看IPS成功應(yīng)對銀行用戶的業(yè)務(wù)安全顧慮

聯(lián)合電訊社/北京--從現(xiàn)金交易到刷卡消費、從跑柜臺辦業(yè)務(wù)到使用網(wǎng)上銀行……我們正享受著金融電子化帶來的各種便利。而與此同時，承載這些業(yè)務(wù)的銀行生產(chǎn)網(wǎng)絡(luò)也正面臨著日益嚴峻的網(wǎng)絡(luò)和信息安全的考驗，已成規(guī)模的病毒、木馬地下產(chǎn)業(yè)鏈以及各種攻擊都在對互聯(lián)網(wǎng)金融服務(wù)安全造成嚴重威脅，諸如網(wǎng)站掛馬、網(wǎng)銀失竊等安全事件也在層出不窮。

　　針對金融電子化的這種安全現(xiàn)狀，為保障互聯(lián)網(wǎng)金融服務(wù)的穩(wěn)定和安全運行，國家監(jiān)管機構(gòu)相繼出臺了多個指引文件，對金融信息科技風險管理提出了明確要求。

　　那么，接下來就讓我們一起來了解一下：銀行生產(chǎn)網(wǎng)中存在哪些安全隱患，以及他們是如何保障其金融業(yè)務(wù)和服務(wù)的安全和穩(wěn)定的

　　面臨內(nèi)外夾擊的安全威脅

　　對于銀行這種金融機構(gòu)而言，其生產(chǎn)網(wǎng)的互聯(lián)網(wǎng)出口是需要首先考慮對互聯(lián)網(wǎng)信息安全風險進行管理監(jiān)控的重點業(yè)務(wù)區(qū)域之一。

　　在銀行的核心業(yè)務(wù)網(wǎng)、外聯(lián)網(wǎng)出口，多種金融業(yè)務(wù)數(shù)據(jù)經(jīng)此處匯聚到后臺處理系統(tǒng)，例如：金融機構(gòu)查詢國家外匯管理局的外匯信息、海關(guān)的報關(guān)信息、稅務(wù)的繳稅信息，以及銀行在營業(yè)大廳里設(shè)置網(wǎng)上銀行終端供VIP用戶或普通用戶辦理業(yè)務(wù)、查詢信息等。

　　作為未來聯(lián)系千家萬戶的金融結(jié)算中心，銀行機構(gòu)的網(wǎng)絡(luò)會聯(lián)系到各種網(wǎng)絡(luò)，諸如：企業(yè)內(nèi)網(wǎng)、互聯(lián)網(wǎng)、銀行內(nèi)網(wǎng)等，對于銀行內(nèi)網(wǎng)不僅對內(nèi)承載各項業(yè)務(wù)/辦公，同時也對外承載著各項金融服務(wù)。故作為聯(lián)系千家萬戶的金融網(wǎng)絡(luò)，其面臨的威脅是眾多的。總結(jié)起來有兩個大的方面：

　　1.來自外部網(wǎng)絡(luò)的安全威脅

　　主要是來自互聯(lián)網(wǎng)和外部網(wǎng)絡(luò)專門針對基于B/S業(yè)務(wù)系統(tǒng)的非法訪問、DoS攻擊、Web攻擊、木馬蠕蟲的侵襲、網(wǎng)絡(luò)病毒等等。這些安全威脅有一個明顯的發(fā)展趨勢，就是越來越集中于應(yīng)用層，例如SQL注入、XSS攻擊等。而位于出口邊界的防火墻設(shè)備只能提供基于OSI四層參考模型中三層以下的防護，難以對應(yīng)用層威脅提供有效檢測和防護，使得業(yè)務(wù)面臨極大風險。

　　2.業(yè)務(wù)繁多導致的互聯(lián)網(wǎng)帶寬資源分配不合理

　　業(yè)務(wù)訪問量呈日益上升趨勢，普通業(yè)務(wù)擠壓了重要業(yè)務(wù)的帶寬，對重要業(yè)務(wù)可用性造成影響。對于這一點，除了帶寬擴容之外，對不同級別業(yè)務(wù)系統(tǒng)的互聯(lián)網(wǎng)使用進行嚴格管理才是根本的解決辦法。

　　銀行選擇IPS解決上述安全風險的顧慮

　　IPS是解決以上問題的首選方案。但對銀行生產(chǎn)網(wǎng)來說， IPS仍是個新面孔，是否能在銀行生產(chǎn)網(wǎng)上順利應(yīng)用，銀行用戶存有多個方面顧慮：

　　首先，基于高可靠性的考慮，有兩個方面的擔心：一是IPS會不會由于攻擊識別不準確，阻斷正常業(yè)務(wù);二是IPS是在線部署的設(shè)備，是否支持高可用性方案，避免在設(shè)備出現(xiàn)故障時斷網(wǎng)，從而造成業(yè)務(wù)的中斷。

　　其次，如今銀行的互聯(lián)網(wǎng)出口已逐步向分行開放，也就是說，由以前總行統(tǒng)一的互聯(lián)網(wǎng)出口，變成現(xiàn)在多個互聯(lián)網(wǎng)出口，在這種情況下，對于各個分行的互聯(lián)網(wǎng)出口的統(tǒng)一監(jiān)控管理也是銀行用戶需要面對的一個艱巨挑戰(zhàn);

