网银安全解决方案.doc

启明星辰金融事业部启明星辰金融事业部 网银安全解决方案网银安全解决方案 Ver 1 0 北京启明星辰信息技术股份有限公司北京启明星辰信息技术股份有限公司 Venus Information technology 安全源自未雨绸缪 诚信贵在风雨同舟 北京启明星辰信息技术股份有限公司 1 目目 录录 第第 1 章章概述概述 2 第第 2 章章网上银行安全需求分析网上银行安全需求分析 2 2 1公共信息发布 2 2 1 1完善安全管理策略 3 2 1 2增加防火墙防护 5 2 1 3配置入侵检测模块 6 2 1 4配置安全审计系统 7 2 2网上帐户查询 7 2 2 1身份验证 8 2 2 2数据加密 9 2 3网上支付和转账 10 2 3 1数据完整性 11 2 3 2不可否认性 11 第第 3 章章方案设计原则方案设计原则 12 第第 4 章章网银系统安全防护方案网银系统安全防护方案 13 4 1边界访问控制 13 4 2病毒防护 14 4 3防拒绝服务 DOS 攻击 16 4 4入侵检测与保护 16 4 5网络行为审计 18 4 6网页防篡改 20 安全源自未雨绸缪 诚信贵在风雨同舟 北京启明星辰信息技术股份有限公司 2 第第 1 章章 概述概述 由于 Internet 无所不在 客户只要拥有帐号和密码便能在世界各地与 Internet 联网 处理个人交易 这不仅方便客户 银行本身也可因此加强与客户 的亲和性 随着金融环境竞争加剧 银行不得不重新审视自身的服务方式 在 我国 已经有许多商业银行纷纷推出了网上银行服务 网上银行系统在蕴藏着无限商机的同时 也带来了风险 对于开设网上银 行服务的提供者来说 当务之急就是要解决安全问题 在方案中所指的网上银 行 包括了个人银行和企业银行两个概念 个人银行是指通过网络为个人银行 业务提供服务 企业银行则是指通过网络为企业用户提供服务 两者相比 个 人银行业务应该具有较简便的操作界面 而企业银行更注重整个环节的安全性 从广义来讲 安全的概念可以包括数据安全 系统安全和信息安全三个方 面 数据安全是指通过采用系统备份 磁盘镜像等安全手段以防止数据丢失 系统安全是指通过系统加固 边界防御 入侵检测等手段以防止黑客攻击系统 破坏数据 而信息安全则主要是指通过加密技术防止信息和数据在公开网络传 输上被窃听 篡改和顶替 信息安全包括四个功能 数据保密 身份认证 数 据完整性和防止抵赖 本文并没有涉及到有关数据安全方面的概念 对网络及 系统安全作了一定的介绍 而对信息安全技术的实施则作了比较详细的方案设 计 第第 2 章章 网上银行安全需求分析网上银行安全需求分析 从功能划分 网上银行的业务可分为三类 2 12 1 公共信息发布公共信息发布 公共信息发布用于介绍网上银行的业务范围流程 金融公共信息等 这类 业务由于面向公众发布 不需要保证信息只能被特定团体或个人访问 需要的 是保护信息不会被非法篡改 目前在 Internet 上比较多的黑客事件都是篡改公共 Web 站点的内容 制造虚假信息或涂改页面 如美国 NASA 和国防部站点被 安全源自未雨绸缪 诚信贵在风雨同舟 北京启明星辰信息技术股份有限公司 3 黑 事件就是这类事件 对于银行来说 公共金融信息虽然是公开的 但是 如果被篡改某些敏感数据 如银行利率等 很可能会造成不必要的麻烦 对银 行的名誉也会造成不利的影响 因此 对这些内容的保护也是不能够忽视的 Web 站点内容被黑客篡改 是这些黑客通过主动攻击实现的 例如 黑客 通过密码字典猜测信息系统的特权口令 在获得特权口令之后 登录进入系统 篡改发布内容 制造不良影响 对于这种情况 我们可以通过改进系统配置 增加防火墙防护 配置入侵检测模块和完善安全管理策略来实现安全保护 避 免站点被非法篡改 2 1 12 1 1 完善安全管理策略完善安全管理策略 黑客一般是通过分析网络管理上的漏洞以达到其攻击目的 很难定义怎样 的系统管理才是完善的 因为完善的系统管理是各方面的总和 例如对路由器 以及其他主机定期更改密码 采用不规则密码 关闭不必要的服务 关闭防火 墙任何不使用的端口等 