亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

隨著金融系統計算機的應用和發展，計算機網絡技術在金融系統得到了廣泛的應用，為金融業的集約化經營和高速度發展奠定了堅實的基礎。有些二級銀行防病毒建設目前處于孤島式防御、分散式管理。具體表現在外網網絡邊界有防火墻、防DDOS攻擊等傳統網絡邊界防護設備，桌面系統部署的個人版防護墻和殺毒軟件。DMZ區的服務器未部署殺毒軟件。工作區終端設備部署桌面管理軟件，其側重主機的非法外聯檢測和主機監控，服務器由于在虛擬化平臺和unix系統環境下病毒防御處于長時間未更新或未設置病毒防護狀態；生產網的安全域的服務器的防病毒處于長期未更新病毒庫，病毒庫更新滯后。

隨著智能手持終端的流行和發展，BYOD的病毒防御還未引起足夠重視，部分支行中的工作人員有通過無線聯入內網服務的需求，而且外網無線有私自搭建wifi的現象，這樣導致部分使用手機、PAD等個人辦公設備連入信息外網，由于現在手機、PAD病毒的快速發展對信息外網的病毒防御形成安全隱患。

一、防病毒安全性分析

金融行業專家往往認為內網是安全的，不存在外來病毒入侵，但從近年來對數據泄密和連續性運營的安全攻擊層出不窮告訴我們，來自內部的攻擊對內網來說更不能承受。下面我們著重對銀行系統的工作區和生產區面對的防病毒形勢進行分析

1.區域點的防病毒分析

主機終端

主機終端是辦公的主要工具，大量重要數據和信息的存在，實時的數據交互需求讓終端防病毒更加困難。桌面終端面臨來自郵件系統的攻擊、網絡、U盤和自身系統應用的脆弱性讓桌面安全防不勝防。

銀行企業內網桌面終端與互聯網處于物理隔離，但面對通過U盤介質傳遞的病毒、惡意用戶通過郵件系統傳遞的木馬、來自內網網絡的惡意代碼和入侵也同時存在。外網終端的個人防病毒系統處于孤自防御、獨立升級、更新滯后、無專人維護而且其病毒庫的數量遠遠小于專業版或企業版的殺毒系統；病毒庫升級占用大量網絡帶寬；孤立的防病毒系統不能形成態勢分析和事后追蹤；無專人維護導致病毒庫更新滯后。

便捷式終端

目前便攜式終端包括公司員工的PAD和個人手機，這類終端有時用于辦公使用，導致一些重要信息留存在手機或PAD中，同時也會通過wifi將木馬、病毒傳播到信息外網中。

服務器

虛擬化服務器中的病毒防御處于孤點隔離狀態，桌面終端管理系統側重網絡終端資產管理、非法外聯監控、軟件發布管理、消息推送管理等。對桌面終端的防病毒缺乏有效支撐，所以內網中同時大量多種安裝個人防火墻，使統一的防病毒管理和監控成為幻想，對內網安全造成隱患。

各個區域點對于的分析總結如下表所示：

		主機終端	移動終端	服務器
接入域	木馬、病毒等威脅	乄	O	乄
	系統脆弱性	乄	O	乄
服務器域	木馬、病毒等威脅	P	N	P
	系統脆弱性	乄	N	乄

表格字符解釋：P 防御良好，O 防御較弱，乄存在防御漏洞，N?無內容

2.區域線的防病毒分析

網絡邊界防病毒

網絡邊界是網絡間互通的大門，是網絡信息安全的第一道安全防線，計算機病毒、惡意攻擊等安全隱患大部分通過網絡邊界滲透傳播，銀行業安全視角示意圖如下圖所示。

某銀行安全示意圖

• 網絡邊界部署防火墻、防DDos攻擊、IPS等安全設備，但從系統性能和防病毒能力均不能滿足銀行日益增長的要求，同時入侵防御系統對外網用戶僅當IDS使用，對入侵攻擊僅能告警，在外網與互聯網邊界未提供防毒墻。
• 二級安全域、三級安全域與網絡各均有防火墻進行訪問控制，特別的在三級安全域部署有入侵防御系統，能夠針對入侵進行檢測和防御。
• 通過入侵防御和防火墻來防御來互聯網的入侵行為。

