ATM安全防護(hù)方案

1ATM安全防護(hù)方案主要議題2銀行ATM安全防護(hù)的驅(qū)動力“安全鎖定”快速提升ATM安全防護(hù)能力方案核心價值和優(yōu)勢銀行ATM安全防護(hù)的驅(qū)動力3外部監(jiān)管的要求業(yè)務(wù)運營的風(fēng)險安全運維的壓力人民銀行銀監(jiān)會PCI三個方面的安全壓力，使得“重建ATM的安全防護(hù)能力”迫在眉睫ATM感染惡意代碼或病毒ATM被黑客木馬控制“吐炒”造成不良社會影響，客戶流失，業(yè)務(wù)受損ATM品牌和系統(tǒng)多樣化，安全管理工作無法統(tǒng)一現(xiàn)有安全防護(hù)手段存在不適應(yīng)安全防護(hù)手段不足或缺失近年來ATM入侵事件頻發(fā)，給業(yè)務(wù)運營造成風(fēng)險2010年7月28日，在美國“黑帽”黑客會議上，杰克將破解程序注入ATM，無需銀行卡和密碼，ATM自動“吐炒”成功。ATM安全防護(hù)方案42011年開始，國內(nèi)某漏洞網(wǎng)站爆出“銀行ATM機(jī)存在安全漏洞”，2012年某幾個國有大行也被爆ATM機(jī)存在漏洞。黑客利用漏洞可以獲取管理員權(quán)限，進(jìn)而執(zhí)行任何惡意行為。2012年，某銀行ATM機(jī)感染惡意代碼，防病毒系統(tǒng)運行出現(xiàn)異常，前臺顯示病毒查殺界面，用戶受到相當(dāng)程度的驚嚇?？杀缓诳推平庀到y(tǒng)存在安全漏洞易感染惡意代碼銀行自助柜員機(jī)（ATM）使用現(xiàn)狀A(yù)TM安全防護(hù)方案5操作系統(tǒng)復(fù)雜多樣，從嵌入式向標(biāo)準(zhǔn)Window過渡，WinXP是當(dāng)前主流平臺銀行逐漸淘汰早期ATM設(shè)備來滿足更為安全的業(yè)務(wù)需求ATM品牌眾多，運營模式復(fù)雜多樣國內(nèi)主要品牌有迪堡、神碼、長城、廣電、德利多富、日立、升騰、新大陸、怡化、實達(dá)等品牌眾多，各家的系統(tǒng)和運營模式不同，安全防護(hù)措施和標(biāo)準(zhǔn)也不同由于系統(tǒng)配置較低，國內(nèi)主流ATM廠商（如廣電運通）早期均以Embeded系統(tǒng)為標(biāo)配現(xiàn)在ATM廠家可按照用戶需求提供系統(tǒng)，如：WinXP+WinxpEmbededWinXP開發(fā)成熟穩(wěn)定，Win7需要更高的硬件，增加成本，如無特別要求，廠家一般都提供WinXP銀監(jiān)會要求2015年之前完成有磁卡到磁卡+IC卡的支撐改造，早期ATM機(jī)已不適應(yīng)該需求新ATM設(shè)備硬件配置：2G內(nèi)存+500G硬盤品牌系統(tǒng)發(fā)展銀行自助柜員機(jī)（ATM）安全防護(hù)現(xiàn)狀和問題ATM安全防護(hù)方案6安全防護(hù)現(xiàn)狀存在的問題和風(fēng)險國內(nèi)ATM品牌幾乎都不提供集成安全解決方案硬件+裸系統(tǒng)+業(yè)務(wù)軟件廠家只能提供本品牌的維護(hù)，常見做法就是在現(xiàn)場重刷系統(tǒng)ATM品牌眾多，安全防護(hù)策略和手段差異大，無法建立統(tǒng)一的ATM設(shè)備安全集中管理平臺銀行柜面終端防護(hù)手段與ATM基本相同很多嵌入式系統(tǒng)無法安裝常規(guī)防病毒軟件防病毒軟件本身的系統(tǒng)資源和帶寬消耗極大，導(dǎo)致ATM系統(tǒng)不穩(wěn)定。當(dāng)發(fā)生故障時，經(jīng)常發(fā)生和ATM廠家扯皮的現(xiàn)象防病毒軟件需要依靠頻繁的病毒特征庫升級，無法與互聯(lián)網(wǎng)隔離，因此從根本上杜絕不了來自互聯(lián)網(wǎng)的零日安全威脅，如APT攻擊安裝傳統(tǒng)防病毒軟件是現(xiàn)在主要的安全防護(hù)手段，防病毒軟件存在諸多不適應(yīng)由于ATM的業(yè)務(wù)特殊性，銀行無法及時部署Windows補(bǔ)丁攻擊者可以利用Windows漏洞侵入ATM設(shè)備獲得最高權(quán)限從而控制整個設(shè)備安裝非常有限的Windows補(bǔ)丁安全統(tǒng)一管理方面安全補(bǔ)丁方面惡意代碼防護(hù)方面主要議題7銀行ATM安全防護(hù)的驅(qū)動力“安全鎖定”快速提升ATM安全防護(hù)能力方案核心價值和優(yōu)勢網(wǎng)絡(luò)環(huán)境“鎖定”系統(tǒng)環(huán)境“鎖定”策略“統(tǒng)一”管理ATM及柜面終端機(jī)鎖定應(yīng)用進(jìn)程運行環(huán)境，嚴(yán)格限制可運行的進(jìn)程及資源只允許ATM的應(yīng)用進(jìn)程