木馬程序正在盜取網(wǎng)上銀行賬戶的機(jī)密信息,用戶銀行卡內(nèi)的資金往往在不知不覺中便不翼而飛��,如何保障網(wǎng)上銀行業(yè)務(wù)的安全呢��?
上攜程訂機(jī)票��,逛淘寶來購物,用卓越來充電,用網(wǎng)票買電影票,用網(wǎng)銀來繳費(fèi)、匯款����、炒股�����、還款……在互聯(lián)網(wǎng)與電子商務(wù)大行其道的今天,網(wǎng)上支付與網(wǎng)上銀行在讓我們的生活變得更加便捷的同時,也讓我們的資金暴露在網(wǎng)絡(luò)日益泛濫的惡意攻擊面前�����,密碼不再保密�����,賬戶不再隱私,消費(fèi)不再安全……
網(wǎng)銀安全的三重挑戰(zhàn)
據(jù)統(tǒng)計���,網(wǎng)上銀行已經(jīng)成為了工商銀行最重要的業(yè)務(wù)渠道之一。中國工商銀行擁有國內(nèi)規(guī)模最大的網(wǎng)銀系統(tǒng)���,今年上半年工商銀行的電子銀行交易額達(dá)到了70萬億元,通過電子銀行渠道辦理的業(yè)務(wù)已占到該行全部業(yè)務(wù)量的46.2%����,比去年同期提升了6.7個百分點����。與此同時,這個全國最大的網(wǎng)銀系統(tǒng)也一直面臨著來自互聯(lián)網(wǎng)的DDoS、病毒���、蠕蟲、協(xié)議異常等Web應(yīng)用層的安全攻擊的威脅,用戶信息與賬戶安全受到了嚴(yán)重的挑戰(zhàn)�����。
雖然工行的IT基礎(chǔ)設(shè)施建設(shè)保持著在全國同行中的領(lǐng)先地位��,但此前部署的一些安全防護(hù)設(shè)備����,包括防火墻�、IDS(入侵檢測系統(tǒng))在內(nèi),已經(jīng)無法全面應(yīng)對新興的針對Web應(yīng)用層的安全攻擊。
一方面��,網(wǎng)銀流量增長迅速��,從2006年到2008年年平均增長率都超過100%����,原先百兆級防護(hù)能力面臨極大的挑戰(zhàn)�。
另一方面����,原先部署的IDS產(chǎn)品在網(wǎng)銀流量的壓力下漏報錯報情況嚴(yán)重,海量日志無法及時有效地篩選����,造成管理員工作量巨大�。據(jù)了解��,工行平均每個月的IDS報警量超過70萬條��,無效報警的比例很高,致使管理員很難實施有效的控制策略�。
另外�,面對層出不窮的各類SQL注入攻擊�����,整個網(wǎng)銀Web系統(tǒng)的數(shù)據(jù)都可能遭受到惡意修改���。為了向廣大網(wǎng)銀用戶提供更加安全的使用體驗�,工行急需部署高端的安全設(shè)備�,在線及時阻斷攻擊和在線防御病毒入侵已經(jīng)成為工商銀行數(shù)據(jù)中心防護(hù)的迫切需求。
在經(jīng)過了嚴(yán)格的技術(shù)調(diào)研與項目選型后�����,中國工商銀行在眾多網(wǎng)絡(luò)安全產(chǎn)品中選擇了杭州華三通信技術(shù)有限公司的H3C SecPath IPS(Intrusion Prevention System)安全防護(hù)解決方案���。H3C SecPath IPS集成入侵防御與檢測�、病毒過濾、帶寬管理和URL過濾等功能���,是業(yè)界綜合防護(hù)技術(shù)領(lǐng)先的入侵防御/檢測系統(tǒng)���。通過深入到7層的分析與檢測��,系統(tǒng)能夠?qū)崟r阻斷網(wǎng)絡(luò)流量中隱藏的病毒�、蠕蟲���、木馬�����、間諜軟件����、DDoS等攻擊和惡意行為���,并對分布在網(wǎng)絡(luò)中的各種P2P、IM等非關(guān)鍵業(yè)務(wù)進(jìn)行有效管理���,實現(xiàn)對網(wǎng)絡(luò)應(yīng)用、網(wǎng)絡(luò)基礎(chǔ)設(shè)施和網(wǎng)絡(luò)性能的全面保護(hù)����。
