来源:黑龙江农信 作者:修丽强
一、项目背景及目标
黑龙江省农村信用社联合社是全国首批申报省级农商银行的机构,原有管理模式将发生重大改变,需要省联社适时转变经营理念、发展方式、管理模式,从传统“服务三农”向全业务、全牌照转型,从省联社服务向省联社经营服务转型。同时,5G技术的应用为企业带来更高速的网络,也带来更多的风险,对网络安全提出了更高的要求,省联社原有办公网络已不能适应新要求。
为适应新的发展形势,结合黑龙江省联社2019年9月搬迁新办公楼的契机,构建了面向转型发展的新一代办公网,以《网络安全法》为基线,以面向5G的新一代网络安全技术为依托,兼顾大农业、公司化、省联社经营的新特点,实现智慧网点与移动办公相结合,打造开放融合、安全可控的办公网络,全方位支持全省农信业务发展。
二、项目方案
黑龙江农信新一代办公网包括有线办公网络和无线办公网络,网络整体以重新规划建设为主,部分应用系统(OA系统)由原办公网络整体迁移至新一代办公网。方案设计本着信息安全与信息系统“同步规划、同步建设、同步运行”的三同步原则,在新一代办公网建设初期阶段完成安全防护体系的规划和建设工作,保证网络在投入运行时能够具有完整的安全检测和防护能力,同时满足政策监管要求和行业监管要求。
在新一代办公网的方案设计中,通过分析相关需求,制定了融合拓扑规划设计,涵盖【安全域划分】、【互联网接入】、【边界防护】、【互联网行为审计】、【网络攻击检测与流量合规分析】、【终端合规管控】、【无线增强安全防护】七个层面,设计方案增强了防护能力、细化了防护配置、加强了协同响应。
三、创新点
1.互联网链路隔离
互联网接入采用三条独立线路,分别为无线网接入线路、有线网上行线路、有线网下行线路,实现了有线网络与无线网络的物理分离,加强了无线网与有线网在区域边界的安全防护。
无线网接入线路:用于承载无线终端的互联网访问行为,线路从逻辑上只允许终端对外访问,禁止互联网用户通过此线路访问内部网络系统。
有线网终端对外访问线路:用于承载有线接入终端的互联网访问行为,线路从逻辑上只允许终端对外访问,禁止互联网用户通过此线路访问内部网络系统。
服务器互联网接入线路:用于承载OA系统、邮件系统等应用系统的互联网应用,线路从逻辑上只允许用户从互联网访问内部应用系统,仅设置必要的地址映射策略,保证应用系统的发布。
2.灵活的移动办公
融合全面的无线网络服务,打造无缝覆盖的移动办公网络,实现与我国“互联网 ”战略的接轨,坚实打好无线网络覆盖基础,为金融行业物联网全面接入,建成新时代的“智慧无线”提供全面保障。
优化无线覆盖,提升用户接入体验。部署前全面检测无线信号衰减情况,依据现勘实际情况确定无线网络点位。满足全体人员在办公区域内随时随地使用网络的需求,推进办公、研发、维护、管理等方面网络终端移动化,保障特殊场景(报告厅、会议室等)使用无线网络的需求。
实现用户安全准入控制。在提供无线接入的同时,能够无缝融合基于用户身份、终端类型、接入位置和时间等因素的状态防火墙策略,新增AP与无线管控系统之间具有良好的联动机制,确保用户接入层的安全可靠。
高密度、高性能、高安全性、高易用性。满足不断增加的PAD、IOS、Android、摄像头和打印机等物联网设备接入需求,并且保持用户状态、带宽和访问权限始终一致,不会出现断线、重复认证的现象。
3.安全综合威胁检测
通过方案赋能有效融合了数据分析审计、网络攻击检测与流量合规分析、终端合规管控、无线增强安全防护、以及访问控制、入侵防范、病毒与恶意代码防护的能力和措施。
数据分析审计:融合身份认证、行为管理、行为审计、流量控制四个方面。
网络攻击检测与流量合规分析:通过特征检测、异常检测、行为分析方式对网络内的攻击行为进行检测,同时发现违规流量和行为。
终端合规管控:划分“基础认知及运维阶段”、“合规建设阶段”和“主动防御及强制阶段”三个阶段,以实现全面的终端安全管理。
四、技术实现特点
1.安全域的划分
由于无线网络中不存在较为明显的功能边界,因此设计采用以职能为依据的安全域划分方式,通过在核心交换机上配置虚拟局域网(VLAN)的技术手段进行安全域划分。
有线网络主体划分为服务器区、安全管理区、终端接入区:
服务器区:包括整体迁移至新建网络的OA系统和新建的邮件系统;
安全管理区:安全管理与集中运维区域;
终端接入区:终端接入区域,在区域中可依照职能细化内部区域。
2.边界控制防护
