网上银行安全解决方案

1、网上银行安全解决方案目录第 1 章概述2第 2 章网上银行安全需求分析.22.1公共信息发布22.1.1完善安全管理策略32.1.2增加防火墙防护52.1.3配置入侵检测模块62.1.4配置安全审计系统72.2网上帐户查询72.2.1身份验证82.2.2数据加密92.3网上支付和转账102.3.1数据完整性112.3.2不可否认性11第 3 章方案设计原则12第 4 章网银系统安全防护方案.134.1边界访问控制134.2病毒防护144.3防拒绝服务（DOS）攻击164.4入侵检测与保护164.5网络行为审计184.6网页防篡改20第1章概述由于Internet无所不在，客户只要拥有帐号和密码

2、便能在世界各地与Internet联网，处理个人交易。这不仅方便客户，银行本身也可因此加强与客户的亲和性。随着金融环境竞争加剧，银行不得不重新审视自身的服务方式。在我国，已经有许多商业银行纷纷推出了网上银行服务。网上银行系统在蕴藏着无限商机的同时，也带来了风险， 对于开设网上银行服务的提供者来说，当务之急就是要解决安全问题。在方案中所指的网上银行，包括了个人银行和企业银行两个概念，个人银行是指通过网络为个人银行业务提供服务，企业银行则是指通过网络为企业用户提供服务。两者相比，个人银行业务应该具有较简便的操作界面，而企业银行更注重整个环节的安全性。从广义来讲，安全的概念可以包括数据安全， 系统安全

3、和信息安全三个方面，数据安全是指通过采用系统备份，磁盘镜像等安全手段以防止数据丢失；系统安全是指通过系统加固， 边界防御，入侵检测等手段以防止黑客攻击系统破坏数据；而信息安全则主要是指通过加密技术防止信息和数据在公开网络传输上被窃听、篡改和顶替。信息安全包括四个功能：数据保密，身份认证，数据完整性和防止抵赖。本文并没有涉及到有关数据安全方面的概念，对网络及系统安全作了一定的介绍，而对信息安全技术的实施则作了比较详细的方案设计。第2章网上银行安全需求分析从功能划分，网上银行的业务可分为三类：2.1 公共信息发布公共信息发布用于介绍网上银行的业务范围流程，金融公共信息等。 这类业务由于面向公众发布

4、， 不需要保证信息只能被特定团体或个人访问，需要的是保护信息不会被非法篡改。 目前在 Internet上比较多的黑客事件都是篡改公共Web站点的内容，制造虚假信息或涂改页面。如美国NASA和国防部站点被“黑”事件就是这类事件。对于银行来说，公共金融信息虽然是公开的，但是如果被篡改某些敏感数据，如银行利率等，很可能会造成不必要的麻烦，对银行的名誉也会造成不利的影响。因此，对这些内容的保护也是不能够忽视的。Web站点内容被黑客篡改，是这些黑客通过主动攻击实现的。例如，黑客通过密码字典猜测信息系统的特权口令，在获得特权口令之后，登录进入系统，篡改发布内容，制造不良影响。对于这种情况，我们可以通过改进

5、系统配置、增加防火墙防护、 配置入侵检测模块和完善安全管理策略来实现安全保护，避免站点被非法篡改。2.1.1完善安全管理策略黑客一般是通过分析网络管理上的漏洞以达到其攻击目的。很难定义怎样的系统管理才是完善的， 因为完善的系统管理是各方面的总和，例如对路由器以及其他主机定期更改密码，采用不规则密码，关闭不必要的服务， 关闭防火墙任何不使用的端口等。对于一个 Unix 系统，安全管理主要可分为四个方面：1. 防止未授权存取权限控制是系统安全的基本问题，即防止未被授权的用户进入系统。良好的用户意识，良好的口令管理 ( 由系统管理员和用户双方配合) ，登录活动记录和报告，用户和网络活动的周期检查是防

