商業(yè)銀行網(wǎng)上交易信息系統(tǒng)安全方案

商業(yè)銀行網(wǎng)上交易信息系統(tǒng)安全方案2010年3月商業(yè)銀行信息科技安全管理規(guī)劃依據(jù)《銀行業(yè)金融機構(gòu)信息系統(tǒng)風險管理指引》《中華人民共和國銀行業(yè)監(jiān)督管理法》《中華人民共和國商業(yè)銀行法》《中華人民共和國外資銀行管理條例》2009年中國開始針對上市公司強制執(zhí)行企業(yè)內(nèi)控規(guī)范---業(yè)界稱之為中國的“塞班斯法案”《網(wǎng)上銀行系統(tǒng)信息安全保障評估準則》《金融機構(gòu)計算機信息系統(tǒng)安全保護工作暫行規(guī)定》商業(yè)銀行安全保障體系架構(gòu)網(wǎng)上銀行系統(tǒng)信息安全規(guī)劃介紹網(wǎng)上銀行信息安全參考規(guī)范及安全要求網(wǎng)上銀行信息安全現(xiàn)狀及安全規(guī)劃網(wǎng)上銀行信息安全解決方案產(chǎn)品資源網(wǎng)上銀行信息安全參考規(guī)范及安全要求一、網(wǎng)上銀行定義網(wǎng)上銀行業(yè)務(wù)是指商業(yè)銀行等銀行業(yè)金融機構(gòu)利用計算機和互聯(lián)網(wǎng)為客戶提供的銀行服務(wù)。網(wǎng)上銀行是銀行傳統(tǒng)業(yè)務(wù)的電子化表現(xiàn)形式，拓展了銀行服務(wù)的時間和空間。網(wǎng)上銀行是現(xiàn)代信息技術(shù)在銀行管理及其金融服務(wù)中的拓展，是促使金融服務(wù)組織機構(gòu)與服務(wù)形式創(chuàng)新的重要成果之一。網(wǎng)上銀行通過國際互聯(lián)網(wǎng)這一公共資源及其相關(guān)技術(shù)實現(xiàn)銀行與客戶之間安全、方便、友好連接，為客戶提供多種金融服務(wù)。信息安全保障是網(wǎng)上銀行系統(tǒng)建設(shè)和運行中必須解決的基礎(chǔ)和根本性問題，它關(guān)系到客戶與銀行的切身利益。網(wǎng)上銀行系統(tǒng)是一種特定的信息系統(tǒng)（即用于采集、處理、存儲、傳輸、分發(fā)和部署信息的整個基礎(chǔ)設(shè)施、組織結(jié)構(gòu)、人員和組件的總和），它的信息安全保障工作必須結(jié)合銀行行業(yè)的特點，以風險和策略為出發(fā)點和核心，即從網(wǎng)上銀行系統(tǒng)所面臨的風險和所處的環(huán)境出發(fā)制定網(wǎng)上銀行系統(tǒng)的安全保障策略，通過在網(wǎng)上銀行系統(tǒng)的整個生命周期中從技術(shù)、工程、管理和人員等方面提出安全保障要求，確保信息的保密性、完整性和可用性特征，實現(xiàn)和貫徹組織機構(gòu)策略并將風險降低到可接受的程度，達到保護網(wǎng)上銀行的信息和信息系統(tǒng)資產(chǎn)，從而保障網(wǎng)上銀行業(yè)務(wù)安全、可靠開展的最終目的。網(wǎng)上銀行信息安全保障涵蓋內(nèi)容（一）二、網(wǎng)上銀行系統(tǒng)信息安全保障涵蓋以下幾個方面:網(wǎng)上銀行系統(tǒng)信息安全保障應(yīng)貫穿網(wǎng)上銀行系統(tǒng)的整個生命周期，包括規(guī)劃組織、開發(fā)采購、實施交付、運行維護和廢棄五個階段，以獲得網(wǎng)上銀行系統(tǒng)信息安全保障能力的持續(xù)性；b)網(wǎng)上銀行系統(tǒng)信息安全保障不僅涉及安全技術(shù)，還應(yīng)綜合考慮安全管理、安全工程和人員安全等，以全面保障網(wǎng)上銀行系統(tǒng)安全。