打響網銀安全保衛(wèi)戰(zhàn)

朱　杰

上攜程訂機票,逛淘寶來購物,用卓越來充電,用網票買電影票,用網銀來繳費、匯款、炒股、還款……在互聯網與電子商務大行其道的今天,網上支付與網上銀行在讓我們的生活變得更加便捷的同時,也讓我們的資金暴露在網絡日益泛濫的惡意攻擊面前,密碼不再保密,賬戶不再隱私,消費不再安全……

網銀安全的三重挑戰(zhàn)

據統(tǒng)計,網上銀行已經成為了工商銀行最重要的業(yè)務渠道之一。中國工商銀行擁有國內規(guī)模最大的網銀系統(tǒng),今年上半年工商銀行的電子銀行交易額達到了70萬億元,通過電子銀行渠道辦理的業(yè)務已占到該行全部業(yè)務量的46.2%,比去年同期提升了6.7個百分點。與此同時,這個全國最大的網銀系統(tǒng)也一直面臨著來自互聯網的DDoS、病毒、蠕蟲、協議異常等Web應用層的安全攻擊的威脅,用戶信息與賬戶安全受到了嚴重的挑戰(zhàn)。

雖然工行的IT基礎設施建設保持著在全國同行中的領先地位,但此前部署的一些安全防護設備,包括防火墻、IDS(入侵檢測系統(tǒng))在內,已經無法全面應對新興的針對Web應用層的安全攻擊。

一方面,網銀流量增長迅速,從2006年到2008年年平均增長率都超過100%,原先百兆級防護能力面臨極大的挑戰(zhàn)。

另一方面,原先部署的IDS產品在網銀流量的壓力下漏報錯報情況嚴重,海量日志無法及時有效地篩選,造成管理員工作量巨大。據了解,工行平均每個月的IDS報警量超過70萬條,無效報警的比例很高,致使管理員很難實施有效的控制策略。

另外,面對層出不窮的各類SQL注入攻擊,整個網銀Web系統(tǒng)的數據都可能遭受到惡意修改。為了向廣大網銀用戶提供更加安全的使用體驗,工行急需部署高端的安全設備,在線及時阻斷攻擊和在線防御病毒入侵已經成為工商銀行數據中心防護的迫切需求。

在經過了嚴格的技術調研與項目選型后,中國工商銀行在眾多網絡安全產品中選擇了杭州華三通信技術有限公司的H3C SecPath IPS(Intrusion Prevention System)安全防護解決方案。H3C SecPath IPS集成入侵防御與檢測、病毒過濾、帶寬管理和URL過濾等功能,是業(yè)界綜合防護技術領先的入侵防御/檢測系統(tǒng)。通過深入到7層的分析與檢測,系統(tǒng)能夠實時阻斷網絡流量中隱藏的病毒、蠕蟲、木馬、間諜軟件、DDoS等攻擊和惡意行為,并對分布在網絡中的各種P2P、IM等非關鍵業(yè)務進行有效管理,實現對網絡應用、網絡基礎設施和網絡性能的全面保護。

基于精確狀態(tài)的安全檢測

可以這樣比喻:網絡中的數據傳輸就像橋上的交通運輸,滿載數據的卡車源源不斷地從橋的一端開往另一端。IPS就如同橋頭的檢查站,它可以精細過濾卡車所載的數據,對安全威脅進行有效的攔截,成功阻擊針對橋上的基礎設施,包括路由器、交換機和防火墻的攻擊。同時,橋上如果發(fā)生了交通擁堵,即日常網絡發(fā)生了數據堵塞,成熟的IPS系統(tǒng)還可以為重要數據的通過預留帶寬,保障重要數據的傳輸。本次在工商銀行應用的H3C SecPath IPS安全防護解決方案,可以為數據傳輸提供應用防御、網絡基礎設施防御、網絡性能防御三方面的保護,為用戶數據傳輸搭建安全、穩(wěn)定的橋梁。

據記者了解,通過H3C SecPath IPS的保護,工商銀行總行不僅將網銀出口的實際安全防護性能提高到千兆,而且可以精確實時地識別、阻斷或限制黑客、蠕蟲、病毒、木馬等常見網絡攻擊或網絡濫用。H3C SecPath IPS具有實用的帶寬管理和URL過濾功能,可為用戶網絡提供最全面的深度防御,有效替代原先部署的IDS。

