網(wǎng)上銀行目前已成為商業(yè)銀行業(yè)務(wù)創(chuàng)新、渠道拓展以及競爭力提升的重要手段,網(wǎng)銀業(yè)務(wù)因其較低的經(jīng)營成本,方便快捷的交易途徑,已對傳統(tǒng)柜面營業(yè)網(wǎng)點(diǎn)形成了明顯的替代效應(yīng)。與此同時,網(wǎng)上銀行面臨的安全威脅形勢依然比較嚴(yán)峻,其中比較常見的安全威脅主要是來自互聯(lián)網(wǎng)的掃描探測、拒絕服務(wù)攻擊、網(wǎng)絡(luò)釣魚攻擊、網(wǎng)頁篡改、URL劫持、蠕蟲病毒等惡意代碼的侵襲等,而且安全威脅越來越集中于應(yīng)用層,如SQL注入、跨站腳本(XSS)攻擊等。嚴(yán)重的攻擊威脅可能會對網(wǎng)上銀行業(yè)務(wù)帶來以下一些影響:
網(wǎng)銀業(yè)務(wù)中斷。由于黑客對網(wǎng)銀系統(tǒng)發(fā)起拒絕服務(wù)攻擊,尤其是比較隱蔽的諸如TCP半連接攻擊等,大量消耗WEB服務(wù)器資源,導(dǎo)致用戶無法訪問網(wǎng)站及網(wǎng)銀系統(tǒng)。
賬號、密碼以及資金被盜。入侵者可能通過惡意SQL命令的執(zhí)行,獲取數(shù)據(jù)讀取和修改的權(quán)限;XSS攻擊則將目標(biāo)指向了Web業(yè)務(wù)系統(tǒng)所提供服務(wù)的客戶端以及系統(tǒng)管理員,從而獲得管理員權(quán)限,控制網(wǎng)銀網(wǎng)站,或竊取網(wǎng)銀用戶賬號密碼等信息。
網(wǎng)站頁面被篡改。網(wǎng)銀業(yè)務(wù)賴以運(yùn)轉(zhuǎn)的網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、應(yīng)用軟件等都會不可避免的出現(xiàn)一些安全漏洞,攻擊者可能利用這些安全漏洞對網(wǎng)銀系統(tǒng)發(fā)起攻擊,篡改網(wǎng)站頁面,對商業(yè)銀行將帶來不良的社會影響。
解決方案
到底該如何對網(wǎng)上銀行的攻擊進(jìn)行深層次安全防御?天融信基于多年來銀行安全建設(shè)經(jīng)驗(yàn)以及對網(wǎng)銀業(yè)務(wù)的深刻理解,采用天融信TopIDP3000系列高端入侵防御設(shè)備,針對商業(yè)銀行網(wǎng)上銀行安全提出了深層次防御方案,對來自互聯(lián)網(wǎng)的訪問數(shù)據(jù)進(jìn)行深層次檢測與防護(hù)。天融信TopIDP3000系列高端入侵防御設(shè)備采用先進(jìn)的多核處理器硬件技術(shù),集成入侵檢測與防御、病毒過濾、流量管控和URL過濾等功能,通過新一代并行處理技術(shù),設(shè)置檢測與阻斷策略對流經(jīng)TopIDP的網(wǎng)銀訪問流量進(jìn)行分析過濾,對異常及可疑流量進(jìn)行積極阻斷,從而提高網(wǎng)銀系統(tǒng)的整體安全性。
該方案在網(wǎng)上銀行互聯(lián)網(wǎng)入口處部署專用的高性能入侵防御設(shè)備,采用串接的方式部署于網(wǎng)上銀行互聯(lián)網(wǎng)接入干路中,同互聯(lián)網(wǎng)防火墻協(xié)同,TopIDP入侵防御設(shè)備主要負(fù)責(zé)對4-7層的攻擊與威脅行為進(jìn)行深度檢測與防護(hù),保障網(wǎng)銀用戶合法的應(yīng)用訪問請求,阻斷非法的訪問請求或惡意攻擊行為,如下圖所示:
方案優(yōu)勢
天融信網(wǎng)上銀行安全深層次防護(hù)方案具有如下一些特點(diǎn)及優(yōu)勢:
靈活部署
