从现金交易到刷卡消费、从跑柜台办业务到使用网上银行……我们正享受着金融电子化带来的各种便利。而与此同时,承载这些业务的银行生产网络也正面临着日益严峻的网络和信息安全的考验,已成规模的病毒、木马地下产业链以及各种攻击都在对互联网金融服务安全造成严重威胁,诸如网站挂马、网银失窃等安全事件也在层出不穷。
针对金融电子化的这种安全现状,为保障互联网金融服务的稳定和安全运行,国家监管机构相继出台了多个指引文件,对金融信息科技风险管理提出了明确要求。
那么,接下来就让我们一起来了解一下:银行生产网中存在哪些安全隐患,以及他们是如何保障其金融业务和服务的安全和稳定的?
面临内外夹击的安全威胁
对于银行这种金融机构而言,其生产网的互联网出口是需要首先考虑对互联网信息安全风险进行管理监控的重点业务区域之一。
在银行的核心业务网、外联网出口,多种金融业务数据经此处汇聚到后台处理系统,例如:金融机构查询国家外汇管理局的外汇信息、海关的报关信息、税务的缴税信息,以及银行在营业大厅里设置网上银行终端供VIP用户或普通用户办理业务、查询信息等。
作为未来联系千家万户的金融结算中心,银行机构的网络会联系到各种网络,诸如:企业内网、互联网、银行内网等,对于银行内网不仅对内承载各项业务/办公,同时也对外承载着各项金融服务。故作为联系千家万户的金融网络,其面临的威胁是众多的。总结起来有两个大的方面:
1.来自外部网络的安全威胁
主要是来自互联网和外部网络专门针对基于B/S业务系统的非法访问、DoS攻击、Web攻击、木马蠕虫的侵袭、网络病毒等等。这些安全威胁有一个明显的发展趋势,就是越来越集中于应用层,例如SQL注入、XSS攻击等。而位于出口边界的防火墙设备只能提供基于OSI四层参考模型中三层以下的防护,难以对应用层威胁提供有效检测和防护,使得业务面临极大风险。
2.业务繁多导致的互联网带宽资源分配不合理
业务访问量呈日益上升趋势,普通业务挤压了重要业务的带宽,对重要业务可用性造成影响。对于这一点,除了带宽扩容之外,对不同级别业务系统的互联网使用进行严格管理才是根本的解决办法。
银行选择IPS解决上述安全风险的顾虑
IPS是解决以上问题的首选方案。但对银行生产网来说, IPS仍是个新面孔,是否能在银行生产网上顺利应用,银行用户存有多个方面顾虑:
首先,基于高可靠性的考虑,有两个方面的担心:一是IPS会不会由于攻击识别不准确,阻断正常业务;二是IPS是在线部署的设备,是否支持高可用性方案,避免在设备出现故障时断网,从而造成业务的中断。
其次,如今银行的互联网出口已逐步向分行开放,也就是说,由以前总行统一的互联网出口,变成现在多个互联网出口,在这种情况下,对于各个分行的互联网出口的统一监控管理也是银行用户需要面对的一个艰巨挑战;
第三,从合作角度看,银行选择IPS产品的同时,也是在选择一个长期的合作伙伴,尤其是像IPS这样一个需要持续更新的防护产品。对于IPS产品来说,厂商是否掌握核心技术、是否具备攻防技术研究能力、是否能够提供产品的持续研发支持、是否能够提供应急响应及相关服务,甚至是否能够针对金融行业用户特定需求支持产品功能改进等,都是金融用户在选择IPS产品时非常关心的问题。而这一切也都直接关系到IPS在生产网上的应用效果。
3个设计目标帮助IPS设备落地应用
针对上述问题,我们来测评一下启明星辰的天清IPS产品。这款产品作为互联网出口的深层防护解决方案,可以从以下3个方面进行设计和部署:
1.保障业务的可用性设计
此设计目标是保障业务数据稳定可靠。
首先,IPS部署采用HA的部署结构(如下图1示),并采用链路健康状态作为主备切换条件,即同时监控链路的物理状态及网络路径的检测,保障在设备及链路出现故障的情况下,能够及时切换;
其次,IPS防护链路配备软、硬Bypass,能够保障在设备本身硬件、软件故障时,避免单点故障造成业务中断;
最后,在IPS上启用流量管理功能,为每个办公业务终端设定互联网流量的上限及并发会话数上限,同时为业务数据设定保障带宽,最大限度的保业务数据的可用性。
图1采用HA的部署结构部署IPS
2.保障业务的安全性设计
此设计的目标是保障业务安全高效运行,最大限度的发挥IPS的应用层防护能力。
具体方案是:在IPS上配置安全防护策略,启用防攻击、入侵防御、防病毒及上网行为管理等功能,对应用层威胁进行全面防护,同时针对P2P、IM、网络游戏等占用互联网带宽的应用进行限制,保障业务安全运行。此外,在入侵防御的核心功能上,通过对入侵防御特征库的定期升级,来保证IPS设备能够识别和防御最新的威胁。
3.统一管理方案设计
如何将多台IPS进行统一管理监控、如何将IPS设备纳入已有网管系统,是总行及分行的多台IPS部署后面临的最大挑战。
在统一管理方面,启明星辰公司的天清IPS提供集中管理平台,能对IPS设备实施统一管理,实现了设备分组管理、统一安全策略配置、特征库升级文件下发及统一报表分析功能,方便了IPS设备管理工作,关键是保证了全行IPS安全防护策略的统一,部署方式如下图2所示。
图2 启明星辰天清IPS集中管理平台
在网管系统方面,天清IPS提供了标准的数据接口SNMP,方便将IPS设备纳入网管系统进行管理。同时,IPS设备可同时向本地日志管理平台及SOC平台发送Syslog运行日志,方便SOC系统对IPS设备日志的搜集和监控。
小结
综上所述,随着互联网环境的日益复杂,银行互联网业务的风险需要特别关注,针对应用层的威胁,IPS产品无疑是非常好的防护方案。
然而,IPS产品在选择、部署及应用等多方面,也都充满了挑战。银行用户需要将一切工作都围绕着保障业务可靠性的第一目标来开展,这也同时对IPS厂商提出了如下考验,即不仅要求IPS产品能够实现高可用性需求,而且还需具备产品的持续支持能力,从而才能保障产品的持续稳定应用。