LogSec日志大数据安全审计平台，金融行业营业厅终端安全解决方案

LogSec金融行业营业厅终端安全解决方案
一、方案背景
在金融行业，ATM自动柜员机、金融自助服务终端等设备（以下统称金融终端）为人们提供了便捷，现在大家不必去银行柜台就能进行现金交易。

用户使用这些设备可以对资金进行敏感操作，当然其中的脆弱环节也引来了大量黑客的觊觎。

在过去的许多年里，黑客已经发现了多种入侵金融终端的方式，其中不乏暗中进行读卡扫描等物理攻击。

同时，他们也在试图探索新的方法来破解金融终端软件。

Trend Micro公司的安全专家们在2016年11月已经发现了一种新型ATM恶意软件，这种被称为Alice的攻击机制旨在针对各类自助式服务ATM设备中的安全保护功能。

它最大的特点就是不同于其它ATM恶意软件,不具备数据窃取功能，亦不可通过ATM数字键盘进行控制，Alice利用的是原有安全机制清空和实机操作进行资金取现。

本方案适用于ATM机，以及各类金融自助服务终端。

针对各种渗透金融终端的奇技淫巧，为管理人员提供抵御黑客攻击的最佳解决方案。

二、金融终端所面临的安全威胁
随着金融终端个体的增加，它们更加容易遭到不怀好意的人觊觎。

同时，许多金融终端仍在使用windows xp，众所周知它们是非常容易被黑的。

正因为微软不再对它们进行支持，故而许多ATM机供应商会采用一些安全解决方案来减轻攻击和漏洞带来的威胁。

这些安全解决方案会限制金融终端应用，让它们运行在非常严格的环境下，系统后台只能运行非常有限的服务。

例如：Mcafee Solidcore和Phoenix Vista ATM。

Mcafee Solidcore：运行在ATM机操作系统上，用于限制那些未授权的可执
行文件。

这个解决方案适用于白名单策略，比如那些应用、进程和服务。

Phoenix Vista ATM：该解决方案集成入了ATM应用。

应用会检查文件的完整性，任何对系统相关的重要文件的篡改都会导致系统关闭。

以上解决方案虽然能在一定程度上实现对系统权限、系统操作的管控，但由于这些保护程序都是工作在应用层，黑客还是可以通过一些手段突破防护，例如：非授权访问者可以在金融终端上插入USB设备，通过它去引导系统，虽然大多数安全解决方案会在引导时接管系统，但只需要在系统引导的时候按住“Shift”键不放开。

这会打破系统的原本的启动节奏，最终停在windows登陆界面。

如果你知道有效的用户名，输入并按下“Enter”键，就能无密码访问系统。

如果你不知道用户名，也可以试试默认的“Administrator”用户，因为大多数机构并没有禁用它。

另外的方法，可以使用系统U盘引导USB启动，这可以不需要windows登陆直接访问文件系统。

同时由于以上解决方案是基于白名单保护机制，非授权证在获得系统访问权限后，可以通过以下方式进一步获取金融主机的应用敏感信息或是金融主机的应用控制权限：
将未经授权的文件重命名为一个安全软件的进程名，可能导致应用程序启动时会执行那个未授权文件。

对重要的注册表键值进行修改，或者将未授权软件放置在windows启动目录中执行。

将包含应用程序相关配置和敏感信息的文件移动到另一个位置，对其修改或者删除。

三、金融终端安全需求
针对以上金融终端安全现状和所面临的安全威胁，以下为我司总结的金融终端安全防护需求：
系统及应用攻击保护
设置难猜测的引导和BIOS密码，防止黑客进行未授权的系统引导
对USB功能和未授权U盘的防护
强化系统和打上最新的补丁
确保金融终端机系统上只用最小特权的用户运行
确保金融终端机上和业务相关的端口、服务、进程的可信运行
关键文件、配置文件完整性检查
确保系统、应用、安全日志的安全
使用安全信道进行通信交易
在金融终端上配置安全最佳实践，防止非授权访问
进行防病毒保护
金融终端机所在网络应和其他网络隔离
防止tyupkin/ploutus等恶意软件的侵害
金融欺诈攻击防止
限制卡的使用地域
芯片卡+密码来减轻卡复制+读卡攻击的危害
实施行为检测，甄别不寻常的交易
四、金融终端安全解决方案
4.1总体思路
针对上述金融终端面临的安全问题，我公司提出了基于操作系统底层加固的安全解决方案。

