後Windows XP時代，從終端到服務器的全方位安全保護

專欄

2014年4月8日，微軟停止了使用長達12年的Windows XP的技術支持，根據微軟的說法，Windows XP遭遇安全風險（如病毒和惡意軟件）的概率將提高5倍。銀行ATM機大多運行在Windows XP或Windows XP嵌入式係統上，在很長一段時間內都無法完成升級和遷移。另外，現有ATM機硬件在性能上無法滿足升級要求，全麵升級成本太高。

關注銀行ATM和櫃麵終端安全

國內針對ATM機和櫃麵終端的安全防護是一個很大的空白點，隻有少數銀行在ATM機上安裝了防病毒軟件，但經常遇到性能慢、病毒定義碼無法升級、軟件無法安裝等諸多問題。部分ATM應用開發商提供的防護功能，一方麵僅立足於自己的ATM，另一方麵也隻能提供應用層麵的防護，對操作係統層麵則無能為力。

ATM機和櫃麵終端作為專用設備，其正常完成工作所需的軟件和係統資源是明確的，在此範圍之外的程序是不需要也不應該運行在ATM機和櫃麵終端上。與業務無關的程序安裝和運行得越多，對業務軟件帶來的風險也就越大。另外，ATM設備相對於其他主機的一個區別是資源敏感，ATM的主機硬件資源和網絡帶寬資源的限製決定了ATM機的安全防護不適合使用基於簽名和頻繁升級特征庫的防毒類軟件來進行保護。

賽門鐵克建議通過“沙盒鎖定”的方式為銀行的ATM機、櫃麵終端和自助終端提供有效的安全保護，在微軟不再提供安全支持的情況下，確保行業監管要求合規和實現安全威脅的防護。

賽門鐵克關鍵係統防護解決方案Symantec Embedded Security：Critical System Protection（簡稱CSP）中的“沙盒鎖定”的實現基礎，是基於行為定義，其設計理念是每一個軟件程序都需要以某種方式訪問某些資源以完成其任務。被訪問的資源有三種情況：必需創建或修改的一些資源（例如，日誌文件、消息存儲、文檔文件），還有一些隻需要讀取的資源（例如，配置數據、動態庫、內容），此外，還有大量根本無需訪問的資源。正是由於許多攻擊“誘使”操作係統功能或應用程序修改上述後兩類資源，從而造成危害。

CSP則采用了獨特的“行為說明”技術和“沙盒鎖定”技術，用於定義操作係統功能或應用程序與係統資源（如文件、注冊表、設備和網絡連接）相關的可接受活動，通過三重“鎖定”方式，使得無論攻擊者采取何種方法訪問係統，CSP都能夠通過實施這些行為說明和鎖定的保護方式，在不良行為損害係統之前先行阻止。這些特有技術及其效果包括以下5個方麵。

第一，CSP通過“沙盒鎖定”技術，對網絡、係統、應用進行鎖定，從而實現ATM機的安全防護，且非常適用於ATM的低配環境，不需要進行任何文件或者係統的掃描，對ATM性能消耗極少，CPU占用

第二，CSP基於行為說明技術，不需要更新病毒定義碼和簽名文件，從而避免了連接互聯網，大大提高安全性，同時避免了定期導入病毒定義碼和簽名文件，大大降低了維護工作量。更重要的是，不依賴於病毒特征庫的方式，實現了“零日攻擊”的保護。

第三，CSP將係統鎖定後，可以阻止已知和未知的操作係統和應用安全漏洞被利用，不需要再打任何補丁，實現零補丁的安全防護。

第四，CSP兼容所有ATM和銀行櫃麵品牌（包括：日立、東信、迪堡、NCR、長城、浪潮、金大、禦銀、國光、實達、惠普等）的ATM機、櫃麵終端和自助終端設備，可以實現統一管理。

第五，CSP全麵支持Windows XP、 Windows XP 嵌入式操作係統、Window 7和Windows8操作係統，滿足現在和未來業務發展需求。

賽門鐵克的CSP解決方案是主機入侵檢測和防護（HIPS/HIDS）解決方案的行業領導者，其獨特的技術確保了銀行ATM及櫃麵終端的“零病毒”，“零威脅”的高等級防護能力，同時以“零補丁”，“免維護”簡化運維工作，提升運維管理的效率。