“矛”与“盾”:网络安全架构
导读:作为专职与钱打交道的行业,银行业相比其他行业更加重视信息安全工作。各类网络攻击技术和手段层出不穷,除了如DDoS泛洪攻击这类网络层的攻击方式外,也有页面篡改、SQL注入、协议攻击等应用层攻击,还有利用组件漏洞或系统后门等攻击方式。对银行系统而言,网络攻击事件不仅可能造成服务降级、响应缓慢、业务中断等业务连续性影响,还可能导致用户数据泄露、数据破坏甚至资金损失等风险。
作者:李丙洋,刘正配,罗丹,邹天涌
来源:华章计算机(hzbook_jsj)
在业务快速发展阶段,业务人员关注的是业务发展指标,企业架构也更多考虑的是快速响应业务导向的IT架构。在网络安全架构方面往往可能存在盲区,所以在IT系统架构设计过程中必须树立网络安全意识,构建完善的网络安全管理体系、技术体系和运营体系,为我们的金融IT环境构建全方位的纵深防御。由于行业的特殊性,对于安全问题的容忍度很低,出现安全事件后的社会舆论和处置压力都很大,因此,银行业对网络安全方面的工作要求相比其他行业会更高,同时对在开展具体工作所需要技能的深度和广度也有一定要求,必须在方方面面做好统筹规划和跟踪落地实施。
1
金融网络安全要求
银行是受强监管的金融机构,所以其在进行商业活动中也必须符合监管机构的指引及管理规定,满足金融行业合规要求。包括《商业银行数据中心监管指引》《商业银行业务连续性监管指引》《金融行业信息系统信息安全等级保护实施指引》《网络安全法》等法律法规均对信息安全有明确要求。
以《中国人民银行计算机安全管理暂行规定》中的相关要求为例:
“第六十一条 内联网上的所有计算机设备,不得直接或间接地与国际互联网相联接,必须实现与国际互联网的物理隔离。”
“第七十五条 计算机信息系统的开发环境和现场应当与生产环境和现场隔离。”
“第八十八条 计算机信息系统的使用部门应当加强计算机系统运行环境的管理,加强对计算机病毒的防治,保证系统安全运行。”
在网络架构设计和安全体系建设中,我们需要以监管文件要求为指引,进行网络分区和区域硬件隔离,禁止应用服务直联互联网等。银行合规管理除了满足监管机构的硬性要求外,同样也为企业信息安全建设指明方向。
是不是只要满足合规要求就可以了呢?这个问题是需要很多信息安全人员思索的。在信息安全工作开展过程中,不乏有安全人员以满足合规要求为目标,这个设定有待商榷。合规仅仅是银行业信息安全的最基本要求,信息安全建设要在此基础上进一步思考企业自身的内控管理和风险管理。
下面将从网络安全体系及网络安全技术两个方面对网络安全架构进行阐述。
2
金融网络安全体系
说到网络安全,有人马上会说出一堆安全设备和安全防护技术,他们以为使用了这些先进的设备和技术就可以高枕无忧,但这往往是一个误区。我们知道所有的网络攻击都是由人发起的,无论他们基于何种目的。所以在整个信息安全体系中,“人”才是关键。
如图1所示,网络安全体系建设可以从安全管理、安全防护和安全运营三个方面进行思考,三者相辅相成,共筑企业安全防护长城。
01 安全管理
试问,有没有一种一劳永逸的方法可以保证我们网络环境的绝对安全?我们希望有,但很遗憾这是不可能的。所谓永恒不变的是变化,安全态势一直处于持续演进的过程中,须建立PDCA持续改进机制,服务于网络安全管理全生命周期。PDCA是计划(Plan)、执行(Do)、检查(Check)、处理(Act)的循环。在安全管理过程中,需要按照计划、执行、检查、处理四个持续循环的顺序执行各项工作,将成功的部分纳入标准,不成功的部分留到下一循环去解决,以此不断增强信息安全治理水平。安全管理还包括内控合规管理和安全标准管理。
图1 网络安全体系
内控合规管理的目标是建立内控合规的长效安全管理机制,对外以符合监管要求为目标,对内实现IT风险可控。内控合规管理包含安全制度管理、安全事件管理、信息科技风险管理和业务连续性管理,目的是为企业指明安全体系建设方向,为企业指引安全事件处置流程,为业务连续性运行提供基础条件。
安全标准管理更多涉及安全操作,包括安全基线管理、研发过程安全管理和监查审计管理,它明确了现阶段安全标准明细、研发过程中安全相关内容和监查审计制度等内容。
02 安全防护
安全防护主要是通过安全防护技术实现自下而上的各个层级的技术防护,涉及物理层安全、系统层安全、数据层安全、网络层安全、接入层安全、应用层安全和业务层安全,具体措施如下。
(1)物理层安全
严控IDC及办公环境进出规则,保障物理设备及数据存储介质安全。
(2)系统层安全
