第一章:項目概述
1.1. 項目背景
長沙農村商業銀行股份有限公司(以下簡稱“長沙農商銀行”)是經中國銀監會批準���,由原湖南望城農村商業銀行����、長沙雨花農村合作銀行、長沙天心農村合作銀行�、長沙芙蓉農村合作銀行����、長沙開福農村合作銀行合并組建的金融機構,于2016年9月正式掛牌成立���,是湖南省唯一一家省市共建的股份制商業銀行。長沙農商銀行注冊資本50億元人民幣�����,全行在職員工2000余名�����,總行下設14個一級支行�、1個直屬支行���、170多個營業網點覆蓋長沙城鄉�。截至2020年12月末,全行資產總額1478.31億元��,存款余額1136.35億元�,貸款余額801.27億元。資產規模不斷壯大��,市場份額穩步提高���,經營效益有效提升���,風險指標持續達標����,致力建設資產質量優良����、盈利能力領先、風控水平良好的現代農村商業銀行�。
隨著信息技術與物聯網技術的快速發展�,大量物聯網終端接入到了銀行安防網絡中�����,促進了銀行安防系統的智能化升級����,但也因此給銀行安防網帶來了一系列安全隱患�����,安防系統的網絡安全成為銀行建設立體安全風險防范體系面臨的又一大挑戰�����。當前針對銀行安防網絡的攻擊侵害事件日益增多,由此引發的直接經濟損失和間接聲譽風險,均給銀行帶來了重大的負面影響�����。為防控網絡攻擊侵害和規避安全風險�,長沙農村商業銀行緊緊圍繞《網絡安全法》《網絡安全等級保護》等相關法律法規,重點加強安防系統的網絡安全建設和安全管理工作,提高安防網絡安全運營的自動化和智能化水平,建成全行視頻監控網絡安全運營中心�。
1.2. 痛點分析
u 安防網絡存安全風險
網點安防網絡容易被不法分子破壞��、非法接入,或者仿冒成合法設備接入安防網, 入侵存儲設備���,刪除�、替換�����、竊取銀行視頻錄像��?���;蛲ㄟ^非法指令對安防網絡造成DDos攻擊�,讓監控平臺癱瘓,甚至遠程撤布防���、控制門禁啟閉���。銀行面臨安防系統被非法控制的風險�����;同時安防終端進網安裝時,普遍采用默認密碼或簡單口令,且銀行安防網不能連外網無法在線升級補丁�,銀行安防終端自身普遍存在安全風險�,容易被攻擊和利用�;
u 安防資產難管理
銀行的安防終端數量多,分布在各區域的營業網點或離行,網點位置分散��,全行資產登記造冊全靠人工���,容易出現錯記漏記�����、資產信息登記不全的情況,同時資產的定期盤點缺乏有效的工具,資產上線�����、下線����、退網、維修無法及時跟蹤�,資產更新維護難��。
u 安防網絡難運維
安防系統IP化后,安防網的運維給安保部門帶來了新的挑戰�����,金融業務場景下��,要求銀行安防系統要求7x24小時不間斷運行��,整個安防系統的前端設備、中間傳輸設備�、后端服務器設備數量龐大���,運維工作壓力巨大���,運維難度急劇增加���?��?傂袑θ邢螺牭木W點安防網絡的運維����,需要投入大量的人力和財力���。
1.3. 建設目標
u 規范網點安防網絡的安全管理
在營業網點安防網絡接入側����,建立終端授權準入機制��,只允許授權終端接入安防網絡�����,非授權設備禁止接入;并能識別出仿冒接入的設備����,禁止其接入安防網絡�。
u 主動感知網點安防終端的安全風險
能夠主動探測感知營業網點安防終端存在的安全隱患�����,對于終端設備常見的弱口令和高危端口的安全風險��,能夠主動掃描發現并記錄下來�����。
u 實現全行安防設備資產的安全管理
能夠主動探測并識別全行所有安防設備,實現跨品牌�����、跨系統���、跨平臺安防設備的統一管理�,對于安防資產的在網、退網���、維修進行全生命周期的管理����。
u 實現安防網絡的自動化智能化運維
能夠自動構建出全行視頻專網的網絡架構,實現全行所有網點安防網可視化管理��。能夠實時監測網點視頻監控����、報警、對講、門禁等安防設備的工作狀態,及傳輸網絡的運行狀態,實現故障自動發現�、主動告警��、自動定位,最終實現銀行安防網絡的智能化運維。
第二章:解決方案
2.1. 方案概述