	接入域與互聯網	服務器域與接入域	服務器域與安全域	服務器域與上級銀行
惡意代碼、病毒入侵、拒絕服務攻擊等威脅	乄	P	P	P
網絡邊界脆弱性	乄	P	P	P

3.區域面的防病毒

網絡監控預警需求

針對與外網邊界部署隔離網閘，在與上級單位部署有防火墻和IPS，在三級安全域內部署有IPS，在服務器上部署有軟件，但這些措施只能是單點防御，阻止一般威脅尚有不足，當面對高級持續性威脅（APT）時不能快速有效形成防御。

內網防病毒安全越來越向集中化管理專業化網絡監控方向發展，以此應對更專業的黑客入侵、海量病毒查殺、實時異常情況分析等防病毒要求。

	內網	外網
apt攻擊、組合式病毒攻擊、0day攻擊、未知病毒攻擊	O	O
網絡防病毒監控預警	O	O

二、防病毒整體設計

通過上述分析來自APT攻擊、未知攻擊和0day攻擊的出現對銀行服務器病毒網防御形成全新挑戰。

為應對來自全方位的入侵，需要從技術和管理手段加以應對：

技術層面，選擇更專業化更高、覆蓋網絡更全面的防病毒產品；管理手段，制定嚴格和切合實際可操作的的規章制度。瑞星從技術角度為銀行業提供一整套防病毒設計方案。

1.建立終端防病毒點

桌面終端防病毒系統

瑞星企業終端安全管理系統軟件（簡稱ESM）是北京瑞星信息技術有限公司推出的新一代企業級計算機終端安全防護軟件產品，它對加強企業網絡信息的全面管理提供了一套統一的桌面終端防病毒方案。

產品采用BS/CS融合架構、實現了管控平臺+子功能產品的組合模式，允許客戶按需購買客戶端授權點數的同時，還能夠做到無縫添加客戶端功能，真正達到與企業應用完美結合的效果。獨創的病毒追蹤技術通過大數據挖掘分析，在傳統病毒查殺的基礎上快速定位網內病毒源以及傳播媒介；內置領先的U盤管理理念使U盤禁用、申訴、殺毒、制作綠色殺毒盤等融為一體，全新的ARP防御技術有效防御各種攻擊威脅。與此同時還能夠對防止泄漏內網信息提供有力保障?？蓪W絡中各計算機的信息、資源以及移動電腦設備隨意接入、非法外聯行為、軟硬件資產濫用、網絡故障頻發等進行有效的審計和控制，是企業網絡終端安全解決方案的重要組成部分。

在統一的管理平臺上，提供強大的管理功能在安裝部署、升級、策略任務的設置及分配、即時命令的處理等等方面都提供方便的操作。

產品功能

• 防病毒
• 漏洞掃描
• IT資產管理
• 行為審計
• 網絡安全管理
• 信息內容

產品部署

提供復雜、多級的網絡用戶提供集中、分級的網絡防病毒管理系統，集中管理表現在上級管理中心可以管理下級中心，分級管理表現為各級中心可以管理本中心的防病毒客戶端，并且上級管理中心可以直接管理下級管理中心所屬的每一個客戶端。

• 支持對跨網段、跨區域的超大型網絡進行統一、全面、智能化管理
• 支持分布式部署，數據中心、業務中心、擴展中心可單獨部署，支持大型網絡的服務器負載均衡計算，具有很高的伸縮性
• 客戶端、升級中心均支持設定多升級源的自動升級，保證升級及時性
• 中心服務器支持雙機熱備，主中心出現異常時，從中心可以自動切換為主，大大提高服務器容災能力。
• 每個上級中心可以根據需要建立多個下級系統中心，同時可以進行集中管理

