来源:计算机世界 作者:
木马程序正在盗取网上银行账户的机密信息,用户银行卡内的资金往往在不知不觉中便不翼而飞,如何保障网上银行业务的安全呢?
上携程订机票,逛淘宝来购物,用卓越来充电,用网票买电影票,用网银来缴费、汇款、炒股、还款……在互联网与电子商务大行其道的今天,网上支付与网上银行在让我们的生活变得更加便捷的同时,也让我们的资金暴露在网络日益泛滥的恶意攻击面前,密码不再保密,账户不再隐私,消费不再安全……
网银安全的三重挑战
据统计,网上银行已经成为了工商银行最重要的业务渠道之一。
中国工商银行拥有国内规模最大的网银系统,今年上半年工商银行的电子银行交易额达到了70万亿元,通过电子银行渠道办理的业务已占到该行全部业务量的46.2%,比去年同期提升了6.7个百分点。与此同时,这个全国最大的网银系统也一直面临着来自互联网的DDoS、病毒、蠕虫、协议异常等Web应用层的安全攻击的威胁,用户信息与账户安全受到了严重的挑战。
虽然工行的IT基础设施建设保持着在全国同行中的领先地位,但此前部署的一些安全防护设备,包括防火墙、IDS(入侵检测系统)在内,已经无法全面应对新兴的针对Web应用层的安全攻击。
一方面,网银流量增长迅速,从2006年到2008年年平均增长率都超过100%,原先百兆级防护能力面临极大的挑战。
另一方面,原先部署的IDS产品在网银流量的压力下漏报错报情况严重,海量日志无法及时有效地筛选,造成管理员工作量巨大。据了解,工行平均每个月的IDS报警量超过70万条,无效报警的比例很高,致使管理员很难实施有效的控制策略。
另外,面对层出不穷的各类SQL注入攻击,整个网银Web系统的数据都可能遭受到恶意修改。为了向广大网银用户提供更加安全的使用体验,工行急需部署高端的安全设备,在线及时阻断攻击和在线防御病毒入侵已经成为工商银行数据中心防护的迫切需求。
在经过了严格的技术调研与项目选型后,中国工商银行在众多网络安全产品中选择了杭州华三通信技术有限公司的H3C SecPath IPS(Intrusion Prevention System)安全防护解决方案。H3C SecPath IPS集成入侵防御与检测、病毒过滤、带宽管理和URL过滤等功能,是业界综合防护技术领先的入侵防御/检测系统。通过深入到7层的分析与检测,系统能够实时阻断网络流量中隐藏的病毒、蠕虫、木马、间谍软件、DDoS等攻击和恶意行为,并对分布在网络中的各种P2P、IM等非关键业务进行有效管理,实现对网络应用、网络基础设施和网络性能的全面保护。
基于精确状态的安全检测
可以这样比喻:网络中的数据传输就像桥上的交通运输,满载数据的卡车源源不断地从桥的一端开往另一端。IPS就如同桥头的检查站,它可以精细过滤卡车所载的数据,对安全威胁进行有效的拦截,成功阻击针对桥上的基础设施,包括路由器、交换机和防火墙的攻击。同时,桥上如果发生了交通拥堵,即日常网络发生了数据堵塞,成熟的IPS系统还可以为重要数据的通过预留带宽,保障重要数据的传输。本次在工商银行应用的H3C SecPath IPS安全防护解决方案,可以为数据传输提供应用防御、网络基础设施防御、网络性能防御三方面的保护,为用户数据传输搭建安全、稳定的桥梁。
据记者了解,通过H3C SecPath IPS的保护,工商银行总行不仅将网银出口的实际安全防护性能提高到千兆,而且可以精确实时地识别、阻断或限制黑客、蠕虫、病毒、木马等常见网络攻击或网络滥用。H3C SecPath IPS具有实用的带宽管理和URL过滤功能,可为用户网络提供最全面的深度防御,有效替代原先部署的IDS。
目前,工行网银入口的日安全报警量已经从原先的10万条以上的量级降低到几百条,主动防御的应用效果可见一斑。同时,H3C SecPath IPS使用内置的无源连接模块PFC(Power Free Connector)提供掉电保护功能,同时支持二层回退,在数据中心的使用中保障了设备的可靠性和安全。
需要特别指出的是,SecPath IPS采用了H3C公司自主知识产权的FIRST(Full Inspection with Rigorous State Test,基于精确状态的全面检测)引擎。FIRST引擎集成了多项检测技术,实现了基于精确状态的全面检测,具有极高的入侵检测精度。同时,FIRST引擎采用了并行检测技术,软硬件可灵活适配,大大提高了入侵检测的效率,是保证IPS高精度高效率处理安全入侵威胁的心脏。
在H3C,一支由40多位专家组成的资深的攻击特征库维护团队全心致力于实时更新、维护攻击特征库。他们的核心工作就是去搜集业界主要的操作系统厂商、公共应用软件厂商以及数据库厂商发布的信息,提供网上证件升级和定期邮件收集的联络方式,让用户特征库系统得到及时的更新。同时,H3C建有攻防实验室,以及最新的部署于全球的蜜罐系统,紧跟网络技术与安全技术的发展前沿和网络攻防的最新动态,定期更新并发布攻击特征库升级包。
IPS取代IDS成主流
金融行业作为我国信息化建设的先行军,在安全领域的实际需求与建设实践已经证明部署IPS将是行业信息化安全的发展方向。目前有关IDS与IPS之间关系的讨论已经逐渐平淡,IPS取代IDS已经得到大多数用户的认同。随着发生在Web应用层的攻击越来越多,IPS已经成为金融行业安全防护的必备选项。
H3C公司在国内安全领域最早开始了IPS技术与产品的研发与实践,是国内IPS领域的先行者和技术领导者。通过H3C SecPath IPS的部署和应用,银行用户可以在千兆负载下,有效地保证自己的网银系统和内部网络的安全。
2008年,H3C公司帮助工商银行在奥运前完成了IPS在北数据中心(北京)和南数据中心(上海)的部署。在奥运期间,H3C的设备运行稳定,经受住了网银出口千兆峰值业务流量的考验,对网银流量进行实时监测并阻断攻击,上线当日即阻断9000多次Web类攻击,实现了高性能出口防护;同时,H3C SecCenter对网络安全事件进行自动筛选,实现了攻击日志的联动分析和图表输出,大大简化了工行网银系统管理人员的工作量,大幅提高了工行网银的安全防护效率。
在实际应用中,H3C SecPath IPS系统所具备的灵活管理功能同样让网络管理者轻松许多。在单台或小规模部署时,系统提供了对单机用户基于Web的图形化管理系统,让用户不用购买、部署额外的管理服务器硬件和管理软件即可实现对系统的管理。而当大规模部署时,系统提供了强大的集中管理功能,客户通过一个高度集中的管理平台,可以在全网范围内定制统一的安全策略,方便地分发到各地的设备上。同时,各终端设备也可以将攻击事件集中上报到管理中心,为用户提供全面深度的防御解决方案。
据记者了解,工商银行总行南、北数据中心网银安全防护项目实施以来,保障了工行70%的核心业务的安全,有效减少工行的安全监控事件,实现了安全事件自动防御。在最近揭晓的2009年度全球最佳网上银行评选中,中国工商银行作为唯一获奖的中国内地银行,获得了“中国最佳个人网上银行”、“亚洲最佳综合个人银行网站”和“亚洲最佳综合企业银行网站”三大奖项。