第一章:项目概述
长沙农村商业银行股份有限公司(以下简称“长沙农商银行”)是经中国银监会批准,由原湖南望城农村商业银行、长沙雨花农村合作银行、长沙天心农村合作银行、长沙芙蓉农村合作银行、长沙开福农村合作银行合并组建的金融机构,于2016年9月正式挂牌成立,是湖南省唯一一家省市共建的股份制商业银行。长沙农商银行注册资本50亿元人民币,全行在职员工2000余名,总行下设14个一级支行、1个直属支行、170多个营业网点覆盖长沙城乡。截至2020年12月末,全行资产总额1478.31亿元,存款余额1136.35亿元,贷款余额801.27亿元。资产规模不断壮大,市场份额稳步提高,经营效益有效提升,风险指标持续达标,致力建设资产质量优良、盈利能力领先、风控水平良好的现代农村商业银行。
随着信息技术与物联网技术的快速发展,大量物联网终端接入到了银行安防网络中,促进了银行安防系统的智能化升级,但也因此给银行安防网带来了一系列安全隐患,安防系统的网络安全成为银行建设立体安全风险防范体系面临的又一大挑战。当前针对银行安防网络的攻击侵害事件日益增多,由此引发的直接经济损失和间接声誉风险,均给银行带来了重大的负面影响。为防控网络攻击侵害和规避安全风险,长沙农村商业银行紧紧围绕《网络安全法》《网络安全等级保护》等相关法律法规,重点加强安防系统的网络安全建设和安全管理工作,提高安防网络安全运营的自动化和智能化水平,建成全行视频监控网络安全运营中心。
u 安防网络存安全风险
网点安防网络容易被不法分子破坏、非法接入,或者仿冒成合法设备接入安防网, 入侵存储设备,删除、替换、窃取银行视频录像。或通过非法指令对安防网络造成DDos攻击,让监控平台瘫痪,甚至远程撤布防、控制门禁启闭。银行面临安防系统被非法控制的风险;同时安防终端进网安装时,普遍采用默认密码或简单口令,且银行安防网不能连外网无法在线升级补丁,银行安防终端自身普遍存在安全风险,容易被攻击和利用;
u 安防资产难管理
银行的安防终端数量多,分布在各区域的营业网点或离行,网点位置分散,全行资产登记造册全靠人工,容易出现错记漏记、资产信息登记不全的情况,同时资产的定期盘点缺乏有效的工具,资产上线、下线、退网、维修无法及时跟踪,资产更新维护难。
u 安防网络难运维
安防系统IP化后,安防网的运维给安保部门带来了新的挑战,金融业务场景下,要求银行安防系统要求7x24小时不间断运行,整个安防系统的前端设备、中间传输设备、后端服务器设备数量庞大,运维工作压力巨大,运维难度急剧增加。总行对全市下辖的网点安防网络的运维,需要投入大量的人力和财力。
u 规范网点安防网络的安全管理
在营业网点安防网络接入侧,建立终端授权准入机制,只允许授权终端接入安防网络,非授权设备禁止接入;并能识别出仿冒接入的设备,禁止其接入安防网络。
u 主动感知网点安防终端的安全风险
能够主动探测感知营业网点安防终端存在的安全隐患,对于终端设备常见的弱口令和高危端口的安全风险,能够主动扫描发现并记录下来。
u 实现全行安防设备资产的安全管理
能够主动探测并识别全行所有安防设备,实现跨品牌、跨系统、跨平台安防设备的统一管理,对于安防资产的在网、退网、维修进行全生命周期的管理。
u 实现安防网络的自动化智能化运维
能够自动构建出全行视频专网的网络架构,实现全行所有网点安防网可视化管理。能够实时监测网点视频监控、报警、对讲、门禁等安防设备的工作状态,及传输网络的运行状态,实现故障自动发现、主动告警、自动定位,最终实现银行安防网络的智能化运维。