服務器防病毒系統

瑞星虛擬化系統安全軟件是瑞星公司推出的國內首家企業級虛擬化平臺防病毒解決方案。該產品是基于VMware公司vShield Endpoint技術，采用無代理模式，具有系統資源消耗低、實時防護未啟動虛擬機、安全策略隨虛擬機遷移靈活配置、避免安全風暴發生等優勢，是各行業VMware虛擬化產品用戶推行安全防護解決方案的首選。

針對銀行業部分服務器采用虛擬化技術使用瑞星虛擬化系統安全軟件。

產品功能

• 全面直觀地展現安全情況
• 全網查殺病毒
• 實時監控防毒狀況
• 病毒與安全事件報警
• 防毒策略的定制與分發
• 集中式授權管理
• 遠程控制與管理

便攜式終端防病毒系統

瑞星企業移動管理系統軟件(Rising Enterprise Mobile Management，以下簡稱REMM) 是瑞星公司研發的企業移動設備管理系統，它擁有完整的自主知識產權，能夠針對移動設備生命周期提供完整管理。從設備注冊、激活、使用、淘汰各個環節進行全面管理，能夠實現用戶及設備管理、配置管理、安全管理、資產管理等功能。通過設備、網絡、應用及數據等多個層次，建立多維度的安全管理體系，實現企業移動業務的集中管理與安全防護。

產品功能

• 統一管理
• 企業移動應用市場
• 手機病毒防護
• 安全接入與防護
• 數據保護

2.建立邊界安全防病毒線

防毒墻

瑞星UTM防毒墻是一款具備高性能和高穩定性的網絡安全產品。面對日益增強的混合性攻擊和社會工程學陷阱，防毒網關逐漸成為了用戶的主要安全產品選擇。瑞星UTM防毒墻集多種安全技術于一身，包括防火墻、反病毒、防掛馬、VPN、IPS、Web內容過濾、內網管理及流量控制等功能，用戶無需安裝任何附加軟件，便可以極大程度的提高企業的安全和網絡管理水平。

作為一個應用在網絡邊緣的安全產品，UTM防毒墻能夠與現有網絡安全產品無縫結合，病毒庫及時更新，支持斷點續傳，保證在各種網絡環境中都可以更新。龐大穩定的用戶群體和完善的監控骨干網絡監控，為各種樣本收集提供有力的保障。

 

產品功能

• 策略路由
• 防毒墻Web過濾
• 入侵防御
• 管理員權限自定義
• MAC地址綁定
• 協議識別
• 集中管理
• 雙機熱備

產品部署

由于瑞星防毒墻是一種硬件型產品，有著即插即用的特點，所以部署起來十分靈活方便。可以把它安裝在任何需要保護的內部網絡出口處，也可以放置在特定服務器集群前面。

示例網絡拓撲結構圖如下：

下一代防火墻

產品功能

在底層專用高性能硬件平臺之上，為RSOS安全操作系統。操作系統內集成了多種下一代防火墻的安全功能。其中，需要有特征庫升級的安全功能，如防病毒、IPS等，由RSService升級服務提供。

• 專用硬件——RFW-NG采用的硬件架構為X86多核CPU。此種硬件架構的優勢在于網絡層到應用層指令全面，適合下一代防火墻理念。
• RSOS——不同于安全性脆弱的商用操作系統，RSOS為定制化的、適合于RFW-NG的專用安全操作系統，其安全標準可最高級別的安全操作系統規范。
• 安全功能——RFW-NG集成了符合下一代防火墻標準的多種安全功能，包括防病毒、IPS、應用控制、Web過濾等。
• 升級服務——RSService升級服務，可為需要有特征庫升級的安全功能，提供定期更新，保證對最新安全威脅提供最快的響應。

用戶認證本地數據庫 RADIUS/LDAP/TACACS PKI IPSEC VPN Xauth擴展認證 RSA SecurID認證 防火墻 路由、透明、混合模式 DHCP 服務器 DNS轉發 DNS服務器 NAT/PAT VLAN 鏈路聚合 交換/路由 支持多鏈路流量分配 支持ADSL 支持靜態路由/策略路由 動態路由RIP v1 & v2, OSPF, BGP 支持STP 支持802.1X 支持VLAN 支持鏈路聚合 支持IPv6

