移动业务自助服务终端安全防护方案

1、1、自助服务终端系统概况1.1主要业务功能及应用场景独立的、无人值守的自助服务终端设备可以不受时间及空间的限制，为用户提供新颖多样的自助服务项目，实现真正意义上的24小时连续服务，促进业务发展，大大降低营运成本，增加营业收入，提高经济效益，改善服务质量和服务形象，增强市场竞争力。通过自助服务终端，可以提供以下主要自助服务功能1.2业务特点及安全风险、需求1) 位置分散，无人值守，难于管理及维护根据本期的建设需求，很多自助终端将被放置到独立的社区、校园、商业及企事业单位，其物理位置分散，并且绝大多数处于无人值守及维护的场所环境，针对上述特性，需要特别关注自助终端的以下风险及需求：a) 在无人值守

2、的情况下，终端很容易被人为破坏及盗取，因此需要加强对上述终端的物理硬件安全防护措施，如加固的保护外壳、视频监控等；b) 由于此类终端被破坏及盗取的可能性较高，需特别加强对终端上重要数据的加密及保护，如终端被破坏并盗走硬盘；c) 由于此类终端通常位置分散，一旦出现故障，通常没有现场的处理及响应人员，因此对此类终端必须要有远程的集中管理及维护方式，可以从远端集中对终端进行日常管理维护甚至是故障恢复。2) 接入方式多样，网络接入及数据传输的安全性自助服务终端将被广泛部署在移动自有营业厅及外部的社区、校园、商业及企事业单位等处所，涉及到多种不同的网络接入方式，如营业厅（Lan专线）、社区、校园、商业（

3、ADSL）等，必须考虑终端网络接入的安全性及数据传输过程的保密性，包括：a) 防止终端被其它设备冒用，接入业务平台及企业内部网络（如用笔记本冒充自助服务终端访问业务系统及企业内部网络），因此需考虑必要的终端认证及网络准入控制机制，确保只有该自助服务终端可以连入网络并访问后台服务器；b) 自助服务终端在进行业务访问及数据传输时，需要通过加密确保数据传输的保密性，特别是针对外部ADSL接入，必须通过VPN方式接入，以确保数据在传输的过程中不被非法监听及窃取；3) 功能需求明确，软硬件应实现标准化配置及管理自助服务终端的业务功能需求明确，其软硬件配置全部为标准化配置，因此，在此基础上，可以较好的实现

4、针对上述终端的标准化维护及管理，确保系统的运行质量、提高系统维护效率及管理水平。4) 应用环境固定，操作可预期，可以实现较为严格的系统安全防护措施目前，自助终端及相关业务应用仍承载在通用的操作系统环境之上（windows操作系统），因此，仍然存在着感染病毒、被攻击入侵、恶意篡改的风险及可能性。但由于自助服务终端的特殊性，其一般情况下只需要开放给用户特定的界面及限定的操作权限，应用环境相对标准及固定，且用户操作是完全可以预期的（通常情况下，也不允许用户执行多余及非指定操作），因此，可以对系统进行更为严格的安全防护及锁定，防止自助服务终端感染病毒或者被恶意攻击篡改。2、自助服务终端安全防护概要方案

5、2.1终端管理及维护2.1.1标准化的操作系统管理自助服务终端的业务功能需求明确，其软硬件配置应全部为标准化配置，应可以通过终端管理系统，制作标准化的操作系统映像，并通过相关的部署工具，将标准化的操作系统及环境，快速部署到自助终端物理平台上。同时，自助服务终端管理系统还能实时收集跟踪展现自助服务终端的软硬件资产信息及变更情况.2.1.2终端运行状态监控由于自助服务终端大多数属于无人值守终端，因此必须提供基于远程的终端运行及工作状态集中监控机制。通过终端安全管理系统，可以实时监控收集自助服务终端的系统运行状态及工作状态，及时发现各类异常及故障情况，确保业务的正常可靠提供。包括: 可实时监控查看自

6、助服务终端的业务进程信息及状态，及时发现业务故障； 可以实时查看CPU、内存、硬盘使用率，确保系统的处理效率及性能； 可以实时查看客户端操作系统日志（密切留意系统发生的一切）2.1.3远程维护及管理由于自助服务终端大多数属于无人值守终端，大多数的日常管理维护工作需要通过远程的方式进行，终端管理系统应提供远程维护的方式及工具，包括：远程维护桌面及相关的审计记录，补丁、软件的更新及分发等。2.1.4故障远程恢复在终端出现系统崩溃等故障无法正常提供服务时，可以通过终端管理系统的远程恢复功能，将初始化的标准操作系统通过网络恢复到故障终端，快速恢复故障终端的正常业务功能。2.2系统防护及加固2.2.1基

7、础安全防护自助终端及相关业务应用仍承载在通用的操作系统环境之上（windows操作系统），因此，仍然存在着感染病毒、被攻击入侵的风险及可能性。因此，在所有的自助服务终端上，仍需要通过终端安全防护软件提供基础的防病毒、放恶意程序等功能。2.2.2系统应用程序锁定自助服务终端在一般情况下只需要开放给用户特定的界面及限定的操作权限，应用环境相对标准及固定，且用户操作是完全可以预期的（通常情况下，也不允许用户执行多余及非指定操作），因此，可以对系统进行更为严格的安全防护及锁定，防止自助服务终端感染病毒或者被恶意攻击篡改。可以通过终端安全防护软件的系统应用程序锁定功能，确保自助服务终端只能运行事先定义的

8、指定业务应用。即，除了标准映像中包含的可执行程序可以启动，禁止其他任意的可执行程序启动。显然，使用了系统锁定后，用户或者病毒也无法往标准的操作系统环境中拷贝写入任何可执行的程序，最大程度确保了自助服务终端不被恶意感染、攻击及篡改，理论上，可以实现针对自助服务终端的零病毒保护。2.2.3数据加密无人值守终端，存在较高的被破坏和盗取的风险。通过对自助服务终端硬盘的全盘加密保护，可以保证即使出现被盗取及丢失的情况，终端上的数据及信息也不会被非法读取和使用。自助服务终端的全盘加密，应采取透明加密的方式，对正常的业务应用完全没有影响，只有在数据脱离当前自助终端环境时无法被使用。2.3网络接入安全 2.3

9、.1终端网络准入控制除了自有营业厅之外，自助服务终端还会被部署到社区、校园、商业及企事业单位等外部处所，由于缺乏现场的监管，如果终端被破坏，或者有人用其它设备冒充自助服务终端连入并访问后端业务系统及网络，可能给整个系统带来极大的安全隐患。通过终端的网络准入控制技术， 可以验证终端的身份（例如绑定IP与MAC地址），检查终端的安全状态（如相关的安全防护软件及技术是否正常工作，相关的配置是否符合规范等），从而可以确保访问及接入网络的终端是真正的合法的自助服务终端，且其是安全未遭到破坏的。例如：n 用户身份是否合法n 机器身份是否合法n 主机防火墙是否安装并运行n 防病毒软件是否安装并运行，病毒特征库是否及时更新n 其他指定安全工具是否运行、及时更新n 操作系统关键安全补丁是否安装n 操作系统安全配置是否妥当n 桌面设置是否妥当n 是否感染特定病毒实体n 是否安装重大违规软件2.3.2终端接入方式安全自助服务终端在接入网络并访问后端业务系统服务器的