对于一个 Unix 系统 安全管理主要可分为四个方面 1 防止未授权存取 权限控制是系统安全的基本问题 即防止未被授权的用户进入系统 良好 的用户意识 良好的口令管理 由系统管理员和用户双方配合 登录活动记录 和报告 用户和网络活动的周期检查是防止未授权存取的关键 2 防止泄密 数据保密也是系统安全的一个重要问题 防止已授权或未授权的用户相互 存取对方的重要信息 经常性的文件系统查帐 su 登录和报告以及良好的用户 保密意识都是防止泄密的手段 3 防止用户滥用系统资源 一个系统不应被一个有意试图使用过多资源的用户损害 因为在高负载的 情况下系统的安全性能往往会降低 例如黑客通过占用整个磁盘空间来防止日 志生成 不幸的是很多商业 UNIX 不能很好地限制用户对资源的使用 因此系 统管理员必须通过一些系统命令如 PS 命令 记帐程序 df 和 du 周期地检查系统 查 出过多占用 CPU 的进程和大量占用磁盘的文件 同时安装某些监控软件也是有 效的手段之一 安全源自未雨绸缪 诚信贵在风雨同舟 北京启明星辰信息技术股份有限公司 4 4 维护系统的完整性 大多数情况下 维护系统完整是系统管理员的责任 例如 周期地备份文 件系统 系统崩溃后运行磁盘扫描检查 修复文件系统 检测用户是否正在使 用可能导致系统崩溃的软件 良好的安全管理策略对系统的安全水平起着至关重要的作用 因此系统管 理员可以将以下几个方面作为维护的重点 系统配置系统配置 仔细研究最新的系统维护文档 完善系统各方面的安全配置 降 低安全风险 同时 周期性的维护系统 包括备份和安装补丁程序 订阅安全 电子新闻 系统隔离系统隔离 将内网和外网进行隔离 确保银行业务前置机 业务主机和数据 库服务器只处于内网中 内网和外网通过防火墙相连 切断共享切断共享 Web 服务器上的系统配置尽可能地保证安全 关闭所有不必要的 文件共享 停止所有与业务无关的服务器进程 如 Telnet SMTP 和 FTP 等服 务器守护进程 日志记录日志记录 打开日志记录功能 保存系统的访问日志记录 对其进行分析 可以有助于发现有问题的访问情况 如有必要 使用专门的入侵检测模块 口令策略口令策略 制定完善的口令策略 限制口令的最小长度和最长有效期 检查 口令的质量 专人专权专人专权 由专人负责系统安全和系统维护 减少不必要的用户管理权限 严格控制非系统管理员的权限和系统管理员的数量 以下是一个简化的虚拟网上银行网络结构图 安全源自未雨绸缪 诚信贵在风雨同舟 北京启明星辰信息技术股份有限公司 5 图图 1 1 网上银行网络结构图网上银行网络结构图 从图中可以看到整个网络体系分为 Internet 非军事区 DMZ Intranet 以及银行内部网四部分 其安全等级从前往后逐次递增 这些网段由两个网关 连为一体 首先防火墙将 Internet 和 Intranet 以及非军事区分离 非军事区是所 有用户可以访问的区域 而 Intranet 则只有特定用户才能访问 通过对防火墙的 合理配置可以避免内部服务器被攻击 可以采用多级防火墙配置 如在非军事 区和 Internet 之间用防火墙隔离 以提供更强的网络安全保护 Intranet 与网上内部网络由前置机相连 为了保证银行业务主机的运行安全 网上银行系统不直接连接业务主机 而是由特定的前置机来代理其请求 前置 机只响应特定服务请求 然后将请求转换为特定消息格式发送给业务主机 收 到应答后再将数据返回给请求者 通过这种隔离进一步增强了系统的安全保证 安全源自未雨绸缪 诚信贵在风雨同舟 北京启明星辰信息技术股份有限公司 6 2 1 22 1 2 增加防火墙防护增加防火墙防护 在网络系统中 防火墙是一种装置 可使内部网络不受公共部分 整个 Internet 的影响 它能同时连接受到保护的网络和 Internet 两端 但受到保护 的网络无法直接接到 Internet Internet 也无法直接接到受到保护的网络 如果 要从受到保护的网络内部接到 Internet 首先需要连接到防火墙 然后从防火墙 接入 Internet 最简单的防火墙是双主机系统 具有两个网络连接的系统 