網(wǎng)上銀行目前已成為商業(yè)銀行業(yè)務(wù)創(chuàng)新,、渠道拓展以及競(jìng)爭(zhēng)力提升的重要手段,,網(wǎng)銀業(yè)務(wù)因其較低的經(jīng)營(yíng)成本,,方便快捷的交易途徑,已對(duì)傳統(tǒng)柜面營(yíng)業(yè)網(wǎng)點(diǎn)形成了明顯的替代效應(yīng),。與此同時(shí),網(wǎng)上銀行面臨的安全威脅形勢(shì)依然比較嚴(yán)峻,,其中比較常見(jiàn)的安全威脅主要是來(lái)自互聯(lián)網(wǎng)的掃描探測(cè),、拒絕服務(wù)攻擊、網(wǎng)絡(luò)釣魚攻擊,、網(wǎng)頁(yè)篡改,、URL劫持、蠕蟲病毒等惡意代碼的侵襲等,,而且安全威脅越來(lái)越集中于應(yīng)用層,,如SQL注入,、跨站腳本(XSS)攻擊等。嚴(yán)重的攻擊威脅可能會(huì)對(duì)網(wǎng)上銀行業(yè)務(wù)帶來(lái)以下一些影響:
網(wǎng)銀業(yè)務(wù)中斷,。由于黑客對(duì)網(wǎng)銀系統(tǒng)發(fā)起拒絕服務(wù)攻擊,,尤其是比較隱蔽的諸如TCP半連接攻擊等,大量消耗WEB服務(wù)器資源,,導(dǎo)致用戶無(wú)法訪問(wèn)網(wǎng)站及網(wǎng)銀系統(tǒng),。
賬號(hào)、密碼以及資金被盜,。入侵者可能通過(guò)惡意SQL命令的執(zhí)行,,獲取數(shù)據(jù)讀取和修改的權(quán)限;XSS攻擊則將目標(biāo)指向了Web業(yè)務(wù)系統(tǒng)所提供服務(wù)的客戶端以及系統(tǒng)管理員,,從而獲得管理員權(quán)限,,控制網(wǎng)銀網(wǎng)站,或竊取網(wǎng)銀用戶賬號(hào)密碼等信息,。
網(wǎng)站頁(yè)面被篡改,。網(wǎng)銀業(yè)務(wù)賴以運(yùn)轉(zhuǎn)的網(wǎng)絡(luò)設(shè)備、操作系統(tǒng),、應(yīng)用軟件等都會(huì)不可避免的出現(xiàn)一些安全漏洞,,攻擊者可能利用這些安全漏洞對(duì)網(wǎng)銀系統(tǒng)發(fā)起攻擊,篡改網(wǎng)站頁(yè)面,對(duì)商業(yè)銀行將帶來(lái)不良的社會(huì)影響,。
解決方案
到底該如何對(duì)網(wǎng)上銀行的攻擊進(jìn)行深層次安全防御,?天融信基于多年來(lái)銀行安全建設(shè)經(jīng)驗(yàn)以及對(duì)網(wǎng)銀業(yè)務(wù)的深刻理解,采用天融信TopIDP3000系列高端入侵防御設(shè)備,,針對(duì)商業(yè)銀行網(wǎng)上銀行安全提出了深層次防御方案,,對(duì)來(lái)自互聯(lián)網(wǎng)的訪問(wèn)數(shù)據(jù)進(jìn)行深層次檢測(cè)與防護(hù)。天融信TopIDP3000系列高端入侵防御設(shè)備采用先進(jìn)的多核處理器硬件技術(shù),,集成入侵檢測(cè)與防御,、病毒過(guò)濾、流量管控和URL過(guò)濾等功能,,通過(guò)新一代并行處理技術(shù),,設(shè)置檢測(cè)與阻斷策略對(duì)流經(jīng)TopIDP的網(wǎng)銀訪問(wèn)流量進(jìn)行分析過(guò)濾,對(duì)異常及可疑流量進(jìn)行積極阻斷,,從而提高網(wǎng)銀系統(tǒng)的整體安全性,。
該方案在網(wǎng)上銀行互聯(lián)網(wǎng)入口處部署專用的高性能入侵防御設(shè)備,采用串接的方式部署于網(wǎng)上銀行互聯(lián)網(wǎng)接入干路中,,同互聯(lián)網(wǎng)防火墻協(xié)同,,TopIDP入侵防御設(shè)備主要負(fù)責(zé)對(duì)4-7層的攻擊與威脅行為進(jìn)行深度檢測(cè)與防護(hù),保障網(wǎng)銀用戶合法的應(yīng)用訪問(wèn)請(qǐng)求,阻斷非法的訪問(wèn)請(qǐng)求或惡意攻擊行為,,如下圖所示:
方案優(yōu)勢(shì)
天融信網(wǎng)上銀行安全深層次防護(hù)方案具有如下一些特點(diǎn)及優(yōu)勢(shì):
靈活部署
