后Windows XP时代，从终端到服务器的全方位安全保护

　　2014年4月8日，微软停止了使用长达12年的Windows XP的技术支持，根据微软的说法，Windows XP遭遇安全风险(如病毒和恶意软件)的概率将提高5倍。银行ATM机大多运行在Windows XP或Windows XP嵌入式系统上，在很长一段时间内都无法完成升级和迁移。另外，现有ATM机硬件在性能上无法满足升级要求，全面升级成本太高。

　　关注银行ATM和柜面终端安全

　　国内针对ATM机和柜面终端的安全防护是一个很大的空白点，只有少数银行在ATM机上安装了防病毒软件，但经常遇到性能慢、病毒定义码无法升级、软件无法安装等诸多问题。部分ATM应用开发商提供的防护功能，一方面仅立足于自己的ATM，另一方面也只能提供应用层面的防护，对操作系统层面则无能为力。

　　ATM机和柜面终端作为专用设备，其正常完成工作所需的软件和系统资源是明确的，在此范围之外的程序是不需要也不应该运行在ATM机和柜面终端上。与业务无关的程序安装和运行得越多，对业务软件带来的风险也就越大。另外，ATM设备相对于其他主机的一个区别是资源敏感，ATM的主机硬件资源和网络带宽资源的限制决定了ATM机的安全防护不适合使用基于签名和频繁升级特征库的防毒类软件来进行保护。

　　赛门铁克建议通过“沙盒锁定”的方式为银行的ATM机、柜面终端和自助终端提供有效的安全保护，在微软不再提供安全支持的情况下，确保行业监管要求合规和实现安全威胁的防护。

　　赛门铁克关键系统防护解决方案Symantec Embedded Security：Critical System Protection(简称CSP)中的“沙盒锁定”的实现基础，是基于行为定义，其设计理念是每一个软件程序都需要以某种方式访问某些资源以完成其任务。被访问的资源有三种情况：必需创建或修改的一些资源(例如，日志文件、消息存储、文档文件)，还有一些只需要读取的资源(例如，配置数据、动态库、内容)，此外，还有大量根本无需访问的资源。正是由于许多攻击“诱使”操作系统功能或应用程序修改上述后两类资源，从而造成危害。

　　CSP则采用了独特的“行为说明”技术和“沙盒锁定”技术，用于定义操作系统功能或应用程序与系统资源(如文件、注册表、设备和网络连接)相关的可接受活动，通过三重“锁定”方式，使得无论攻击者采取何种方法访问系统，CSP都能够通过实施这些行为说明和锁定的保护方式，在不良行为损害系统之前先行阻止。这些特有技术及其效果包括以下5个方面。

　　第一，CSP通过“沙盒锁定”技术，对网络、系统、应用进行锁定，从而实现ATM机的安全防护，且非常适用于ATM的低配环境，不需要进行任何文件或者系统的扫描，对ATM性能消耗极少，CPU占用<1%、内存消耗<20MB、磁盘空间占用<20MB，进而提高ATM的稳定性。

　　第二，CSP基于行为说明技术，不需要更新病毒定义码和签名文件，从而避免了连接互联网，大大提高安全性，同时避免了定期导入病毒定义码和签名文件，大大降低了维护工作量。更重要的是，不依赖于病毒特征库的方式，实现了“零日攻击”的保护。

　　第三，CSP将系统锁定后，可以阻止已知和未知的操作系统和应用安全漏洞被利用，不需要再打任何补丁，实现零补丁的安全防护。

　　第四，CSP兼容所有ATM和银行柜面品牌(包括：日立、东信、迪堡、NCR、长城、浪潮、金大、御银、国光、实达、惠普等)的ATM机、柜面终端和自助终端设备，可以实现统一管理。