防火墙有两种 1 IP 过滤防火墙 IP 过滤防火墙在数据包一层工作 它依据起点 终点 端口号和每一数据 包中所含的数据包种类信息控制数据包的流动 这种防火墙非常安全 它阻挡 别人进入内部网络 过滤防火墙是绝对性的过滤系统 即使要让外界的一些人 进入防火墙之内 也无法让每一个人进入服务器 2 代理服务器 代理服务器允许通过防火墙间接进入 Internet 最好的例子是先连接到防火 墙 然后从该处再连接到另一个系统 在有代理服务器的系统中 这项工作是 完全自动的 利用客户端软件连接代理服务器后 代理服务器启动它的客户端 软件 代理 然后传回数据 只要配置正确 代理服务器就绝对安全 它阻 挡任何人进入内部网络 因为没有直接的 IP 通路 在网上银行系统中 由于 Web 服务器需要连接到 Internet 因此 我们建 议在 Web 服务器和 Internet 之间架设一个 IP 过滤防火墙 2 1 32 1 3 配置入侵检测模块配置入侵检测模块 除了防火墙之外 配置入侵检测模块也是一个重要的安全措施 例如 对 于银行帐户和密码 入侵者可能尝试枚举攻击 由于密码长度有限且均为数字 密码空间比较小 如果入侵者知道帐户号码 很容易通过枚举攻击猜测出帐户 密码 入侵攻击的特点是在一个攻击源同时发出密集攻击数据 自然 这些攻击 数据对于查询系统来说 可能是合法的查询参数 它的特点是在同一个攻击源 同时发出大批量查询请求 普通情况下 一个用户连接后不会非常频繁的查询 数据 每分钟最多不超过 5 次查询 而且查询的帐户号码也有限 每分钟最 安全源自未雨绸缪 诚信贵在风雨同舟 北京启明星辰信息技术股份有限公司 7 多不超过 10 个帐户 相反 入侵者为了猜测密码 会大批量 长时间 从同 一地点发出攻击信息 这种攻击模式是能够被检测到的 检测到异常情况之后 检测模块能够自动予以记录和预警 自动预警甚至可以通过寻呼机通知系统管 理员 2 1 42 1 4 配置安全审计系统配置安全审计系统 网络安全审计是信息安全的重要方面 它是实现安全事件的可追查性 不 可抵赖性的重要技术手段 对于银行系统由于数据来源多 数据量大 数据类 型复杂 将面临大量的攻击事件以及内部违规事件等 良好的安全审计能力是 分析 记录与跟踪银行系统安全状况的必要条件 银行系统对于内部违规操所面临的问题主要表现在内部人员违规操作的安 全隐患 第三方维护人员违规操作的安全隐患 以及内部最高用户权限的违规 操作等安全隐患等 大量的违规操作将对银行系统信息资产的机密性 完整性 可行性等造成严重的破坏 通过部署网络审计系统 有助于银行机构完善组织的 IT 内控与审计体系 完善 IT 内控机制 满足各种合规性要求 并且使组织能够顺利通过 IT 审计 如 SOx 法案的合规性要求 银监会 63 号 313 号审计要求等 可以有效减 少核心信息资产 如核心数据库服务器 应用服务器等 的破坏和泄漏 有效 控制运维操作风险 便于事后追查原因与界定责任 有效控制业务运行风险 直观掌握业务系统运行的安全状况 2 22 2 网上帐户查询网上帐户查询 网上账户查询是指网上银行通过 Internet 进行帐户实时查询功能 企业银行 的查询功能包括 余额查询 交易历史查询 汇款查询 公司对公账户查询 个人银行的查询功能包括 安全源自未雨绸缪 诚信贵在风雨同舟 北京启明星辰信息技术股份有限公司 8 公积金账户查询 交易明细查询 定期到期查询 消费积分查询 网上账户查询的安全需求比公共信息发布要更高 因此网上账户对系统安 全也有同样的需求 而且 除此之外 网上账户查询的还需要解决用户的私有 信息 口令 账户数据 在 Internet 这个公开网络上传输的安全问题 而这些属 于信息安全范畴 网上账户查询的信息安全功能应包括两个方面 身份认证和数据保密 2 2 12 2 1 身份验证身份验证 传统银行业务的身份验证方案主要是通过口令或 PIN 来实现的 它具有以 下两个特点 1 PIN 一般为 4 8 个数字 范围比较窄 2 银行主机记录用户输错 PIN 的次数 一旦超过一定数量 就自动关闭该账户 的服务功能 在网上银行业务中 