【51CTO.com 綜合消息】從現(xiàn)金交易到刷卡消費(fèi)、從跑柜臺辦業(yè)務(wù)到使用網(wǎng)上銀行……我們正享受著金融電子化帶來的各種便利。而與此同時(shí)，承載這些業(yè)務(wù)的銀行生產(chǎn)網(wǎng)絡(luò)也正面臨著日益嚴(yán)峻的網(wǎng)絡(luò)和信息安全的考驗(yàn)，已成規(guī)模的病毒、木馬地下產(chǎn)業(yè)鏈以及各種攻擊都在對互聯(lián)網(wǎng)金融服務(wù)安全造成嚴(yán)重威脅，諸如網(wǎng)站掛馬、網(wǎng)銀失竊等安全事件也在層出不窮?！　?/P>

針對金融電子化的這種安全現(xiàn)狀，為保障互聯(lián)網(wǎng)金融服務(wù)的穩(wěn)定和安全運(yùn)行，國家監(jiān)管機(jī)構(gòu)相繼出臺了多個(gè)指引文件，對金融信息科技風(fēng)險(xiǎn)管理提出了明確要求?！　?/P>

那么，接下來就讓我們一起來了解一下：銀行生產(chǎn)網(wǎng)中存在哪些安全隱患，以及他們是如何保障其金融業(yè)務(wù)和服務(wù)的安全和穩(wěn)定的？　　

面臨內(nèi)外夾擊的安全威脅　　

對于銀行這種金融機(jī)構(gòu)而言，其生產(chǎn)網(wǎng)的互聯(lián)網(wǎng)出口是需要首先考慮對互聯(lián)網(wǎng)信息安全風(fēng)險(xiǎn)進(jìn)行管理監(jiān)控的重點(diǎn)業(yè)務(wù)區(qū)域之一?！　?/P>

在銀行的核心業(yè)務(wù)網(wǎng)、外聯(lián)網(wǎng)出口，多種金融業(yè)務(wù)數(shù)據(jù)經(jīng)此處匯聚到后臺處理系統(tǒng)，例如：金融機(jī)構(gòu)查詢國家外匯管理局的外匯信息、海關(guān)的報(bào)關(guān)信息、稅務(wù)的繳稅信息，以及銀行在營業(yè)大廳里設(shè)置網(wǎng)上銀行終端供VIP用戶或普通用戶辦理業(yè)務(wù)、查詢信息等?！　?/P>

作為未來聯(lián)系千家萬戶的金融結(jié)算中心，銀行機(jī)構(gòu)的網(wǎng)絡(luò)會聯(lián)系到各種網(wǎng)絡(luò)，諸如：企業(yè)內(nèi)網(wǎng)、互聯(lián)網(wǎng)、銀行內(nèi)網(wǎng)等，對于銀行內(nèi)網(wǎng)不僅對內(nèi)承載各項(xiàng)業(yè)務(wù)/辦公，同時(shí)也對外承載著各項(xiàng)金融服務(wù)。故作為聯(lián)系千家萬戶的金融網(wǎng)絡(luò)，其面臨的威脅是眾多的?？偨Y(jié)起來有兩個(gè)大的方面：　　

1.來自外部網(wǎng)絡(luò)的安全威脅 　　

主要是來自互聯(lián)網(wǎng)和外部網(wǎng)絡(luò)專門針對基于B/S業(yè)務(wù)系統(tǒng)的非法訪問、DoS攻擊、Web攻擊、木馬蠕蟲的侵襲、網(wǎng)絡(luò)病毒等等。這些安全威脅有一個(gè)明顯的發(fā)展趨勢，就是越來越集中于應(yīng)用層，例如SQL注入、XSS攻擊等。而位于出口邊界的防火墻設(shè)備只能提供基于OSI四層參考模型中三層以下的防護(hù)，難以對應(yīng)用層威脅提供有效檢測和防護(hù)，使得業(yè)務(wù)面臨極大風(fēng)險(xiǎn)?！　?/P>