基于精確狀態(tài)的安全檢測
可以這樣比喻:網(wǎng)絡(luò)中的數(shù)據(jù)傳輸就像橋上的交通運(yùn)輸��,滿載數(shù)據(jù)的卡車源源不斷地從橋的一端開往另一端。IPS就如同橋頭的檢查站��,它可以精細(xì)過濾卡車所載的數(shù)據(jù)�,對安全威脅進(jìn)行有效的攔截,成功阻擊針對橋上的基礎(chǔ)設(shè)施�����,包括路由器��、交換機(jī)和防火墻的攻擊。同時,橋上如果發(fā)生了交通擁堵,即日常網(wǎng)絡(luò)發(fā)生了數(shù)據(jù)堵塞�����,成熟的IPS系統(tǒng)還可以為重要數(shù)據(jù)的通過預(yù)留帶寬��,保障重要數(shù)據(jù)的傳輸���。本次在工商銀行應(yīng)用的H3C SecPath IPS安全防護(hù)解決方案����,可以為數(shù)據(jù)傳輸提供應(yīng)用防御���、網(wǎng)絡(luò)基礎(chǔ)設(shè)施防御�、網(wǎng)絡(luò)性能防御三方面的保護(hù),為用戶數(shù)據(jù)傳輸搭建安全、穩(wěn)定的橋梁��。
據(jù)了解����,通過H3C SecPath IPS的保護(hù),工商銀行總行不僅將網(wǎng)銀出口的實際安全防護(hù)性能提高到千兆,而且可以精確實時地識別��、阻斷或限制黑客���、蠕蟲����、病毒、木馬等常見網(wǎng)絡(luò)攻擊或網(wǎng)絡(luò)濫用。H3C SecPath IPS具有實用的帶寬管理和URL過濾功能,可為用戶網(wǎng)絡(luò)提供最全面的深度防御,有效替代原先部署的IDS�����。
目前�,工行網(wǎng)銀入口的日安全報警量已經(jīng)從原先的10萬條以上的量級降低到幾百條��,主動防御的應(yīng)用效果可見一斑�。同時�����,H3C SecPath IPS使用內(nèi)置的無源連接模塊PFC(Power Free Connector)提供掉電保護(hù)功能�,同時支持二層回退�,在數(shù)據(jù)中心的使用中保障了設(shè)備的可靠性和安全。
需要特別指出的是�,SecPath IPS采用了H3C公司自主知識產(chǎn)權(quán)的FIRST(Full Inspection with Rigorous State Test����,基于精確狀態(tài)的全面檢測)引擎�。FIRST引擎集成了多項檢測技術(shù),實現(xiàn)了基于精確狀態(tài)的全面檢測����,具有極高的入侵檢測精度����。同時�,FIRST引擎采用了并行檢測技術(shù),軟硬件可靈活適配��,大大提高了入侵檢測的效率,是保證IPS高精度高效率處理安全入侵威脅的心臟����。
在H3C�����,一支由40多位專家組成的資深的攻擊特征庫維護(hù)團(tuán)隊全心致力于實時更新、維護(hù)攻擊特征庫。他們的核心工作就是去搜集業(yè)界主要的操作系統(tǒng)廠商�����、公共應(yīng)用軟件廠商以及數(shù)據(jù)庫廠商發(fā)布的信息����,提供網(wǎng)上證件升級和定期郵件收集的聯(lián)絡(luò)方式���,讓用戶特征庫系統(tǒng)得到及時的更新���。同時�,H3C建有攻防實驗室,以及最新的部署于全球的蜜罐系統(tǒng)��,緊跟網(wǎng)絡(luò)技術(shù)與安全技術(shù)的發(fā)展前沿和網(wǎng)絡(luò)攻防的最新動態(tài)�����,定期更新并發(fā)布攻擊特征庫升級包��。
