亚洲视频二区_亚洲欧洲日本天天堂在线观看_日韩一区二区在线观看_中文字幕不卡一区

（聯(lián)合電訊社/北京）--從現(xiàn)金交易到刷卡消費(fèi)、從跑柜臺辦業(yè)務(wù)到使用網(wǎng)上銀行……我們正享受著金融電子化帶來的各種便利。而與此同時，承載這些業(yè)務(wù)的銀行生產(chǎn)網(wǎng)絡(luò)也正面臨著日益嚴(yán)峻的網(wǎng)絡(luò)和信息安全的考驗(yàn)，已成規(guī)模的病毒、木馬地下產(chǎn)業(yè)鏈以及各種攻擊都在對互聯(lián)網(wǎng)金融服務(wù)安全造成嚴(yán)重威脅，諸如網(wǎng)站掛馬、網(wǎng)銀失竊等安全事件也在層出不窮。

　　針對金融電子化的這種安全現(xiàn)狀，為保障互聯(lián)網(wǎng)金融服務(wù)的穩(wěn)定和安全運(yùn)行，國家監(jiān)管機(jī)構(gòu)相繼出臺了多個指引文件，對金融信息科技風(fēng)險管理提出了明確要求。

　　那么，接下來就讓我們一起來了解一下：銀行生產(chǎn)網(wǎng)中存在哪些安全隱患，以及他們是如何保障其金融業(yè)務(wù)和服務(wù)的安全和穩(wěn)定的?

　　面臨內(nèi)外夾擊的安全威脅

　　對于銀行這種金融機(jī)構(gòu)而言，其生產(chǎn)網(wǎng)的互聯(lián)網(wǎng)出口是需要首先考慮對互聯(lián)網(wǎng)信息安全風(fēng)險進(jìn)行管理監(jiān)控的重點(diǎn)業(yè)務(wù)區(qū)域之一。

　　在銀行的核心業(yè)務(wù)網(wǎng)、外聯(lián)網(wǎng)出口，多種金融業(yè)務(wù)數(shù)據(jù)經(jīng)此處匯聚到后臺處理系統(tǒng)，例如：金融機(jī)構(gòu)查詢國家外匯管理局的外匯信息、海關(guān)的報(bào)關(guān)信息、稅務(wù)的繳稅信息，以及銀行在營業(yè)大廳里設(shè)置網(wǎng)上銀行終端供VIP用戶或普通用戶辦理業(yè)務(wù)、查詢信息等。

　　作為未來聯(lián)系千家萬戶的金融結(jié)算中心，銀行機(jī)構(gòu)的網(wǎng)絡(luò)會聯(lián)系到各種網(wǎng)絡(luò)，諸如：企業(yè)內(nèi)網(wǎng)、互聯(lián)網(wǎng)、銀行內(nèi)網(wǎng)等，對于銀行內(nèi)網(wǎng)不僅對內(nèi)承載各項(xiàng)業(yè)務(wù)/辦公，同時也對外承載著各項(xiàng)金融服務(wù)。故作為聯(lián)系千家萬戶的金融網(wǎng)絡(luò)，其面臨的威脅是眾多的?？偨Y(jié)起來有兩個大的方面：

　　1.來自外部網(wǎng)絡(luò)的安全威脅

　　主要是來自互聯(lián)網(wǎng)和外部網(wǎng)絡(luò)專門針對基于B/S業(yè)務(wù)系統(tǒng)的非法訪問、DoS攻擊、Web攻擊、木馬蠕蟲的侵襲、網(wǎng)絡(luò)病毒等等。這些安全威脅有一個明顯的發(fā)展趨勢，就是越來越集中于應(yīng)用層，例如SQL注入、XSS攻擊等。而位于出口邊界的防火墻設(shè)備只能提供基于OSI四層參考模型中三層以下的防護(hù)，難以對應(yīng)用層威脅提供有效檢測和防護(hù)，使得業(yè)務(wù)面臨極大風(fēng)險。