在安全技術(shù)上，不僅要考慮具體的產(chǎn)品和技術(shù)，更要考慮網(wǎng)上銀行系統(tǒng)的安全技術(shù)體系架構(gòu)；在安全管理上，不僅要考慮基本安全管理實踐，更要結(jié)合組織的特點建立相應(yīng)的安全保障管理體系，形成長效和持續(xù)改進的安全管理機制；在安全工程上，不僅要考慮網(wǎng)上銀行系統(tǒng)建設(shè)的最終結(jié)果，更要結(jié)合系統(tǒng)工程的方法，注重工程各個階段的規(guī)范化實施；在人員安全上，要考慮與網(wǎng)上銀行系統(tǒng)相關(guān)的所有人員包括規(guī)劃者、設(shè)計者、管理者、運營維護者、評估者、使用者等的安全意識以及安全專業(yè)技能和能力等；c)網(wǎng)上銀行系統(tǒng)信息安全保障是基于過程的保障。通過風險識別、風險分析、風險評估、風險控制等風險管理活動，降低網(wǎng)上銀行系統(tǒng)的風險，從而實現(xiàn)網(wǎng)上銀行系統(tǒng)信息安全保障；d)網(wǎng)上銀行系統(tǒng)信息安全保障的目的不僅是保護信息和資產(chǎn)的安全，更重要的是通過保障網(wǎng)上銀行系統(tǒng)的安全，保障網(wǎng)上銀行系統(tǒng)所支持的業(yè)務(wù)，從而達到實現(xiàn)組織機構(gòu)使命的目的；e)網(wǎng)上銀行系統(tǒng)信息安全保障是主觀和客觀的結(jié)合。通過在技術(shù)、管理、工程和人員方面客觀地評估安全保障措施，向網(wǎng)上銀行系統(tǒng)的所有者提供其現(xiàn)有安全保障工作是否滿足其安全保障目標的信心。因此，它是一種通過客觀證據(jù)向網(wǎng)上銀行系統(tǒng)所有者提供主觀信心的活動，是主觀和客觀綜合評估的結(jié)果；f)保障網(wǎng)上銀行系統(tǒng)安全不僅是系統(tǒng)所有者自身的職責，而且需要社會各方參與，包括電信、電力、國家信息安全基礎(chǔ)設(shè)施等提供的支撐。保障網(wǎng)上銀行系統(tǒng)安全不僅要滿足系統(tǒng)所有者自身的安全需求，而且要滿足國家相關(guān)法律、政策的要求，包括為其它機構(gòu)或個人提供保密、公共安全和國家安全等社會職責。網(wǎng)上銀行信息安全保障涵蓋內(nèi)容（二）網(wǎng)上銀行信息安全區(qū)域涵蓋內(nèi)容網(wǎng)上銀行信息系統(tǒng)安全域通常由五個部分組成：—外部區(qū)域：網(wǎng)上銀行的公眾用戶和第三方系統(tǒng)可以通過互聯(lián)網(wǎng)或?qū)Ｓ镁W(wǎng)訪問網(wǎng)上銀行業(yè)務(wù)系統(tǒng)；—網(wǎng)上銀行業(yè)務(wù)系統(tǒng)；—銀行內(nèi)部其他系統(tǒng)：—各銀行內(nèi)部核心業(yè)務(wù)系統(tǒng)；—公鑰基礎(chǔ)設(shè)施。網(wǎng)上銀行系統(tǒng)主要包括：客戶端、網(wǎng)上銀行訪問子網(wǎng)和網(wǎng)上銀行業(yè)務(wù)系統(tǒng)、CA和中間隔離設(shè)備。

—外部區(qū)域：網(wǎng)上銀行的用戶，安裝網(wǎng)上銀行客戶端，通過互聯(lián)網(wǎng)訪問網(wǎng)上銀行；—安全域1：網(wǎng)上銀行訪問子網(wǎng)，主要提供客戶的web訪問和證書認證；—安全域2：網(wǎng)上銀行業(yè)務(wù)系統(tǒng)，主要進行網(wǎng)上銀行的業(yè)務(wù)處理；—銀行內(nèi)部系統(tǒng)：銀行處理系統(tǒng)，主要進行銀行內(nèi)部的數(shù)據(jù)處理。圖中CA是證書頒發(fā)和管理機構(gòu)，它主要為銀行客戶、銀行工作人員以及網(wǎng)上銀行WEB服務(wù)器等設(shè)備提供公開密鑰證書服務(wù)。