解决方案的核心设计理念如下图所示，即：以金融终端安全为目标，以操作系统安全增强为基础，结合安全基线监控、安全配置优化、安全态势分析，打造金融终端全生命周期的安全防护，全方位保障金融自助终端的安全。

4.2核心服务器操作系统安全增强
通过对以上金融终端安全防护需求的分析，我们发现金融终端操作系统资源（进程、服务、端口、文件等）访问权限的控制十分重要。

且不论是等级保护安全标准还是金融行业安全规范中都提到了“确保用户权限最小化”。

但目前金融终端所使用的windows操作系统采用的是“自主访问控制策略”，该访问控制策略体系下由于存在集管理员、操作员、审计员多重身份于一身的administrator 账号。

一旦黑客利用系统漏洞，或是错误的安全配置获得超级管理员权限将能获得该设备所有资源的访问权限，进而开展后续攻击行为。

我公司提供的操作系统安全增强解决方案是基于先进的内核加固和文件过滤驱动技术（Minifilter）技术理论，通过在内核层添加安全子模块或是通过文件过滤驱动技术来控制系统的内核通讯信道以及内核函数，并基于强制访问控制模型，来建立针对操作系统资源对象（进程、服务、端口、文件等）的细粒度访问控制规则，同时能确保操作系统的任何操作都必须依据强制访问控制规则，并传递给操作系统内核。

在对金融终端所承载业务深入调研的基础上，结合操作系统安全增强解决方案，为这些金融终端穿上一件“金甲圣衣”，打造一个“可信任运行环境”。

通过对文件、目录、进程、端口、注册表和服务的强制访问控制,采用“三权分立”的管理机制，有效的制约和分散了原有系统管理员的权限，综合对文件和服务的完整性检测、防缓冲区溢出等功能，实现对恶意代码运行环境的有效控制，有效的提升了操作系统安全级别。

即使由于各种不可预测的原因导致管理员密码被窃取，或入侵者通过某种特殊渠道获取了系统管理员权限，依然无法对受保护的资源进行非法访问。

并能符合等级保护以及金融行业相关安全规范的要求。

4.3金融终端安全配置优化
安全配置加固
安全配置的加固、U盘管控对于金融终端来说，和补丁修复同等重要。

服务器安全督察模块的目标是通过将按照《等级保护安全配置规范》中针对核心资产的各检查项进行组合形成金融自助终端督察合规检查模版，并自动化的实现针对督察工作的管理、执行、结果核对、展现等功能，以实现安全维护人员日常安全维护工作的统一管理、自动调度执行为目标，确保核心服务器安全工作的有效运行。

U盘管控
随着网络银行市场的不断成熟，起初作为数字签名载体的智能卡以及读卡器逐渐开始被USB Key产品所替代，后者除能实现智能卡的所有功能之外，还利用USB技术将智能卡、读卡器的功能集于一身。

不仅如此，其靓丽的外形以及热插拔、易携带的特点也成为其迅速占领市场的重要因素。

在营业网点，USB Key的激活依赖于金融终端上的USB口，由于没有相应的管控手段，普通移动存储介质同样可以利用这些USB口进行数据交互，而普通移动存储介质的不当使用会造成金融单位内部敏感信息的泄露以及恶意代码传播等安全事件。

同时对于ATM机的升级、操作也多通过U盘来完成数据的交互，如果没有有效的管控手段，一样会成为ATM机恶意攻击的通道。

本方案在分析当前金融行业营业网点WINDOWS金融终端移动存储介质使用管理现状和所面临的风险的基础上，通过驱动层访问控制手段确保可信移动存储介质的使用，以及在禁用普通移动存储介质的同时，仍然可以确保USB Key的正常使用。

从而规范了移动存储介质的管理，避免因使用不当导致的敏感信息泄露、恶意代码传播等安全隐患。

安全配置流程管理
日常安全运维工作，流程电子化是核心，安全运维工作流程并不是一个单独的流程，而是将上文所提到的所有安全运维工作内容，通过不同的安全运维作业计划进行固化，分配给不同的岗位、角色去执行，并将执行的结果通过事件管理、问题管理、变更管理等流程进行扭转。

以实现日常安全工作有计划、有分工、可操作、有标准、有记录、有稽核、有考核的高效闭环管理。

4.4金融终端安全基线监控
通过“零”代理端技术，对金融终端的“可信任运行环境”进行集中的安全基线偏移监控，基线监控内容包括：金融终端性能基线监控（CPU、内存等）、金融终端漏洞基线监控（系统漏洞变化、安全配置变化）、可信任环境基线监控（上述服务器进程、端口、服务、文件、用户、用户组、关键文件MD5等）。