天融信TopIDP支持混合部署模式,即可以采取在線串接部署模式,也可以采用旁路部署模式,充分發(fā)揮一機(jī)多用的效能,用戶可根據(jù)實(shí)際需要將該TopIDP產(chǎn)品旁路部署于關(guān)鍵網(wǎng)絡(luò)區(qū)域中交換機(jī)鏡像端口,也可以部署于網(wǎng)絡(luò)內(nèi)部核心服務(wù)器前端,保護(hù)相應(yīng)的網(wǎng)絡(luò)資源。此外,在線串接部署時還支持透明、路由、NAT等模式,客戶可根據(jù)實(shí)際需要進(jìn)行細(xì)粒度配置。
高可用性設(shè)計(jì)
天融信TopIDP產(chǎn)品提供軟、硬雙BYPASS功能,保障鏈路在各種情況下的通暢。軟件BYPASS是在入侵防御引擎關(guān)鍵進(jìn)程出現(xiàn)異?;蛐枰匦聠樱ㄈ畿浖壷貑⑾到y(tǒng),軟件故障等)的情況下啟動;硬件BYPASS是在入侵防御引擎出現(xiàn)硬件故障或掉電的情況下啟動,多途徑確保鏈路通訊正常。TopIDP還支持光口bypass功能(需另行配置光口bypass交換機(jī)產(chǎn)品),可以通過特定的觸發(fā)狀態(tài)(斷電或死機(jī)),使兩個網(wǎng)絡(luò)不通過IPS設(shè)備,而直接物理上導(dǎo)通。此外,在鏈路高可用性設(shè)計(jì)方面,天融信TopIDP產(chǎn)品支持主-主、主-備以及負(fù)載均衡部署模式,從鏈路層面提高用戶對網(wǎng)銀業(yè)務(wù)系統(tǒng)訪問的高可用性。
高性能
TopIDP采用先進(jìn)的多核處理器硬件平臺+并行處理技術(shù)+自主知識產(chǎn)權(quán)操作系統(tǒng)TOS(Topsec Operating
System),內(nèi)置處理器動態(tài)負(fù)載均衡專利技術(shù)。在軟件實(shí)現(xiàn)方面,TopIDP產(chǎn)品在目前多核處理器硬件平臺基礎(chǔ)上,將并行處理技術(shù)成功融入天融信自主知識產(chǎn)權(quán)的安全操作系統(tǒng)TOS中,集成多項(xiàng)發(fā)明專利,形成了先進(jìn)的多核架構(gòu)技術(shù)體系。此外,TopIDP采用多引擎并行檢測機(jī)制,內(nèi)置五大檢測引擎,分別是攻擊檢測引擎、病毒惡意代碼檢測引擎、應(yīng)用識別檢測引擎、URL過濾引擎、惡意網(wǎng)站過濾引擎,并行檢測內(nèi)外部攻擊數(shù)據(jù)流量,以提高檢測的效率。通過公開對比測試結(jié)果顯示,TopIDP在100%背景流量、策略全開情況下,性能測試結(jié)果達(dá)到業(yè)界領(lǐng)先水平。
強(qiáng)大的規(guī)則庫
天融信TopIDP內(nèi)置五大檢測規(guī)則庫,包括攻擊規(guī)則庫、病毒惡意代碼庫、應(yīng)用識別規(guī)則庫、URL規(guī)則庫、惡意網(wǎng)站庫等。其中,攻擊規(guī)則庫能夠?qū)崟r檢測和阻斷包括溢出攻擊、RPC攻擊、WEBCGI攻擊、拒絕服務(wù)、木馬、蠕蟲、系統(tǒng)漏洞等在內(nèi)的超過2800種網(wǎng)絡(luò)攻擊行為,能實(shí)時檢測并精確阻斷當(dāng)前主流應(yīng)用層攻擊行為,包括SQL注入攻擊、XSS攻擊等黑客攻擊行為;病毒與惡意代碼規(guī)則庫與國際國內(nèi)知名防病毒廠商卡合作,在TopIDP產(chǎn)品中引入了著名的karpersky safestream(或江民)網(wǎng)絡(luò)病毒庫,采用基于數(shù)據(jù)流的檢測技術(shù),能夠檢測包括木馬、后門和蠕蟲在內(nèi)的新近流行的超過2萬種網(wǎng)絡(luò)病毒。TopIDP產(chǎn)品采用基于目標(biāo)主機(jī)的流檢測引擎,可即時處理IP分片和TCP流重組,有效阻斷各種逃逸檢測的攻擊手段。