6、止未授权存取的关键。2. 防止泄密数据保密也是系统安全的一个重要问题。防止已授权或未授权的用户相互存取对方的重要信息，经常性的文件系统查帐，su 登录和报告以及良好的用户保密意识都是防止泄密的手段。3. 防止用户滥用系统资源一个系统不应被一个有意试图使用过多资源的用户损害，因为在高负载的情况下系统的安全性能往往会降低。 例如黑客通过占用整个磁盘空间来防止日志生成，不幸的是很多商业UNIX 不能很好地限制用户对资源的使用。因此系统管理员必须通过一些系统命令如PS命令，记帐程序 df 和 du 周期地检查系统 . 查出过多占用 CPU的进程和大量占用磁盘的文件。 同时安装某些监控软件也是有效的手段

7、之一。4. 维护系统的完整性大多数情况下， 维护系统完整是系统管理员的责任，例如：周期地备份文件系统，系统崩溃后运行磁盘扫描检查，修复文件系统， 检测用户是否正在使用可能导致系统崩溃的软件。良好的安全管理策略对系统的安全水平起着至关重要的作用。因此系统管理员可以将以下几个方面作为维护的重点：系统配置仔细研究最新的系统维护文档，完善系统各方面的安全配置，降低安全风险。同时，周期性的维护系统，包括备份和安装补丁程序、订阅安全电子新闻。系统隔离将内网和外网进行隔离，确保银行业务前置机、业务主机和数据库服务器只处于内网中，内网和外网通过防火墙相连。切断共享Web服务器上的系统配置尽可能地保证安全。关闭

8、所有不必要的文件共享。停止所有与业务无关的服务器进程，如Telnet 、SMTP和 FTP等服务器守护进程。日志记录打开日志记录功能，保存系统的访问日志记录，对其进行分析，可以有助于发现有问题的访问情况。如有必要，使用专门的入侵检测模块。口令策略制定完善的口令策略，限制口令的最小长度和最长有效期，检查口令的质量。专人专权由专人负责系统安全和系统维护，减少不必要的用户管理权限， 严格控制非系统管理员的权限和系统管理员的数量。以下是一个简化的虚拟网上银行网络结构图：图 1 网上银行网络结构图从图中可以看到整个网络体系分为：Internet，非军事区（DMZ），Intranet以及银行内部网四部分。

9、 其安全等级从前往后逐次递增。这些网段由两个网关连为一体。首先防火墙将Internet和 Intranet以及非军事区分离。 非军事区是所有用户可以访问的区域，而Intranet则只有特定用户才能访问，通过对防火墙的合理配置可以避免内部服务器被攻击，可以采用多级防火墙配置 （如在非军事区和 Internet之间用防火墙隔离）以提供更强的网络安全保护。Intranet与网上内部网络由前置机相连，为了保证银行业务主机的运行安全，网上银行系统不直接连接业务主机，而是由特定的前置机来代理其请求，前置机只响应特定服务请求， 然后将请求转换为特定消息格式发送给业务主机，收到应答后再将数据返回给请求者。通过

10、这种隔离进一步增强了系统的安全保证。2.1.2增加防火墙防护在网络系统中，防火墙是一种装置，可使内部网络不受公共部分（整个Internet）的影响。它能同时连接受到保护的网络和Internet两端，但受到保护的网络无法直接接到Internet，Internet也无法直接接到受到保护的网络。如果要从受到保护的网络内部接到Internet，首先需要连接到防火墙，然后从防火墙接入Internet。最简单的防火墙是双主机系统（具有两个网络连接的系统）。防火墙有两种：1. IP 过滤防火墙IP 过滤防火墙在数据包一层工作。它依据起点、终点、端口号和每一数据包中所含的数据包种类信息控制数据包的流动。这种防

11、火墙非常安全。 它阻挡别人进入内部网络。 过滤防火墙是绝对性的过滤系统。即使要让外界的一些人进入防火墙之内，也无法让每一个人进入服务器。2. 代理服务器代理服务器允许通过防火墙间接进入Internet。最好的例子是先连接到防火墙，然后从该处再连接到另一个系统。在有代理服务器的系统中， 这项工作是完全自动的。 利用客户端软件连接代理服务器后，代理服务器启动它的客户端软件（代理），然后传回数据。只要配置正确，代理服务器就绝对安全，它阻挡任何人进入内部网络，因为没有直接的IP 通路。在网上银行系统中，由于Web服务器需要连接到Internet，因此，我们建议在 Web服务器和 Internet之间架

