第一章:項(xiàng)目概述
1.1. 項(xiàng)目背景
長(zhǎng)沙農(nóng)村商業(yè)銀行股份有限公司(以下簡(jiǎn)稱“長(zhǎng)沙農(nóng)商銀行”)是經(jīng)中國(guó)銀監(jiān)會(huì)批準(zhǔn),由原湖南望城農(nóng)村商業(yè)銀行���、長(zhǎng)沙雨花農(nóng)村合作銀行����、長(zhǎng)沙天心農(nóng)村合作銀行�����、長(zhǎng)沙芙蓉農(nóng)村合作銀行���、長(zhǎng)沙開(kāi)福農(nóng)村合作銀行合并組建的金融機(jī)構(gòu)���,于2016年9月正式掛牌成立,是湖南省唯一一家省市共建的股份制商業(yè)銀行��。長(zhǎng)沙農(nóng)商銀行注冊(cè)資本50億元人民幣��,全行在職員工2000余名����,總行下設(shè)14個(gè)一級(jí)支行、1個(gè)直屬支行���、170多個(gè)營(yíng)業(yè)網(wǎng)點(diǎn)覆蓋長(zhǎng)沙城鄉(xiāng)���。截至2020年12月末,全行資產(chǎn)總額1478.31億元���,存款余額1136.35億元����,貸款余額801.27億元����。資產(chǎn)規(guī)模不斷壯大,市場(chǎng)份額穩(wěn)步提高���,經(jīng)營(yíng)效益有效提升�����,風(fēng)險(xiǎn)指標(biāo)持續(xù)達(dá)標(biāo)����,致力建設(shè)資產(chǎn)質(zhì)量?jī)?yōu)良、盈利能力領(lǐng)先�、風(fēng)控水平良好的現(xiàn)代農(nóng)村商業(yè)銀行。
隨著信息技術(shù)與物聯(lián)網(wǎng)技術(shù)的快速發(fā)展�,大量物聯(lián)網(wǎng)終端接入到了銀行安防網(wǎng)絡(luò)中,促進(jìn)了銀行安防系統(tǒng)的智能化升級(jí)���,但也因此給銀行安防網(wǎng)帶來(lái)了一系列安全隱患�,安防系統(tǒng)的網(wǎng)絡(luò)安全成為銀行建設(shè)立體安全風(fēng)險(xiǎn)防范體系面臨的又一大挑戰(zhàn)��。當(dāng)前針對(duì)銀行安防網(wǎng)絡(luò)的攻擊侵害事件日益增多��,由此引發(fā)的直接經(jīng)濟(jì)損失和間接聲譽(yù)風(fēng)險(xiǎn)��,均給銀行帶來(lái)了重大的負(fù)面影響���。為防控網(wǎng)絡(luò)攻擊侵害和規(guī)避安全風(fēng)險(xiǎn)�,長(zhǎng)沙農(nóng)村商業(yè)銀行緊緊圍繞《網(wǎng)絡(luò)安全法》《網(wǎng)絡(luò)安全等級(jí)保護(hù)》等相關(guān)法律法規(guī)���,重點(diǎn)加強(qiáng)安防系統(tǒng)的網(wǎng)絡(luò)安全建設(shè)和安全管理工作���,提高安防網(wǎng)絡(luò)安全運(yùn)營(yíng)的自動(dòng)化和智能化水平�����,建成全行視頻監(jiān)控網(wǎng)絡(luò)安全運(yùn)營(yíng)中心。
1.2. 痛點(diǎn)分析
u 安防網(wǎng)絡(luò)存安全風(fēng)險(xiǎn)
網(wǎng)點(diǎn)安防網(wǎng)絡(luò)容易被不法分子破壞�����、非法接入�����,或者仿冒成合法設(shè)備接入安防網(wǎng), 入侵存儲(chǔ)設(shè)備���,刪除����、替換���、竊取銀行視頻錄像�?;蛲ㄟ^(guò)非法指令對(duì)安防網(wǎng)絡(luò)造成DDos攻擊,讓監(jiān)控平臺(tái)癱瘓�����,甚至遠(yuǎn)程撤布防、控制門禁啟閉�����。銀行面臨安防系統(tǒng)被非法控制的風(fēng)險(xiǎn)��;同時(shí)安防終端進(jìn)網(wǎng)安裝時(shí)����,普遍采用默認(rèn)密碼或簡(jiǎn)單口令,且銀行安防網(wǎng)不能連外網(wǎng)無(wú)法在線升級(jí)補(bǔ)丁����,銀行安防終端自身普遍存在安全風(fēng)險(xiǎn),容易被攻擊和利用�����;
u 安防資產(chǎn)難管理
