IPS破解銀行網絡出口的內憂外患
【51CTO.com 綜合消息】從現金交易到刷卡消費、從跑柜臺辦業務到使用網上銀行……我們正享受著金融電子化帶來的各種便利。而與此同時,承載這些業務的銀行生產網絡也正面臨著日益嚴峻的網絡和信息安全的考驗,已成規模的病毒、木馬地下產業鏈以及各種攻擊都在對互聯網金融服務安全造成嚴重威脅,諸如網站掛馬、網銀失竊等安全事件也在層出不窮。
針對金融電子化的這種安全現狀,為保障互聯網金融服務的穩定和安全運行,國家監管機構相繼出臺了多個指引文件,對金融信息科技風險管理提出了明確要求。
那么,接下來就讓我們一起來了解一下:銀行生產網中存在哪些安全隱患,以及他們是如何保障其金融業務和服務的安全和穩定的?
面臨內外夾擊的安全威脅
對于銀行這種金融機構而言,其生產網的互聯網出口是需要首先考慮對互聯網信息安全風險進行管理監控的重點業務區域之一。
在銀行的核心業務網、外聯網出口,多種金融業務數據經此處匯聚到后臺處理系統,例如:金融機構查詢國家外匯管理局的外匯信息、海關的報關信息、稅務的繳稅信息,以及銀行在營業大廳里設置網上銀行終端供VIP用戶或普通用戶辦理業務、查詢信息等。
作為未來聯系千家萬戶的金融結算中心,銀行機構的網絡會聯系到各種網絡,諸如:企業內網、互聯網、銀行內網等,對于銀行內網不僅對內承載各項業務/辦公,同時也對外承載著各項金融服務。故作為聯系千家萬戶的金融網絡,其面臨的威脅是眾多的。總結起來有兩個大的方面:
1.來自外部網絡的安全威脅
主要是來自互聯網和外部網絡專門針對基于B/S業務系統的非法訪問、DoS攻擊、Web攻擊、木馬蠕蟲的侵襲、網絡病毒等等。這些安全威脅有一個明顯的發展趨勢,就是越來越集中于應用層,例如SQL注入、XSS攻擊等。而位于出口邊界的防火墻設備只能提供基于OSI四層參考模型中三層以下的防護,難以對應用層威脅提供有效檢測和防護,使得業務面臨極大風險。
2.業務繁多導致的互聯網帶寬資源分配不合理
業務訪問量呈日益上升趨勢,普通業務擠壓了重要業務的帶寬,對重要業務可用性造成影響。對于這一點,除了帶寬擴容之外,對不同級別業務系統的互聯網使用進行嚴格管理才是根本的解決辦法。
銀行選擇IPS解決上述安全風險的顧慮
IPS是解決以上問題的首選方案。但對銀行生產網來說, IPS仍是個新面孔,是否能在銀行生產網上順利應用,銀行用戶存有多個方面顧慮:
首先,基于高可靠性的考慮,有兩個方面的擔心:一是IPS會不會由于攻擊識別不準確,阻斷正常業務;二是IPS是在線部署的設備,是否支持高可用性方案,避免在設備出現故障時斷網,從而造成業務的中斷。
其次,如今銀行的互聯網出口已逐步向分行開放,也就是說,由以前總行統一的互聯網出口,變成現在多個互聯網出口,在這種情況下,對于各個分行的互聯網出口的統一監控管理也是銀行用戶需要面對的一個艱巨挑戰;
第三,從合作角度看,銀行選擇IPS產品的同時,也是在選擇一個長期的合作伙伴,尤其是像IPS這樣一個需要持續更新的防護產品。對于IPS產品來說,廠商是否掌握核心技術、是否具備攻防技術研究能力、是否能夠提供產品的持續研發支持、是否能夠提供應急響應及相關服務,甚至是否能夠針對金融行業用戶特定需求支持產品功能改進等,都是金融用戶在選擇IPS產品時非常關心的問題。而這一切也都直接關系到IPS在生產網上的應用效果。
3個設計目標幫助IPS設備落地應用
針對上述問題,我們來測評一下啟明星辰的天清IPS產品。這款產品作為互聯網出口的深層防護解決方案,可以從以下3個方面進行設計和部署:
1.保障業務的可用性設計
此設計目標是保障業務數據穩定可靠。
首先,IPS部署采用HA的部署結構(如下圖1示),并采用鏈路健康狀態作為主備切換條件,即同時監控鏈路的物理狀態及網絡路徑的檢測,保障在設備及鏈路出現故障的情況下,能夠及時切換;
其次,IPS防護鏈路配備軟、硬Bypass,能夠保障在設備本身硬件、軟件故障時,避免單點故障造成業務中斷;
最后,在IPS上啟用流量管理功能,為每個辦公業務終端設定互聯網流量的上限及并發會話數上限,同時為業務數據設定保障帶寬,最大限度的保業務數據的可用性。
圖1采用HA的部署結構部署IPS
2.保障業務的安全性設計
此設計的目標是保障業務安全高效運行,最大限度的發揮IPS的應用層防護能力。
具體方案是:在IPS上配置安全防護策略,啟用防攻擊、入侵防御、防病毒及上網行為管理等功能,對應用層威脅進行全面防護,同時針對P2P、IM、網絡游戲等占用互聯網帶寬的應用進行限制,保障業務安全運行。此外,在入侵防御的核心功能上,通過對入侵防御特征庫的定期升級,來保證IPS設備能夠識別和防御最新的威脅。
3.統一管理方案設計
如何將多臺IPS進行統一管理監控、如何將IPS設備納入已有網管系統,是總行及分行的多臺IPS部署后面臨的最大挑戰。
在統一管理方面,啟明星辰公司的天清IPS提供集中管理平臺,能對IPS設備實施統一管理,實現了設備分組管理、統一安全策略配置、特征庫升級文件下發及統一報表分析功能,方便了IPS設備管理工作,關鍵是保證了全行IPS安全防護策略的統一,部署方式如下圖2所示。
圖2 啟明星辰天清IPS集中管理平臺
在網管系統方面,天清IPS提供了標準的數據接口SNMP,方便將IPS設備納入網管系統進行管理。同時,IPS設備可同時向本地日志管理平臺及SOC平臺發送Syslog運行日志,方便SOC系統對IPS設備日志的搜集和監控。
小結
綜上所述,隨著互聯網環境的日益復雜,銀行互聯網業務的風險需要特別關注,針對應用層的威脅,IPS產品無疑是最佳防護方案。
然而,IPS產品在選擇、部署及應用等多方面,也都充滿了挑戰。銀行用戶需要將一切工作都圍繞著保障業務可靠性的第一目標來開展,這也同時對IPS廠商提出了如下考驗,即不僅要求IPS產品能夠實現高可用性需求,而且還需具備產品的持續支持能力,從而才能保障產品的持續穩定應用。