一旦发现安全基线偏移，可以实时告警。

本系统金融终端安全基线监控模块，以业务系统为基础，为承载不同类型业务系统的金融终端建立一套符合业务安全运行要求的“理想化安全水平基准点”，使用“零”代理端技术，实时获得各金融终端安全运行现状，通过对比“理想化安全水平基准点”，形成一套差距分析结论（差距补足报告），同时不断的针对这个差距进行修补和跟踪，对任何基线偏差进行预警或通报。

4.5金融终端合规审计及多场景日志可视化展示
合规审计
信息系统合规审计是企业和组织IT内控过程中最关键的环节。

信息系统审计通过对关键控制点的符合性测试来判断IT内控的目标及其控制措施是否有效。

为了建立健全内控体系，国家、行业都颁布了一系列的法律法规，从美国的SOX方案，到国内针对电子政务、央企、银行、证券、基金、保险、上市公司的信息系统风险保障和内控的指引、条例和文件。

所有这些法律法规都直接或者间接的指出了要将日志审计作为信息系统审计的基本技术手段。

此外，《信息系统安全等级化保护基本要求》也对安全审计、尤其是日志审计做出了明确的要求：《商业银行内部控制指引》的第一百二十六条要求“商业银行的网络设备、操作系统、数据库系统、应用程序等均当设置必要的日志。

日志应当能够满足各类内部和外部审计的需要”。

《银行业信息科技风险管理指引》第二十一条明确要求商业银行信息科技部门要“定期向信息科技管理委员会提交本银行信息安全评估报告”，“信息安全策略的制定应涉及合规性管理领域”。

第二十七条指出“银行业应制定相关策略和流程，管理所有生产系统的日志，以支持有效的审核、安全取证分析和预防欺诈。

”
我公司金融终端安全解决方案中将基于我公司日志大数据分析平台，实现对金融终端的安全合规审计。

同时也可配合后端业务系统日志，进行金融欺诈攻击分析。

系统提供了合规审计视图。

大量的审计实践表明，日志审计是信息系统审计最基本而且必要的技术手段，也是投入产出比最高的方式。

LogSec日志审计系统特有的基于规则的审计引擎能够根据各行业审计需求、国家法律法规相关要求进行专门设计，生产相应的合规审计视图和合规审计报告，如等级保护合规审计、ISO27001合规审计、PCI合规审计等。

多场景日志可视化展示
系统提供了强大的日志综合审计展示功能，为不用层级的用户提供了多视角、多层次的审计视图。

系统首先为用户提供了全局安全概览试图，可以在一个屏幕中看到不同设备类型、不同时间段的实时日志流曲线、统计图，以及攻击事件视图、整体运行态势试图、待处理告警信息等。

系统提供了实时审计视图，审计员可以根据内置或者自定义的实时监视策略，从日志的任意维度实时观测安全事件的走向，并可以进行事件调查、钻取，并进行事件行为分析和来源定位。

审计员可以实时监视防火墙、IDS、防病毒、网络设备、主机和应用的高危安全事件；可以实时监视各个业务系统的重点安全事件；可以实时监视全网的违规登录事件、配置变更事件、针对关键服务器的入侵攻击事件；等等。

系统提供了日志查询功能，用户可以制定查询策略，针对归一化后的日志或者原始日志进行综合条件查询和模糊查询。

基于此功能，系统不仅可用于安全日志审计，也可用于IT运维故障的分析与定位，如：通过分析交换机日志，对端
口“DOWN”和“UP”状态分析，确保端口状态发生改变时，能够第一时间通知运维人员。

也可对IT设备的操作进行跟踪及审计，对因配置变更或者错误操作造成的故障，能够快速定位及回滚，提升SLA。

同时也可对信息系统进行业务审计，如分析系统访问请求，根据统计结果进行网站架构的优化，有效提高用户访问访问业务系统的用户体验
系统提供了基于CMDB的日志分析试图，系统可以为用户展示一幅审计数据源的拓扑图，反映审计数据源的网络拓扑关系，并且在拓扑节点上标注出每个审计数据源的日志量和告警事件量。

用户点击拓扑节点可以查询日志和告警信息详情。

审计员也可以对一段时间内的日志进行行为分析，通过生成一幅行为分析图，形象化地展示海量日志之间的关联关系，从宏观的角度来协助定位安全问题。

文章来源：
文章编辑：武汉远盟科技有限责任公司
网络安全法与LogSec日志安全大数据审计平台。