銀行的安防終端數(shù)量多��,分布在各區(qū)域的營(yíng)業(yè)網(wǎng)點(diǎn)或離行��,網(wǎng)點(diǎn)位置分散,全行資產(chǎn)登記造冊(cè)全靠人工�����,容易出現(xiàn)錯(cuò)記漏記��、資產(chǎn)信息登記不全的情況�,同時(shí)資產(chǎn)的定期盤點(diǎn)缺乏有效的工具����,資產(chǎn)上線、下線�����、退網(wǎng)����、維修無(wú)法及時(shí)跟蹤,資產(chǎn)更新維護(hù)難����。
u 安防網(wǎng)絡(luò)難運(yùn)維
安防系統(tǒng)IP化后,安防網(wǎng)的運(yùn)維給安保部門帶來(lái)了新的挑戰(zhàn)����,金融業(yè)務(wù)場(chǎng)景下����,要求銀行安防系統(tǒng)要求7x24小時(shí)不間斷運(yùn)行�����,整個(gè)安防系統(tǒng)的前端設(shè)備��、中間傳輸設(shè)備��、后端服務(wù)器設(shè)備數(shù)量龐大�,運(yùn)維工作壓力巨大,運(yùn)維難度急劇增加�����?�?傂袑?duì)全市下轄的網(wǎng)點(diǎn)安防網(wǎng)絡(luò)的運(yùn)維���,需要投入大量的人力和財(cái)力���。
1.3. 建設(shè)目標(biāo)
u 規(guī)范網(wǎng)點(diǎn)安防網(wǎng)絡(luò)的安全管理
在營(yíng)業(yè)網(wǎng)點(diǎn)安防網(wǎng)絡(luò)接入側(cè),建立終端授權(quán)準(zhǔn)入機(jī)制,只允許授權(quán)終端接入安防網(wǎng)絡(luò)���,非授權(quán)設(shè)備禁止接入�;并能識(shí)別出仿冒接入的設(shè)備�����,禁止其接入安防網(wǎng)絡(luò)�����。
u 主動(dòng)感知網(wǎng)點(diǎn)安防終端的安全風(fēng)險(xiǎn)
能夠主動(dòng)探測(cè)感知營(yíng)業(yè)網(wǎng)點(diǎn)安防終端存在的安全隱患����,對(duì)于終端設(shè)備常見(jiàn)的弱口令和高危端口的安全風(fēng)險(xiǎn)���,能夠主動(dòng)掃描發(fā)現(xiàn)并記錄下來(lái)�����。
u 實(shí)現(xiàn)全行安防設(shè)備資產(chǎn)的安全管理
能夠主動(dòng)探測(cè)并識(shí)別全行所有安防設(shè)備����,實(shí)現(xiàn)跨品牌、跨系統(tǒng)��、跨平臺(tái)安防設(shè)備的統(tǒng)一管理�,對(duì)于安防資產(chǎn)的在網(wǎng)、退網(wǎng)�����、維修進(jìn)行全生命周期的管理�。
u 實(shí)現(xiàn)安防網(wǎng)絡(luò)的自動(dòng)化智能化運(yùn)維
能夠自動(dòng)構(gòu)建出全行視頻專網(wǎng)的網(wǎng)絡(luò)架構(gòu),實(shí)現(xiàn)全行所有網(wǎng)點(diǎn)安防網(wǎng)可視化管理�。能夠?qū)崟r(shí)監(jiān)測(cè)網(wǎng)點(diǎn)視頻監(jiān)控、報(bào)警�、對(duì)講、門禁等安防設(shè)備的工作狀態(tài)��,及傳輸網(wǎng)絡(luò)的運(yùn)行狀態(tài)�����,實(shí)現(xiàn)故障自動(dòng)發(fā)現(xiàn)��、主動(dòng)告警��、自動(dòng)定位�,最終實(shí)現(xiàn)銀行安防網(wǎng)絡(luò)的智能化運(yùn)維�����。
第二章:解決方案
2.1. 方案概述
萬(wàn)網(wǎng)博通安防物聯(lián)網(wǎng)安全防護(hù)系統(tǒng)��,圍繞《網(wǎng)絡(luò)安全等級(jí)保護(hù)》2.0—物聯(lián)網(wǎng)安全擴(kuò)展要求����,基于物聯(lián)網(wǎng)的業(yè)務(wù)流程�,并結(jié)合銀行安防物聯(lián)網(wǎng)的應(yīng)用場(chǎng)景出發(fā),在零信任架構(gòu)的安全背景下�,從終端設(shè)備安全風(fēng)險(xiǎn)感知、網(wǎng)絡(luò)接入控制���、流量監(jiān)測(cè)異常行為管控、存儲(chǔ)安全�����、視頻外泄防護(hù)�、 資產(chǎn)的安全管理及智能運(yùn)維等方面,對(duì)安防物聯(lián)網(wǎng)全流程節(jié)點(diǎn)�����,配置智能安全檢測(cè)技術(shù)和防護(hù)手段,實(shí)現(xiàn)銀行安防系統(tǒng)全業(yè)務(wù)流程的安全態(tài)勢(shì)感知和安全防護(hù)�����。
