“矛”與“盾”:網(wǎng)絡(luò)安全架構(gòu)
導(dǎo)讀:作為專(zhuān)職與錢(qián)打交道的行業(yè),銀行業(yè)相比其他行業(yè)更加重視信息安全工作。各類(lèi)網(wǎng)絡(luò)攻擊技術(shù)和手段層出不窮,除了如DDoS泛洪攻擊這類(lèi)網(wǎng)絡(luò)層的攻擊方式外,也有頁(yè)面篡改、SQL注入、協(xié)議攻擊等應(yīng)用層攻擊,還有利用組件漏洞或系統(tǒng)后門(mén)等攻擊方式。對(duì)銀行系統(tǒng)而言,網(wǎng)絡(luò)攻擊事件不僅可能造成服務(wù)降級(jí)、響應(yīng)緩慢、業(yè)務(wù)中斷等業(yè)務(wù)連續(xù)性影響,還可能導(dǎo)致用戶(hù)數(shù)據(jù)泄露、數(shù)據(jù)破壞甚至資金損失等風(fēng)險(xiǎn)。
作者:李丙洋,劉正配,羅丹,鄒天涌
來(lái)源:華章計(jì)算機(jī)(hzbook_jsj)
在業(yè)務(wù)快速發(fā)展階段,業(yè)務(wù)人員關(guān)注的是業(yè)務(wù)發(fā)展指標(biāo),企業(yè)架構(gòu)也更多考慮的是快速響應(yīng)業(yè)務(wù)導(dǎo)向的IT架構(gòu)。在網(wǎng)絡(luò)安全架構(gòu)方面往往可能存在盲區(qū),所以在IT系統(tǒng)架構(gòu)設(shè)計(jì)過(guò)程中必須樹(shù)立網(wǎng)絡(luò)安全意識(shí),構(gòu)建完善的網(wǎng)絡(luò)安全管理體系、技術(shù)體系和運(yùn)營(yíng)體系,為我們的金融IT環(huán)境構(gòu)建全方位的縱深防御。由于行業(yè)的特殊性,對(duì)于安全問(wèn)題的容忍度很低,出現(xiàn)安全事件后的社會(huì)輿論和處置壓力都很大,因此,銀行業(yè)對(duì)網(wǎng)絡(luò)安全方面的工作要求相比其他行業(yè)會(huì)更高,同時(shí)對(duì)在開(kāi)展具體工作所需要技能的深度和廣度也有一定要求,必須在方方面面做好統(tǒng)籌規(guī)劃和跟蹤落地實(shí)施。
1
金融網(wǎng)絡(luò)安全要求
銀行是受強(qiáng)監(jiān)管的金融機(jī)構(gòu),所以其在進(jìn)行商業(yè)活動(dòng)中也必須符合監(jiān)管機(jī)構(gòu)的指引及管理規(guī)定,滿(mǎn)足金融行業(yè)合規(guī)要求。包括《商業(yè)銀行數(shù)據(jù)中心監(jiān)管指引》《商業(yè)銀行業(yè)務(wù)連續(xù)性監(jiān)管指引》《金融行業(yè)信息系統(tǒng)信息安全等級(jí)保護(hù)實(shí)施指引》《網(wǎng)絡(luò)安全法》等法律法規(guī)均對(duì)信息安全有明確要求。
以《中國(guó)人民銀行計(jì)算機(jī)安全管理暫行規(guī)定》中的相關(guān)要求為例:
“第六十一條 內(nèi)聯(lián)網(wǎng)上的所有計(jì)算機(jī)設(shè)備,不得直接或間接地與國(guó)際互聯(lián)網(wǎng)相聯(lián)接,必須實(shí)現(xiàn)與國(guó)際互聯(lián)網(wǎng)的物理隔離。”
“第七十五條 計(jì)算機(jī)信息系統(tǒng)的開(kāi)發(fā)環(huán)境和現(xiàn)場(chǎng)應(yīng)當(dāng)與生產(chǎn)環(huán)境和現(xiàn)場(chǎng)隔離。”
“第八十八條 計(jì)算機(jī)信息系統(tǒng)的使用部門(mén)應(yīng)當(dāng)加強(qiáng)計(jì)算機(jī)系統(tǒng)運(yùn)行環(huán)境的管理,加強(qiáng)對(duì)計(jì)算機(jī)病毒的防治,保證系統(tǒng)安全運(yùn)行。”
在網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)和安全體系建設(shè)中,我們需要以監(jiān)管文件要求為指引,進(jìn)行網(wǎng)絡(luò)分區(qū)和區(qū)域硬件隔離,禁止應(yīng)用服務(wù)直聯(lián)互聯(lián)網(wǎng)等。銀行合規(guī)管理除了滿(mǎn)足監(jiān)管機(jī)構(gòu)的硬性要求外,同樣也為企業(yè)信息安全建設(shè)指明方向。
