永达的安全系统的目标是成为一个成熟的产品解决方案, 无缝的集成永达防火墙,永达安全代理,永达安全通讯平台,永达Linux安全代理,永达可信日志服务器,永达安全智能管理平台,永达证书管理分发系统,永达安全配置集中管理系统 ,永达网络安全评估扫描系统 ,客票业务安全操作审计系统 。
1:永达安全系统的安全评估扫描系统
永达安全系统的安全评估扫描系统定期或不定期对网络系统或操作系统进行安全性扫描,评估网络系统及操作系统的安全等级,并分析提出补救措施。
针对银行这个行业, 关注的重点应放在银行开放的各个接口。由于银行数据本身的敏感性, 其主机系统本身不会开放, 而银行的internet网关, call center网关是银行特别关注的地方,因此,对这些银行接口出的进行高强度的漏洞扫描是个现实的切入点,当然,最后对发现的漏洞,也要提供漏洞修补方案。
不能忽视技术之外的因素, 拿我前面的call center的例子, 如果用户输入的帐号和密码在call center系统运行于debug状态下, 均为明文并且能被看到, 那么之后的其他任何技术都没有了意义。在这种情况下, 其实来审视网络的安全时, 覆盖整个系统的各个环节, 有相应领域的知识并作细心的分析可能比技术因素更有价值, 毕竟,安全系统象一个盛满水的木桶, 最短的那根决定了整个木桶的盛水量。而整个系统的安全,就取决于系统种最不安全的那个环节。
最后,扫描系统并发现漏洞的知识是不断更新的, 随着系统的漏洞的不断发现, 系统的知识库也得相应更新, 而且, 这个更新必须及时准确, 现在这些知识库的操作啊还是由人来做的,这就不能保证及时性和准确性,如果能把信息库的自我更新内建于系统,由系统自动完成, 可以称之为未在线更新吧, 那么不仅可以保证第一时间内可以保持知识库的准确完备, 还可以称这个知识库是智能的。最后需要强调的是,维护一个完备的知识库其实非常需要耐心和细致的工作, 因此,如果提供给用户一个自定义的开发环境和开发语言, 准确定义安全领域的原语供用户进行后期开发,将非常有意义。
2:永达安全系统的实时入侵检测系统。
各种入侵检测系统的工作原理是基于对系统正常工作下的系统行为的判断,通常情况下两种思路, 一种思路是我们利用知识库存储我们已知的各种漏洞的bit特点图案,对现时的网络流进行检测, 如果发现由某种漏洞的bit特点图案,就做出报警。
永达也采用了遵循这种思想, 其实时入侵检测系统能够实时获得最新系统入侵病毒库和攻击库,动态地将这些攻击技术的解决方案加入到系统知识库中, 其能够支持1500种以上最新的入侵检测并能够成功阻断这样的攻击行为,比如红色代码。针对各种攻击行为,比如TCP序列号攻击、劫持、碎片攻击、端口扫描能够识别阻断。而这个数据库可以实时更新、升级。
另一种思路是利用统计学方法对系统的未来的行为模式作出预测。并且依据这种预测规定系统中什么样的行为异常, 并在发现异常的情况下报告相应的事件, 供系统处理。
数据挖掘结合永达的工程师定义的准确的的模型, 就可以智能的判断网络中的异常行为。
这里,需要详细了解银行的工作特点。比如, 某银行每月12日19:00以后进行某些企业的代发薪业务, 那么这天的这时间段的系统网络行为和操作数据库的行为就是固定的。又如, 每月某网点的业务交易量是符合正态分布的,那么也可以建立这样的模型,供数据挖掘使用分析。
3:永达防火墙
旧的银行系统主要依靠物理隔离保证安全, 在新的网络环境下, 物理隔离仍然是系统的最可靠的一道防线。
单纯依靠技术没有办法有效抵制各种攻击,技术只能做到的保证系统在各种攻击之下的行为不造成严重的后果。达到这个目的的直接而有效的方法, 就是使用防火墙进行隔离, 隔离外网和内网, 隔离业务网和办公网, 隔离安全级别不同的网等等。
这里值得特别一提的是永达独特的DOS防御技术
DoS全称是Denial of Service,中文意思是拒绝服务攻击。常见的拒绝服务攻击有数据包洪水,包括Smurf洪水,TCP SYN洪水,UDP洪水和ICMP洪水, 以及畸形数据包,包括Ping of Death,Chargen,Tear drop,land和WinNuke; 通常这种攻击会导致服务器瘫痪。
由于可以通过使用一些公开的软件进行攻击,它的发动较为简单,同时要防止这种攻击又非常困难。
但是永达的防火墙系统针对各种DOS攻击做出了防御措施。在信息到达网站服务器之前拦截信息,系统可以根据设置智能化地对访问信息进行检查,来阻挡住Sync Flood, IGMP Nuke, Win Nuke等DoS类型攻击。目前国内同类产品尚无同样功能。在我们的防火墙中以内置有这一个强大防御技术功能而不要用户进行配置。
4:永达linux安全代理
永达Linux安全代理是基于Linux操作系统的一个安全部件,借助智能IC卡、PKI认证体系、本地防火墙、本地流量控制、裁减内核和服务、取消多余终端、限制连接、本地操作控制、对系统的完整性的检查以及安全通讯平台的支撑,从而达到保障系统的完整、可靠及安全的目的。
5: 永达安全通讯平台
跨多个平台,如Windows 9x, Windows NT,Windows 2000, Linux, HP-UX,IBM-AIX,SCO OpenServer, FreeBSD
支持多种通信模式,
支持LVS集群,
支持通信服务日志功能,
支持节点间通信访问控制功能,
支持断点续传,
还可以对用户数据的完整性进行鉴别,
提供了不同强度的加密, 以在效率和安全之间能取得平衡。
6:永达安全智能管理平台
基于J2EE架构体系,运行于J2EE服务器之上,是对企业级分布式应用通用部分的抽象及实现。平台本身与具体应用无关,可重复使用。对于不同的操作系统平台采用完全一致的技术架构。
应用本平台,使得应用的业务逻辑与其它部分(包括应用的显示逻辑和本平台)完全分离,应用消息驱动。平台对应用系统提供统一一致的业务逻辑调度和消息转发接口。通过平台实现应用系统的通讯,安全性,事物处理,数据访问及集群等基本服务,做到应用系统与以上服务无关,便于具体应用采用基本组件开发(BCD)技术,满足快速应用开发(RAD)要求。此外,平台的可重用性有效的保护了开发投资。
7:永达可信日志服务器和永达安全配置集中管理系统
作为通用的开发技术, 是永达安全最终产品的有效组成部分, 整个开发中注意了安全问题,所以其健壮性应该是可信的。并且灵活的体系结构有效保证了永达整个安全产品的灵活性,可伸缩性,可扩展性。
8:永达证书管理分发系统:
早期银行的各营业点多是哑终端, 随着现在windows终端的使用逐渐增多,终端安全的问题也逐渐突出。作为循序渐进的提高银行安全的步骤,现实的第一步考虑是为银行提供安全系统控制各个营业网点的终端,提高终端的安全性。
另外,和其他银行的互连,或者和外部系统的互连,均可以考虑使用永达证书分发系统。