2.業(yè)務(wù)繁多導(dǎo)致的互聯(lián)網(wǎng)帶寬資源分配不合理 　　

業(yè)務(wù)訪問量呈日益上升趨勢，普通業(yè)務(wù)擠壓了重要業(yè)務(wù)的帶寬，對重要業(yè)務(wù)可用性造成影響。對于這一點(diǎn)，除了帶寬擴(kuò)容之外，對不同級別業(yè)務(wù)系統(tǒng)的互聯(lián)網(wǎng)使用進(jìn)行嚴(yán)格管理才是根本的解決辦法?！　?/P>

銀行選擇IPS解決上述安全風(fēng)險(xiǎn)的顧慮 　　

IPS是解決以上問題的首選方案。但對銀行生產(chǎn)網(wǎng)來說， IPS仍是個(gè)新面孔，是否能在銀行生產(chǎn)網(wǎng)上順利應(yīng)用，銀行用戶存有多個(gè)方面顧慮：　　

首先，基于高可靠性的考慮，有兩個(gè)方面的擔(dān)心：一是IPS會不會由于攻擊識別不準(zhǔn)確，阻斷正常業(yè)務(wù)；二是IPS是在線部署的設(shè)備，是否支持高可用性方案，避免在設(shè)備出現(xiàn)故障時(shí)斷網(wǎng)，從而造成業(yè)務(wù)的中斷。　　

其次，如今銀行的互聯(lián)網(wǎng)出口已逐步向分行開放，也就是說，由以前總行統(tǒng)一的互聯(lián)網(wǎng)出口，變成現(xiàn)在多個(gè)互聯(lián)網(wǎng)出口，在這種情況下，對于各個(gè)分行的互聯(lián)網(wǎng)出口的統(tǒng)一監(jiān)控管理也是銀行用戶需要面對的一個(gè)艱巨挑戰(zhàn)；　　

第三，從合作角度看，銀行選擇IPS產(chǎn)品的同時(shí)，也是在選擇一個(gè)長期的合作伙伴，尤其是像IPS這樣一個(gè)需要持續(xù)更新的防護(hù)產(chǎn)品。對于IPS產(chǎn)品來說，廠商是否掌握核心技術(shù)、是否具備攻防技術(shù)研究能力、是否能夠提供產(chǎn)品的持續(xù)研發(fā)支持、是否能夠提供應(yīng)急響應(yīng)及相關(guān)服務(wù)，甚至是否能夠針對金融行業(yè)用戶特定需求支持產(chǎn)品功能改進(jìn)等，都是金融用戶在選擇IPS產(chǎn)品時(shí)非常關(guān)心的問題。而這一切也都直接關(guān)系到IPS在生產(chǎn)網(wǎng)上的應(yīng)用效果?！　?/P>

3個(gè)設(shè)計(jì)目標(biāo)幫助IPS設(shè)備落地應(yīng)用 　　

針對上述問題，我們來測評一下啟明星辰的天清IPS產(chǎn)品。這款產(chǎn)品作為互聯(lián)網(wǎng)出口的深層防護(hù)解決方案，可以從以下3個(gè)方面進(jìn)行設(shè)計(jì)和部署：　　

1.保障業(yè)務(wù)的可用性設(shè)計(jì)　　

此設(shè)計(jì)目標(biāo)是保障業(yè)務(wù)數(shù)據(jù)穩(wěn)定可靠。　　

首先，IPS部署采用HA的部署結(jié)構(gòu)（如下圖1示），并采用鏈路健康狀態(tài)作為主備切換條件，即同時(shí)監(jiān)控鏈路的物理狀態(tài)及網(wǎng)絡(luò)路徑的檢測，保障在設(shè)備及鏈路出現(xiàn)故障的情況下，能夠及時(shí)切換；　　

其次，IPS防護(hù)鏈路配備軟、硬Bypass，能夠保障在設(shè)備本身硬件、軟件故障時(shí)，避免單點(diǎn)故障造成業(yè)務(wù)中斷；　　

最后，在IPS上啟用流量管理功能，為每個(gè)辦公業(yè)務(wù)終端設(shè)定互聯(lián)網(wǎng)流量的上限及并發(fā)會話數(shù)上限，同時(shí)為業(yè)務(wù)數(shù)據(jù)設(shè)定保障帶寬，最大限度的保業(yè)務(wù)數(shù)據(jù)的可用性。