IPS取代IDS成主流
金融行業(yè)作為我國信息化建設(shè)的先行軍,在安全領(lǐng)域的實際需求與建設(shè)實踐已經(jīng)證明部署IPS將是行業(yè)信息化安全的發(fā)展方向�����。目前有關(guān)IDS與IPS之間關(guān)系的討論已經(jīng)逐漸平淡�����,IPS取代IDS已經(jīng)得到大多數(shù)用戶的認(rèn)同�����。隨著發(fā)生在Web應(yīng)用層的攻擊越來越多���,IPS已經(jīng)成為金融行業(yè)安全防護(hù)的必備選項����。
H3C公司在國內(nèi)安全領(lǐng)域最早開始了IPS技術(shù)與產(chǎn)品的研發(fā)與實踐,是國內(nèi)IPS領(lǐng)域的先行者和技術(shù)領(lǐng)導(dǎo)者。通過H3C SecPath IPS的部署和應(yīng)用����,銀行用戶可以在千兆負(fù)載下�,有效地保證自己的網(wǎng)銀系統(tǒng)和內(nèi)部網(wǎng)絡(luò)的安全��。
2008年����,H3C公司幫助工商銀行在奧運(yùn)前完成了IPS在北數(shù)據(jù)中心(北京)和南數(shù)據(jù)中心(上海)的部署��。在奧運(yùn)期間����,H3C的設(shè)備運(yùn)行穩(wěn)定�����,經(jīng)受住了網(wǎng)銀出口千兆峰值業(yè)務(wù)流量的考驗�����,對網(wǎng)銀流量進(jìn)行實時監(jiān)測并阻斷攻擊,上線當(dāng)日即阻斷9000多次Web類攻擊,實現(xiàn)了高性能出口防護(hù);同時�,H3C SecCenter對網(wǎng)絡(luò)安全事件進(jìn)行自動篩選��,實現(xiàn)了攻擊日志的聯(lián)動分析和圖表輸出��,大大簡化了工行網(wǎng)銀系統(tǒng)管理人員的工作量����,大幅提高了工行網(wǎng)銀的安全防護(hù)效率。
在實際應(yīng)用中,H3C SecPath IPS系統(tǒng)所具備的靈活管理功能同樣讓網(wǎng)絡(luò)管理者輕松許多���。在單臺或小規(guī)模部署時,系統(tǒng)提供了對單機(jī)用戶基于Web的圖形化管理系統(tǒng),讓用戶不用購買����、部署額外的管理服務(wù)器硬件和管理軟件即可實現(xiàn)對系統(tǒng)的管理����。而當(dāng)大規(guī)模部署時�����,系統(tǒng)提供了強(qiáng)大的集中管理功能�,客戶通過一個高度集中的管理平臺��,可以在全網(wǎng)范圍內(nèi)定制統(tǒng)一的安全策略���,方便地分發(fā)到各地的設(shè)備上�����。同時,各終端設(shè)備也可以將攻擊事件集中上報到管理中心,為用戶提供全面深度的防御解決方案����。
據(jù)了解�����,工商銀行總行南�、北數(shù)據(jù)中心網(wǎng)銀安全防護(hù)項目實施以來,保障了工行70%的核心業(yè)務(wù)的安全����,有效減少工行的安全監(jiān)控事件�����,實現(xiàn)了安全事件自動防御。在最近揭曉的2009年度全球最佳網(wǎng)上銀行評選中���,中國工商銀行作為唯一獲獎的中國內(nèi)地銀行,獲得了“中國最佳個人網(wǎng)上銀行”����、“亞洲最佳綜合個人銀行網(wǎng)站”和“亞洲最佳綜合企業(yè)銀行網(wǎng)站”三大獎項����。
京公網(wǎng)安備 11010802036102號