某些銀行安全區(qū)域1和安全區(qū)域2合為一個安全區(qū)域。網(wǎng)上銀行信息安全區(qū)域示意圖網(wǎng)上銀行信息系統(tǒng)技術(shù)體系邏輯圖技術(shù)體系是信息系統(tǒng)描述的基礎(chǔ)，需要對現(xiàn)有的各種應(yīng)用、相應(yīng)的網(wǎng)絡(luò)基礎(chǔ)設(shè)施和所使用的技術(shù)標準進行描述，這些描述將幫助了解網(wǎng)上銀行系統(tǒng)并為進一步描述業(yè)務(wù)系統(tǒng)提供基礎(chǔ)和支持。技術(shù)體系描述包括業(yè)務(wù)支持層、系統(tǒng)服務(wù)層和基礎(chǔ)設(shè)施層的描述。網(wǎng)上銀行信息系統(tǒng)業(yè)務(wù)體系邏輯圖網(wǎng)上銀行業(yè)務(wù)體系描述：—網(wǎng)上銀行業(yè)務(wù)主要包括幾個方面：“個人客戶業(yè)務(wù)”、“企業(yè)客戶業(yè)務(wù)”和“其他服務(wù)”；—個人客戶業(yè)務(wù)：針對銀行的個人客戶開展的網(wǎng)上銀行業(yè)務(wù)，包括：帳戶查詢、帳單支付、轉(zhuǎn)帳/匯款業(yè)務(wù)、證券業(yè)務(wù)、債券基金業(yè)務(wù)、外匯買賣、服務(wù)設(shè)置、主動通知、代理繳費、B2C等服務(wù)；—企業(yè)客戶業(yè)務(wù)：針對銀行的企業(yè)客戶開展的網(wǎng)上銀行業(yè)務(wù)，包括：帳務(wù)查詢、網(wǎng)上轉(zhuǎn)帳、代發(fā)工資、簽發(fā)電子票據(jù)、證券業(yè)務(wù)、債券基金業(yè)務(wù)、外匯買賣、代理繳費、內(nèi)部資金調(diào)撥、報表統(tǒng)計、主動通知、B2B等服務(wù)；—其他服務(wù)業(yè)務(wù)：針對銀行開展的網(wǎng)上銀行新業(yè)務(wù)，包括：政府財政部門、稅務(wù)、審計，以及今后可能推出的新業(yè)務(wù)等服務(wù)。網(wǎng)上銀行系統(tǒng)信息安全規(guī)劃介紹網(wǎng)上銀行信息安全參考規(guī)范及安全要求網(wǎng)上銀行信息安全現(xiàn)狀及安全規(guī)劃網(wǎng)上銀行信息安全解決方案廠商資源網(wǎng)絡(luò)安全其他：日志審計及集中管理網(wǎng)絡(luò)架構(gòu)安全應(yīng)用安全和數(shù)據(jù)安全數(shù)據(jù)庫安全操作系統(tǒng)平臺的安全物理安全安全管理安全評估安全策略整體安全技術(shù)因素其他：日志審計及集中管理應(yīng)用安全和數(shù)據(jù)安全數(shù)據(jù)庫安全操作系統(tǒng)平臺的安全網(wǎng)絡(luò)安全網(wǎng)絡(luò)架構(gòu)安全物理安全安全管理安全評估安全策略商業(yè)銀行安全模型規(guī)劃框架網(wǎng)上銀行信息安全技術(shù)保障要求SecurityandValue-AddedBusinessGroupDigitalChina(China)Limited網(wǎng)絡(luò)防火墻訪問隔離網(wǎng)絡(luò)入侵檢測系統(tǒng)。。。。?！咀ⅲ罕倦A段銀行IT投入的重點為業(yè)務(wù)系統(tǒng)的基礎(chǔ)信息建設(shè)】網(wǎng)上銀行負載均衡系統(tǒng)網(wǎng)上銀行SSL證書加速銀行網(wǎng)頁主動防御系統(tǒng)消費者認證系統(tǒng)。。。。。網(wǎng)絡(luò)安全評估業(yè)務(wù)系統(tǒng)網(wǎng)的安全隔離終端防病毒Internet接口的安全防護網(wǎng)絡(luò)準入控制上網(wǎng)行為管理網(wǎng)絡(luò)鏈路負載及廣域網(wǎng)流控系統(tǒng)網(wǎng)絡(luò)安全改造及運維服務(wù)內(nèi)部合規(guī)性審計服務(wù)銀行日志審計系統(tǒng)核心數(shù)據(jù)中心審計及保護內(nèi)部業(yè)務(wù)負載均衡。。。。。。