12、设一个 IP 过滤防火墙。2.1.3配置入侵检测模块除了防火墙之外， 配置入侵检测模块也是一个重要的安全措施。例如，对于银行帐户和密码，入侵者可能尝试枚举攻击，由于密码长度有限且均为数字，密码空间比较小。如果入侵者知道帐户号码， 很容易通过枚举攻击猜测出帐户密码。入侵攻击的特点是在一个攻击源同时发出密集攻击数据。自然，这些攻击数据对于查询系统来说， 可能是合法的查询参数， 它的特点是在同一个攻击源同时发出大批量查询请求。 普通情况下，一个用户连接后不会非常频繁的查询数据（每分钟最多不超过5 次查询），而且查询的帐户号码也有限（每分钟最多不超过10 个帐户）。相反，入侵者为了猜测密码，会大批量、

13、长时间、从同一地点发出攻击信息。这种攻击模式是能够被检测到的。 检测到异常情况之后， 检测模块能够自动予以记录和预警。自动预警甚至可以通过寻呼机通知系统管理员。2.1.4配置安全审计系统网络安全审计是信息安全的重要方面，它是实现安全事件的可追查性、不可抵赖性的重要技术手段。对于银行系统由于数据来源多、数据量大、数据类型复杂，将面临大量的攻击事件以及内部违规事件等。良好的安全审计能力是分析、记录与跟踪银行系统安全状况的必要条件。银行系统对于内部违规操所面临的问题主要表现在内部人员违规操作的安全隐患，第三方维护人员违规操作的安全隐患，以及内部最高用户权限的违规操作等安全隐患等，大量的违规操作将对银

14、行系统信息资产的机密性、完整性、可行性等造成严重的破坏。通过部署网络审计系统，有助于银行机构完善组织的IT 内控与审计体系，完善 IT 内控机制，满足各种合规性要求，并且使组织能够顺利通过IT 审计（如SOx法案的合规性要求、银监会63 号、 313 号审计要求等）；可以有效减少核心信息资产（如核心数据库服务器、应用服务器等）的破坏和泄漏；有效控制运维操作风险，便于事后追查原因与界定责任；有效控制业务运行风险， 直观掌握业务系统运行的安全状况；2.2 网上帐户查询网上账户查询是指网上银行通过Internet进行帐户实时查询功能，企业银行的查询功能包括：余额查询交易历史查询汇款查询公司对公账户查

15、询个人银行的查询功能包括：公积金账户查询交易明细查询定期到期查询消费积分查询网上账户查询的安全需求比公共信息发布要更高，因此网上账户对系统安全也有同样的需求，而且， 除此之外， 网上账户查询的还需要解决用户的私有信息（口令，账户数据）在Internet这个公开网络上传输的安全问题。而这些属于信息安全范畴。网上账户查询的信息安全功能应包括两个方面：身份认证和数据保密。2.2.1身份验证传统银行业务的身份验证方案主要是通过口令或PIN 来实现的，它具有以下两个特点：1. PIN 一般为 4-8 个数字，范围比较窄。2. 银行主机记录用户输错 PIN 的次数， 一旦超过一定数量， 就自动关闭该账户的

16、服务功能。在网上银行业务中，仅通过这样的方式来进行身份验证，存在很大的不足：1. 由于网上银行业务的通信信道是公开网络，所以口令明文传输容易被截获。2.在网络上， 口令猜测是黑客使用最多的攻击手段，即使使用蛮力攻击法，攻破8 位的数字口令也只需很短的时间。3. 在网上提供服务， 很难对错误 PIN 输入进行限制。 网络的信道故障或者人为的恶意行为都很容易使输错口令次数达到限制。错误次数限制会给合法的用户带来了很大的不便。因此，传统的口令验证难以成为网上银行业务的唯一身份认证技术。在网络应用中，目前采用较多的方法是动态口令（例如Kerberos ），令牌卡和数字证书认证技术。这些技术配合口令机制