仅通过这样的方式来进行身份验证 存在很大的不足 1 由于网上银行业务的通信信道是公开网络 所以口令明文传输容易被截获 2 在网络上 口令猜测是黑客使用最多的攻击手段 即使使用蛮力攻击法 攻 破 8 位的数字口令也只需很短的时间 3 在网上提供服务 很难对错误 PIN 输入进行限制 网络的信道故障或者人为 的恶意行为都很容易使输错口令次数达到限制 错误次数限制会给合法的用户带 来了很大的不便 因此 传统的口令验证难以成为网上银行业务的唯一身份认证技术 在网 络应用中 目前采用较多的方法是动态口令 例如 Kerberos 令牌卡和数字 证书认证技术 这些技术配合口令机制 就称为双因子身份认证技术 SSL 协议是采用最为广泛的数字证书身份认证技术 它不但可以解决身份 认证 也解决了数据保密问题 所以目前大部分网上应用 包括网上银行都采 用 SSL 技术来实现身份认证 安全源自未雨绸缪 诚信贵在风雨同舟 北京启明星辰信息技术股份有限公司 9 简单地说 SSL 就是在传输数据前 服务器和客户双方通过数字证书进行 握手 验证对方的数字证书是否合法 并且约定一个临时的会话密钥 对 接下来要传输的数据进行加密 SSL V2 0 不支持客户证书 客户可以通过验证 服务器的证书来判断服务器的合法性 服务器则无法验证客户的证书 通常服 务器仍然通过口令验证客户的身份 由于口令在传输时已经被加密 所以安全 性有了很大的提高 SSL V3 0 对 V2 0 进行了扩展 支持客户证书 这时服务 器就可以验证客户的证书 只有那些拥有合法证书的用户才能继续保持与服务 器的连接 如果配合口令验证 就成为双因子身份认证 采用数字证书的安全 体现在私钥的安全 只要私钥不被窃取 数字证书就是安全的 而通过蛮力攻 击法攻破私钥的可能性是不存在的 下表是数字证书同传统口令模式的身份验证在性能上的比较 口令方式口令方式数字证书方式数字证书方式 用户登录时口令在公开网络上传 输 有可能泄密 私钥由用户保存 只需公布其公钥 私钥永远不会在公开网络上传输 而且 从公钥无法推导出私钥 口令一旦泄密 所有安全机制即 失效 用户私钥可以存放在 USBKEY 中 并有口令保护 安全性更高 服务器需要维护庞大的用户口令 列表并负责口令保存的安全 服务器使用数字证书验证用户身份 不保存用户的私钥 所以用户私钥不可 能在服务器端泄露 与传统方法一致 易于理解技术较新 普通用户理解略有难度 对于企业银行 由于数据安全性要求较高 所以应该采用数字证书身份认 证加上口令认证的双因子身份认证技术 每个企业用户应该申请一张数字证书 当企业用户上网进行账户查询时 通过 SSL 建立安全连接 网上银行系统首先 验证该用户的数字证书是否为合法证书 然后将查询请求和口令一起发送给业 务前置机 由银行业务主机对口令再次进行认证 企业用户的身份验证过程和 CA 不可分割 当服务器通过 SSL 获得用户证 书后 服务器应用程序还要到 CA 服务器检索该证书是否在废止证书列表之中 图 2 显示了企业用户身份验证的完整过程 图 2 是网上银行企业用户的口令验 安全源自未雨绸缪 诚信贵在风雨同舟 北京启明星辰信息技术股份有限公司 10 证方式 对于个人用户 考虑到使用的方便性更为重要 可以采用 SSLv2 0 方式对 口令加密进行身份验证 因此用户不需要申请证书 只需要记住口令就行 2 2 22 2 2 数据加密数据加密 Web 应用数据加密的方案除了 SSL 以外 并没有太多可供选择的方案 除了采用数字证书身份认证方案以外 SSL 的另一个优点是在建立握手以 后 对客户和服务器之间的所有数据均采用对称算法进行加密 对称算法的加 密效率比较高 所以对性能不会造成很大的影响 另外 SSL 采用了会话密钥的 机制 每次握手时约定一个会话密钥 会话结束 密钥立刻失效 最大程度上 保证了数据的保密性 由于采用了 SSL 技术 Web 应用的开发也大为简化 Web 服务器应用程序可以把与查询状态有关的信息都保存在 Cookie 中 而不必 担心 Cookie 的安全问题 图图 2 2 用户身份验证示意图用户身份验证示意图 2 32 3 