BSM流程優(yōu)化綜合運維監(jiān)控系統(tǒng)第三方運維外包新型業(yè)務(wù)系統(tǒng)建設(shè)聯(lián)機綜合業(yè)務(wù)系統(tǒng)建設(shè)網(wǎng)絡(luò)優(yōu)化及安全基礎(chǔ)建設(shè)網(wǎng)絡(luò)安全深化及內(nèi)部控制業(yè)務(wù)管理合規(guī)性及業(yè)務(wù)優(yōu)化安全、優(yōu)化及管理構(gòu)架內(nèi)部網(wǎng)絡(luò)網(wǎng)絡(luò)可視管理網(wǎng)絡(luò)異常行為分析DDoS清洗NACIPS/IDS防火墻身份認證系統(tǒng)政策法規(guī)遵循無線網(wǎng)絡(luò)管理邊緣接入數(shù)據(jù)中心運維管理訪問控制防火墻防病毒網(wǎng)關(guān)防內(nèi)容泄露網(wǎng)關(guān)帶寬QoS管理NACIPSec/SSLVPN廣域網(wǎng)加速上網(wǎng)代理網(wǎng)關(guān)多鏈路出口管理網(wǎng)絡(luò)可視管理網(wǎng)銀應(yīng)用負載管理銀行應(yīng)用可靠性管理網(wǎng)銀IPS一級防護內(nèi)部系統(tǒng)防火墻隔離數(shù)據(jù)庫安全網(wǎng)關(guān)網(wǎng)銀系統(tǒng)WEB應(yīng)用防火墻反垃圾郵件系統(tǒng)資源虛擬化管理數(shù)據(jù)加密系統(tǒng)數(shù)據(jù)災(zāi)難備份智能KVM管理運維審計管理運維監(jiān)控系統(tǒng)安全日志事件審計系統(tǒng)弱點管理入侵檢測審計安全策略管理業(yè)務(wù)服務(wù)管理安全評估及加固服務(wù)內(nèi)部規(guī)范審計控制咨詢IT流程優(yōu)化咨詢網(wǎng)上銀行系統(tǒng)信息安全規(guī)劃介紹網(wǎng)上銀行信息安全參考規(guī)范及安全要求網(wǎng)上銀行信息安全現(xiàn)狀及安全規(guī)劃網(wǎng)上銀行信息安全解決方案廠商資源網(wǎng)上銀行信息系統(tǒng)全景圖網(wǎng)絡(luò)攻擊及入侵（入侵防御系統(tǒng)防護）：當客戶遇到互聯(lián)網(wǎng)的非法攻擊和入侵的時候，勢必對網(wǎng)上應(yīng)用和交易系統(tǒng)產(chǎn)生影響，造成訪問效率下降、網(wǎng)絡(luò)擁堵等狀況，采用主動式入侵防御系統(tǒng)利用高可靠識別攻擊，精確判斷入侵及攻擊行為并作出相應(yīng)的反應(yīng)來解決客戶遇到的上述問題。鏈路負載均衡（多鏈路控制器）：客戶為了避免出現(xiàn)鏈路單點故障，保證鏈路接入的高可用性，用戶都采用不同運營商的多條鏈路接入，采用鏈路負載均衡產(chǎn)品，把訪問外網(wǎng)資源的內(nèi)網(wǎng)用戶按照要求負載均衡到兩條鏈路，任何一條鏈路出現(xiàn)故障，都能夠?qū)崟r發(fā)現(xiàn)，自動把請求轉(zhuǎn)發(fā)至正常的鏈路；同時把訪問內(nèi)網(wǎng)資源的用戶自動導向到訪問質(zhì)量最優(yōu)的鏈路，并實時監(jiān)控鏈路的狀態(tài)，如果某一鏈路出現(xiàn)故障，自動切換到其他正常鏈路。安全區(qū)域劃分和隔離（防火墻）：客戶在數(shù)據(jù)中心根據(jù)不同的安全級別劃分出不同的訪問區(qū)域，不同的區(qū)域之間互相訪問需要通過安全設(shè)備進行隔離，根據(jù)不同的安全級別設(shè)定策略進行訪問控制，通過多種檢測機制，發(fā)現(xiàn)攻擊流量，實時進行阻斷，提高應(yīng)用系統(tǒng)的安全性。