首页财经股票大盘个股新股行情港股美股基金理财黄金银行保险私募信托期货社区直播视频博客论坛爱股汽车房产科技图片

银行网络全面检测与精确阻断

2007年09月19日 08:25 来源: 金时网-金融时报 【字体:


  如今,国内银行全面进入业务系统整合的全新发展阶段,银行卡、网上银行、电子商务、网上证券交易等新一代业务系统迅猛发展,不少银行开始将部分业务放到互联网上,未来几年内将迅速形成一个以基于TCP/IP协议为主的复杂的、全国性的网络应用环境。但是,在电子化给银行带来利益的同时,也给银行带来了新的网络安全问题,并且,这个问题显得越来越紧迫——来自外部和内部的信息安全风险不断增加,对银行信息系统的安全性提出了更高的要求。国内银行迫切需要建设主动、深层、立体的信息安全防范体系,以保障业务系统的正常运转,保障银行经营使命的顺利实现。  

  不少银行在建立安全架构的时候,都先后遇到了一个相似的问题:为防范恶意攻击、降低安全风险,是应该使用入侵检测产品(IDS),还是入侵防护产品(IPS)。实际上,银行作为金融机构的代表,很早就已经开始使用入侵检测,来实时了解网络风险了。随着近几年入侵防护技术的出现,银行在面对使用入侵检测,还是入侵防护的时候,开始犹豫不决。  

  从2003年 Gartner公司副总裁Richard Stiennon发表的《入侵检测已寿终正寝,入侵防御将万古长青》报告引发的安全业界震动至今,关于IDS与IPS之间关系的讨论已经趋于平淡。2006年IDC年度安全市场报告明确指出,IDS与IPS是两个独立的市场,给这个讨论画上了一个句号。可以说,目前无论是从业于信息安全行业的专业人士还是普通用户,都认为IDS与IPS是两类产品,并不存在IPS要替代IDS的可能。但由于IPS的出现,给银行带来新的困惑:到底什么情况下该选择IDS,什么时候该选择IPS呢?一些银行在进行这类安全产品选择的时候,在产品类型上写着“入侵检测系统或者入侵防御系统”。这说明银行还不能确定到底使用哪种产品,显然是因为对两类产品的区分不够清晰所致。其实,从产品价值以及应用角度来分析就可以比较清晰的区分和选择两类产品。  

  从产品价值角度讲,IDS注重的是网络安全状况的监管。银行进行网络安全建设之前,通常要考虑信息系统面临哪些威胁;这些威胁的来源以及进入信息系统的途径;信息系统对这些威胁的抵御能力如何等方面的信息。在信息系统安全建设中以及实施后也要不断地观察信息系统中的安全状况,了解网络威胁发展趋势。只有这样才能有的放矢地进行信息系统的安全建设,才能根据安全状况及时调整安全策略,减少信息系统被破坏的可能。IPS关注的是对入侵行为的控制。当银行明确信息系统安全建设方案和策略之后,可以在入侵防御系统中实施边界防护安全策略。与防火墙类产品可以实施的安全策略不同,入侵防御系统可以实施深层防御安全策略,即可以在应用层检测出攻击并予以阻断,这是防火墙所做不到的,当然也是入侵检测产品所做不到的。  

  从产品应用角度来讲,为了达到可以全面检测网络安全状况的目的,IDS需要部署在网络内部的中心点,需要能够观察到所有网络数据。如果信息系统中包含了多个逻辑隔离的子网,则需要在整个信息系统中实施分布部署,即每子网部署一个入侵检测分析引擎,并统一进行引擎的策略管理以及事件分析,以达到掌控整个信息系统安全状况的目的。而为了实现对外部攻击的防御,IPS需要部署在网络的边界。这样所有来自外部的数据必须串行通过入侵防御系统,入侵防御系统即可实时分析网络数据,发现攻击行为立即予以阻断,保证来自外部的攻击数据不能通过网络边界进入网络。  

  IDS的核心价值在于通过对全网信息的分析,了解信息系统的安全状况,进而指导信息系统安全建设目标以及安全策略的确立和调整,而IPS的核心价值在于安全策略的实施——对黑客行为的阻击;IDS需要部署在网络内部,监控范围可以覆盖整个子网,包括来自外部的数据以及内部终端之间传输的数据,IPS则必须部署在网络边界,抵御来自外部的入侵,对内部攻击行为无能为力。启明星辰公司的安全专家认为,面对三种不同的应用环境,银行可以根据自身的需求,进行最终的选择:若银行计划在一次项目中实施较为完整的安全解决方案,则应同时选择和部署入侵检测系统和入侵防御系统两类产品。在全网部署入侵检测系统,在网络的边界点部署入侵防御系统;若银行计划分布实施安全解决方案,可以考虑先部署入侵检测系统进行网络安全状况监控,后期再部署入侵防御系统;若银行仅仅关注网络安全状况的监控(如金融监管部门,电信监管部门等),则可在目标信息系统中部署入侵检测系统即可。  

  合理选择产品类型之后,下一个问题就是选择什么样的IDS与IPS才能最有效的发挥作用呢?专家表示,任何产品的开发应该围绕着核心产品价值展开,产品的各种能力都应该为核心产品价值服务。因此IDS应该是能够全面检测网络中各类安全事件,也就是说检测的全面性是考量入侵检测产品的优劣的主要标准;而IPS应该是能够精确阻断关键网络威胁,也就是说对关键网络威胁的防御能力以及防御的准确性是考量入侵防御系统优劣的主要标准。如今,一些新型的IDS产品能够全面检测出网络中的各类攻击以及网络异常情况,并通过入侵检测管理中心综合分析,可以及时有效地呈现出网络的安全状况,帮助银行进行下一步的安全建设或者安全策略的调整。而最新的IPS产品研发目标即锁定为“精确阻断”,可以精确的阻断DOS/DDOS、溢出攻击、网络嗅探扫描、蠕虫病毒等各类关键网络攻击,尤其是其区别于其他同类产品的抗SQL注入攻击模块,可以阻断当前最流行也是最难判断的SQL注入攻击。(记者 潘竑)  

  

评论区查看所有评论

用户名: 密码: 5秒注册