网上支付和转账网上支付和转账 网上支付和转账在查询的基础上进一步给用户提供了方便 用户可以在网 递交口令 的 Web 服务器 的 用户 的 表单 的 银行业务主机 的 CA 服务器 的 建立 SSL 握手 的 1 SSL 服务器代 理验证用户证书本 身的合法性 2 证书提交 CA 服务器 检验是否 已经作废 3 银行业务主机 再对口令进行验证 安全源自未雨绸缪 诚信贵在风雨同舟 北京启明星辰信息技术股份有限公司 11 上进行支付 转账从而达到交易的目的 就目前而言 国内很多网上银行系统 已经开通了如下支付和转账业务 定期账户转活期 活期账户转定期 活期账户转活期 信用卡账户转信用卡账户 公用事业费代缴 企业转账 证券资金账户转账 特约商户网上支付 和查询相比 支付和帐户转帐的安全需求更高 除了必须具备查询所需要 的安全性之外 还需要应该提供数据完整性和不可否认性 2 3 12 3 1 数据完整性数据完整性 所谓数据完整性就是指用户在支付指令和转账指令中所填写的数据必须保 持完整 不能在公开网络上被其他用户无意或恶意地修改 SSL 由于对整个数 据链路进行了加密 所以在一定程度上能够保证完整性 但是公开网络上的数 据加密对完整性的保护只是局部的 一旦数据被解密后依然存在着被更改的可 能 所以正确的方案应该采用数字签名机制 由用户使用自己的数字证书对支 付指令或转账指令进行签名 同时签名数据被永久保存 只有这样才能真正避 免数据完整性被破坏 签名是对用户私钥对数据摘要 又称指纹 的加密 数 据发生变化时 数据摘要也必定发生变化 如果将原先的数字签名解密 就很 容易发现两段数据摘要不符 2 3 22 3 2 不可否认性不可否认性 不可否认性是指指令发出者不能在事后否认曾经发出该指令 这对于规范 业务 避免法律纠纷起着很大的作用 传统地 不可否认性是通过手工签名完 成的 在网上银行 不可否认性是由数字签名机制实现的 由于私钥很难攻击 其他人 包括银行 不可能得到私有密钥 所以用私 钥对交易指令的摘要签名后 就保证了该用户确实是发出了该指令 将签名数 安全源自未雨绸缪 诚信贵在风雨同舟 北京启明星辰信息技术股份有限公司 12 据作为业务数据的凭证 在业务成功后就开始保障不可否认性 不可否认性可以保证每个帐户用户的转帐过程具有法律效力 对于个人银行业务来说 转账金额比较小 风险相对较低 所以在双方都 认可的情况下 没有数字签名的支付和转账的指令也是可以接受的 但是对于企业用户和进行证券转账的个人用户来说 转账金额大 风险大 指令必须附带签名数据 在签名数据验证通过以后才能真正进行支付或转账 有四种方案可以实现用户签名 1 专用客户端软件 例如电子钱包 这类软件通常是一个浏览器的插 件 PlugIn 在用户填好支付指令或转账指令并发送给服务器以后 服务器用某种协议规范化该指令 并作为唤醒消息的参数返回给用户 这时插件被激活 用户的指令在插件程序中再次被显示 此时用户可 以对这段指令进行数字签名 许多 SET 应用的实现采用了这种方案 这种方案的主要缺点是效率比较低 同一段数据需要被来回传送两次 另外不同的应用可能需要开发不同的插件 对用户和系统开发者来说 都增加了额外的负担 2 表单签名技术 Netscape 公司发明的一种技术 在其浏览器中已经 支持 通过调用 Java 脚本实现对表单域内容的签名 这种方案虽然没 有方案 1 的缺点 但是其实现与浏览器相关 而且签名数据形式比较 固定 不利于开发新的应用 所以很少采用 3 Java 方式 这种方式是采用客户端脚本的一类方式 用户在填好支 付指令或转账指令时 点击 发送 按钮 浏览器脚本或 Applet 开始 运行 调用系统的加密模块对表单中的数据进行签名 并把签名结果 一起发送给服务器应用程序 这种方案克服了第一种方案的缺点 但 是需要浏览器支持对应的脚本语言 因为 Java 具有较大的代表性 所 以称为 Java 方式 另外用户必须安装具有 COM 接口的加密模块 4 XML Signature 方式 这时目前最有希望的一种技术 IETF 组织正 在准备将这项技术确立为标准 它通过在网页中嵌入一段 XML 浏览器 或其他客户端程序在处理 XML 时自动将数据签名 由于 XML 在保存和 传输数据标准化方面的优越性 这项技术正在成为微软和 SUN 公司竞 安全源自未雨绸缪 诚信贵在风雨同舟 北京启明星辰信息技术股份有限公司 13 争的焦点 从以上方案比较可以看出 方案 3 和方案 4 与前两种相比 机制灵活 应 用开发方便 具有较大的优势 第第 3 章章 方案设计原则方案设计原则 方案在设计时 严格遵循下述基本原则 在方案中给出了具体的保证措施 1 安全性安全性 充分保证系统的安全性 使用的网络安全产品和技术 方案在 设计和实现的全过程中 都必须有具体的措施来充分保证其各个方面的 安全应用 2 可靠性可靠性 对于产品 质量是保证可靠性的基本因素 对于项目实施过程 严密的组织和严格的管理是保证系统可靠性的条件 3 先进性先进性 具体技术和技术方案的先进性 4 可推广性可推广性 设计方案 采用的技术及其操作流程应该支持网上规模化的 扩充 易于广泛推广 5 可扩展性可扩展性 网络技术和电子商务技术的发展和变化非常迅速 方案和采 用的技术必须具有良好的可扩展性 充分保护当前的投资和利益 6 客观性客观性 坚持正确的商业精神 以负责的态度 严谨 审慎 科学 客观地做出分析和设计 在方案实施过程中全力以赴 以一丝不苟的敬 业精神按期完成各项任务 第第 4 章章 网银系统安全防护方案网银系统安全防护方案 为了网银系统的高可用性 网络层的安全防护是必不可少的措施 在链路 设备多个层次上实现链路冗余 多机集群 负载均衡等各项措施 因此 网络 安全防护建设要进行必要的安全区分界点控制 敏感行为检测 关键数据记录 网页防篡改等部署 网络安全防护建设将从边界访问控制 病毒防护 防拒绝服务攻击 入侵 检测与保护 行为审计 网页防篡改等多个层面展开 4 14 1 边界访问控制边界访问控制 银行系统的边界之内包含多个局域网以及计算资源组件 边界环境是比较 复杂的 如果在边界没有一个可集中控制访问请求的措施 很容易被恶意攻击 安全源自未雨绸缪 诚信贵在风雨同舟 北京启明星辰信息技术股份有限公司 14 者或其它企图人员利用这些边界进行非法入侵 入侵者可以利用多种入侵手段 如获取口令 拒绝服务攻击 SYN Flood 攻击 IP 欺骗攻击等等获取系统权限 进入系统内部 所以需要对边界部署访问控制系统 有效地监控内部网和公共 网之间的活动 并对数据进行过滤与控制 保证内部网络的安全 防火墙可以有效的防止内部的信息系统遭受外部的攻击 它划定了一个边 界 使经认证的局域网用户 管理员 独立工作站和单机用户可以安全的访问 不可信的外部网络或接受这些外部网络的访问 它使边界中的所有成员都可以 有效的防止未授权系统的侵入 避免数据被修改和删除 避免资源被窃取 抵 抗拒绝服务等攻击 处在防火墙边界的用户使用的安全连接 数字处理 信息 的传输和存储都受到保护 启明星辰天清汉马 USG 防火墙子系统基于状态检测技术 利用状态检测技 术可以对报文进行深度分析和处理 相对于静态包过滤具有更高的安全性和更 加优异的性能 即使在增加上万条安全策略的情况下 也不会降低防火墙的网 络性能 可以对网络数据进行细粒度的过滤 过滤条件包括 源接口 目的接口 协议类型 ICMP TCP UDP 源地址 目的地址 服务类型 报文通讯时间 以上条件构成了 USG 对一个具体业务流的判断 在此基础上 用户可以定 义针对具体业务流的安全策略 包括 允许通过 需要认证通过 阻断 建立 VPN 隧道等 作为一体化的安全网关产品 启明星辰天清汉马 USG 为客户提供的丰富的 安全能力 为减少用户的维护工作量 所有安全能力均可在防火墙安全策略中 引用 安全源自未雨绸缪 诚信贵在风雨同舟 北京启明星辰信息技术股份有限公司 15 4 24 2 病毒防护病毒防护 防病毒必须立足于系统全网的角度 除了在终端部署放病毒产品控制病毒 对终端的破坏 更应该在网络中部署安全产品 控制病毒的传播 目前病毒的发展主要呈现以下几个趋势 通过了解这些背景情况 将有助 于了解防病毒体系的技术要求 病毒与黑客程序相结合 随着网络的普及和网速的提高 