虛擬專用網(VPN)PPTP, IPSec, L2TP, GRE,SSL VPN 支持CA 星型VPN/網狀VPN OSPF over IPSec IPSEc over GRE OSPF over GRE IPsec over L2TP 防病毒 支持各種文件傳輸協議 自動升級病毒庫 支持文件壓縮 網頁過濾 支持URL 地址/域名黑白名單 支持關鍵字過濾 支持對HTTP協議的參數過濾，比如 HOST，URI等 反垃圾郵件 支持SMTP/POP3/IMAP協議 在線查詢庫 IP 地址和Email黑名單 關鍵詞過濾 虛擬化 硬件平臺虛擬化 支持vmwareESXi, Xen, KVM

入侵防御系統支持6000多種特征庫 基于策略部署 可以設置免屏蔽IP 可以記錄數據包內容 DOS和DDOS攻擊控制 自動升級特征庫 可自定義特征庫 支持隔離攻擊者和可以設置隔離時間 支持在線和旁路式部署 支持自動生成策略和發送Reset阻斷攻擊   上網行為管理 支持2000多種應用 基于策略部署 支持對應用監控、阻斷和限制帶寬 通過特征指紋方式識別應用 支持在線式和旁路式部署 基于IP帶寬管理 安全審計 支持各種傳輸文件的協議 支持壓縮文件 支持TXT、PDF和Word類型文檔 內置敏感樣本

RFW-NG產品功能表

產品部署

RFW-NG支持多種部署方式，可以滿足各種規模、各種復雜網絡環境的需求。

• NAT/路由方式部署

NAT/路由方式部署為部署在網絡出口時最常見的部署方式。

RFW-NG在路由模式下支持各種路由協議，包括靜態路由、動態路由（RIP、OSPF、BGP路由及組播路由）、策略路由（根據不同的源地址、目的地址、端口等確定下一條路由網關）、基于用戶認證的路由（客戶PC輸入不同用戶名密碼進行認證，可以獲得不同的路由途徑）。

在NAT模式下，RFW-NG可以實現雙向NAT（網絡地址轉換）和PAT（端口轉換），包括1：N、N：1、N：N的轉換。

在NAT/路由模式下，RFW-NG還可提供鏈路負載及服務器負載均衡功能。

• 透明方式部署

透明模式下，RFW-NG可在不改變網絡拓撲的前提下，無縫部署在現有網絡中，與NAT/路由模式提供相同的安全功能。

透明方式部署時，RFW-NG不需要配置接口IP，只需要配置管理IP?？蛻舳思捌渌W絡設備的配置不需要有任何改動。此時，RFW-NG同樣可以支持防火墻功能及防病毒、IPS等應用層安全功能。

• 混合方式部署

RFW-NG可以實現路由/透明的混合模式，用于更復雜的網絡部署需求。

如上圖，內網與DMZ是同一網段，所有內網到DMZ為透明模式；內網訪問Internet時，需要開啟NAT。所以，防火墻需要同時支持透明及NAT模式。

• 旁路部署

RFW-NG可以旁路在部署，對網絡進出的流量進行監視，并記錄日志。

網絡流量可以通過交換機鏡像接口發送到RFW-NG，RFW-NG對流量進行進行掃描，并按要求進行記錄和告警。

上網行為審計

產品部署

瑞星上網行為管理系統RAC系列設備采用串接方式接入網絡，支持網橋模式、路由模式和旁路模式。

• 旁路模式

以透旁路方式接入網絡，可對網絡的流量進行前面的監控和記錄，無需改動用戶網絡結構和配置。

• 網橋模式

以透明網橋方式接入網絡，可以部署到網絡的網關位置或各部門的出口位置。無需改動用戶網絡結構和配置，即插即用，支持單網橋、多網橋的部署方式。

 