17、，就称为双因子身份认证技术。SSL协议是采用最为广泛的数字证书身份认证技术。它不但可以解决身份认证，也解决了数据保密问题，所以目前大部分网上应用，包括网上银行都采用SSL技术来实现身份认证。简单地说，SSL就是在传输数据前， 服务器和客户双方通过数字证书进行 “握手”，验证对方的数字证书是否合法，并且约定一个临时的会话密钥，对接下来要传输的数据进行加密。SSL V2.0 不支持客户证书，客户可以通过验证服务器的证书来判断服务器的合法性，服务器则无法验证客户的证书，通常服务器仍然通过口令验证客户的身份， 由于口令在传输时已经被加密，所以安全性有了很大的提高。 SSL V3.0 对 V2.0 进行

18、了扩展，支持客户证书，这时服务器就可以验证客户的证书， 只有那些拥有合法证书的用户才能继续保持与服务器的连接，如果配合口令验证，就成为双因子身份认证。 采用数字证书的安全体现在私钥的安全，只要私钥不被窃取， 数字证书就是安全的， 而通过蛮力攻击法攻破私钥的可能性是不存在的。下表是数字证书同传统口令模式的身份验证在性能上的比较：口令方式数字证书方式用户登录时口令在公开网络上传私钥由用户保存，只需公布其公钥。输，有可能泄密私钥永远不会在公开网络上传输，而且从公钥无法推导出私钥口令一旦泄密，所有安全机制即用户私钥可以存放在USBKEY中并失效有口令保护，安全性更高服务器需要维护庞大的用户口令服务器使

19、用数字证书验证用户身列表并负责口令保存的安全份，不保存用户的私钥，所以用户私钥不可能在服务器端泄露与传统方法一致，易于理解技术较新，普通用户理解略有难度对于企业银行， 由于数据安全性要求较高， 所以应该采用数字证书身份认证加上口令认证的双因子身份认证技术。每个企业用户应该申请一张数字证书，当企业用户上网进行账户查询时，通过 SSL建立安全连接。 网上银行系统首先验证该用户的数字证书是否为合法证书。然后将查询请求和口令一起发送给业务前置机，由银行业务主机对口令再次进行认证。企业用户的身份验证过程和CA不可分割。当服务器通过SSL获得用户证书后，服务器应用程序还要到CA服务器检索该证书是否在废止证

20、书列表之中。图2 显示了企业用户身份验证的完整过程。图2 是网上银行企业用户的口令验证方式。对于个人用户， 考虑到使用的方便性更为重要，可以采用 SSLv2.0 方式对口令加密进行身份验证，因此用户不需要申请证书，只需要记住口令就行。2.2.2数据加密Web应用数据加密的方案除了SSL以外，并没有太多可供选择的方案。除了采用数字证书身份认证方案以外，SSL的另一个优点是在建立握手以后，对客户和服务器之间的所有数据均采用对称算法进行加密，对称算法的加密效率比较高，所以对性能不会造成很大的影响。另外 SSL采用了会话密钥的机制， 每次握手时约定一个会话密钥，会话结束，密钥立刻失效， 最大程度上保证

21、了数据的保密性。由于采用了SSL 技术， Web应用的开发也大为简化，Web服务器应用程序可以把与查询状态有关的信息都保存在Cookie 中，而不必担心 Cookie 的安全问题。银行业务主机CA 服务器3 。银行业务主机2。证书提交 CA 服务器，检验是否已再对口令进行验经作废证Web 服务器1 SSL 服务器代建立 SSL 握手理验证用户证书本身的合法性表单 递交口令用户图 2 用户身份验证示意图2.3 网上支付和转账网上支付和转账在查询的基础上进一步给用户提供了方便，用户可以在网上进行支付、 转账从而达到交易的目的，就目前而言，国内很多网上银行系统已经开通了如下支付和转账业务：定期账户转

22、活期活期账户转定期活期账户转活期信用卡账户转信用卡账户公用事业费代缴企业转账证券资金账户转账特约商户网上支付和查询相比， 支付和帐户转帐的安全需求更高，除了必须具备查询所需要的安全性之外，还需要应该提供数据完整性和不可否认性。2.3.1数据完整性所谓数据完整性就是指用户在支付指令和转账指令中所填写的数据必须保持完整，不能在公开网络上被其他用户无意或恶意地修改。SSL由于对整个数据链路进行了加密， 所以在一定程度上能够保证完整性，但是公开网络上的数据加密对完整性的保护只是局部的，一旦数据被解密后依然存在着被更改的可能。所以正确的方案应该采用数字签名机制，由用户使用自己的数字证书对支付指令或转账指

23、令进行签名， 同时签名数据被永久保存， 只有这样才能真正避免数据完整性被破坏，签名是对用户私钥对数据摘要 （又称指纹）的加密，数据发生变化时，数据摘要也必定发生变化。 如果将原先的数字签名解密，就很容易发现两段数据摘要不符。2.3.2不可否认性不可否认性是指指令发出者不能在事后否认曾经发出该指令。这对于规范业务，避免法律纠纷起着很大的作用。 传统地，不可否认性是通过手工签名完成的，在网上银行，不可否认性是由数字签名机制实现的。由于私钥很难攻击，其他人（包括银行）不可能得到私有密钥。所以用私钥对交易指令的摘要签名后， 就保证了该用户确实是发出了该指令。将签名数据作为业务数据的凭证，在业务成功后就

24、开始保障不可否认性。不可否认性可以保证每个帐户用户的转帐过程具有法律效力。对于个人银行业务来说， 转账金额比较小，风险相对较低，所以在双方都认可的情况下，没有数字签名的支付和转账的指令也是可以接受的。但是对于企业用户和进行证券转账的个人用户来说，转账金额大，风险大，指令必须附带签名数据，在签名数据验证通过以后才能真正进行支付或转账。有四种方案可以实现用户签名：1. 专用客户端软件：例如电子钱包，这类软件通常是一个浏览器的插件（ PlugIn ），在用户填好支付指令或转账指令并发送给服务器以后，服务器用某种协议规范化该指令，并作为唤醒消息的参数返回给用户，这时插件被激活，用户的指令在插件程序中再

25、次被显示，此时用户可以对这段指令进行数字签名。许多 SET应用的实现采用了这种方案，这种方案的主要缺点是效率比较低，同一段数据需要被来回传送两次。另外不同的应用可能需要开发不同的插件， 对用户和系统开发者来说都增加了额外的负担。2. 表单签名技术： Netscape 公司发明的一种技术，在其浏览器中已经支持，通过调用 Java 脚本实现对表单域内容的签名，这种方案虽然没有方案 1 的缺点，但是其实现与浏览器相关。而且签名数据形式比较固定，不利于开发新的应用，所以很少采用。3. Java 方式：这种方式是采用客户端脚本的一类方式，用户在填好支付指令或转账指令时，点击“发送”按钮，浏览器脚本或Ap

26、plet 开始运行，调用系统的加密模块对表单中的数据进行签名，并把签名结果一起发送给服务器应用程序。这种方案克服了第一种方案的缺点，但是需要浏览器支持对应的脚本语言。因为Java 具有较大的代表性，所以称为 Java 方式。另外用户必须安装具有COM接口的加密模块。4.XML Signature方式：这时目前最有希望的一种技术，IETF 组织正在准备将这项技术确立为标准。它通过在网页中嵌入一段XML，浏览器或其他客户端程序在处理XML时自动将数据签名。 由于 XML在保存和传输数据标准化方面的优越性，这项技术正在成为微软和SUN公司竞争的焦点。从以上方案比较可以看出， 方案 3 和方案 4 与

27、前两种相比，机制灵活， 应用开发方便，具有较大的优势。第3章方案设计原则方案在设计时，严格遵循下述基本原则，在方案中给出了具体的保证措施。1 安全性 ：充分保证系统的安全性， 使用的网络安全产品和技术 方案在设计和实现的全过程中，都必须有具体的措施来充分保证其各个方面的安全应用。2 可靠性 ：对于产品，质量是保证可靠性的基本因素，对于项目实施过程，严密的组织和严格的管理是保证系统可靠性的条件。3 先进性 ：具体技术和技术方案的先进性。4 可推广性 ：设计方案、采用的技术及其操作流程应该支持网上规模化的扩充，易于广泛推广。5 可扩展性 ：网络技术和电子商务技术的发展和变化非常迅速，方案和采用的技

28、术必须具有良好的可扩展性，充分保护当前的投资和利益。6 客观性 ： 坚持正确的商业精神，以负责的态度，严谨、审慎、科学、客观地做出分析和设计。在方案实施过程中全力以赴，以一丝不苟的敬业精神按期完成各项任务。第4章 网银系统安全防护方案为了网银系统的高可用性，网络层的安全防护是必不可少的措施，在链路、设备多个层次上实现链路冗余、多机集群、负载均衡等各项措施。因此，网络安全防护建设要进行必要的安全区分界点控制、敏感行为检测、关键数据记录、网页防篡改等部署网络安全防护建设将从边界访问控制、病毒防护、防拒绝服务攻击、入侵检测与保护、行为审计、网页防篡改等多个层面展开。4.1 边界访问控制银行系统的边界

29、之内包含多个局域网以及计算资源组件。边界环境是比较复杂的。如果在边界没有一个可集中控制访问请求的措施，很容易被恶意攻击者或其它企图人员利用这些边界进行非法入侵。入侵者可以利用多种入侵手段，如获取口令、拒绝服务攻击、SYNFlood 攻击、 IP 欺骗攻击等等获取系统权限，进入系统内部。所以需要对边界部署访问控制系统，有效地监控内部网和公共网之间的活动，并对数据进行过滤与控制，保证内部网络的安全。防火墙可以有效的防止内部的信息系统遭受外部的攻击。它划定了一个边界，使经认证的局域网用户、 管理员、独立工作站和单机用户可以安全的访问不可信的外部网络或接受这些外部网络的访问；它使边界中的所有成员都可以

30、有效的防止未授权系统的侵入、避免数据被修改和删除、避免资源被窃取、抵抗拒绝服务等攻击；处在防火墙边界的用户使用的安全连接，数字处理、信息的传输和存储都受到保护。启明星辰天清汉马USG防火墙子系统基于状态检测技术， 利用状态检测技术可以对报文进行深度分析和处理， 相对于静态包过滤具有更高的安全性和更加优异的性能，即使在增加上万条安全策略的情况下，也不会降低防火墙的网络性能。可以对网络数据进行细粒度的过滤，过滤条件包括：源接口目的接口协议类型（ ICMP/TCP/UDP）源地址目的地址服务类型报文通讯时间以上条件构成了USG对一个具体业务流的判断， 在此基础上， 用户可以定义针对具体业务流的安全策

31、略，包括：允许通过、需要认证通过、阻断、建立VPN隧道等。作为一体化的安全网关产品， 启明星辰天清汉马USG为客户提供的丰富的安全能力，为减少用户的维护工作量， 所有安全能力均可在防火墙安全策略中引用。4.2 病毒防护防病毒必须立足于系统全网的角度，除了在终端部署放病毒产品控制病毒对终端的破坏，更应该在网络中部署安全产品，控制病毒的传播。目前病毒的发展主要呈现以下几个趋势，通过了解这些背景情况， 将有助于了解防病毒体系的技术要求。病毒与黑客程序相结合：随着网络的普及和网速的提高，计算机之间的远程控制越来越方便，传输文件也变得非常快捷，正因为如此，病毒与黑客程序（木马病毒）结合以后的危害更为严重