计算机之间的远程控制越来越方便 传输 文件也变得非常快捷 正因为如此 病毒与黑客程序 木马病毒 结合以后的 危害更为严重 病毒的发作往往伴随着用户机密资料的丢失 病毒的传播可能 会具有一定的方向性 按照制作者的要求侵蚀固定的内容 蠕虫病毒更加泛滥 其表现形式是邮件病毒会越来越多 这类病毒是由受到感染的计算机自动 向用户的邮件列表内的所有人员发送带毒文件 往往在邮件当中附带一些具有 欺骗性的话语 由于是熟人发送的邮件 接受者往往没有戒心 因此 这类病 毒传播速度非常快 只要有一个用户受到感染 就可以形成一个非常大的传染 面 病毒破坏性更大 计算机病毒不再仅仅以侵占和破坏单机的资料为目的 木马病毒的传播使 得病毒在发作的时候有可能自动联络病毒的创造者 或者采取 DoS 拒绝服务 的攻击 一方面可能会导致本机机密资料的泄漏 另一方面会导致一些网络服 务的中止 而蠕虫病毒则会抢占有限的网络资源 造成网络堵塞 制作病毒的方法更简单 由于网络的普及 使得编写病毒的知识越来越容易获得 同时 各种功能 强大而易学的编程工具让用户可以轻松编写一个具有极强杀伤力的病毒程序 用户通过网络甚至可以获得专门编写病毒的工具软件 只需要通过简单的操作 就可以生成破坏性的病毒 病毒传播速度更快 传播渠道更多 目前上网用户已不再局限于收发邮件和网站浏览 此时 文件传输成为病 毒传播的另一个重要途径 随着网速的提高 在数据传输时间变短的同时 病 安全源自未雨绸缪 诚信贵在风雨同舟 北京启明星辰信息技术股份有限公司 16 毒的传送时间会变得更加微不足道 同时 其它的网络连接方式如 ICQ IRC 也成为了传播病毒的途径 病毒的实时检测更困难 众所周知 对待病毒应以预防为主 如果发生了病毒感染 往往就已经造 成了不可挽回的损失 因此对网上传输的文件进行实时病毒检测成了亟待解决 的重要问题 建议在内部服务器及客户端上部署防病毒产品 同时在网关边界部署防病 毒网关 启明星辰天清汉马 USG 内置防病毒网关 可以有效的控制病毒的传播 4 34 3 防拒绝服务 防拒绝服务 DOSDOS 攻击 攻击 DoS 的攻击方式有很多种 最基本也是危害最大的的 DoS 攻击就是利用合 理的服务请求来占用过多的服务资源 从而使合法用户无法得到服务的响应 DDoS 攻击手段是在传统的 DoS 攻击基础之上产生的一类攻击方式 单一 的 DoS 攻击一般是采用一对一方式的 当攻击目标 CPU 速度低 内存小或者 网络带宽小等等各项性能指标不高它的效果是明显的 随着计算机与网络技术 的发展 计算机的处理能力迅速增长 内存大大增加 同时也出现了千兆级别 的网络 这使得 DoS 攻击的困难程度加大了 目标对恶意攻击包的 消化能力 加强了不少 例如你的攻击软件每秒钟可以发送 3 000 个攻击包 但我的主机 与网络带宽每秒钟可以处理 10 000 个攻击包 这样一来攻击就不会产生什么效 果 这时侯分布式的拒绝服务攻击手段 DDoS 就应运而生了 你理解了 DoS 攻击的话 它的原理就很简单 如果说计算机与网络的处理能力加大了 10 倍 用一台攻击机来攻击不再能起作用的话 攻击者使用 10 台攻击机同时攻击呢 用 100 台呢 DDoS 就是利用更多的傀儡机来发起进攻 以比从前更大的规模 来进攻受害者 进而对目标网络或者主机造成最大的伤害 因为拒绝服务攻击者所发出的每个连接都是合法的 因此无法通过特征匹 配来找到它并阻止它 可以说连接控制是防止抵御拒绝服务攻击 以及蠕虫病 毒泛滥 限制资源滥用的有效手段 安全源自未雨绸缪 诚信贵在风雨同舟 北京启明星辰信息技术股份有限公司 17 启明星辰天清汉马 USG 可以通过如下手段控制连接异常 控制系统总连接数目 控制系统总半连接数目 基于协议的连接数控制 基于地址的连接数控制 4 44 4 入侵检测与保护入侵检测与保护 随着信息化建设的不断发展 核心应用业务迅速网络化以及互联网用户的 飞速增长 我们面临的安全威胁也日益增多和复杂 建设一个实时有效的网络 安全防护系统 是保障业务正常进行的必然前提 传统上 我们用防火墙来抵御攻击 但随着威胁的不断发展 威胁的层次 