边界访问控制:根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级;
入侵防范:在网络边界处监视以下攻击行为,包括端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等,当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警;
病毒与恶意代码防护:在网络边界处对恶意代码进行检测和清除。
3.数据分析审计
有线、无线互联网行为审计能力,主要从以下四个方面进行赋能:
身份认证:针对无线网络,完善了身份认证措施,保证审计结果与接入设备或人员对应;
行为管理:包括流量控制、应用控制、URL控制等;
行为审计:如论坛、微博、邮件、IM、下载等。
流量控制:根据不同的应用类型合理分配带宽资源。
4.网络攻击检测与流量合规分析
特征检测:以入侵活动能够用一种模式来表示为前提,系统通过检测主体活动是否符合这些模式。这种技术的有效性关键在于特征的刻画,特征刻画的是否精准直接决定了有效性。
异常检测:以入侵活动有别于正常活动为假设,通过为正常活动建立模型,将当前主体的活动与模型比较,当违反其统计规律时,视该活动为入侵行为。
5.终端合规管控
能够进行“资产管理”、“软件分发”、“补丁管理”、“主机防火墙”、“主机防病毒”、“主机监控审计”、“非法外联控制”、“移动存储管理”、“数据防泄露”、“准入控制”和“安全基线管理”,进而实现全面的终端安全管理。
6.无线增强安全防护
在方案设计中增强传统的无线组网模式,提升防护应对能力,其中:
无线攻击检测:能够自动开启无线攻击反制功能、无线设备资产属性实施攻击防御、无线关联关系实施攻击防御、无线攻击行为实施攻击防御等。
无线入侵防御:能够发现未设置加密方式、非法内联、非法外联、钓鱼AP、无线暴力破解;探测到代理AP、DDoS攻击以及其他各种恶意攻击和探测;检测到隐藏无线网络、代理AP、私接AP、终端MAC地址仿冒等非法行为。
五、项目过程管理
1.需求分析收集阶段
此阶段主要完成需求分析、合规要求、网络规划、安全能力级别、技术架构规划等信息收集及沟通工作。提交了需求分析报告、基础能力分析报告、规划设计分析报告、技术框架规划报告、信息安全设计报告等文档及相关证明文件。
2.方案详细设计阶段
此阶段主要完成了新一代办公网的解决方案、建设实施方案等相关文档,并及时协同项目进展保持规划设计的一致性及相关项目干系人的实时信息沟通。
3.实施部署准备阶段
此阶段主要完成了相关安全赋能产品的准备、调试及上架、上线前的准备工作,提交了相关系统的测试报告、实施方案、配置手册、突发处置方案等相关文档。
4.业务切换上线阶段
此阶段主要完成了信息系统的切换部署,保证了系统的可用性、稳定性,提交了应急响应方案等相关文档。
5.稳定防护运行阶段
此阶段主要是做好支撑工作,保证系统稳定运行。
六、运营情况
新一代办公网的有线网络、无线网络及迁移应用系统,通过一段时间的稳定运行,其方案规划设计满足相关要求及实际使用情况,在满足安全防护需求的同时,增强了分析、处置、响应能力。
1.边界防护运营情况
新一代办公网通过对有线网与无线网的分离,明确划分网络区域,在网络边界部署综合安全防护设备,实现访问控制、入侵防护、病毒及恶意代码检测功能,有效保障整体网络稳定运行。
2.入侵防御运营情况
新一代办公网的安全部署,实现对病毒、木马、蠕虫、僵尸网络、缓冲区溢出攻击、拒绝服务攻击、扫描探测、欺骗劫持、SQL注入、XSS攻击、网站挂马、隐蔽信道、AET逃逸、C&C行为等各种威胁的全面有效检测,以及对未知木马C&C行为、网络扫描行为、蠕虫行为的检测,具有对网络蠕虫、间谍软件、木马软件、溢出攻击、数据库攻击、高级威胁攻击、暴力破解等多种深层攻击行为进行主动阻断的能力。
3.行为审计运营情况
新一代办公网提升了安全防范能力和水平,提高了预防和制止网上违法犯罪活动的能力。
在跨三层的网络环境,能够快速识别“一拖N”的网络私接行为,对私接用户进行有效管控;及时发现非法热点,预防个人用户私接路由,拒绝未知网络终端节点;让整个网络拓扑清晰可控,有效预防数据泄露的安全风险,降低了管理员的维护工作量。
可以准确识别网络上正在运行的应用,全面记录审计用户上网行为、使用流量、访问网站、所用终端系统及设备类型平台等信息,针对具体需求对用户行为进行准确管控,既可保证业务流的高效运行,也可预防由于内网机器受到攻击而产生的威胁。