是不是只要滿(mǎn)足合規(guī)要求就可以了呢?這個(gè)問(wèn)題是需要很多信息安全人員思索的。在信息安全工作開(kāi)展過(guò)程中,不乏有安全人員以滿(mǎn)足合規(guī)要求為目標(biāo),這個(gè)設(shè)定有待商榷。合規(guī)僅僅是銀行業(yè)信息安全的最基本要求,信息安全建設(shè)要在此基礎(chǔ)上進(jìn)一步思考企業(yè)自身的內(nèi)控管理和風(fēng)險(xiǎn)管理。
下面將從網(wǎng)絡(luò)安全體系及網(wǎng)絡(luò)安全技術(shù)兩個(gè)方面對(duì)網(wǎng)絡(luò)安全架構(gòu)進(jìn)行闡述。
2
金融網(wǎng)絡(luò)安全體系
說(shuō)到網(wǎng)絡(luò)安全,有人馬上會(huì)說(shuō)出一堆安全設(shè)備和安全防護(hù)技術(shù),他們以為使用了這些先進(jìn)的設(shè)備和技術(shù)就可以高枕無(wú)憂(yōu),但這往往是一個(gè)誤區(qū)。我們知道所有的網(wǎng)絡(luò)攻擊都是由人發(fā)起的,無(wú)論他們基于何種目的。所以在整個(gè)信息安全體系中,“人”才是關(guān)鍵。
如圖1所示,網(wǎng)絡(luò)安全體系建設(shè)可以從安全管理、安全防護(hù)和安全運(yùn)營(yíng)三個(gè)方面進(jìn)行思考,三者相輔相成,共筑企業(yè)安全防護(hù)長(zhǎng)城。
01 安全管理
試問(wèn),有沒(méi)有一種一勞永逸的方法可以保證我們網(wǎng)絡(luò)環(huán)境的絕對(duì)安全?我們希望有,但很遺憾這是不可能的。所謂永恒不變的是變化,安全態(tài)勢(shì)一直處于持續(xù)演進(jìn)的過(guò)程中,須建立PDCA持續(xù)改進(jìn)機(jī)制,服務(wù)于網(wǎng)絡(luò)安全管理全生命周期。PDCA是計(jì)劃(Plan)、執(zhí)行(Do)、檢查(Check)、處理(Act)的循環(huán)。在安全管理過(guò)程中,需要按照計(jì)劃、執(zhí)行、檢查、處理四個(gè)持續(xù)循環(huán)的順序執(zhí)行各項(xiàng)工作,將成功的部分納入標(biāo)準(zhǔn),不成功的部分留到下一循環(huán)去解決,以此不斷增強(qiáng)信息安全治理水平。安全管理還包括內(nèi)控合規(guī)管理和安全標(biāo)準(zhǔn)管理。
圖1 網(wǎng)絡(luò)安全體系
內(nèi)控合規(guī)管理的目標(biāo)是建立內(nèi)控合規(guī)的長(zhǎng)效安全管理機(jī)制,對(duì)外以符合監(jiān)管要求為目標(biāo),對(duì)內(nèi)實(shí)現(xiàn)IT風(fēng)險(xiǎn)可控。內(nèi)控合規(guī)管理包含安全制度管理、安全事件管理、信息科技風(fēng)險(xiǎn)管理和業(yè)務(wù)連續(xù)性管理,目的是為企業(yè)指明安全體系建設(shè)方向,為企業(yè)指引安全事件處置流程,為業(yè)務(wù)連續(xù)性運(yùn)行提供基礎(chǔ)條件。
安全標(biāo)準(zhǔn)管理更多涉及安全操作,包括安全基線(xiàn)管理、研發(fā)過(guò)程安全管理和監(jiān)查審計(jì)管理,它明確了現(xiàn)階段安全標(biāo)準(zhǔn)明細(xì)、研發(fā)過(guò)程中安全相關(guān)內(nèi)容和監(jiān)查審計(jì)制度等內(nèi)容。
02 安全防護(hù)
安全防護(hù)主要是通過(guò)安全防護(hù)技術(shù)實(shí)現(xiàn)自下而上的各個(gè)層級(jí)的技術(shù)防護(hù),涉及物理層安全、系統(tǒng)層安全、數(shù)據(jù)層安全、網(wǎng)絡(luò)層安全、接入層安全、應(yīng)用層安全和業(yè)務(wù)層安全,具體措施如下。
(1)物理層安全
嚴(yán)控IDC及辦公環(huán)境進(jìn)出規(guī)則,保障物理設(shè)備及數(shù)據(jù)存儲(chǔ)介質(zhì)安全。
(2)系統(tǒng)層安全
通過(guò)病毒防護(hù)對(duì)所有主機(jī)的防病毒軟件進(jìn)行集中監(jiān)控、管理,可進(jìn)行批量病毒掃描、查殺和升級(jí);通過(guò)頁(yè)面防篡改對(duì)面向互聯(lián)網(wǎng)訪(fǎng)問(wèn)系統(tǒng)及前置代理部署防篡改系統(tǒng),非授權(quán)無(wú)法進(jìn)行文件更新、系統(tǒng)發(fā)布;通過(guò)系統(tǒng)安全基線(xiàn)落實(shí)操作系統(tǒng)安全基本要求;通過(guò)定期漏洞掃描發(fā)現(xiàn)操作系統(tǒng)及部署應(yīng)用漏洞;通過(guò)日志審計(jì)對(duì)操作系統(tǒng)日常操作做記錄、審計(jì),評(píng)估高危風(fēng)險(xiǎn)操作合理性。
