1ATM安全防護(hù)方案主要議題2銀行ATM安全防護(hù)的驅(qū)動(dòng)力“安全鎖定”快速提升ATM安全防護(hù)能力方案核心價(jià)值和優(yōu)勢(shì)銀行ATM安全防護(hù)的驅(qū)動(dòng)力3外部監(jiān)管的要求業(yè)務(wù)運(yùn)營(yíng)的風(fēng)險(xiǎn)安全運(yùn)維的壓力人民銀行銀監(jiān)會(huì)PCI三個(gè)方面的安全壓力，使得“重建ATM的安全防護(hù)能力”迫在眉睫ATM感染惡意代碼或病毒ATM被黑客木馬控制“吐炒”造成不良社會(huì)影響，客戶流失，業(yè)務(wù)受損ATM品牌和系統(tǒng)多樣化，安全管理工作無(wú)法統(tǒng)一現(xiàn)有安全防護(hù)手段存在不適應(yīng)安全防護(hù)手段不足或缺失近年來(lái)ATM入侵事件頻發(fā)，給業(yè)務(wù)運(yùn)營(yíng)造成風(fēng)險(xiǎn)2010年7月28日，在美國(guó)“黑帽”黑客會(huì)議上，杰克將破解程序注入ATM，無(wú)需銀行卡和密碼，ATM自動(dòng)“吐炒”成功。ATM安全防護(hù)方案42011年開(kāi)始，國(guó)內(nèi)某漏洞網(wǎng)站爆出“銀行ATM機(jī)存在安全漏洞”，2012年某幾個(gè)國(guó)有大行也被爆ATM機(jī)存在漏洞。黑客利用漏洞可以獲取管理員權(quán)限，進(jìn)而執(zhí)行任何惡意行為。2012年，某銀行ATM機(jī)感染惡意代碼，防病毒系統(tǒng)運(yùn)行出現(xiàn)異常，前臺(tái)顯示病毒查殺界面，用戶受到相當(dāng)程度的驚嚇?？杀缓诳推平庀到y(tǒng)存在安全漏洞易感染惡意代碼銀行自助柜員機(jī)（ATM）使用現(xiàn)狀A(yù)TM安全防護(hù)方案5操作系統(tǒng)復(fù)雜多樣，從嵌入式向標(biāo)準(zhǔn)Window過(guò)渡，WinXP是當(dāng)前主流平臺(tái)銀行逐漸淘汰早期ATM設(shè)備來(lái)滿足更為安全的業(yè)務(wù)需求ATM品牌眾多，運(yùn)營(yíng)模式復(fù)雜多樣國(guó)內(nèi)主要品牌有迪堡、神碼、長(zhǎng)城、廣電、德利多富、日立、升騰、新大陸、怡化、實(shí)達(dá)等品牌眾多，各家的系統(tǒng)和運(yùn)營(yíng)模式不同，安全防護(hù)措施和標(biāo)準(zhǔn)也不同由于系統(tǒng)配置較低，國(guó)內(nèi)主流ATM廠商（如廣電運(yùn)通）早期均以Embeded系統(tǒng)為標(biāo)配現(xiàn)在ATM廠家可按照用戶需求提供系統(tǒng)，如：WinXP+WinxpEmbededWinXP開(kāi)發(fā)成熟穩(wěn)定，Win7需要更高的硬件，增加成本，如無(wú)特別要求，廠家一般都提供WinXP銀監(jiān)會(huì)要求2015年之前完成有磁卡到磁卡+IC卡的支撐改造，早期ATM機(jī)已不適應(yīng)該需求新ATM設(shè)備硬件配置：2G內(nèi)存+500G硬盤品牌系統(tǒng)發(fā)展銀行自助柜員機(jī)（ATM）安全防護(hù)現(xiàn)狀和問(wèn)題ATM安全防護(hù)方案6安全防護(hù)現(xiàn)狀存在的問(wèn)題和風(fēng)險(xiǎn)國(guó)內(nèi)ATM品牌幾乎都不提供集成安全解決方案硬件+裸系統(tǒng)+業(yè)務(wù)軟件廠家只能提供本品牌的維護(hù)，常見(jiàn)做法就是在現(xiàn)場(chǎng)重刷系統(tǒng)ATM品牌眾多，安全防護(hù)策略和手段差異大，無(wú)法建立統(tǒng)一的ATM設(shè)備安全集中管理平臺(tái)銀行柜面終端防護(hù)手段與ATM基本相同很多嵌入式系統(tǒng)無(wú)法安裝常規(guī)防病毒軟件防病毒軟件本身的系統(tǒng)資源和帶寬消耗極大，導(dǎo)致ATM系統(tǒng)不穩(wěn)定。