及其調(diào)用的系統(tǒng)進(jìn)程和資源運行進(jìn)程間繼承關(guān)系智能檢測識別支持所有ATM設(shè)備和系統(tǒng)集中管理ATM安全防護(hù)策略統(tǒng)一監(jiān)控ATM系統(tǒng)日志和安全事件，集中審計和告警鎖定ATM的網(wǎng)絡(luò)環(huán)境，嚴(yán)格限制網(wǎng)絡(luò)通訊只允許ATM應(yīng)用與后臺特定服務(wù)器通訊鎖定系統(tǒng)運行環(huán)境和資源開啟系統(tǒng)資源保護(hù)，防止緩沖區(qū)溢出、進(jìn)程注入、內(nèi)存注入等攻擊應(yīng)用環(huán)境“鎖定”“安全鎖定”保障ATM最小權(quán)限的安全運行環(huán)境

——SymantecCriticalSystemProtection（SCSP）ATM安全防護(hù)方案8可以有效控制惡意代碼的傳播和感染可以有效控制惡意代碼、非法進(jìn)程的執(zhí)行和活動可以有效保護(hù)ATM的補(bǔ)丁缺失，防護(hù)入侵和零日攻擊可以滿足跨平臺、跨系統(tǒng)的集中安全管理需求SCSP安全防護(hù)技術(shù)實現(xiàn)原理9為每一個程序集分配一個沙箱，每個沙箱根據(jù)策略的定義實現(xiàn)有限的資源訪問和行為控制文件注冊表網(wǎng)絡(luò)設(shè)備文件系統(tǒng)及配置信息進(jìn)程訪問控制核心守護(hù)進(jìn)程應(yīng)用守護(hù)程序被保護(hù)主機(jī)大多數(shù)應(yīng)用只需要有限的資源以完成相關(guān)工作但大多數(shù)程序擁有遠(yuǎn)遠(yuǎn)超出其自身要求的資源，惡意的入侵攻擊常常利用這些空隙內(nèi)存使用端口或設(shè)備顆粒度資源限制…RSHShellBrowserMailWeb…crondRPCLPDPrinter交互式程序…ATM網(wǎng)絡(luò)環(huán)境“鎖定”ATM安全防護(hù)方案10限定ATM應(yīng)用程序與特有的后臺服務(wù)器IP地址和端口進(jìn)行通訊，確保網(wǎng)絡(luò)環(huán)境安全基于IP地址的訪問控制基于TCP、UDP端口的訪問控制基于進(jìn)出流量雙向訪問控制基于程序路徑和參數(shù)的訪問控制基于用戶、用戶組的訪問控制可以有效控制ATM惡意代碼的傳播和感染ATM應(yīng)用環(huán)境“鎖定”ATM安全防護(hù)方案11限定ATM需要運行的特定應(yīng)用進(jìn)程，自動識別系統(tǒng)進(jìn)程和資源調(diào)用關(guān)系，阻止可信范圍之外的其他應(yīng)用程序運行，確保應(yīng)用環(huán)境安全應(yīng)用程序運行環(huán)境白名單進(jìn)程繼承關(guān)系智能識別和控制資源調(diào)用關(guān)系智能識別和控制可以有效控制ATM惡意代碼、非法進(jìn)程的執(zhí)行和活動基于進(jìn)程“沙箱”和最小授權(quán)的行為控制模式ATM系統(tǒng)環(huán)境“鎖定”ATM安全防護(hù)方案12鎖定系統(tǒng)資源和配置，開啟系統(tǒng)入侵保護(hù)，確保系統(tǒng)核心運行環(huán)境安全進(jìn)程注入保護(hù)，防止通過進(jìn)程注入實現(xiàn)入侵內(nèi)存注入保護(hù)，防止通過緩沖區(qū)溢出實現(xiàn)入侵系統(tǒng)資源和配置鎖定可以有效保護(hù)ATM的補(bǔ)丁缺失，防護(hù)入侵和零日攻擊ATM安全策略“統(tǒng)一”管理ATM安全防護(hù)方案13ATM多品牌多系統(tǒng)支持，安全集中管理ATM多品牌系統(tǒng)，低消耗迪堡、神碼、長城、廣電、德利多富、日立、升騰、新大陸、怡化、實達(dá)WinxpEmbeded、Winxp、Winows7、LinuxCpu1%,內(nèi)存20M,文件100M安全防護(hù)策略統(tǒng)一管理不同品牌，不同系統(tǒng)，統(tǒng)一設(shè)定和下發(fā)不需要重啟就可激活防護(hù)策略ATM系統(tǒng)安全集中監(jiān)控和審計集中采集所有ATM安全日志安全審計、分析和告警可以滿足ATM跨平臺、跨系統(tǒng)的集中安全管理需求主要議題14銀行ATM安全防護(hù)的驅(qū)動力“安全鎖定”快速提升ATM安全防護(hù)能力方案核心價值和優(yōu)勢方案核心價值和優(yōu)勢ATM安全防護(hù)方案15滿足外部監(jiān)管要求降低業(yè)務(wù)運營風(fēng)險減小安全運維的壓力“安全鎖定”保障ATM最小權(quán)限的安全運行環(huán)境零病毒、零維護(hù)ATM各類品牌和操作系統(tǒng)全面