科技

IPS何以成功用于银行网络安全建设

2019-05-14 18:55:07来源:励志吧0次阅读

(联合电讯社/北京)--从现金交易到刷卡消费、从跑柜台办业务到使用上银行……我们正享受着金融电子化带来的各种便利。而与此同时,承载这些业务的银行生产络也正面临着日益严峻的络和信息安全的考验,已成规模的病毒、木马地下产业链以及各种攻击都在对互联金融服务安全造成严重威胁,诸如站挂马、银失窃等安全事件也在层出不穷。

针对金融电子化的这类安全现状,为保障互联金融服务的稳定和安全运行,国家监管机构相继出台了多个指引文件,对金融信息科技风险管理提出了明确要求。

那么,接下来就让我们一起来了解一下:银行生产中存在哪些安全隐患,以及他们是如何保障其金融业务和服务的安全和稳定的?

面临内外夹击的安全威逼

对银行这类金融机构而言,其生产的互联出口是需要首先考虑对互联信息安全风险进行管理监控的重点业务区域之一。

在银行的核心业务、外联出口,多种金融业务数据经此处汇聚到后台处理系统,例如:金融机构查询国家外汇管理局的外汇信息、海关的报关信息、税务的缴税信息,和银行在营业大厅里设置上银行终端供VIP用户或普通用户办理业务、查询信息等。

作为未来联系千家万户的金融结算中心,银行机构的络会联系到各种络,诸如:企业内、互联、银行内等,对于银行内不仅对内承载各项业务/办公,同时也对外承载着各项金融服务。故作为联系千家万户的金融络,其面临的威胁是众多的。总结起来有两个大的方面:

1.来自外部络的安全威胁

主要是来自互联和外部络专门针对基于B/S业务系统的非法访问、DoS攻击、Web攻击、木马蠕虫的侵袭、络病毒等等。这些安全威胁有一个明显的发展趋势,就是越来越集中于应用层,例如SQL注入、XSS攻击等。而位于出口边界的防火墙设备只能提供基于OSI四层参考模型中三层以下的防护,难以对运用层威逼提供有效检测和防护,使得业务面临极大风险。

2.业务繁多致使的互联带宽资源分配不合理

业务访问量呈日益上升趋势,普通业务挤压了重要业务的带宽,对重要业务可用性造成影响。对这一点,除了带宽扩容之外,对不同级别业务系统的互联使用进行严格管理才是根本的解决办法。

银行选择IPS解决上述安全风险的顾虑

IPS是解决以上问题的方案。但对银行生产来说, IPS仍是个新面孔,是不是能在银行生产上顺利运用,银行用户存有多个方面顾虑:

首先,基于高可靠性的斟酌,有两个方面的担心:一是IPS会不会由于攻击识别不准确,阻断正常业务;二是IPS是部署的设备,是否支持高可用性方案,避免在装备出现故障时断,从而造成业务的中断。

其次,如今银行的互联出口已逐步向分行开放,也就是说,由之前总行统一的互联出口,变成现在多个互联出口,在这种情况下,对于各个分行的互联出口的统一监控管理也是银行用户需要面对的一个艰巨挑战;

第三,从合作角度看,银行选择IPS产品的同时,也是在选择一个长期的合作伙伴,尤其是像IPS这样一个需要延续更新的防护产品。对于IPS产品来讲,厂商是否掌握核心技术、是否具备攻防技术研究能力、是否能够提供产品的延续研发支持、是不是能够提供应急响应及相关服务,甚至是不是能够针对金融行业用户特定需求支持产品功能改进等,都是金融用户在选择IPS产品时非常关心的问题。而这一切也都直接关系到IPS在生产上的运用效果。

3个设计目标帮助IPS设备落地运用

针对上述问题,我们来测评一下启明星辰的天清IPS产品。这款产品作为互联出口的深层防护解决方案,可以从以下3个方面进行设计和部署:

1.保障业务的可用性设计

此设计目标是保障业务数据稳定可靠。

首先,IPS部署采取HA的部署结构(如下图1示),并采用链路健康状态作为主备切换条件,即同时监控链路的物理状态及络路径的检测,保障在设备及链路出现故障的情况下,能够及时切换;

其次,IPS防护链路配备软、硬Bypass,能够保障在设备本身硬件、软件故障时,避免单点故障造成业务中断;

,在IPS上启用流量管理功能,为每一个办公业务终端设定互联流量的上限及并发会话数上限,同时为业务数据设定保障带宽,限度的保业务数据的可用性。

图1采取HA的部署结构部署IPS

2.保障业务的安全性设计

此设计的目标是保障业务安全高效运行,限度的发挥IPS的运用层防护能力。

具体方案是:在IPS上配置安全防护策略,启用防攻击、入侵防御、防病毒及上行为管理等功能,对应用层威胁进行全面防护,同时针对P2P、IM、络游戏等占用互联带宽的运用进行限制,保障业务安全运行。此外,在入侵防御的核心功能上,通过对入侵防御特点库的定期升级,来保证IPS装备能够辨认和防御的威逼。

3.统一管理方案设计

如何将多台IPS进行统一管理监控、如何将IPS设备纳入已有管系统,是总行及分行的多台IPS部署后面临的挑战。

在统一管理方面,启明星斗公司的天清IPS提供集中管理平台,能对IPS装备实施统一管理,实现了装备分组管理、统一安全策略配置、特征库升级文件下发及统一报表分析功能,方便了IPS设备管理工作,关键是保证了全行IPS安全防护策略的统一,部署方式如下图2所示。

图2 启明星斗天清IPS集中管理平台

在管系统方面,天清IPS提供了标准的数据接口SNMP,方便将IPS设备纳入管系统进行管理。同时,IPS设备可同时向本地日志管理平台及SOC平台发送Syslog运行日志,方便SOC系统对IPS装备日志的搜集和监控。

小结

综上所述,随着互联环境的日益复杂,银行互联业务的风险需要特别关注,针对运用层的威胁,IPS产品无疑是防护方案。

但是,IPS产品在选择、部署及应用等多方面,也都充满了挑战。银行用户需要将一切工作都围绕着保障业务可靠性的目标来开展,这也同时对IPS厂商提出了以下考验,即不但要求IPS产品能够实现高可用性需求,而且还需具备产品的延续支持能力,从而才能保障产品的延续稳定应用。

启明星辰信息技术有限公司简介 启明星辰信息技术有限公司成立于1996年,由留美博士严望佳女士创建,是国内实力的拥有完全自主知识产权的络安全产品、可信安全管理平台、安全服务与解决方案的综合提供商,致力于打造和提升国际化的民族信息安全产业。公司总部位于北京,在全国各省、市、自治区设立分、子公司及办事处三十多个,拥有覆盖全国的渠道体系和技术支持中心。

址:

月经量多喝什么好
月经量多能吃什么调理
月经量多吃点什么补
分享到: