网上银行目前已成为商业银行业务创新、渠道拓展以及竞争力提升的重要手段,网银业务因其较低的经营成本,方便快捷的交易途径,已对传统柜面营业网点形成了明显的替代效应。与此同时,网上银行面临的安全威胁形势依然比较严峻,其中比较常见的安全威胁主要是来自互联网的扫描探测、拒绝服务攻击、网络钓鱼攻击、网页篡改、URL劫持、蠕虫病毒等恶意代码的侵袭等,而且安全威胁越来越集中于应用层,如SQL注入、跨站脚本(XSS)攻击等。严重的攻击威胁可能会对网上银行业务带来以下一些影响:
网银业务中断。由于黑客对网银系统发起拒绝服务攻击,尤其是比较隐蔽的诸如TCP半连接攻击等,大量消耗WEB服务器资源,导致用户无法访问网站及网银系统。
账号、密码以及资金被盗。入侵者可能通过恶意SQL命令的执行,获取数据读取和修改的权限;XSS攻击则将目标指向了Web业务系统所提供服务的客户端以及系统管理员,从而获得管理员权限,控制网银网站,或窃取网银用户账号密码等信息。
网站页面被篡改。网银业务赖以运转的网络设备、操作系统、应用软件等都会不可避免的出现一些安全漏洞,攻击者可能利用这些安全漏洞对网银系统发起攻击,篡改网站页面,对商业银行将带来不良的社会影响。
到底该如何对网上银行的攻击进行深层次安全防御?天融信基于多年来银行安全建设经验以及对网银业务的深刻理解,采用天融信TopIDP3000系列高端入侵防御设备,针对商业银行网上银行安全提出了深层次防御方案,对来自互联网的访问数据进行深层次检测与防护。天融信TopIDP3000系列高端入侵防御设备采用先进的多核处理器硬件技术,集成入侵检测与防御、病毒过滤、流量管控和URL过滤等功能,通过新一代并行处理技术,设置检测与阻断策略对流经TopIDP的网银访问流量进行分析过滤,对异常及可疑流量进行积极阻断,从而提高网银系统的整体安全性。
该方案在网上银行互联网入口处部署专用的高性能入侵防御设备,采用串接的方式部署于网上银行互联网接入干路中,同互联网防火墙协同, TopIDP入侵防御设备主要负责对4-7层的攻击与威胁行为进行深度检测与防护,保障网银用户合法的应用访问请求,阻断非法的访问请求或恶意攻击行为,如下图所示:
图:天融信针对网上银行安全的深层次防御方案
方案优势
天融信网上银行安全深层次防护方案具有如下一些特点及优势:
灵活部署
天融信TopIDP支持混合部署模式,即可以采取在线串接部署模式,也可以采用旁路部署模式,充分发挥一机多用的效能,用户可根据实际需要将该TopIDP产品旁路部署于关键网络区域中交换机镜像端口,也可以部署于网络内部核心服务器前端,保护相应的网络资源。此外,在线串接部署时还支持透明、路由、NAT等模式,客户可根据实际需要进行细粒度配置。
高可用性设计