當(dāng)發(fā)生故障時(shí)，經(jīng)常發(fā)生和ATM廠家扯皮的現(xiàn)象防病毒軟件需要依靠頻繁的病毒特征庫(kù)升級(jí)，無(wú)法與互聯(lián)網(wǎng)隔離，因此從根本上杜絕不了來(lái)自互聯(lián)網(wǎng)的零日安全威脅，如APT攻擊安裝傳統(tǒng)防病毒軟件是現(xiàn)在主要的安全防護(hù)手段，防病毒軟件存在諸多不適應(yīng)由于ATM的業(yè)務(wù)特殊性，銀行無(wú)法及時(shí)部署Windows補(bǔ)丁攻擊者可以利用Windows漏洞侵入ATM設(shè)備獲得最高權(quán)限從而控制整個(gè)設(shè)備安裝非常有限的Windows補(bǔ)丁安全統(tǒng)一管理方面安全補(bǔ)丁方面惡意代碼防護(hù)方面主要議題7銀行ATM安全防護(hù)的驅(qū)動(dòng)力“安全鎖定”快速提升ATM安全防護(hù)能力方案核心價(jià)值和優(yōu)勢(shì)網(wǎng)絡(luò)環(huán)境“鎖定”系統(tǒng)環(huán)境“鎖定”策略“統(tǒng)一”管理ATM及柜面終端機(jī)鎖定應(yīng)用進(jìn)程運(yùn)行環(huán)境，嚴(yán)格限制可運(yùn)行的進(jìn)程及資源只允許ATM的應(yīng)用進(jìn)程及其調(diào)用的系統(tǒng)進(jìn)程和資源運(yùn)行進(jìn)程間繼承關(guān)系智能檢測(cè)識(shí)別支持所有ATM設(shè)備和系統(tǒng)集中管理ATM安全防護(hù)策略統(tǒng)一監(jiān)控ATM系統(tǒng)日志和安全事件，集中審計(jì)和告警鎖定ATM的網(wǎng)絡(luò)環(huán)境，嚴(yán)格限制網(wǎng)絡(luò)通訊只允許ATM應(yīng)用與后臺(tái)特定服務(wù)器通訊鎖定系統(tǒng)運(yùn)行環(huán)境和資源開(kāi)啟系統(tǒng)資源保護(hù)，防止緩沖區(qū)溢出、進(jìn)程注入、內(nèi)存注入等攻擊應(yīng)用環(huán)境“鎖定”“安全鎖定”保障ATM最小權(quán)限的安全運(yùn)行環(huán)境

——SymantecCriticalSystemProtection（SCSP）ATM安全防護(hù)方案8可以有效控制惡意代碼的傳播和感染可以有效控制惡意代碼、非法進(jìn)程的執(zhí)行和活動(dòng)可以有效保護(hù)ATM的補(bǔ)丁缺失，防護(hù)入侵和零日攻擊可以滿足跨平臺(tái)、跨系統(tǒng)的集中安全管理需求SCSP安全防護(hù)技術(shù)實(shí)現(xiàn)原理9為每一個(gè)程序集分配一個(gè)沙箱，每個(gè)沙箱根據(jù)策略的定義實(shí)現(xiàn)有限的資源訪問(wèn)和行為控制文件注冊(cè)表網(wǎng)絡(luò)設(shè)備文件系統(tǒng)及配置信息進(jìn)程訪問(wèn)控制核心守護(hù)進(jìn)程應(yīng)用守護(hù)程序被保護(hù)主機(jī)大多