• 路由模式

將設備串接網絡中，可以放于內網的任意子網邊界，或與核心交換機相連?？梢源娣阑饓蚵酚善?，需要為設備配置內網和外網接口的?IP 地址。

3.建立監控預警區域防病毒面

隨著全球信息化及網絡技術的不斷發展，網絡安全問題特別是內部網絡安全問題日益突出。病毒是網絡安全問題中最為嚴重的問題之一，發生的頻率高、損失大、潛伏性強、覆蓋面廣，給內部網絡造成極大的安全隱患。

網絡中存在分散的、各自為政的單一層次的防病毒產品，已經難以滿足網絡防病毒的整體要求，仍然存在一些未知的病毒安全問題。為了進一步完善網絡安全情況，我們需要另外架設網絡安全監測系統進行協防，使其和網絡版反病毒軟件相輔相成，共同發揮作用，并對其實施行之有效的組織管理，才能達到整體病毒防控目的。

瑞星網絡安全監測系統NDS是集病毒掃描、入侵檢測和網絡監視功能于一身的網絡安全產品。它能實時捕獲網絡之間傳輸的所有數據，利用內置的病毒和攻擊特征庫，使用模式匹配和統計分析的方法，檢測出網絡上發生的病毒入侵、違反安全策略的行為和異常現象，并記錄相關事件于數據庫中，作為管理員事后分析的依據。其主要功能為：

對網絡中出現的病毒情況進行統一的病毒報警，全面，準確，高效，穩定，安全，快速。

對實時傳輸的數據流進行病毒監測，全面檢測已知的、未知的各種病毒；檢測的結果準確，誤報率低。

實時關注網絡中的流量，對敏感流量統一收集、匯總和分析，提供網內敏感流量情況的總體報告。

產品功能

• 全面檢查各種病毒
• 能夠查獲未知病毒引擎
• 多種協議病毒檢測
• 全面的流量分析
• 在線連接信息分析
• 掛馬監控
• 迅速定位安全事件相關IP地址的物理位置
• 詳細的安全事件信息
• 完善的報表系統
• 病毒傳播統計分析
• 單位病毒安全評價
• 完善的升級機制和迅速更新的特征庫
• 有效管理和控制

產品部署

網絡安全監測系統支持多種部署機制，包括旁路監測、串行監測、再次鏡像數據等。

銀行企業采用旁路監測：不影響原有網絡拓撲，旁路接入到網絡環境中，可以實時監測到網絡中的數據流，抓取數據包，監測數據包中是否含有病毒文件。

示例網絡拓撲結構圖如下：

三、防病毒解決方案產品列表

銀行業防病毒整體防護方案根據各個區域點、線、面的安全特點，給出相關的安全技術及其產品。方案中使用的技術，最終會通過設備體現出來。通過以上的分析本方案使用的安全產品及其數量、用途、部署位置如下表所示：

序號	產品名稱	產品用途	部署區域
1	企業安全管理軟件	用于防病毒	生產域終端、服務器、DMZ域
2	虛擬化防病毒軟件	用于防病毒	生產域服務器域
3	便攜式終端管理	用于BYOD管理	接入域終端用戶域
4	下一代防火墻	用于訪問控制	網絡邊界
5	UMT防毒墻	用于邊界防毒	接入域與互聯網邊界
6	上網行為審計	用于網絡行為審計	接入域與互聯網邊界
7	網絡病毒檢測預警系統	用于防病毒監控預警	生產域

四、方案收益

防病毒安全是一個風險管理過程，我們通過加固區域每個點、防護區域每條線、監控區域整個面，構建了一個靜態防護與動態監控相結合的安全保障體系架構。同時，我們通過網絡防病毒監控預警系統，把防病毒事件的做到了病毒趨勢的分析、防病毒事件的流程化處理，形成金融行業尤其針對銀行業防病毒風險處理PDCA優化循環機制。

本防病毒整體解決方案實現了對已知病毒防御、未知病毒防御、0Day漏洞防御、APT攻擊防御等多種新型攻擊，形成有效的縱深防御的安全策略；通過網絡防病毒監控與預警系統，對病毒的的監控、識別、控制形成了完整的防病毒管理機制。通過病毒防御機制建立和管理制度的應用，可以使銀行信息系統安全、穩定、持續、健康運行。