圖1采用HA的部署結(jié)構(gòu)部署IPS 　　

2.保障業(yè)務(wù)的安全性設(shè)計(jì)　　

此設(shè)計(jì)的目標(biāo)是保障業(yè)務(wù)安全高效運(yùn)行，最大限度的發(fā)揮IPS的應(yīng)用層防護(hù)能力?！　?/P>

具體方案是：在IPS上配置安全防護(hù)策略，啟用防攻擊、入侵防御、防病毒及上網(wǎng)行為管理等功能，對應(yīng)用層威脅進(jìn)行全面防護(hù)，同時(shí)針對P2P、IM、網(wǎng)絡(luò)游戲等占用互聯(lián)網(wǎng)帶寬的應(yīng)用進(jìn)行限制，保障業(yè)務(wù)安全運(yùn)行。此外，在入侵防御的核心功能上，通過對入侵防御特征庫的定期升級，來保證IPS設(shè)備能夠識別和防御最新的威脅?！　?/P>

3.統(tǒng)一管理方案設(shè)計(jì) 　　

如何將多臺IPS進(jìn)行統(tǒng)一管理監(jiān)控、如何將IPS設(shè)備納入已有網(wǎng)管系統(tǒng)，是總行及分行的多臺IPS部署后面臨的最大挑戰(zhàn)。　　

在統(tǒng)一管理方面，啟明星辰公司的天清IPS提供集中管理平臺，能對IPS設(shè)備實(shí)施統(tǒng)一管理，實(shí)現(xiàn)了設(shè)備分組管理、統(tǒng)一安全策略配置、特征庫升級文件下發(fā)及統(tǒng)一報(bào)表分析功能，方便了IPS設(shè)備管理工作，關(guān)鍵是保證了全行IPS安全防護(hù)策略的統(tǒng)一，部署方式如下圖2所示?！　?/P>

圖2 啟明星辰天清IPS集中管理平臺　　

在網(wǎng)管系統(tǒng)方面，天清IPS提供了標(biāo)準(zhǔn)的數(shù)據(jù)接口SNMP，方便將IPS設(shè)備納入網(wǎng)管系統(tǒng)進(jìn)行管理。同時(shí)，IPS設(shè)備可同時(shí)向本地日志管理平臺及SOC平臺發(fā)送Syslog運(yùn)行日志，方便SOC系統(tǒng)對IPS設(shè)備日志的搜集和監(jiān)控。　　

小結(jié)　　

綜上所述，隨著互聯(lián)網(wǎng)環(huán)境的日益復(fù)雜，銀行互聯(lián)網(wǎng)業(yè)務(wù)的風(fēng)險(xiǎn)需要特別關(guān)注，針對應(yīng)用層的威脅，IPS產(chǎn)品無疑是最佳防護(hù)方案?！　?/P>

然而，IPS產(chǎn)品在選擇、部署及應(yīng)用等多方面，也都充滿了挑戰(zhàn)。銀行用戶需要將一切工作都圍繞著保障業(yè)務(wù)可靠性的第一目標(biāo)來開展，這也同時(shí)對IPS廠商提出了如下考驗(yàn)，即不僅要求IPS產(chǎn)品能夠?qū)崿F(xiàn)高可用性需求，而且還需具備產(chǎn)品的持續(xù)支持能力，從而才能保障產(chǎn)品的持續(xù)穩(wěn)定應(yīng)用。

1. 為運(yùn)維人員解疑慮：做好網(wǎng)站安全要用到哪些技術(shù)手段？
2. 以色列終極反入侵武器：CHECK POINT軟件刀片
3. 綠盟科技WEB應(yīng)用防火墻產(chǎn)品白皮書下載
4. SQL注入及XSS攻擊防御技術(shù)白皮書下載
5. 拯救網(wǎng)站運(yùn)維經(jīng)理趙明有獎(jiǎng)活動(dòng)進(jìn)行中
6. 如何找尋最適合的WEB應(yīng)用安全解決方案