2.2. 架構(gòu)說(shuō)明
? 部署說(shuō)明:
中心端:在長(zhǎng)沙農(nóng)商行總行監(jiān)控中心��,視頻專網(wǎng)的核心交換機(jī)旁掛部署一臺(tái)安防物聯(lián)網(wǎng)安全管控平臺(tái)服務(wù)器����,對(duì)全行安防網(wǎng)絡(luò)的安全指數(shù)進(jìn)行動(dòng)態(tài)評(píng)估,同時(shí)為全行制定并下發(fā)安全策略����,統(tǒng)計(jì)并匯總?cè)械慕尤氚踩L(fēng)險(xiǎn)數(shù)、終端安全風(fēng)險(xiǎn)數(shù)���、訪問(wèn)安全風(fēng)險(xiǎn)數(shù)�。同時(shí)實(shí)現(xiàn)對(duì)長(zhǎng)沙農(nóng)商行近180個(gè)網(wǎng)點(diǎn)安防資產(chǎn)的匯總與統(tǒng)計(jì)并投屏顯示����,并支持在GIS地圖上標(biāo)注出安防資產(chǎn)的地理位置及空間分布情況;同時(shí)為全行提供了一個(gè)安防系統(tǒng)集中運(yùn)維平臺(tái)�。
網(wǎng)點(diǎn)側(cè):在網(wǎng)點(diǎn)匯聚交換機(jī)旁掛部署一臺(tái)邊緣網(wǎng)關(guān)作為前端設(shè)備,不影響網(wǎng)點(diǎn)原有網(wǎng)絡(luò)架構(gòu)�����,部署簡(jiǎn)單,實(shí)現(xiàn)本網(wǎng)點(diǎn)安防網(wǎng)所有安防設(shè)備的探測(cè)與發(fā)現(xiàn)�����,并執(zhí)行服務(wù)器端的安全準(zhǔn)入管控機(jī)制�,對(duì)安防內(nèi)網(wǎng)的所有行為進(jìn)行跟蹤與記錄,深度識(shí)別非法行為并進(jìn)行攔截�,同時(shí)將本網(wǎng)點(diǎn)的資產(chǎn)、安全�����、運(yùn)維等方面的數(shù)據(jù)上報(bào)給服務(wù)器�,便于集中管理、統(tǒng)一呈現(xiàn)�。
2.3. 方案介紹
2.3.1 網(wǎng)絡(luò)安全防護(hù)
? 全網(wǎng)動(dòng)態(tài)安全評(píng)估
安防物聯(lián)網(wǎng)安全防護(hù)系統(tǒng),從網(wǎng)絡(luò)安全���、資產(chǎn)狀態(tài)、網(wǎng)絡(luò)傳輸質(zhì)量三個(gè)維度對(duì)長(zhǎng)沙農(nóng)商行安防系統(tǒng)進(jìn)行動(dòng)態(tài)安全評(píng)估�,通過(guò)評(píng)分機(jī)制能夠?qū)崟r(shí)掌握全行安防系統(tǒng)當(dāng)前的健康態(tài)勢(shì)。
? 網(wǎng)絡(luò)邊界安全防護(hù)
安防物聯(lián)網(wǎng)安全防護(hù)系統(tǒng)����,在設(shè)備接入網(wǎng)絡(luò)時(shí)��,采用終端授權(quán)準(zhǔn)入的安全機(jī)制���,未經(jīng)授權(quán)的設(shè)備禁止接入網(wǎng)絡(luò),有效杜絕了私接亂接的現(xiàn)象�����。
? 終端安全風(fēng)險(xiǎn)掃描
安防物聯(lián)網(wǎng)安全防護(hù)系統(tǒng)定期對(duì)內(nèi)網(wǎng)設(shè)備進(jìn)行登錄密碼和開(kāi)啟的通信端口進(jìn)行掃描����,主動(dòng)掃描發(fā)現(xiàn)存在弱口令和高危漏洞的終端設(shè)備,及時(shí)查明設(shè)備自身存在的安全風(fēng)險(xiǎn)���。
? 行為安全審計(jì)與入侵識(shí)別