4.终端管控运营情况
新一代办公网增强了终端外设管控能力,能将阻止非授权接入。终端管理系统收集IT设备的软硬件配置信息,自动与终端注册信息进行绑定;定义计算机终端安装软件的的红、白、黑名单,及时发现终端软硬件变更并进行告警;监控计算机终端的操作系统版本、防病毒软件、登录口令、注册表等方面的运行情况,自动帮助计算机终端及时安装系统补丁或安全更新,远程实现批量软件分发,提高终端运维管理效率。
5.无线控制运营情况
新一代办公网对无线网单独进行管控,能够阻止流氓AP,对无线扫描、无线欺骗、无线破解、无线DoS等攻击进行防护;实现无线加密、无线接入、QOS、实时监控与日志审计、具有区域内无线安全检测与阻断功能,保证无线终端安全访问互联网。
七、项目成效
1.充分适应和支持业务管理和业务发展
新一代办公网投入使用后,充分发挥线上办公的高效作用,同各应用系统有效对接,利用新一代办公网络的视频会议有效支撑了省联社疫情防控期间的各项工作,疫情期间召开全省视频会议23次,针对疫情防控和恢复生产及时进行决策和部署,取得良好效果。
新一代办公网络有力支持疫情期间业务拓展,根据对远程工作需求场景的预判,实现多种远程安全访问模式,满足远程办公、远程运维和远程开发等复杂工作要求,提供系统搭建、扩容、优化配置的平台,充分保障ETC系统及时上线,为抢占业务市场提供了有力支持。同时,利用远程办公网络对各系统特别是线上信贷业务系统进行持续监测和性能优化,有力保障线上信贷业务顺利开展,信贷业务增长迅速,各项贷款余额上升为全省第一。
2.全面提升网络安全防护能力和安全运营水平
新一代办公网通过对网络进行安全加固和架构优化,从多方位、多角度实现办公网全面安全防护能力和安全运营水平的提升。
对于有线办公网而言,实现终端统一管理,对终端进行集中维护,简化运维难度,同时部署的企业防病毒系统和防病毒网关不仅可以有效的对终端及服务器进行病毒查*,还可以对互联网出口进行恶意代码检测和清除。互联网出口的入侵防御系统可以对互联网出口攻击进行告警和防护,入侵检测系统可以对网络内的违规流量和行为进行检测,防止了网络内部的攻击行为。
对于无线办公网而言,互联网出口的综合边界网关的访问控制、入侵防护、病毒及恶意代码检测能力,使无线办公网得到了安全可靠的使用环境。通过对于无线终的端身份认证、行为管理、行为审计、流量控制行为功能,有效规范了无线终端用户的上网行为。
3.充分满足银行业及监管机构的政策要求
网络安全建设是在国家在信息化发展中重要的战略组成部分,人民银行、银行业监管机构、国家有关部门,均提出了诸多规范文件及相关法律政策。
通过新一代办公网建设,黑龙江农信积极响应国家号召,将实际安全需求、行业政策要求结合落地,进行网络安全加固,形成一套完善的安全防护体系,构建一个规范化、多业务支撑、可靠、安全的专用信息通信平台,既支撑办公网安全稳定运行,提升办公效率,又提升网络与信息安全保护能力,保障信息系统安全,同时满足政策监管要求和行业监管要求。
八、总结经验
黑龙江农信新一代办公网络上线以来迸发突出效果,尤其在疫情期间,在新一代办公网络的支撑下,全社采取线上办公方式,有效保证了全省农信系统的工作运转,为疫情防控、复工复产提供了有力保障,黑龙江省农信系统实现了历史性的突破和发展,主要经营指标创历史新高,实现“10个第一”:资产总额5518亿元,居全省同业首位;各项存款突破4000亿大关,达到4120亿元,居全省同业首位;各项贷款余额2597亿元,居全省同业首位;备春耕贷款余额593.3亿元,占全省总量的59%,居全省同业首位;涉农贷款余额1306.71亿元,占全省总量的37%,居全省同业首位;小微企业贷款余额934.8亿元,占全省总量的28.5%,居全省同业首位;防疫物资和生活必备品生产企业贷款余额170.3亿元,占全省总量的27%,居全省同业首位;稳企稳岗贷款余额114.8亿元,占全省总量的19%,居全省同业首位;运用支农支小再贷款额度达到61.2亿元,占全省总量的61%,居全省同业首位;扶贫贷款余额44.7亿元,其中扶贫小额贷款余额33.0亿元,占全省总量的95%,居全省同业首位。
黑龙江农信通过本项目的建设,搭建高效安全的网络系统,满足5G时代的业务发展要求,依靠科技力量支持三农、扶助小微,助力农村金融真正走上差别化、特色化的发展道路,建设全方位、可持续的普惠金融服务体系。