32、，病毒的发作往往伴随着用户机密资料的丢失。病毒的传播可能会具有一定的方向性，按照制作者的要求侵蚀固定的内容。蠕虫病毒更加泛滥：其表现形式是邮件病毒会越来越多，这类病毒是由受到感染的计算机自动向用户的邮件列表内的所有人员发送带毒文件，往往在邮件当中附带一些具有欺骗性的话语，由于是熟人发送的邮件，接受者往往没有戒心。因此，这类病毒传播速度非常快，只要有一个用户受到感染，就可以形成一个非常大的传染面。病毒破坏性更大：计算机病毒不再仅仅以侵占和破坏单机的资料为目的。木马病毒的传播使得病毒在发作的时候有可能自动联络病毒的创造者，或者采取DoS（拒绝服务）的攻击。一方面可能会导致本机机密资料的泄漏，另一方

33、面会导致一些网络服务的中止。而蠕虫病毒则会抢占有限的网络资源，造成网络堵塞。制作病毒的方法更简单：由于网络的普及， 使得编写病毒的知识越来越容易获得。同时，各种功能强大而易学的编程工具让用户可以轻松编写一个具有极强杀伤力的病毒程序。用户通过网络甚至可以获得专门编写病毒的工具软件，只需要通过简单的操作就可以生成破坏性的病毒。病毒传播速度更快，传播渠道更多：目前上网用户已不再局限于收发邮件和网站浏览，此时，文件传输成为病毒传播的另一个重要途径。随着网速的提高，在数据传输时间变短的同时，病毒的传送时间会变得更加微不足道。同时，其它的网络连接方式如ICQ、IRC 也成为了传播病毒的途径。病毒的实时检测

34、更困难：众所周知，对待病毒应以预防为主，如果发生了病毒感染，往往就已经造成了不可挽回的损失， 因此对网上传输的文件进行实时病毒检测成了亟待解决的重要问题。建议在内部服务器及客户端上部署防病毒产品，同时在网关边界部署防病毒网关，启明星辰天清汉马USG内置防病毒网关，可以有效的控制病毒的传播。4.3 防拒绝服务（ DOS）攻击DoS的攻击方式有很多种， 最基本也是危害最大的的DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应。DDoS攻击手段是在传统的DoS 攻击基础之上产生的一类攻击方式。单一的DoS攻击一般是采用一对一方式的，当攻击目标CPU速度低、内存小或

35、者网络带宽小等等各项性能指标不高它的效果是明显的。随着计算机与网络技术的发展，计算机的处理能力迅速增长，内存大大增加，同时也出现了千兆级别的网络，这使得DoS 攻击的困难程度加大了-目标对恶意攻击包的 消化能力 加强了不少，例如你的攻击软件每秒钟可以发送3,000 个攻击包，但我的主机与网络带宽每秒钟可以处理10,000 个攻击包，这样一来攻击就不会产生什么效果。这时侯分布式的拒绝服务攻击手段（ DDoS）就应运而生了。 你理解了 DoS攻击的话，它的原理就很简单。如果说计算机与网络的处理能力加大了10 倍，用一台攻击机来攻击不再能起作用的话，攻击者使用10 台攻击机同时攻击呢？用100 台呢

36、？ DDoS就是利用更多的傀儡机来发起进攻，以比从前更大的规模来进攻受害者。进而对目标网络或者主机造成最大的伤害。因为拒绝服务攻击者所发出的每个连接都是合法的，因此无法通过特征匹配来找到它并阻止它。 可以说连接控制是防止抵御拒绝服务攻击、以及蠕虫病毒泛滥、限制资源滥用的有效手段。启明星辰天清汉马USG可以通过如下手段控制连接异常：控制系统总连接数目控制系统总半连接数目基于协议的连接数控制基于地址的连接数控制4.4 入侵检测与保护随着信息化建设的不断发展、 核心应用业务迅速网络化以及互联网用户的飞速增长，我们面临的安全威胁也日益增多和复杂，建设一个实时有效的网络安全防护系统，是保障业务正常进行的