在不断提升 根据相关统计显示 现阶段 70 以上的攻击事件发生在传输层和 应用层之间 我们称这类 4 7 层上的攻击为深层攻击行为 传统的防火墙主要 在 1 3 层 对 4 层以上的攻击显得力不从心 因此在深层防御方面存在较大的 需求 深层攻击行为具有攻击频率高 攻击手段变化快 攻击过程隐蔽等特点 在这种背景下 为了实现对深层攻击的防御 弥补防火墙等传统安全网关 设备的不足 入侵检测系统 IDS 应运而生 入侵检测系统以旁路方式部署 实时分析链路上的传输数据 对隐藏在 4 7 层特别是应用层的攻击行为进行检 测 专注的是深层防御 准确的攻击检测能力准确的攻击检测能力 入侵检测系统对客户带来的价值体现在对攻击和可疑行为的及时发现和主 动响应上 而实现及时的发现 就要求入侵检测系统拥有全面的攻击检测能力 启明星辰天阗网络入侵检测系统在对数据链路层到应用层的网络数据全面 分析的基础之上 融合漏洞分析信息 可以对上报的攻击事件进行事先的预分 析 达到精确报警的目的 此外 天阗网络入侵检测系统采用了启明星辰公司设计并实现的高效协议 自识别方法 VFPR Venus Fast Protocol Recognition 该协议自识别方法基 于协议指纹识别和协议规则验证技术实现 能够在网络协议通信初期根据前期 安全源自未雨绸缪 诚信贵在风雨同舟 北京启明星辰信息技术股份有限公司 18 网络报文特征自动识别所属协议类型 并采用预先建立的协议验证规则进一步 验证协议识别结果正确性 VFPR 方法包括前期协议样本特征提取和在线协议 识别两个阶段 其中 协议样本特征提取阶段包括协议类型样本的协议指纹提 取和相应协议验证规则建立过程 协议识别阶段包括协议指纹快速匹配和协议 识别结果快速验证等过程方法 VFPR 方法的协议指纹识别过程基于快速哈希 表方法实现 而协议验证规则执行过程基于高效的专用网络报文处理虚拟机实 现 通过使用 VFPR 方法 对于一些采用非常规端口的协议也能实现及时的识 别和检测 灵活的安全策略管理灵活的安全策略管理 天阗网络入侵检测系统采用基于策略的防护方式 内置了多种默认安全策 略集 用户可以根据需要选择最适合自己需要的策略 以达到最佳防护效果 除了默认的安全策略集外 天阗网络入侵检测系统系统还提供了向导式的 策略管理方式 在策略集间还可实现与 或 并 交等逻辑操作 便于用户自 定义选择最佳安全策略 对于初次使用天阗网络入侵检测系统的客户 系统还提供了动态策略调整 的方式 可以根据预设事件发生的频率来自动调整使用的安全策略 从而实现 减少日志量和自动修改事件风险级别 4 54 5 网络行为审计网络行为审计 网络审计是信息安全的重要方面 它是实现安全事件的可追查性 不可否 认性的重要数据环节 对于银行系统由于数据来源多 数据量大 数据类型复 杂 将面临大量的攻击事件 内部违规事件等 良好的安全审计能力是分析银 行系统安全状况的必要条件 银行系统对于内部违规操所面临的问题主要表现在 内部人员操作安全隐患内部人员操作安全隐患 随着企业信息化进程不断深入 企业的业务系统变得日益复杂 由内部员 工违规操作导致的安全问题变得日益突出起来 防火墙 防病毒 入侵检测系 统等常规的安全产品可以解决一部分安全问题 但对于内部人员的违规操作却 无能为力 根据最新统计资料 对企业造成严重攻击中的 70 是来自于组织里 安全源自未雨绸缪 诚信贵在风雨同舟 北京启明星辰信息技术股份有限公司 19 的内部人员 第三方维护人员安全隐患第三方维护人员安全隐患 企业在发展的过程中 因为战略定位和人力等诸多原因 越来越多的会将 非核心业务外包给设备商或者其他专业代维公司 如何有效地监控设备厂商和 代维人员的操作行为 并进行严格的审计是企业面临的一个关键问题 严格的规 章制度只能约束一部分人的行为 只有通过严格的权限控制和操作审计才能确 保安全管理制度的有效执行 最高权限用户安全隐患最高权限用户安全隐患 一般来说 我们都是从各种系统日志里面去发现是否有入侵后留下来的 蛛丝马迹 来判断是否发生过安全事件 但是 系统是在经历了大量的操作 和变化后 才逐渐变得不安全 从系统变更的角度来看