无法适应国产化推进的安全需求,难以兼容国产终端平台。
因此,湖南农信破旧立新,引入“体系化防御、数字化运营”的全新技术理念,采用天擎终端安全管理系统来构建终端安全一体化防御体系,使用数字化指标牵引终端安全运营,在确保为终端用户提供良好用户体验的基础上,建设跨数字化终端类别的一体化安全管理体系。
湖南农信终端安全一体化管理平台项目覆盖全省13个分中心,5个法人行,管理终端约4万台,项目规模在全国农信机构中最大。
且涉及wintel终端、国产终端、哑终端以及ATM设备等多类型终端,安全需求上包括终端杀毒、安全准入、外设管控、数据防泄漏、软件管家、安全水印、安全审计等多项功能模块,项目复杂度在全国农信机构中最高。
项目技术体系、运营体系、管理体系的设计以及项目落地过程管理都能够为同业机构开展“一体化”架构的终端安全体系建设提供宝贵的实践经验和参考思路。