朱　杰

上攜程訂機(jī)票,逛淘寶來(lái)購(gòu)物,用卓越來(lái)充電,用網(wǎng)票買電影票,用網(wǎng)銀來(lái)繳費(fèi)、匯款、炒股、還款……在互聯(lián)網(wǎng)與電子商務(wù)大行其道的今天,網(wǎng)上支付與網(wǎng)上銀行在讓我們的生活變得更加便捷的同時(shí),也讓我們的資金暴露在網(wǎng)絡(luò)日益泛濫的惡意攻擊面前,密碼不再保密,賬戶不再隱私,消費(fèi)不再安全……

網(wǎng)銀安全的三重挑戰(zhàn)

據(jù)統(tǒng)計(jì),網(wǎng)上銀行已經(jīng)成為了工商銀行最重要的業(yè)務(wù)渠道之一。中國(guó)工商銀行擁有國(guó)內(nèi)規(guī)模最大的網(wǎng)銀系統(tǒng),今年上半年工商銀行的電子銀行交易額達(dá)到了70萬(wàn)億元,通過電子銀行渠道辦理的業(yè)務(wù)已占到該行全部業(yè)務(wù)量的46.2%,比去年同期提升了6.7個(gè)百分點(diǎn)。與此同時(shí),這個(gè)全國(guó)最大的網(wǎng)銀系統(tǒng)也一直面臨著來(lái)自互聯(lián)網(wǎng)的DDoS、病毒、蠕蟲、協(xié)議異常等Web應(yīng)用層的安全攻擊的威脅,用戶信息與賬戶安全受到了嚴(yán)重的挑戰(zhàn)。

雖然工行的IT基礎(chǔ)設(shè)施建設(shè)保持著在全國(guó)同行中的領(lǐng)先地位,但此前部署的一些安全防護(hù)設(shè)備,包括防火墻、IDS(入侵檢測(cè)系統(tǒng))在內(nèi),已經(jīng)無(wú)法全面應(yīng)對(duì)新興的針對(duì)Web應(yīng)用層的安全攻擊。

一方面,網(wǎng)銀流量增長(zhǎng)迅速,從2006年到2008年年平均增長(zhǎng)率都超過100%,原先百兆級(jí)防護(hù)能力面臨極大的挑戰(zhàn)。

另一方面,原先部署的IDS產(chǎn)品在網(wǎng)銀流量的壓力下漏報(bào)錯(cuò)報(bào)情況嚴(yán)重,海量日志無(wú)法及時(shí)有效地篩選,造成管理員工作量巨大。據(jù)了解,工行平均每個(gè)月的IDS報(bào)警量超過70萬(wàn)條,無(wú)效報(bào)警的比例很高,致使管理員很難實(shí)施有效的控制策略。

另外,面對(duì)層出不窮的各類SQL注入攻擊,整個(gè)網(wǎng)銀Web系統(tǒng)的數(shù)據(jù)都可能遭受到惡意修改。為了向廣大網(wǎng)銀用戶提供更加安全的使用體驗(yàn),工行急需部署高端的安全設(shè)備,在線及時(shí)阻斷攻擊和在線防御病毒入侵已經(jīng)成為工商銀行數(shù)據(jù)中心防護(hù)的迫切需求。

在經(jīng)過了嚴(yán)格的技術(shù)調(diào)研與項(xiàng)目選型后,中國(guó)工商銀行在眾多網(wǎng)絡(luò)安全產(chǎn)品中選擇了杭州華三通信技術(shù)有限公司的H3C SecPath IPS(Intrusion Prevention System)安全防護(hù)解決方案。H3C SecPath IPS集成入侵防御與檢測(cè)、病毒過濾、帶寬管理和URL過濾等功能,是業(yè)界綜合防護(hù)技術(shù)領(lǐng)先的入侵防御/檢測(cè)系統(tǒng)。通過深入到7層的分析與檢測(cè),系統(tǒng)能夠?qū)崟r(shí)阻斷網(wǎng)絡(luò)流量中隱藏的病毒、蠕蟲、木馬、間諜軟件、DDoS等攻擊和惡意行為,并對(duì)分布在網(wǎng)絡(luò)中的各種P2P、IM等非關(guān)鍵業(yè)務(wù)進(jìn)行有效管理,實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)應(yīng)用、網(wǎng)絡(luò)基礎(chǔ)設(shè)施和網(wǎng)絡(luò)性能的全面保護(hù)。