　　第五，CSP全面支持Windows XP、Windows XP嵌入式操作系统、Window 7和Windows8操作系统，满足现在和未来业务发展需求。

　　赛门铁克的CSP解决方案是主机入侵检测和防护(HIPS/HIDS)解决方案的行业领导者，其独特的技术确保了银行ATM及柜面终端的“零病毒”，“零威胁”的高等级防护能力，同时以“零补丁”，“免维护”简化运维工作，提升运维管理的效率。

　　作为一款有着超过10年历史的成熟产品，赛门铁克CSP解决方案在国内外银行业有着诸多成功应用的案例。例如，著名ATM厂家Diebold、Wincor都选择CSP作为默认的保护方案。

　　国内某城市商业银行的一位安全主管在谈到ATM终端安全时说：“通过在全行ATM终端和自助查询终端安装赛门铁克CSP解决方案，彻底解决了我行在Windows XP停止支持后的业务终端安全问题，不仅杜绝了利用系统漏洞进行的攻击行为，而且降低了运维复杂度，统一了各品牌业务终端的的安全防护策略，在满足监管要求的基础上提高了系统防护水平。”

　　为物理和虚拟服务器提供极大限度的防护

　　为了保护物理和虚拟服务器，IT专家一直以来都依靠防病毒等传统的防护技术。但是，当今的安全威胁形势使得企业对实时和主动的安全防护措施需求越来越高。如果企业没有采取有效的方法来优化单独各台服务器(Web、文件、应用程序或数据库)的安全性，那么其数据中心仍暴露在风险中。

　　Symantec Data Center Security：Server和Server Advanced代表了赛门铁克面向数据中心内的服务器提供的新安全性方案，可以为物理和虚拟服务器提供极大限度的防护。

　　虚拟数据中心具有极大的弹性，关联虚拟机处于不断移动中。为了确保安全控制功能在此环境中正常发挥作用，Data Center Security：Server和 Server Advanced利用VMware NSX平台的可扩展性与Service Composer集成，从基础架构的交换结构提供恶意软件防护功能，即每台主机一个单实例安全虚拟硬件设备，这可以特定于每台访客虚拟服务器实施安全策略。虚拟机在主机上移动时，其安全策略将自动跟随。

　　在数据泄露的入侵、发现和捕获阶段，服务器经常是网络罪犯的目标。当前服务器遭受的攻击多种多样，从复杂的渗透技术到管理员无意识的配置错误。Symantec Data CenterSecurity：Server Advanced使得企业可以强化服务器、沙箱应用程序，减少打补丁以及漏洞利用，此外还可以控制恶意内部人员的滥用和系统错误配置。通过强化数据中心，客户可以阻止进一步的渗透，并防止丢失敏感信息。

　　对新老应用程序应用软件补丁程序可改进安全状况，但会造成系统停机。此外，对于停产的操作系统，不仅需要支付高昂的支持延长费用，而且无法持续下去。采用Data Center Security：Server Advanced，可以减少与旧系统支持相关的维护成本，并在补丁程序周期之间保护系统。通过对新旧系统的应用程序和操作系统进行强化，客户可以确保为其数据中心提供极大限度的保护，提高系统可用性。

　　为了遵从PCI数据安全标准2.0(PCI DSS)及其他外部法规，企业必须定期监控其环境，查看是否有违反策略的情况，同时实施补偿控制。Data Center Security：Server Advanced在一个监控和防御解决方案中，既可以让客户执行实时监控，通过整合事件日志进行报告和分析，同时又可以使用基于策略的全面控制技术进一步防止违反策略的行为，从而表现出与集中解决方案的遵从性。

　　在虚拟环境中，应用程序和操作系统也会遭受物理环境中一样的网络攻击。此外，管理程序和管理服务器级别的风险需要得到保护和监视。因此，在考虑虚拟环境的安全性时，必须选择一种既可以防御虚拟环境中外部威胁和内部风险，同时又不影响性能的技术。Data Center Security：Server针对保护和监视 VMware vSphere 5.x进行了优化。利用基于最新vSphere强化指导原则的现成可用策略，客户能够全面保护管理服务器、管理程序和虚拟机上的环境。