　　第三，從合作角度看，銀行選擇IPS產(chǎn)品的同時，也是在選擇一個長期的合作伙伴，尤其是像IPS這樣一個需要持續(xù)更新的防護產(chǎn)品。對于IPS產(chǎn)品來說，廠商是否掌握核心技術(shù)、是否具備攻防技術(shù)研究能力、是否能夠提供產(chǎn)品的持續(xù)研發(fā)支持、是否能夠提供應(yīng)急響應(yīng)及相關(guān)服務(wù)，甚至是否能夠針對金融行業(yè)用戶特定需求支持產(chǎn)品功能改進等，都是金融用戶在選擇IPS產(chǎn)品時非常關(guān)心的問題。而這一切也都直接關(guān)系到IPS在生產(chǎn)網(wǎng)上的應(yīng)用效果。

　　3個設(shè)計目標幫助IPS設(shè)備落地應(yīng)用

　　針對上述問題，我們來測評一下啟明星辰的天清IPS產(chǎn)品。這款產(chǎn)品作為互聯(lián)網(wǎng)出口的深層防護解決方案，可以從以下3個方面進行設(shè)計和部署：

　　1.保障業(yè)務(wù)的可用性設(shè)計

　　此設(shè)計目標是保障業(yè)務(wù)數(shù)據(jù)穩(wěn)定可靠。

　　首先，IPS部署采用HA的部署結(jié)構(gòu)如下圖1示，并采用鏈路健康狀態(tài)作為主備切換條件，即同時監(jiān)控鏈路的物理狀態(tài)及網(wǎng)絡(luò)路徑的檢測，保障在設(shè)備及鏈路出現(xiàn)故障的情況下，能夠及時切換;

　　其次，IPS防護鏈路配備軟、硬Bypass，能夠保障在設(shè)備本身硬件、軟件故障時，避免單點故障造成業(yè)務(wù)中斷;

　　最后，在IPS上啟用流量管理功能，為每個辦公業(yè)務(wù)終端設(shè)定互聯(lián)網(wǎng)流量的上限及并發(fā)會話數(shù)上限，同時為業(yè)務(wù)數(shù)據(jù)設(shè)定保障帶寬，最大限度的保業(yè)務(wù)數(shù)據(jù)的可用性。

　　2.保障業(yè)務(wù)的安全性設(shè)計

　　此設(shè)計的目標是保障業(yè)務(wù)安全高效運行，最大限度的發(fā)揮IPS的應(yīng)用層防護能力。

　　具體方案是：在IPS上配置安全防護策略，啟用防攻擊、入侵防御、防病毒及上網(wǎng)行為管理等功能，對應(yīng)用層威脅進行全面防護，同時針對P2P、IM、網(wǎng)絡(luò)游戲等占用互聯(lián)網(wǎng)帶寬的應(yīng)用進行限制，保障業(yè)務(wù)安全運行。此外，在入侵防御的核心功能上，通過對入侵防御特征庫的定期升級，來保證IPS設(shè)備能夠識別和防御最新的威脅。

　　3.統(tǒng)一管理方案設(shè)計

　　如何將多臺IPS進行統(tǒng)一管理監(jiān)控、如何將IPS設(shè)備納入已有網(wǎng)管系統(tǒng)，是總行及分行的多臺IPS部署后面臨的最大挑戰(zhàn)。

　　在統(tǒng)一管理方面，啟明星辰公司的天清IPS提供集中管理平臺，能對IPS設(shè)備實施統(tǒng)一管理，實現(xiàn)了設(shè)備分組管理、統(tǒng)一安全策略配置、特征庫升級文件下發(fā)及統(tǒng)一報表分析功能，方便了IPS設(shè)備管理工作，關(guān)鍵是保證了全行IPS安全防護策略的統(tǒng)一，部署方式如下圖2所示。

　　在網(wǎng)管系統(tǒng)方面，天清IPS提供了標準的數(shù)據(jù)接口SNMP，方便將IPS設(shè)備納入網(wǎng)管系統(tǒng)進行管理。同時，IPS設(shè)備可同時向本地日志管理平臺及SOC平臺發(fā)送Syslog運行日志，方便SOC系統(tǒng)對IPS設(shè)備日志的搜集和監(jiān)控。

　　小結(jié)

　　綜上所述，隨著互聯(lián)網(wǎng)環(huán)境的日益復(fù)雜，銀行互聯(lián)網(wǎng)業(yè)務(wù)的風險需要特別關(guān)注，針對應(yīng)用層的威脅，IPS產(chǎn)品無疑是最佳防護方案。

　　然而，IPS產(chǎn)品在選擇、部署及應(yīng)用等多方面，也都充滿了挑戰(zhàn)。銀行用戶需要將一切工作都圍繞著保障業(yè)務(wù)可靠性的第一目標來開展，這也同時對IPS廠商提出了如下考驗，即不僅要求IPS產(chǎn)品能夠?qū)崿F(xiàn)高可用性需求，而且還需具備產(chǎn)品的持續(xù)支持能力，從而才能保障產(chǎn)品的持續(xù)穩(wěn)定應(yīng)用。