IPS何以成功用于銀行網絡安全建設

（聯(lián)合電訊社/北京）--從現(xiàn)金交易到刷卡消費、從跑柜臺辦業(yè)務到使用網上銀行……我們正享受著金融電子化帶來的各種便利。而與此同時，承載這些業(yè)務的銀行生產網絡也正面臨著日益嚴峻的網絡和信息安全的考驗，已成規(guī)模的病毒、木馬地下產業(yè)鏈以及各種攻擊都在對互聯(lián)網金融服務安全造成嚴重威脅，諸如網站掛馬、網銀失竊等安全事件也在層出不窮。

針對金融電子化的這種安全現(xiàn)狀，為保障互聯(lián)網金融服務的穩(wěn)定和安全運行，國家監(jiān)管機構相繼出臺了多個指引文件，對金融信息科技風險管理提出了明確要求。

那么，接下來就讓我們一起來了解一下：銀行生產網中存在哪些安全隱患，以及他們是如何保障其金融業(yè)務和服務的安全和穩(wěn)定的?

面臨內外夾擊的安全威脅

對于銀行這種金融機構而言，其生產網的互聯(lián)網出口是需要首先考慮對互聯(lián)網信息安全風險進行管理監(jiān)控的重點業(yè)務區(qū)域之一。

在銀行的核心業(yè)務網、外聯(lián)網出口，多種金融業(yè)務數(shù)據(jù)經此處匯聚到后臺處理系統(tǒng)，例如：金融機構查詢國家外匯管理局的外匯信息、海關的報關信息、稅務的繳稅信息，以及銀行在營業(yè)大廳里設置網上銀行終端供VIP用戶或普通用戶辦理業(yè)務、查詢信息等。

作為未來聯(lián)系千家萬戶的金融結算中心，銀行機構的網絡會聯(lián)系到各種網絡，諸如：企業(yè)內網、互聯(lián)網、銀行內網等，對于銀行內網不僅對內承載各項業(yè)務/辦公，同時也對外承載著各項金融服務。故作為聯(lián)系千家萬戶的金融網絡，其面臨的威脅是眾多的。總結起來有兩個大的方面：

1.來自外部網絡的安全威脅

主要是來自互聯(lián)網和外部網絡專門針對基于B/S業(yè)務系統(tǒng)的非法訪問、DoS攻擊、Web攻擊、木馬蠕蟲的侵襲、網絡病毒等等。這些安全威脅有一個明顯的發(fā)展趨勢，就是越來越集中于應用層，例如SQL注入、XSS攻擊等。而位于出口邊界的防火墻設備只能提供基于OSI四層參考模型中三層以下的防護，難以對應用層威脅提供有效檢測和防護，使得業(yè)務面臨極大風險。

2.業(yè)務繁多導致的互聯(lián)網帶寬資源分配不合理

業(yè)務訪問量呈日益上升趨勢，普通業(yè)務擠壓了重要業(yè)務的帶寬，對重要業(yè)務可用性造成影響。對于這一點，除了帶寬擴容之外，對不同級別業(yè)務系統(tǒng)的互聯(lián)網使用進行嚴格管理才是根本的解決辦法。

銀行選擇IPS解決上述安全風險的顧慮

IPS是解決以上問題的首選方案。但對銀行生產網來說， IPS仍是個新面孔，是否能在銀行生產網上順利應用，銀行用戶存有多個方面顧慮：

首先，基于高可靠性的考慮，有兩個方面的擔心：一是IPS會不會由于攻擊識別不準確，阻斷正常業(yè)務;二是IPS是在線部署的設備，是否支持高可用性方案，避免在設備出現(xiàn)故障時斷網，從而造成業(yè)務的中斷。

其次，如今銀行的互聯(lián)網出口已逐步向分行開放，也就是說，由以前總行統(tǒng)一的互聯(lián)網出口，變成現(xiàn)在多個互聯(lián)網出口，在這種情況下，對于各個分行的互聯(lián)網出口的統(tǒng)一監(jiān)控管理也是銀行用戶需要面對的一個艱巨挑戰(zhàn);

第三，從合作角度看，銀行選擇IPS產品的同時，也是在選擇一個長期的合作伙伴，尤其是像IPS這樣一個需要持續(xù)更新的防護產品。對于IPS產品來說，廠商是否掌握核心技術、是否具備攻防技術研究能力、是否能夠提供產品的持續(xù)研發(fā)支持、是否能夠提供應急響應及相關服務，甚至是否能夠針對金融行業(yè)用戶特定需求支持產品功能改進等，都是金融用戶在選擇IPS產品時非常關心的問題。而這一切也都直接關系到IPS在生產網上的應用效果。