通过病毒防护对所有主机的防病毒软件进行集中监控、管理,可进行批量病毒扫描、查杀和升级;通过页面防篡改对面向互联网访问系统及前置代理部署防篡改系统,非授权无法进行文件更新、系统发布;通过系统安全基线落实操作系统安全基本要求;通过定期漏洞扫描发现操作系统及部署应用漏洞;通过日志审计对操作系统日常操作做记录、审计,评估高危风险操作合理性。
(3)数据层安全
通过数据库审计系统进行数据库操作细颗粒度合规管理、攻击检测、攻击阻断,全面消除数据被窃取、篡改、删除等安全隐患;通过签名验签服务保证通信双方可信;通过加密机实现可靠的密钥管理及数据加解密服务;通过水印技术防止敏感信息以拍照、截屏方式泄露。
(4)网络层安全
网络访问控制。通过划分安全域,严格执行安全域间访问控制,区域之间采用硬件防火墙进行访问隔离,防火墙配置为默认拒绝所有访问策略,以白名单形式仅对经过审批的明细策略开通跨区域互访;通过终端绑定硬件特征码保证访问唯一性;通过访问授权保证所有访问均有安全认证和授权,并保障生产操作有审批、操作过程可审计。
防护系统部署。部署漏洞扫描入侵检测系统,实施监控全网网络风险,发现问题能够及时告警。部署WAF设备、入侵防御系统和防拒绝服务攻击系统,实时检测攻击的发生并主动防御。
防火墙隔离。通过硬件防火墙限制域间非授权访问,通过软件防火墙限制系统间非授权访问。集成在SDN网络技术中的虚拟防火墙,不局限于网络源和目标的IP地址、端口、协议进行安全控制。区别于传统硬件防火墙,虚拟防火墙以单台服务器为防护对象,可以构建水平扩展的分布式虚拟防火墙,提供细颗粒度的访问控制,在系统间进行二次隔离。同时可以基于同构的虚拟防火墙实现自动化、程序化快速部署安全策略。
传输安全。访问数据全部通过SSL加密,应用系统可实现进一步用户鉴权。
(5)接入层安全
进行访问接入方身份认证,以IP白名单、专线、VPN方式明确访问银行应用系统的个人、机构身份。
(6)应用层安全
通过配置中间件安全基线保障中间件基本安全;通过三方组件检测保障使用的三方组件可被信任;通过移动端应用加固,消除移动端应用存在的风险及漏洞,使移动端应用具有防逆向破解、防篡改攻击、防数据窃取的能力。
(7)业务层安全
通过防撞库的人机识别、页面混淆技术防止撞库攻击;通过API网关防护技术进行ACL控制、Key认证和CC限速等防护;通过反爬虫技术规避无效访问。
03 安全运营
安全运营是指从安全运维、安全监测、安全服务方面“三管齐下”,建立完善的安全运营体系。安全运维主要面向日常运维操作,包括安全问题处理、安全资产管理和安全验证工作。安全监测是实时检测和了解现网安全状况,通过全流量监控、日志审计监测、态势感知监测等平台,对安全状况做到心里有数,在第一时间获取安全问题告警。安全服务主要是合理地使用第三方安全技术支持能力,借助安全咨询公司的能力构建企业自身安全防护体系,并通过定期或不定期发起模拟攻击,发现隐患、解决隐患,逐步完善安全保障体系。要确保全行信息系统内外部不发生安全事件,即使在发生安全事件时也能够快速感知、快速处理,减少安全事件带来的资金及声誉影响。
3
金融网络安全技术
网络安全技术涉及从物理层到业务层的各个层面,贯穿产品设计到产品上线运营的全流程。现阶段网络攻击的方式和种类也随着互联网技术的发展而不断迭代,做好网络安全防护的前提是我们要对网络攻击有充分的了解。下文将抛砖引玉对常见的网络安全攻击及防御技术进行简单介绍。
01 防拒绝服务攻击
拒绝服务攻击可以理解为攻击者以消耗被攻击者可用资源为手段,以达到网络资源和系统资源消耗殆尽为目的,从而使被攻击者无法响应正常的业务请求。拒绝服务攻击是黑客常用的攻击手段之一,一般我们把拒绝服务攻击分为网络资源类和系统资源类。
网络资源类攻击是攻击者发起大量耗费网络资源的请求,使被攻击者网络资源耗尽,致使合法用户无法正常请求。一般攻击者会控制成千上万的“肉鸡”(傀儡机,即可以被黑客远程控制的机器)在同一时间发起如批量下载等耗费网络带宽资源的请求,以达到攻击目的。
系统资源类攻击指攻击者消耗大量计算机系统资源,致使系统无足够资源响应正常的合法请求。常用攻击手段有SYN Flood、死亡之PING、Teardrop泪滴攻击、Land攻击、Finger炸弹、Smurf攻击 和UDP攻击等。