數(shù)應(yīng)用只需要有限的資源以完成相關(guān)工作但大多數(shù)程序擁有遠(yuǎn)遠(yuǎn)超出其自身要求的資源，惡意的入侵攻擊常常利用這些空隙內(nèi)存使用端口或設(shè)備顆粒度資源限制…RSHShellBrowserMailWeb…crondRPCLPDPrinter交互式程序…ATM網(wǎng)絡(luò)環(huán)境“鎖定”ATM安全防護(hù)方案10限定ATM應(yīng)用程序與特有的后臺(tái)服務(wù)器IP地址和端口進(jìn)行通訊，確保網(wǎng)絡(luò)環(huán)境安全基于IP地址的訪問(wèn)控制基于TCP、UDP端口的訪問(wèn)控制基于進(jìn)出流量雙向訪問(wèn)控制基于程序路徑和參數(shù)的訪問(wèn)控制基于用戶、用戶組的訪問(wèn)控制可以有效控制ATM惡意代碼的傳播和感染ATM應(yīng)用環(huán)境“鎖定”ATM安全防護(hù)方案11限定ATM需要運(yùn)行的特定應(yīng)用進(jìn)程，自動(dòng)識(shí)別系統(tǒng)進(jìn)程和資源調(diào)用關(guān)系，阻止可信范圍之外的其他應(yīng)用程序運(yùn)行，確保應(yīng)用環(huán)境安全應(yīng)用程序運(yùn)行環(huán)境白名單進(jìn)程繼承關(guān)系智能識(shí)別和控制資源調(diào)用關(guān)系智能識(shí)別和控制可以有效控制ATM惡意代碼、非法進(jìn)程的執(zhí)行和活動(dòng)基于進(jìn)程“沙箱”和最小授權(quán)的行為控制模式ATM系統(tǒng)環(huán)境“鎖定”ATM安全防護(hù)方案12鎖定系統(tǒng)資源和配置，開(kāi)啟系統(tǒng)入侵保護(hù)，確保系統(tǒng)核心運(yùn)行環(huán)境安全進(jìn)程注入保護(hù)，防止通過(guò)進(jìn)程注入實(shí)現(xiàn)入侵內(nèi)存注入保護(hù)，防止通過(guò)緩沖區(qū)溢出實(shí)現(xiàn)入侵系統(tǒng)資源和配置鎖定可以有效保護(hù)ATM的補(bǔ)丁缺失，防護(hù)入侵和零日攻擊ATM安全策略“統(tǒng)一”管理ATM安全防護(hù)方案13ATM多品牌多系統(tǒng)支持，安全集中管理ATM多品牌系統(tǒng)，低消耗迪堡、神碼、長(zhǎng)城、廣電、德利多富、日立、升騰、新大陸、怡化、實(shí)達(dá)WinxpEmbeded、Winxp、Winows7、LinuxCpu1%,內(nèi)存20M,文件100M安全防護(hù)策略統(tǒng)一管理不同品牌，不同系統(tǒng)，統(tǒng)一設(shè)定和下發(fā)不需要重啟就可激活防護(hù)策略ATM系統(tǒng)安全集中監(jiān)控和審計(jì)集中采集所有ATM安全日志安全審計(jì)、分析和告警可以滿足ATM跨平臺(tái)、跨系統(tǒng)的集中安全管理需求主要議題14銀行ATM安全防護(hù)的驅(qū)動(dòng)力“安全鎖定”快速提升ATM安全防護(hù)能力方案核心價(jià)值和優(yōu)勢(shì)方案核心價(jià)值和優(yōu)勢(shì)ATM安全防護(hù)方案15滿足外部監(jiān)管要求降低業(yè)務(wù)運(yùn)營(yíng)風(fēng)險(xiǎn)減小安全運(yùn)維的壓力“安全鎖定”保障ATM最小權(quán)限的安全運(yùn)行環(huán)境零病毒、零維護(hù)ATM各類品牌和操作系統(tǒng)全面