客戶需求及方案要點（一）互聯(lián)網(wǎng)流量管理和優(yōu)化（全局流量控制器、Web加速器）：客戶開展電子商務(wù)和網(wǎng)上交易業(yè)務(wù)，需要考慮客戶端采用不同接入方式和終端種類，因此通過采用全局流量管理設(shè)備對處在不同地理位置和運營商接入的終端用戶選擇服務(wù)效率最佳的數(shù)據(jù)中心，采用Web加速設(shè)備利用數(shù)據(jù)流量優(yōu)化加速的手段提高訪問速度，確保客戶滿意度的提升。移動辦公接入（SSLVPN網(wǎng)關(guān)）：客戶為加強遠程辦公終端的安全性和易用性，采用SSLVPN的接入方式，利用對客戶端安全檢查、靈活定制訪問策略和權(quán)限的技術(shù)手段，滿足移動辦公用戶接入數(shù)據(jù)中心簡單方便。服務(wù)器負載均衡、應(yīng)用優(yōu)化（本地流量管理器）：由于網(wǎng)上交易系統(tǒng)都采用SSL加密的方式，對于如何卸載服務(wù)器在處理SSL加解密方面的壓力，在不影響服務(wù)器性能的前提下，對數(shù)據(jù)進行加解密就變成了一個重要的話題，使用本地流量管理器，把大量用戶的請求平均分發(fā)到多臺服務(wù)器上面，同時能夠?qū)?shù)據(jù)進行SSL加速，卸載服務(wù)器處理SSL加解密的壓力。在站點之內(nèi)，負載均衡產(chǎn)品能夠同時對Web前置服務(wù)器、應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器、緩存服務(wù)器等多種服務(wù)器進行負載均衡?？蛻粜枨蠹胺桨敢c（二）客戶需求及方案要點（三）各類應(yīng)用安全防護（WAB防火墻、數(shù)據(jù)庫安全審計、動態(tài)口令認證系統(tǒng)）：客戶在數(shù)據(jù)中心的建設(shè)過程中最重要的就是核心業(yè)務(wù)系統(tǒng)，它包含了至關(guān)重要的應(yīng)用系統(tǒng)服務(wù)器和核心數(shù)據(jù)，在核心業(yè)務(wù)系統(tǒng)中一般采用三層部署的標準架構(gòu)，Web服務(wù)器-應(yīng)用服務(wù)器-數(shù)據(jù)庫，因此各類服務(wù)器的安全防護是客戶最關(guān)心的重點，建議采用Web防火墻對Web服務(wù)器進行安全保護，避免針對服務(wù)器應(yīng)用層和源代碼風險的攻擊，采用數(shù)據(jù)庫安全審計平臺對各類數(shù)據(jù)庫操作，數(shù)據(jù)表調(diào)用和修改的動作進行審計和告警，保證在數(shù)量繁多的用戶訪問數(shù)據(jù)庫的情況下行為能夠進行審計。動態(tài)口令認證系統(tǒng)確保網(wǎng)上交易系統(tǒng)用戶帳戶和口令的密碼保護，形成“雙因素”強身份認證。日志收集和分析（統(tǒng)一日志審計平臺）：在金融行業(yè)各個監(jiān)督管理機構(gòu)下發(fā)的政策法規(guī)文件中，日志統(tǒng)一收集、分析和保存是必不可少的一項重點要求，系統(tǒng)日志保存期限按照風險等級不同來區(qū)分，至少不得少于一年，采用統(tǒng)一日志審計平臺能夠滿足各種法規(guī)政策的要求，制定相關(guān)策略和流程，管理所有生產(chǎn)系統(tǒng)的活動日志，以支持有效的審核、安全取證分析和預(yù)防欺詐。