37、必然前提。传统上，我们用防火墙来抵御攻击，但随着威胁的不断发展，威胁的层次在不断提升。根据相关统计显示，现阶段70%以上的攻击事件发生在传输层和应用层之间，我们称这类4-7 层上的攻击为深层攻击行为。传统的防火墙主要在1-3层，对 4 层以上的攻击显得力不从心。因此在深层防御方面存在较大的需求。深层攻击行为具有攻击频率高、攻击手段变化快，攻击过程隐蔽等特点。在这种背景下， 为了实现对深层攻击的防御，弥补防火墙等传统安全网关设备的不足，入侵检测系统（IDS）应运而生。入侵检测系统以旁路方式部署，实时分析链路上的传输数据，对隐藏在4-7 层特别是应用层的攻击行为进行检测，专注的是深层防御。准确的攻

38、击检测能力入侵检测系统对客户带来的价值体现在对攻击和可疑行为的及时发现和主动响应上，而实现及时的发现，就要求入侵检测系统拥有全面的攻击检测能力。启明星辰天阗网络入侵检测系统在对数据链路层到应用层的网络数据全面分析的基础之上，融合漏洞分析信息，可以对上报的攻击事件进行事先的预分析，达到精确报警的目的。此外，天阗网络入侵检测系统采用了启明星辰公司设计并实现的高效协议自识别方法 VFPR (Venus Fast Protocol Recognition)，该协议自识别方法基于协议指纹识别和协议规则验证技术实现，能够在网络协议通信初期根据前期网络报文特征自动识别所属协议类型，并采用预先建立的协议验证规

39、则进一步验证协议识别结果正确性。VFPR方法包括前期协议样本特征提取和在线协议识别两个阶段，其中，协议样本特征提取阶段包括协议类型样本的协议指纹提取和相应协议验证规则建立过程， 协议识别阶段包括协议指纹快速匹配和协议识别结果快速验证等过程方法。 VFPR方法的协议指纹识别过程基于快速哈希表方法实现，而协议验证规则执行过程基于高效的专用网络报文处理虚拟机实现。通过使用VFPR方法，对于一些采用非常规端口的协议也能实现及时的识别和检测。灵活的安全策略管理天阗网络入侵检测系统采用基于策略的防护方式，内置了多种默认安全策略集，用户可以根据需要选择最适合自己需要的策略，以达到最佳防护效果。除了默认的安全

40、策略集外， 天阗网络入侵检测系统系统还提供了向导式的策略管理方式，在策略集间还可实现与、或、并、交等逻辑操作，便于用户自定义选择最佳安全策略。对于初次使用天阗网络入侵检测系统的客户，系统还提供了动态策略调整的方式，可以根据预设事件发生的频率来自动调整使用的安全策略，从而实现减少日志量和自动修改事件风险级别。4.5 网络行为审计网络审计是信息安全的重要方面，它是实现安全事件的可追查性、不可否认性的重要数据环节。对于银行系统由于数据来源多、数据量大、数据类型复杂，将面临大量的攻击事件， 内部违规事件等。 良好的安全审计能力是分析银行系统安全状况的必要条件。银行系统对于内部违规操所面临的问题主要表现

41、在：内部人员操作安全隐患随着企业信息化进程不断深入，企业的业务系统变得日益复杂，由内部员工违规操作导致的安全问题变得日益突出起来。防火墙、防病毒、入侵检测系统等常规的安全产品可以解决一部分安全问题，但对于内部人员的违规操作却无能为力。根据最新统计资料，对企业造成严重攻击中的70是来自于组织里的内部人员。第三方维护人员安全隐患企业在发展的过程中， 因为战略定位和人力等诸多原因，越来越多的会将非核心业务外包给设备商或者其他专业代维公司。如何有效地监控设备厂商和代维人员的操作行为 , 并进行严格的审计是企业面临的一个关键问题。严格的规章制度只能约束一部分人的行为， 只有通过严格的权限控制和操作审计才能确保安全管理制度的有效执行。最高权限用户安全隐患一般来说，我们都是从各种系统日志里面去发现是否有入侵后留下来的“蛛丝马迹” 来判断是否发生过安全事件