萬網博通安防物聯網安全防護系統�����,圍繞《網絡安全等級保護》2.0—物聯網安全擴展要求��,基于物聯網的業務流程�����,并結合銀行安防物聯網的應用場景出發,在零信任架構的安全背景下�,從終端設備安全風險感知����、網絡接入控制���、流量監測異常行為管控��、存儲安全�、視頻外泄防護���、 資產的安全管理及智能運維等方面����,對安防物聯網全流程節點���,配置智能安全檢測技術和防護手段�,實現銀行安防系統全業務流程的安全態勢感知和安全防護。
2.2. 架構說明
? 部署說明:
中心端:在長沙農商行總行監控中心����,視頻專網的核心交換機旁掛部署一臺安防物聯網安全管控平臺服務器���,對全行安防網絡的安全指數進行動態評估�����,同時為全行制定并下發安全策略,統計并匯總全行的接入安全風險數、終端安全風險數、訪問安全風險數��。同時實現對長沙農商行近180個網點安防資產的匯總與統計并投屏顯示����,并支持在GIS地圖上標注出安防資產的地理位置及空間分布情況;同時為全行提供了一個安防系統集中運維平臺����。
網點側:在網點匯聚交換機旁掛部署一臺邊緣網關作為前端設備���,不影響網點原有網絡架構��,部署簡單�����,實現本網點安防網所有安防設備的探測與發現�����,并執行服務器端的安全準入管控機制�����,對安防內網的所有行為進行跟蹤與記錄,深度識別非法行為并進行攔截��,同時將本網點的資產��、安全�、運維等方面的數據上報給服務器����,便于集中管理、統一呈現��。
2.3. 方案介紹
2.3.1 網絡安全防護
? 全網動態安全評估
安防物聯網安全防護系統�����,從網絡安全����、資產狀態�����、網絡傳輸質量三個維度對長沙農商行安防系統進行動態安全評估����,通過評分機制能夠實時掌握全行安防系統當前的健康態勢�����。
? 網絡邊界安全防護
安防物聯網安全防護系統,在設備接入網絡時,采用終端授權準入的安全機制�����,未經授權的設備禁止接入網絡��,有效杜絕了私接亂接的現象�����。
? 終端安全風險掃描
安防物聯網安全防護系統定期對內網設備進行登錄密碼和開啟的通信端口進行掃描,主動掃描發現存在弱口令和高危漏洞的終端設備�,及時查明設備自身存在的安全風險�。
? 行為安全審計與入侵識別
安防物聯網安全防護系統對內網所有數據流進行深度行為分析�����,判定其合法性��,對非授權的設備登錄、非法視頻訪問�、非法掃描等行為進行識別并生成訪問日志記錄����,并支持制定訪問控制策略進行攔截�����。
? 視頻存儲安全
安防物聯網安全防護系統通過SDK與硬盤錄像機NVR對接�,智能檢測出視頻存儲的天數和視頻存儲質量���,發現存儲時長不達標和漏錄的視頻���,主動記錄下來并告警通知��。
2.3.2 資產集中管理
安防物聯網安全防護系統通過指紋庫���、協議對接�����、Agent插件等多種方式,自動識別安防各子系統的終端設備�、網絡傳輸設備以及服務器等設備��,并將識別出來的設備,按類型進行分類統計�����,記錄設備的詳細信息(IP���、MAC�����、品牌���、型號等)�����,在監控中心能夠實現全網所有安防資產的集中管理�����,杜絕多個平臺多套數據����。
2.3.3 全網智能運維
安防物聯網安全防護系統實時監測安防網絡的通信質量�����、設備在線狀態��、網絡故障等網絡異常情況,一旦發現異常及時彈窗告警�,并生成日志記錄方便溯源����。
第三章:方案特色
3.1. 全流程安全管控
安防物聯網安全防護系統��,給長沙農商行提供了一套從前端接入到后端應用的全流程安全防護系統��,從終端的接入、終端風險感知�����、行為跟蹤審計���、入侵行為識別與阻斷�����、視頻存儲安全檢測等環節,為長沙農商行180個網點的安防網提供全方位的安全防護措施����。
3.2. 資產數字化管理
安防物聯網安全防護系統����,實現了長沙農商行全行近180個網點動態、數字化的安防資產的統一管理����,多維度刻畫出網點安防網單資產����、單系統的資產畫像���。實現資產與物聯�、業務、組織架構的關聯及安防物聯資產動態全景可視��。建立起了長沙農商行安防網絡基礎���、動態����、全網的數字資產安全管理體系。
3.3. 運維效率提升
安防物聯網安全防護系統����,不僅大大提升了長沙農商行安防物聯網的安全性�,通過全行智能運維技術手段���,大大提高了售后運維的工作效率����,同時大幅度減少了長沙農商行安防網運維人員的投入�����,極大降低了全行安防網的維護成本�����。