不同平臺和品牌的存儲之間協(xié)同優(yōu)化（虛擬存儲系統(tǒng)）：客戶在構(gòu)建數(shù)據(jù)存儲系統(tǒng)的時候如果采用了異構(gòu)的部署方式，系統(tǒng)中會出現(xiàn)不同平臺和品牌的存儲服務(wù)器，使用起來會造成很大的不便，采用虛擬存儲系統(tǒng)可以把各種基于NAS協(xié)議的存儲服務(wù)進行虛擬化管理，實現(xiàn)無縫數(shù)據(jù)遷移、存儲負載均衡和異構(gòu)部署等多種優(yōu)化功能。網(wǎng)上銀行系統(tǒng)信息安全規(guī)劃介紹網(wǎng)上銀行信息安全參考規(guī)范及安全要求網(wǎng)上銀行信息安全現(xiàn)狀及安全規(guī)劃網(wǎng)上銀行信息安全解決方案廠商資源廣泛的廠商合作和豐富的產(chǎn)品資源網(wǎng)上銀行系統(tǒng)方案庫網(wǎng)上銀行系統(tǒng)信息安全要求安全技術(shù)基本要求客戶端安全客戶端程序密碼保護RSA、Etoken登陸控制專用輔助安全設(shè)備安全USBkeyRSA、Etoken文件證書CA、RSAOTP令牌RSA動態(tài)密碼卡其它專用輔助安全設(shè)備網(wǎng)絡(luò)通信安全通訊協(xié)議F5/NeoaccelSSLVPN、BlueCoat安全認證RSAEtoken網(wǎng)上銀行服務(wù)器端安全網(wǎng)絡(luò)構(gòu)架安全CheckPoint、TippingPoint、McAfee、F5、BlueCoat、Websense、AceNet、Imperva、IronPort、Arbor、Foundstone系統(tǒng)設(shè)計安全RSAWeb應(yīng)用安全BlueCoat、Websense、Imperva、IronPort數(shù)據(jù)庫安全Imperva安全管理基本要求組織機構(gòu)BMC網(wǎng)絡(luò)監(jiān)控管理方案、MCAFEE安全事件管理方案、BlueCoat/Websense上網(wǎng)行為管理方案、Mcafee資產(chǎn)生命周期管理方案、Mcafee

epo統(tǒng)一風險管理方案、RSAenvision日志審計管理組織制度安全策略人員及文檔管理系統(tǒng)運行管理網(wǎng)絡(luò)安全管理密鑰管理業(yè)務(wù)連續(xù)性管理業(yè)務(wù)運作安全要求業(yè)務(wù)申請及開通RSAEtoken業(yè)務(wù)安全交易機制身份認證RSAEtoken交易流程RSAEtoken網(wǎng)上支付RSAEtoken用戶教育數(shù)據(jù)應(yīng)用網(wǎng)絡(luò)傳輸安全網(wǎng)銀邊界入侵防護網(wǎng)銀攻擊DOS/DDOS防御需要網(wǎng)絡(luò)邊界訪問控制操作系統(tǒng)安全配置需要病毒和惡意代碼防護WEB網(wǎng)站防應(yīng)用（蠕蟲）攻擊網(wǎng)絡(luò)防釣魚Web網(wǎng)頁防篡改電子郵件的安全防范（包含垃圾郵件）應(yīng)用服務(wù)器安全保障需要網(wǎng)銀數(shù)據(jù)防泄露需要用戶身份認證的加強數(shù)據(jù)庫安全保障，對異常行為審計Application優(yōu)化網(wǎng)銀Web訪問的效率較低網(wǎng)銀克服VOIP電話服務(wù)改善防火墻數(shù)據(jù)流量過多，訪問壓力過大網(wǎng)銀應(yīng)用服務(wù)器負載過大，性能低下多媒體視頻服務(wù)用戶體驗改善數(shù)據(jù)庫處理能力改善廣域網(wǎng)應(yīng)用傳輸網(wǎng)銀互聯(lián)網(wǎng)接入的多鏈路處理網(wǎng)銀多數(shù)據(jù)中心的訪問容災(zāi)引導主干流量傳輸優(yōu)化管理網(wǎng)銀交易安全事件管理操作系統(tǒng)補丁管理弱點管理終端上軟件內(nèi)容安全分發(fā)內(nèi)部安全策略管理內(nèi)部安全域訪問控制：網(wǎng)絡(luò)行為控制資產(chǎn)管理安全運維管理網(wǎng)