　　2.業(yè)務(wù)繁多導(dǎo)致的互聯(lián)網(wǎng)帶寬資源分配不合理

　　業(yè)務(wù)訪問量呈日益上升趨勢，普通業(yè)務(wù)擠壓了重要業(yè)務(wù)的帶寬，對重要業(yè)務(wù)可用性造成影響。對于這一點(diǎn)，除了帶寬擴(kuò)容之外，對不同級別業(yè)務(wù)系統(tǒng)的互聯(lián)網(wǎng)使用進(jìn)行嚴(yán)格管理才是根本的解決辦法。

　　銀行選擇IPS解決上述安全風(fēng)險的顧慮

　　IPS是解決以上問題的首選方案。但對銀行生產(chǎn)網(wǎng)來說， IPS仍是個新面孔，是否能在銀行生產(chǎn)網(wǎng)上順利應(yīng)用，銀行用戶存有多個方面顧慮：

　　首先，基于高可靠性的考慮，有兩個方面的擔(dān)心：一是IPS會不會由于攻擊識別不準(zhǔn)確，阻斷正常業(yè)務(wù);二是IPS是在線部署的設(shè)備，是否支持高可用性方案，避免在設(shè)備出現(xiàn)故障時斷網(wǎng)，從而造成業(yè)務(wù)的中斷。

　　其次，如今銀行的互聯(lián)網(wǎng)出口已逐步向分行開放，也就是說，由以前總行統(tǒng)一的互聯(lián)網(wǎng)出口，變成現(xiàn)在多個互聯(lián)網(wǎng)出口，在這種情況下，對于各個分行的互聯(lián)網(wǎng)出口的統(tǒng)一監(jiān)控管理也是銀行用戶需要面對的一個艱巨挑戰(zhàn);

　　第三，從合作角度看，銀行選擇IPS產(chǎn)品的同時，也是在選擇一個長期的合作伙伴，尤其是像IPS這樣一個需要持續(xù)更新的防護(hù)產(chǎn)品。對于IPS產(chǎn)品來說，廠商是否掌握核心技術(shù)、是否具備攻防技術(shù)研究能力、是否能夠提供產(chǎn)品的持續(xù)研發(fā)支持、是否能夠提供應(yīng)急響應(yīng)及相關(guān)服務(wù)，甚至是否能夠針對金融行業(yè)用戶特定需求支持產(chǎn)品功能改進(jìn)等，都是金融用戶在選擇IPS產(chǎn)品時非常關(guān)心的問題。而這一切也都直接關(guān)系到IPS在生產(chǎn)網(wǎng)上的應(yīng)用效果。

　　3個設(shè)計(jì)目標(biāo)幫助IPS設(shè)備落地應(yīng)用

　　針對上述問題，我們來測評一下啟明星辰的天清IPS產(chǎn)品。這款產(chǎn)品作為互聯(lián)網(wǎng)出口的深層防護(hù)解決方案，可以從以下3個方面進(jìn)行設(shè)計(jì)和部署：

　　1.保障業(yè)務(wù)的可用性設(shè)計(jì)

　　此設(shè)計(jì)目標(biāo)是保障業(yè)務(wù)數(shù)據(jù)穩(wěn)定可靠。

　　首先，IPS部署采用HA的部署結(jié)構(gòu)(如下圖1示)，并采用鏈路健康狀態(tài)作為主備切換條件，即同時監(jiān)控鏈路的物理狀態(tài)及網(wǎng)絡(luò)路徑的檢測，保障在設(shè)備及鏈路出現(xiàn)故障的情況下，能夠及時切換;

　　其次，IPS防護(hù)鏈路配備軟、硬Bypass，能夠保障在設(shè)備本身硬件、軟件故障時，避免單點(diǎn)故障造成業(yè)務(wù)中斷;

最后，在IPS上啟用流量管理功能，為每個辦公業(yè)務(wù)終端設(shè)定互聯(lián)網(wǎng)流量的上限及并發(fā)會話數(shù)上限，同時為業(yè)務(wù)數(shù)據(jù)設(shè)定保障帶寬，最大限度的保業(yè)務(wù)數(shù)據(jù)的可用性。

