商業銀行主動式網絡安全防御探討范文

本站小編為你精心準備了商業銀行主動式網絡安全防御探討參考范文，愿這些范文能點燃您思維的火花，激發您的寫作靈感。歡迎深入閱讀并收藏。

《中國金融電腦雜志》2015年第一期

一、主動式網絡安全聯動機制

傳統的網絡防護技術及產品在保障網絡安全時發揮著各自的作用，但網絡安全不是孤立問題，依靠任何一款單一的產品無法實現，只有將不同廠商、不同功能的產品統一管理，使它們聯動運轉、協同工作，才能充分發揮整體最佳性能，全方位保障網絡安全。

1.聯動概念聯動指在一個系統的各個成員之間建立一種關聯和互動機制，通過這種機制，各個成員自由交換各種信息，相互作用和影響。在主動式網絡安全防御體系中，聯動是一種新型的網絡防護策略。通過聯動策略，防火墻、入侵檢測系統、反病毒系統、日志處理系統等安全技術和產品在“強強組合，互補互益”的基礎上，充分發揮單一產品的優勢，構建最強的防御系統。

2.傳統聯動模型網絡安全聯動機制中較為完善的安全聯動模型有TopSEC模型、入侵檢測產品、防火墻聯動模型和基于策略的智能聯動模型，下面主要介紹基于策略的智能聯動模型（如圖1所示）。該模型中防火墻、VPN、IDS等安全部件，通過智能進行整合，經過部件關聯、智能推理傳送給聯動策略引擎，再根據事先設定好的策略進行聯動，并將最終的策略應用到防火墻、VPN、IDS等安全部件中。

3.主動式網絡安全聯動模型通過部署誘騙系統，吸引攻擊者，記錄攻擊行為，進而分析新型攻擊的特點。同時，通過聯動機制，使模型中的各安全部件協同工作，最終發揮主動性聯動優點，構建一個自適應、動態的主動式防御系統。其中，蜜罐技術是防御體系內各安全部件實現主動式聯動的核心技術。（1）蜜罐技術蜜罐是一種安全概念，美國Project Honeypot研究組的Lance Spitaner將其定義一種安全資源，它的價值就在于被掃描、攻擊和摧毀。蜜罐可以是仿效的操作系統或應用程序，也可以是真實的系統或程序。通過蜜罐技術建立一個誘騙環境，吸引攻擊者或入侵者，觀察和記錄攻擊行為并形成日志，分析日志后追蹤、識別入侵者的身份，進而學習新的入侵規則，主動分析新型攻擊特點，不斷加固自身防御能力。（2）蜜罐技術實現方式如圖2所示，簡單的實現方式是將蜜罐置于防火墻內部，通過防火墻與外部網絡進行連接。蜜罐內部主要由網絡服務、數據收集和日志記錄模塊組成。網絡服務模塊將蜜罐偽裝成正常服務，吸引入侵者對其進行攻擊；數據收集模塊主要捕獲入侵者行為信息，用于分析攻擊者所使用的工具、策略以及攻擊目的等；日志記錄模塊將捕獲到的信息按照一定的格式生成日志文件，并記錄到日志服務器。（3）基于蜜罐技術的主動式安全聯動模型將蜜罐技術融合到傳統安全聯動模型，改進后形成的新模型，讓蜜罐技術處于整個系統的核心地位，使整個安全聯動模型由被動狀態轉變為主動狀態，利用蜜罐技術在整個系統中的自學習、自進化的特點，克服傳統安全聯動模型無法主動捕獲網絡攻擊行為、對未知攻擊防御能力不足的問題。基于蜜罐技術的主動式安全聯動模型（如圖3所示）由防火墻、蜜罐系統、防病毒系統、IDS、策略庫和聯動系統控制中心組成。該模型通過蜜罐誘騙系統不斷學習新的攻擊手段，將處理后形成的新規則及策略上傳至模型策略庫，通過聯動系統控制中心實現防火墻、IDS、反病毒等安全部件協同聯動，及時更新防火墻、防病毒策略和IDS的檢查規則。該模型較好地整合了各種安全防御產品的優點，借助于蜜罐技術“主動誘捕”的特點，提高了安全防御系統對于未知攻擊的捕捉能力。

二、網絡安全防御技術在數據中心的應用與展望

目前，國內大型銀行數據中心普遍使用的網絡安全防御技術是基于網絡監控參數基線的閾值預警方法和入侵檢測系統（Intrusion Detection Systems ，IDS）。閾值預警方法是在基線數值基礎上給予一定的冗余，計算出該監控參數的閾值數值，形成閾值線。當實際運行的數值超出閾值線，說明該監控參數運行異常，可以在事件發生之前提前干預，阻止事件發生，保障網絡服務連續性。這種防御技術支持動態改進，但出現誤報的幾率比較高。IDS主要通過監控網絡系統的狀態、行為以及使用情況，檢測系統用戶越權使用、系統外部入侵等情況。IDS具有一定的智能識別和攻擊功能，在檢測到入侵后能夠及時采取相應措施，是一項相對成熟的防御技術。但IDS主要通過特征庫判斷，面對新型攻擊無法識別，且攻擊識別只能在事中或事后階段進行，本質上仍然是被動防護。在入侵技術越來越成熟的形勢下，采用單一的網絡安全部件如IDS、防火墻、掃描器、病毒查殺、認證等已經滿足不了網絡安全防護的要求，將各種安全部件的功能和優點進行融合、實現聯動互補，進而發揮最大效力將成為必然趨勢。

與上述兩種現有防御技術相比，基于蜜罐的主動式網絡防御技術優勢明顯。基于蜜罐的主動式網絡聯動系統定義簡單，實力卻很強大，使用簡單設備和較少資源即可實現；能夠收集到小數據高價值信息，使得分析信息更容易，從中獲取的價值更大；能夠監控檢測、捕獲攻擊，降低傳統安全防御設備的誤報率和漏報率；適應能力強，可以在多種環境下使用。大型商業銀行數據中心網絡覆蓋范圍廣，若能將主動式網絡防御技術應用于實踐，實現由點及面、全方位檢測病毒動向，主動發現病毒威脅并自動采取應對方案，將有效解決本地和網絡入侵、外部非法接入等隱患，網絡安全防范將取得顯著成效。雖然目前還存在一些尚未解決的難點問題，但隨著新技術、新概念的引入和應用，主動式網絡安全防御將逐步走向實用化，在數據中心網絡安全防護中得到廣泛應用，成為應對網絡威脅的有力武器。

作者：李國金陳佳鶯單位：中國農業銀行股份有限公司數據中心