在一论坛上看到下面信息:

自动取款机上的 Windows XP ?!
最近接到一个安全方案,需要对其评审,一看题目,吓了一跳:ATM 网络安全及病毒防范解决方案 …

不了解 ATM 系统构成的,首先扫一下盲:

ATMC:ATM Client 就是我们常见的自动取款机
ATMM:ATM Manager 自动取款机的监视管理端
ATMP:ATM 后台服务器,从银行的核心系统来看,它是一台前置机,因此 P 可能是指 Prefix 或 Processor 之类,和 POSP(POS机的后台设备)是一种类型。
由于新的 ATMC 是使用 Windows XP SP1 平台,鉴于大家对 XP 太了解了,所以对于银行来说,一定要加强防范。

此方案中大概提了以下一些加固方法:

禁用 Guest、删除不必要的用户、给 Administrator 改名
NTFS 、禁用共享、禁止空连接、禁止显示开始菜单栏等

如果这也算安全解决方案的话,我是不敢用这样的 ATM 机的,你呢?

我的回复如下:

由于Windows XP 操作系统功能较为全面,用在 ATM 上必须经过特殊的安全加固措施,或者考虑采用 Windows XP Emebed 操作系统,这样才能充分保证 ATM 的安全性,因为 ATM 的安全性是银行应用系统的安全性的对外直接体现,意义很重大,所以需要在安全性上下很大功夫。

这个安全方案虽然从一定程度了提高了 ATMC 的安全性,但覆盖面仍很不够,工作步骤稍显复杂,且有一些更有效的措施没有采纳,且较为简单。建议参阅微软网站(Technet )上相关文档,进一步合理组织安全方案,并着重考虑以下内容:

1)应考虑所有 ATMC 的统一定制安装,在统一定制安装时,可以通过禁用不必要组件或服务、组策略等措施来加强安全性

2)Windows XP 一定要安装 SP2,这样就具备了自动安装安全补丁,防火墙等功能,还要考虑建立 SUS 自动更新服务器

3)能过 IPSec 和 IP Filter 来提高网络层的安全性

4)通过启用所有安全日志,并自动集中收集分析来反映 ATMC 的安装状况

5) Windows 的安全加固是一个系统工程,建议寻找专业的安全厂商来解决,这样才能完全保证 ATMC 的安全性。

当然你也可以想想,如果让你来对一台基于 Windows XP 的 ATM 机或者其它自动设备进行加固,你都能采取那些措施?

过去也发现过ATM是win98的,想不到升级了,呵呵,我还以为是unix的呢,反正柜台上unix终端倒是不少。


1条评论

  1. 我这种项目最有意思

发表评论

评论也有版权!