以SYN Flood攻击为例,SYN Flood利用TCP三次握手协议实现攻击。如图2所示,左侧为正常的三次握手,客户端发起SYN请求、服务端响应SYN+ACK、客户端再回应ACK,这样三次握手就建立完成。SYN Flood攻击则是攻击者在收到服务端响应的SYN+ACK回应后,不对此回应做ACK响应,此时服务端处于TCP半连接状态,一直等待客户端ACK响应直到SYN超时,通常SYN超时时间为0.5~2分钟。服务端会维护半连接列表,当大量SYN Flood攻击时会导致服务端TCP/IP堆栈溢出。
图2 SYN Flood攻击
对于拒绝服务攻击的防护:一是使用电信运营商DDoS服务,运营商具有互联网高带宽,配合流量清洗设备,可以在运营商侧抵御来自互联网的各种拒绝服务攻击;二是在互联网前置区域内部部署抗DDoS防火墙、黑洞等设备对恶意攻击进行流量清洗,防御Flood等攻击;三是优化系统层参数限制,调整可使用的最大内存,增强操作系统TCP/IP栈及可以生成的最大文件数等。另外,对于网站类应用,通过把静态内容部署到CDN,也可以抵御部分DDoS攻击。
02 网络入侵检测系统
在互联网前置区域部署全流量入侵检测系统,可对互联网入口和出口的所有访问进行通信数据流的实时检测、分析,特别是对报文中涉及的敏感字段和网络活动中的异常情况进行检测。通过全网的实时检测、分析,能够及时发现违规行为并及时处理。网络入侵检测系统IDS系统可实现以下功能。
(1)应用层攻击特诊检测
应用层攻击通常会在请求URL、请求报文中带上攻击请求。通过应用协议分析技术可以实现应用层特诊检测,实时检测数据流中符合IDS攻击特诊库的攻击行为;通过匹配可以识别为应用层攻击,从而进行检测通知、主动防护。为确保能够检测到最新的攻击事件,IDS特征库需要定期更新。
(2)异常检测
通过对特定时间间隔内出现的超流量、超链接的数据包进行检测,实现对DDoS、扫描等异常攻击事件的检测。
(3)SSL加密通信攻击检测
通过卸载SSL证书、解码通信数据,对加密报文进行分析、检测基于SSL加密通信的攻击行为,可以保护基于SSL加密访问的前置服务器的安全性。
需要注意的是,在部署IDS设备时,需要考虑合适的网络位置。为分析SSL加密后的通信数据,入口IDS部署可以放置在SSL卸载设备之后;为追溯攻击者源IP地址,建议部署在NAT地址转换设备之前。
03 入侵防御系统
在生产前置区与核心区之间部署入侵防御系统(IPS),可作为防火墙的安全补充。防火墙可以通过IP、端口五元组进行访问控制,但无法识别和阻隔对合法IP地址和端口的攻击行为。IPS工作在第2~7层,深入网络数据内部,通常使用特征库匹配和异常分析等方法来识别网络攻击行为,能够及时中断、调整和隔离具有攻击性的网络行为,并产生日志报告报警信息。
04 漏洞扫描系统
漏洞扫描系统主动进行网络探测、主机探测、端口探测扫描和硬件特性及版本信息检测。通过漏洞扫描可以了解主机操作系统、网络设备版本和配置,以及安全设备、数据库、中间件和应用组件等资产的安全状态信息。通过匹配在线最新漏洞库,可检测并匹配内网环境CVE、OWASP等漏洞类型,并提供相应解决方案。
05 数据库审计系统
数据库审计系统主要用于监视并记录对数据库服务器的各类操作行为,通过对网络数据的分析,实时、智能地解析对数据库服务器的各种操作,并记入审计数据库中以便日后查询、分析、过滤,实现对目标数据库系统用户操作的监控和审计。
06 防篡改系统
针对Web应用及静态资源部署防篡改系统,可避免因应用权限配置不当、恶意程序失察、脆弱方案控制等因素带来的风险。防篡改系统一般分为管理服务、发布服务、客户端服务,可防止静态文件被发布服务以外的任何方式修改,即使被修改也能被检测和立刻恢复。防篡改系统一般作为网站、H5页面等面向互联网应用系统的重要防护手段,可以有效阻止安全事件的发生。
07 威胁态势感知系统
在完成以上基础性防护、被动式响应安全体系建设后,需要建立完整的信息安全防护体系,需要化被动为主动,建立以大数据平台为基础的态势感知系统,从全局视角对安全威胁进行发现识别、理解分析和响应处理,做到安全风险预测。
4
小结
金融机构信息安全工作首先是要树立金融从业人员的安全意识,加强安全管理、安全监测,并运用安全态势感知、安全大数据分析和机器学习等技术,实现安全管理和安全技术双管齐下。安全工作需要嵌套在设计、开发、测试、运维全流程,贯穿应用产品研发全生命周期。正所谓“道高一尺、魔高一丈”,安全工作需要实践PDCA持续改进方法论,不断发现和解决问题,构建完善的安全管理、安全技术、安全运营的安全体系。
本文摘编于《中小银行运维架构:解密与实战》,经出版方授权发布。