基于精確狀態(tài)的安全檢測(cè)

可以這樣比喻:網(wǎng)絡(luò)中的數(shù)據(jù)傳輸就像橋上的交通運(yùn)輸,滿載數(shù)據(jù)的卡車源源不斷地從橋的一端開往另一端。IPS就如同橋頭的檢查站,它可以精細(xì)過濾卡車所載的數(shù)據(jù),對(duì)安全威脅進(jìn)行有效的攔截,成功阻擊針對(duì)橋上的基礎(chǔ)設(shè)施,包括路由器、交換機(jī)和防火墻的攻擊。同時(shí),橋上如果發(fā)生了交通擁堵,即日常網(wǎng)絡(luò)發(fā)生了數(shù)據(jù)堵塞,成熟的IPS系統(tǒng)還可以為重要數(shù)據(jù)的通過預(yù)留帶寬,保障重要數(shù)據(jù)的傳輸。本次在工商銀行應(yīng)用的H3C SecPath IPS安全防護(hù)解決方案,可以為數(shù)據(jù)傳輸提供應(yīng)用防御、網(wǎng)絡(luò)基礎(chǔ)設(shè)施防御、網(wǎng)絡(luò)性能防御三方面的保護(hù),為用戶數(shù)據(jù)傳輸搭建安全、穩(wěn)定的橋梁。

據(jù)記者了解,通過H3C SecPath IPS的保護(hù),工商銀行總行不僅將網(wǎng)銀出口的實(shí)際安全防護(hù)性能提高到千兆,而且可以精確實(shí)時(shí)地識(shí)別、阻斷或限制黑客、蠕蟲、病毒、木馬等常見網(wǎng)絡(luò)攻擊或網(wǎng)絡(luò)濫用。H3C SecPath IPS具有實(shí)用的帶寬管理和URL過濾功能,可為用戶網(wǎng)絡(luò)提供最全面的深度防御,有效替代原先部署的IDS。

目前,工行網(wǎng)銀入口的日安全報(bào)警量已經(jīng)從原先的10萬(wàn)條以上的量級(jí)降低到幾百條,主動(dòng)防御的應(yīng)用效果可見一斑。同時(shí),H3C SecPath IPS使用內(nèi)置的無(wú)源連接模塊PFC(Power Free Connector)提供掉電保護(hù)功能,同時(shí)支持二層回退,在數(shù)據(jù)中心的使用中保障了設(shè)備的可靠性和安全。

需要特別指出的是,SecPath IPS采用了H3C公司自主知識(shí)產(chǎn)權(quán)的FIRST(Full Inspection with Rigorous State Test,基于精確狀態(tài)的全面檢測(cè))引擎。FIRST引擎集成了多項(xiàng)檢測(cè)技術(shù),實(shí)現(xiàn)了基于精確狀態(tài)的全面檢測(cè),具有極高的入侵檢測(cè)精度。同時(shí),FIRST引擎采用了并行檢測(cè)技術(shù),軟硬件可靈活適配,大大提高了入侵檢測(cè)的效率,是保證IPS高精度高效率處理安全入侵威脅的心臟。

在H3C,一支由40多位專家組成的資深的攻擊特征庫(kù)維護(hù)團(tuán)隊(duì)全心致力于實(shí)時(shí)更新、維護(hù)攻擊特征庫(kù)。他們的核心工作就是去搜集業(yè)界主要的操作系統(tǒng)廠商、公共應(yīng)用軟件廠商以及數(shù)據(jù)庫(kù)廠商發(fā)布的信息,提供網(wǎng)上證件升級(jí)和定期郵件收集的聯(lián)絡(luò)方式,讓用戶特征庫(kù)系統(tǒng)得到及時(shí)的更新。同時(shí),H3C建有攻防實(shí)驗(yàn)室,以及最新的部署于全球的蜜罐系統(tǒng),緊跟網(wǎng)絡(luò)技術(shù)與安全技術(shù)的發(fā)展前沿和網(wǎng)絡(luò)攻防的最新動(dòng)態(tài),定期更新并發(fā)布攻擊特征庫(kù)升級(jí)包。