目前,工行網銀入口的日安全報警量已經從原先的10萬條以上的量級降低到幾百條,主動防御的應用效果可見一斑。同時,H3C SecPath IPS使用內置的無源連接模塊PFC(Power Free Connector)提供掉電保護功能,同時支持二層回退,在數據中心的使用中保障了設備的可靠性和安全。

需要特別指出的是,SecPath IPS采用了H3C公司自主知識產權的FIRST(Full Inspection with Rigorous State Test,基于精確狀態(tài)的全面檢測)引擎。FIRST引擎集成了多項檢測技術,實現了基于精確狀態(tài)的全面檢測,具有極高的入侵檢測精度。同時,FIRST引擎采用了并行檢測技術,軟硬件可靈活適配,大大提高了入侵檢測的效率,是保證IPS高精度高效率處理安全入侵威脅的心臟。

在H3C,一支由40多位專家組成的資深的攻擊特征庫維護團隊全心致力于實時更新、維護攻擊特征庫。他們的核心工作就是去搜集業(yè)界主要的操作系統(tǒng)廠商、公共應用軟件廠商以及數據庫廠商發(fā)布的信息,提供網上證件升級和定期郵件收集的聯絡方式,讓用戶特征庫系統(tǒng)得到及時的更新。同時,H3C建有攻防實驗室,以及最新的部署于全球的蜜罐系統(tǒng),緊跟網絡技術與安全技術的發(fā)展前沿和網絡攻防的最新動態(tài),定期更新并發(fā)布攻擊特征庫升級包。

IPS取代IDS成主流

金融行業(yè)作為我國信息化建設的先行軍,在安全領域的實際需求與建設實踐已經證明部署IPS將是行業(yè)信息化安全的發(fā)展方向。目前有關IDS與IPS之間關系的討論已經逐漸平淡,IPS取代IDS已經得到大多數用戶的認同。隨著發(fā)生在Web應用層的攻擊越來越多,IPS已經成為金融行業(yè)安全防護的必備選項。

H3C公司在國內安全領域最早開始了IPS技術與產品的研發(fā)與實踐,是國內IPS領域的先行者和技術領導者。通過H3C SecPath IPS的部署和應用,銀行用戶可以在千兆負載下,有效地保證自己的網銀系統(tǒng)和內部網絡的安全。

2008年,H3C公司幫助工商銀行在奧運前完成了IPS在北數據中心(北京)和南數據中心(上海)的部署。在奧運期間,H3C的設備運行穩(wěn)定,經受住了網銀出口千兆峰值業(yè)務流量的考驗,對網銀流量進行實時監(jiān)測并阻斷攻擊,上線當日即阻斷9000多次Web類攻擊,實現了高性能出口防護;同時,H3C SecCenter對網絡安全事件進行自動篩選,實現了攻擊日志的聯動分析和圖表輸出,大大簡化了工行網銀系統(tǒng)管理人員的工作量,大幅提高了工行網銀的安全防護效率。

在實際應用中,H3C SecPath IPS系統(tǒng)所具備的靈活管理功能同樣讓網絡管理者輕松許多。在單臺或小規(guī)模部署時,系統(tǒng)提供了對單機用戶基于Web的圖形化管理系統(tǒng),讓用戶不用購買、部署額外的管理服務器硬件和管理軟件即可實現對系統(tǒng)的管理。而當大規(guī)模部署時,系統(tǒng)提供了強大的集中管理功能,客戶通過一個高度集中的管理平臺,可以在全網范圍內定制統(tǒng)一的安全策略,方便地分發(fā)到各地的設備上。同時,各終端設備也可以將攻擊事件集中上報到管理中心,為用戶提供全面深度的防御解決方案。

據記者了解,工商銀行總行南、北數據中心網銀安全防護項目實施以來,保障了工行70%的核心業(yè)務的安全,有效減少工行的安全監(jiān)控事件,實現了安全事件自動防御。在最近揭曉的2009年度全球最佳網上銀行評選中,中國工商銀行作為唯一獲獎的中國內地銀行,獲得了“中國最佳個人網上銀行”、“亞洲最佳綜合個人銀行網站”和“亞洲最佳綜合企業(yè)銀行網站”三大獎項。