3個設計目標幫助IPS設備落地應用

針對上述問題，我們來測評一下啟明星辰的天清IPS產品。這款產品作為互聯(lián)網出口的深層防護解決方案，可以從以下3個方面進行設計和部署：

1.保障業(yè)務的可用性設計

此設計目標是保障業(yè)務數(shù)據(jù)穩(wěn)定可靠。

首先，IPS部署采用HA的部署結構(如下圖1示)，并采用鏈路健康狀態(tài)作為主備切換條件，即同時監(jiān)控鏈路的物理狀態(tài)及網絡路徑的檢測，保障在設備及鏈路出現(xiàn)故障的情況下，能夠及時切換;

其次，IPS防護鏈路配備軟、硬Bypass，能夠保障在設備本身硬件、軟件故障時，避免單點故障造成業(yè)務中斷;

最后，在IPS上啟用流量管理功能，為每個辦公業(yè)務終端設定互聯(lián)網流量的上限及并發(fā)會話數(shù)上限，同時為業(yè)務數(shù)據(jù)設定保障帶寬，最大限度的保業(yè)務數(shù)據(jù)的可用性。

 

圖1采用HA的部署結構部署IPS

2.保障業(yè)務的安全性設計

此設計的目標是保障業(yè)務安全高效運行，最大限度的發(fā)揮IPS的應用層防護能力。

具體方案是：在IPS上配置安全防護策略，啟用防攻擊、入侵防御、防病毒及上網行為管理等功能，對應用層威脅進行全面防護，同時針對P2P、IM、網絡游戲等占用互聯(lián)網帶寬的應用進行限制，保障業(yè)務安全運行。此外，在入侵防御的核心功能上，通過對入侵防御特征庫的定期升級，來保證IPS設備能夠識別和防御最新的威脅。

3.統(tǒng)一管理方案設計

如何將多臺IPS進行統(tǒng)一管理監(jiān)控、如何將IPS設備納入已有網管系統(tǒng)，是總行及分行的多臺IPS部署后面臨的最大挑戰(zhàn)。

在統(tǒng)一管理方面，啟明星辰公司的天清IPS提供集中管理平臺，能對IPS設備實施統(tǒng)一管理，實現(xiàn)了設備分組管理、統(tǒng)一安全策略配置、特征庫升級文件下發(fā)及統(tǒng)一報表分析功能，方便了IPS設備管理工作，關鍵是保證了全行IPS安全防護策略的統(tǒng)一，部署方式如下圖2所示。

 

圖2 啟明星辰天清IPS集中管理平臺

在網管系統(tǒng)方面，天清IPS提供了標準的數(shù)據(jù)接口SNMP，方便將IPS設備納入網管系統(tǒng)進行管理。同時，IPS設備可同時向本地日志管理平臺及SOC平臺發(fā)送Syslog運行日志，方便SOC系統(tǒng)對IPS設備日志的搜集和監(jiān)控。

小結

綜上所述，隨著互聯(lián)網環(huán)境的日益復雜，銀行互聯(lián)網業(yè)務的風險需要特別關注，針對應用層的威脅，IPS產品無疑是最佳防護方案。

然而，IPS產品在選擇、部署及應用等多方面，也都充滿了挑戰(zhàn)。銀行用戶需要將一切工作都圍繞著保障業(yè)務可靠性的第一目標來開展，這也同時對IPS廠商提出了如下考驗，即不僅要求IPS產品能夠實現(xiàn)高可用性需求，而且還需具備產品的持續(xù)支持能力，從而才能保障產品的持續(xù)穩(wěn)定應用。

---

   啟明星辰信息技術有限公司簡介

    啟明星辰信息技術有限公司成立于1996年，由留美博士嚴望佳女士創(chuàng)建，是國內最具實力的擁有完全自主知識產權的網絡安全產品、可信安全管理平臺、安全服務與解決方案的綜合提供商，致力于打造和提升國際化的民族信息安全產業(yè)第一品牌。公司總部位于北京，在全國各省、市、自治區(qū)設立分、子公司及辦事處三十多個，擁有覆蓋全國的渠道體系和技術支持中心。
    網 址：www.venustech.com.cn