IPS取代IDS成主流

金融行業(yè)作為我國(guó)信息化建設(shè)的先行軍,在安全領(lǐng)域的實(shí)際需求與建設(shè)實(shí)踐已經(jīng)證明部署IPS將是行業(yè)信息化安全的發(fā)展方向。目前有關(guān)IDS與IPS之間關(guān)系的討論已經(jīng)逐漸平淡,IPS取代IDS已經(jīng)得到大多數(shù)用戶的認(rèn)同。隨著發(fā)生在Web應(yīng)用層的攻擊越來(lái)越多,IPS已經(jīng)成為金融行業(yè)安全防護(hù)的必備選項(xiàng)。

H3C公司在國(guó)內(nèi)安全領(lǐng)域最早開始了IPS技術(shù)與產(chǎn)品的研發(fā)與實(shí)踐,是國(guó)內(nèi)IPS領(lǐng)域的先行者和技術(shù)領(lǐng)導(dǎo)者。通過H3C SecPath IPS的部署和應(yīng)用,銀行用戶可以在千兆負(fù)載下,有效地保證自己的網(wǎng)銀系統(tǒng)和內(nèi)部網(wǎng)絡(luò)的安全。

2008年,H3C公司幫助工商銀行在奧運(yùn)前完成了IPS在北數(shù)據(jù)中心(北京)和南數(shù)據(jù)中心(上海)的部署。在奧運(yùn)期間,H3C的設(shè)備運(yùn)行穩(wěn)定,經(jīng)受住了網(wǎng)銀出口千兆峰值業(yè)務(wù)流量的考驗(yàn),對(duì)網(wǎng)銀流量進(jìn)行實(shí)時(shí)監(jiān)測(cè)并阻斷攻擊,上線當(dāng)日即阻斷9000多次Web類攻擊,實(shí)現(xiàn)了高性能出口防護(hù);同時(shí),H3C SecCenter對(duì)網(wǎng)絡(luò)安全事件進(jìn)行自動(dòng)篩選,實(shí)現(xiàn)了攻擊日志的聯(lián)動(dòng)分析和圖表輸出,大大簡(jiǎn)化了工行網(wǎng)銀系統(tǒng)管理人員的工作量,大幅提高了工行網(wǎng)銀的安全防護(hù)效率。

在實(shí)際應(yīng)用中,H3C SecPath IPS系統(tǒng)所具備的靈活管理功能同樣讓網(wǎng)絡(luò)管理者輕松許多。在單臺(tái)或小規(guī)模部署時(shí),系統(tǒng)提供了對(duì)單機(jī)用戶基于Web的圖形化管理系統(tǒng),讓用戶不用購(gòu)買、部署額外的管理服務(wù)器硬件和管理軟件即可實(shí)現(xiàn)對(duì)系統(tǒng)的管理。而當(dāng)大規(guī)模部署時(shí),系統(tǒng)提供了強(qiáng)大的集中管理功能,客戶通過一個(gè)高度集中的管理平臺(tái),可以在全網(wǎng)范圍內(nèi)定制統(tǒng)一的安全策略,方便地分發(fā)到各地的設(shè)備上。同時(shí),各終端設(shè)備也可以將攻擊事件集中上報(bào)到管理中心,為用戶提供全面深度的防御解決方案。

據(jù)記者了解,工商銀行總行南、北數(shù)據(jù)中心網(wǎng)銀安全防護(hù)項(xiàng)目實(shí)施以來(lái),保障了工行70%的核心業(yè)務(wù)的安全,有效減少工行的安全監(jiān)控事件,實(shí)現(xiàn)了安全事件自動(dòng)防御。在最近揭曉的2009年度全球最佳網(wǎng)上銀行評(píng)選中,中國(guó)工商銀行作為唯一獲獎(jiǎng)的中國(guó)內(nèi)地銀行,獲得了“中國(guó)最佳個(gè)人網(wǎng)上銀行”、“亞洲最佳綜合個(gè)人銀行網(wǎng)站”和“亞洲最佳綜合企業(yè)銀行網(wǎng)站”三大獎(jiǎng)項(xiàng)。