万网博通安防物联网安全防护系统,围绕《网络安全等级保护》2.0—物联网安全扩展要求,基于物联网的业务流程,并结合银行安防物联网的应用场景出发,在零信任架构的安全背景下,从终端设备安全风险感知、网络接入控制、流量监测异常行为管控、存储安全、视频外泄防护、 资产的安全管理及智能运维等方面,对安防物联网全流程节点,配置智能安全检测技术和防护手段,实现银行安防系统全业务流程的安全态势感知和安全防护。
Ø 部署说明:
中心端:在长沙农商行总行监控中心,视频专网的核心交换机旁挂部署一台安防物联网安全管控平台服务器,对全行安防网络的安全指数进行动态评估,同时为全行制定并下发安全策略,统计并汇总全行的接入安全风险数、终端安全风险数、访问安全风险数。同时实现对长沙农商行近180个网点安防资产的汇总与统计并投屏显示,并支持在GIS地图上标注出安防资产的地理位置及空间分布情况;同时为全行提供了一个安防系统集中运维平台。
网点侧:在网点汇聚交换机旁挂部署一台边缘网关作为前端设备,不影响网点原有网络架构,部署简单,实现本网点安防网所有安防设备的探测与发现,并执行服务器端的安全准入管控机制,对安防内网的所有行为进行跟踪与记录,深度识别非法行为并进行拦截,同时将本网点的资产、安全、运维等方面的数据上报给服务器,便于集中管理、统一呈现。
Ø 全网动态安全评估
安防物联网安全防护系统,从网络安全、资产状态、网络传输质量三个维度对长沙农商行安防系统进行动态安全评估,通过评分机制能够实时掌握全行安防系统当前的健康态势。
Ø 网络边界安全防护
安防物联网安全防护系统,在设备接入网络时,采用终端授权准入的安全机制,未经授权的设备禁止接入网络,有效杜绝了私接乱接的现象。
Ø 终端安全风险扫描
安防物联网安全防护系统定期对内网设备进行登录密码和开启的通信端口进行扫描,主动扫描发现存在弱口令和高危漏洞的终端设备,及时查明设备自身存在的安全风险。
Ø 行为安全审计与入侵识别
安防物联网安全防护系统对内网所有数据流进行深度行为分析,判定其合法性,对非授权的设备登录、非法视频访问、非法扫描等行为进行识别并生成访问日志记录,并支持制定访问控制策略进行拦截。
Ø 视频存储安全
安防物联网安全防护系统通过SDK与硬盘录像机NVR对接,智能检测出视频存储的天数和视频存储质量,发现存储时长不达标和漏录的视频,主动记录下来并告警通知。
安防物联网安全防护系统通过指纹库、协议对接、Agent插件等多种方式,自动识别安防各子系统的终端设备、网络传输设备以及服务器等设备,并将识别出来的设备,按类型进行分类统计,记录设备的详细信息(IP、MAC、品牌、型号等),在监控中心能够实现全网所有安防资产的集中管理,杜绝多个平台多套数据。
安防物联网安全防护系统实时监测安防网络的通信质量、设备在线状态、网络故障等网络异常情况,一旦发现异常及时弹窗告警,并生成日志记录方便溯源。
安防物联网安全防护系统,给长沙农商行提供了一套从前端接入到后端应用的全流程安全防护系统,从终端的接入、终端风险感知、行为跟踪审计、入侵行为识别与阻断、视频存储安全检测等环节,为长沙农商行180个网点的安防网提供全方位的安全防护措施。
安防物联网安全防护系统,实现了长沙农商行全行近180个网点动态、数字化的安防资产的统一管理,多维度刻画出网点安防网单资产、单系统的资产画像。实现资产与物联、业务、组织架构的关联及安防物联资产动态全景可视。建立起了长沙农商行安防网络基础、动态、全网的数字资产安全管理体系。
安防物联网安全防护系统,不仅大大提升了长沙农商行安防物联网的安全性,通过全行智能运维技术手段,大大提高了售后运维的工作效率,同时大幅度减少了长沙农商行安防网运维人员的投入,极大降低了全行安防网的维护成本。