安防物聯(lián)網(wǎng)安全防護(hù)系統(tǒng)對(duì)內(nèi)網(wǎng)所有數(shù)據(jù)流進(jìn)行深度行為分析����,判定其合法性�����,對(duì)非授權(quán)的設(shè)備登錄���、非法視頻訪問(wèn)�、非法掃描等行為進(jìn)行識(shí)別并生成訪問(wèn)日志記錄,并支持制定訪問(wèn)控制策略進(jìn)行攔截����。
? 視頻存儲(chǔ)安全
安防物聯(lián)網(wǎng)安全防護(hù)系統(tǒng)通過(guò)SDK與硬盤錄像機(jī)NVR對(duì)接,智能檢測(cè)出視頻存儲(chǔ)的天數(shù)和視頻存儲(chǔ)質(zhì)量�,發(fā)現(xiàn)存儲(chǔ)時(shí)長(zhǎng)不達(dá)標(biāo)和漏錄的視頻,主動(dòng)記錄下來(lái)并告警通知����。
2.3.2 資產(chǎn)集中管理
安防物聯(lián)網(wǎng)安全防護(hù)系統(tǒng)通過(guò)指紋庫(kù)、協(xié)議對(duì)接����、Agent插件等多種方式,自動(dòng)識(shí)別安防各子系統(tǒng)的終端設(shè)備���、網(wǎng)絡(luò)傳輸設(shè)備以及服務(wù)器等設(shè)備����,并將識(shí)別出來(lái)的設(shè)備����,按類型進(jìn)行分類統(tǒng)計(jì),記錄設(shè)備的詳細(xì)信息(IP���、MAC����、品牌����、型號(hào)等),在監(jiān)控中心能夠?qū)崿F(xiàn)全網(wǎng)所有安防資產(chǎn)的集中管理����,杜絕多個(gè)平臺(tái)多套數(shù)據(jù)。
2.3.3 全網(wǎng)智能運(yùn)維
安防物聯(lián)網(wǎng)安全防護(hù)系統(tǒng)實(shí)時(shí)監(jiān)測(cè)安防網(wǎng)絡(luò)的通信質(zhì)量��、設(shè)備在線狀態(tài)�、網(wǎng)絡(luò)故障等網(wǎng)絡(luò)異常情況,一旦發(fā)現(xiàn)異常及時(shí)彈窗告警���,并生成日志記錄方便溯源��。
第三章:方案特色
3.1. 全流程安全管控
安防物聯(lián)網(wǎng)安全防護(hù)系統(tǒng)����,給長(zhǎng)沙農(nóng)商行提供了一套從前端接入到后端應(yīng)用的全流程安全防護(hù)系統(tǒng),從終端的接入����、終端風(fēng)險(xiǎn)感知、行為跟蹤審計(jì)���、入侵行為識(shí)別與阻斷�、視頻存儲(chǔ)安全檢測(cè)等環(huán)節(jié)����,為長(zhǎng)沙農(nóng)商行180個(gè)網(wǎng)點(diǎn)的安防網(wǎng)提供全方位的安全防護(hù)措施。
3.2. 資產(chǎn)數(shù)字化管理
安防物聯(lián)網(wǎng)安全防護(hù)系統(tǒng)�,實(shí)現(xiàn)了長(zhǎng)沙農(nóng)商行全行近180個(gè)網(wǎng)點(diǎn)動(dòng)態(tài)、數(shù)字化的安防資產(chǎn)的統(tǒng)一管理�,多維度刻畫出網(wǎng)點(diǎn)安防網(wǎng)單資產(chǎn)、單系統(tǒng)的資產(chǎn)畫像����。實(shí)現(xiàn)資產(chǎn)與物聯(lián)、業(yè)務(wù)�����、組織架構(gòu)的關(guān)聯(lián)及安防物聯(lián)資產(chǎn)動(dòng)態(tài)全景可視。建立起了長(zhǎng)沙農(nóng)商行安防網(wǎng)絡(luò)基礎(chǔ)��、動(dòng)態(tài)�、全網(wǎng)的數(shù)字資產(chǎn)安全管理體系���。
3.3. 運(yùn)維效率提升
安防物聯(lián)網(wǎng)安全防護(hù)系統(tǒng)�,不僅大大提升了長(zhǎng)沙農(nóng)商行安防物聯(lián)網(wǎng)的安全性����,通過(guò)全行智能運(yùn)維技術(shù)手段,大大提高了售后運(yùn)維的工作效率���,同時(shí)大幅度減少了長(zhǎng)沙農(nóng)商行安防網(wǎng)運(yùn)維人員的投入��,極大降低了全行安防網(wǎng)的維護(hù)成本�����。