天融信TopIDP支持混合部署模式,,即可以采取在線串接部署模式,也可以采用旁路部署模式,,充分發(fā)揮一機(jī)多用的效能,,用戶可根據(jù)實(shí)際需要將該TopIDP產(chǎn)品旁路部署于關(guān)鍵網(wǎng)絡(luò)區(qū)域中交換機(jī)鏡像端口,也可以部署于網(wǎng)絡(luò)內(nèi)部核心服務(wù)器前端,,保護(hù)相應(yīng)的網(wǎng)絡(luò)資源,。此外,在線串接部署時(shí)還支持透明,、路由,、NAT等模式,客戶可根據(jù)實(shí)際需要進(jìn)行細(xì)粒度配置,。
高可用性設(shè)計(jì)
天融信TopIDP產(chǎn)品提供軟,、硬雙BYPASS功能,保障鏈路在各種情況下的通暢,。軟件BYPASS是在入侵防御引擎關(guān)鍵進(jìn)程出現(xiàn)異?;蛐枰匦聠?dòng)(如軟件升級(jí)重啟系統(tǒng),軟件故障等)的情況下啟動(dòng),;硬件BYPASS是在入侵防御引擎出現(xiàn)硬件故障或掉電的情況下啟動(dòng),,多途徑確保鏈路通訊正常。TopIDP還支持光口bypass功能(需另行配置光口bypass交換機(jī)產(chǎn)品),,可以通過(guò)特定的觸發(fā)狀態(tài)(斷電或死機(jī)),,使兩個(gè)網(wǎng)絡(luò)不通過(guò)IPS設(shè)備,而直接物理上導(dǎo)通,。此外,,在鏈路高可用性設(shè)計(jì)方面,天融信TopIDP產(chǎn)品支持主-主,、主-備以及負(fù)載均衡部署模式,,從鏈路層面提高用戶對(duì)網(wǎng)銀業(yè)務(wù)系統(tǒng)訪問(wèn)的高可用性。
高性能
TopIDP采用先進(jìn)的多核處理器硬件平臺(tái)+并行處理技術(shù)+自主知識(shí)產(chǎn)權(quán)操作系統(tǒng)TOS(Topsec Operating
System),,內(nèi)置處理器動(dòng)態(tài)負(fù)載均衡專利技術(shù),。在軟件實(shí)現(xiàn)方面,TopIDP產(chǎn)品在目前多核處理器硬件平臺(tái)基礎(chǔ)上,,將并行處理技術(shù)成功融入天融信自主知識(shí)產(chǎn)權(quán)的安全操作系統(tǒng)TOS中,,集成多項(xiàng)發(fā)明專利,形成了先進(jìn)的多核架構(gòu)技術(shù)體系,。此外,TopIDP采用多引擎并行檢測(cè)機(jī)制,內(nèi)置五大檢測(cè)引擎,,分別是攻擊檢測(cè)引擎,、病毒惡意代碼檢測(cè)引擎、應(yīng)用識(shí)別檢測(cè)引擎,、URL過(guò)濾引擎,、惡意網(wǎng)站過(guò)濾引擎,并行檢測(cè)內(nèi)外部攻擊數(shù)據(jù)流量,,以提高檢測(cè)的效率,。通過(guò)公開(kāi)對(duì)比測(cè)試結(jié)果顯示,TopIDP在100%背景流量,、策略全開(kāi)情況下,,性能測(cè)試結(jié)果達(dá)到業(yè)界領(lǐng)先水平。
強(qiáng)大的規(guī)則庫(kù)
天融信TopIDP內(nèi)置五大檢測(cè)規(guī)則庫(kù),,包括攻擊規(guī)則庫(kù),、病毒惡意代碼庫(kù)、應(yīng)用識(shí)別規(guī)則庫(kù),、URL規(guī)則庫(kù),、惡意網(wǎng)站庫(kù)等。其中,,攻擊規(guī)則庫(kù)能夠?qū)崟r(shí)檢測(cè)和阻斷包括溢出攻擊,、RPC攻擊、WEBCGI攻擊,、拒絕服務(wù),、木馬、蠕蟲,、系統(tǒng)漏洞等在內(nèi)的超過(guò)2800種網(wǎng)絡(luò)攻擊行為,,能實(shí)時(shí)檢測(cè)并精確阻斷當(dāng)前主流應(yīng)用層攻擊行為,包括SQL注入攻擊,、XSS攻擊等黑客攻擊行為,;病毒與惡意代碼規(guī)則庫(kù)與國(guó)際國(guó)內(nèi)知名防病毒廠商卡合作,在TopIDP產(chǎn)品中引入了著名的karpersky safestream(或江民)網(wǎng)絡(luò)病毒庫(kù),,采用基于數(shù)據(jù)流的檢測(cè)技術(shù),,能夠檢測(cè)包括木馬、后門和蠕蟲在內(nèi)的新近流行的超過(guò)2萬(wàn)種網(wǎng)絡(luò)病毒,。TopIDP產(chǎn)品采用基于目標(biāo)主機(jī)的流檢測(cè)引擎,,可即時(shí)處理IP分片和TCP流重組,有效阻斷各種逃逸檢測(cè)的攻擊手段,。