 

　　圖1采用HA的部署結(jié)構(gòu)部署IPS

　　2.保障業(yè)務(wù)的安全性設(shè)計(jì)

　　此設(shè)計(jì)的目標(biāo)是保障業(yè)務(wù)安全高效運(yùn)行，最大限度的發(fā)揮IPS的應(yīng)用層防護(hù)能力。

　　具體方案是：在IPS上配置安全防護(hù)策略，啟用防攻擊、入侵防御、防病毒及上網(wǎng)行為管理等功能，對應(yīng)用層威脅進(jìn)行全面防護(hù)，同時針對P2P、IM、網(wǎng)絡(luò)游戲等占用互聯(lián)網(wǎng)帶寬的應(yīng)用進(jìn)行限制，保障業(yè)務(wù)安全運(yùn)行。此外，在入侵防御的核心功能上，通過對入侵防御特征庫的定期升級，來保證IPS設(shè)備能夠識別和防御最新的威脅。

　　3.統(tǒng)一管理方案設(shè)計(jì)

　　如何將多臺IPS進(jìn)行統(tǒng)一管理監(jiān)控、如何將IPS設(shè)備納入已有網(wǎng)管系統(tǒng)，是總行及分行的多臺IPS部署后面臨的最大挑戰(zhàn)。

在統(tǒng)一管理方面，啟明星辰公司的天清IPS提供集中管理平臺，能對IPS設(shè)備實(shí)施統(tǒng)一管理，實(shí)現(xiàn)了設(shè)備分組管理、統(tǒng)一安全策略配置、特征庫升級文件下發(fā)及統(tǒng)一報(bào)表分析功能，方便了IPS設(shè)備管理工作，關(guān)鍵是保證了全行IPS安全防護(hù)策略的統(tǒng)一，部署方式如下圖2所示。

 

　　圖2 啟明星辰天清IPS集中管理平臺

　　在網(wǎng)管系統(tǒng)方面，天清IPS提供了標(biāo)準(zhǔn)的數(shù)據(jù)接口SNMP，方便將IPS設(shè)備納入網(wǎng)管系統(tǒng)進(jìn)行管理。同時，IPS設(shè)備可同時向本地日志管理平臺及SOC平臺發(fā)送Syslog運(yùn)行日志，方便SOC系統(tǒng)對IPS設(shè)備日志的搜集和監(jiān)控。

　　小結(jié)

　　綜上所述，隨著互聯(lián)網(wǎng)環(huán)境的日益復(fù)雜，銀行互聯(lián)網(wǎng)業(yè)務(wù)的風(fēng)險需要特別關(guān)注，針對應(yīng)用層的威脅，IPS產(chǎn)品無疑是最佳防護(hù)方案。

　　然而，IPS產(chǎn)品在選擇、部署及應(yīng)用等多方面，也都充滿了挑戰(zhàn)。銀行用戶需要將一切工作都圍繞著保障業(yè)務(wù)可靠性的第一目標(biāo)來開展，這也同時對IPS廠商提出了如下考驗(yàn)，即不僅要求IPS產(chǎn)品能夠?qū)崿F(xiàn)高可用性需求，而且還需具備產(chǎn)品的持續(xù)支持能力，從而才能保障產(chǎn)品的持續(xù)穩(wěn)定應(yīng)用。

---

   啟明星辰信息技術(shù)有限公司簡介

    啟明星辰信息技術(shù)有限公司成立于1996年，由留美博士嚴(yán)望佳女士創(chuàng)建，是國內(nèi)最具實(shí)力的擁有完全自主知識產(chǎn)權(quán)的網(wǎng)絡(luò)安全產(chǎn)品、可信安全管理平臺、安全服務(wù)與解決方案的綜合提供商，致力于打造和提升國際化的民族信息安全產(chǎn)業(yè)第一品牌。公司總部位于北京，在全國各省、市、自治區(qū)設(shè)立分、子公司及辦事處三十多個，擁有覆蓋全國的渠道體系和技術(shù)支持中心。
    網(wǎng) 址：www.venustech.com.cn