(3)數(shù)據(jù)層安全
通過(guò)數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)進(jìn)行數(shù)據(jù)庫(kù)操作細(xì)顆粒度合規(guī)管理、攻擊檢測(cè)、攻擊阻斷,全面消除數(shù)據(jù)被竊取、篡改、刪除等安全隱患;通過(guò)簽名驗(yàn)簽服務(wù)保證通信雙方可信;通過(guò)加密機(jī)實(shí)現(xiàn)可靠的密鑰管理及數(shù)據(jù)加解密服務(wù);通過(guò)水印技術(shù)防止敏感信息以拍照、截屏方式泄露。
(4)網(wǎng)絡(luò)層安全
網(wǎng)絡(luò)訪(fǎng)問(wèn)控制。通過(guò)劃分安全域,嚴(yán)格執(zhí)行安全域間訪(fǎng)問(wèn)控制,區(qū)域之間采用硬件防火墻進(jìn)行訪(fǎng)問(wèn)隔離,防火墻配置為默認(rèn)拒絕所有訪(fǎng)問(wèn)策略,以白名單形式僅對(duì)經(jīng)過(guò)審批的明細(xì)策略開(kāi)通跨區(qū)域互訪(fǎng);通過(guò)終端綁定硬件特征碼保證訪(fǎng)問(wèn)唯一性;通過(guò)訪(fǎng)問(wèn)授權(quán)保證所有訪(fǎng)問(wèn)均有安全認(rèn)證和授權(quán),并保障生產(chǎn)操作有審批、操作過(guò)程可審計(jì)。
防護(hù)系統(tǒng)部署。部署漏洞掃描入侵檢測(cè)系統(tǒng),實(shí)施監(jiān)控全網(wǎng)網(wǎng)絡(luò)風(fēng)險(xiǎn),發(fā)現(xiàn)問(wèn)題能夠及時(shí)告警。部署WAF設(shè)備、入侵防御系統(tǒng)和防拒絕服務(wù)攻擊系統(tǒng),實(shí)時(shí)檢測(cè)攻擊的發(fā)生并主動(dòng)防御。
防火墻隔離。通過(guò)硬件防火墻限制域間非授權(quán)訪(fǎng)問(wèn),通過(guò)軟件防火墻限制系統(tǒng)間非授權(quán)訪(fǎng)問(wèn)。集成在SDN網(wǎng)絡(luò)技術(shù)中的虛擬防火墻,不局限于網(wǎng)絡(luò)源和目標(biāo)的IP地址、端口、協(xié)議進(jìn)行安全控制。區(qū)別于傳統(tǒng)硬件防火墻,虛擬防火墻以單臺(tái)服務(wù)器為防護(hù)對(duì)象,可以構(gòu)建水平擴(kuò)展的分布式虛擬防火墻,提供細(xì)顆粒度的訪(fǎng)問(wèn)控制,在系統(tǒng)間進(jìn)行二次隔離。同時(shí)可以基于同構(gòu)的虛擬防火墻實(shí)現(xiàn)自動(dòng)化、程序化快速部署安全策略。
傳輸安全。訪(fǎng)問(wèn)數(shù)據(jù)全部通過(guò)SSL加密,應(yīng)用系統(tǒng)可實(shí)現(xiàn)進(jìn)一步用戶(hù)鑒權(quán)。
(5)接入層安全
進(jìn)行訪(fǎng)問(wèn)接入方身份認(rèn)證,以IP白名單、專(zhuān)線(xiàn)、VPN方式明確訪(fǎng)問(wèn)銀行應(yīng)用系統(tǒng)的個(gè)人、機(jī)構(gòu)身份。
(6)應(yīng)用層安全
通過(guò)配置中間件安全基線(xiàn)保障中間件基本安全;通過(guò)三方組件檢測(cè)保障使用的三方組件可被信任;通過(guò)移動(dòng)端應(yīng)用加固,消除移動(dòng)端應(yīng)用存在的風(fēng)險(xiǎn)及漏洞,使移動(dòng)端應(yīng)用具有防逆向破解、防篡改攻擊、防數(shù)據(jù)竊取的能力。
(7)業(yè)務(wù)層安全
通過(guò)防撞庫(kù)的人機(jī)識(shí)別、頁(yè)面混淆技術(shù)防止撞庫(kù)攻擊;通過(guò)API網(wǎng)關(guān)防護(hù)技術(shù)進(jìn)行ACL控制、Key認(rèn)證和CC限速等防護(hù);通過(guò)反爬蟲(chóng)技術(shù)規(guī)避無(wú)效訪(fǎng)問(wèn)。
03 安全運(yùn)營(yíng)
安全運(yùn)營(yíng)是指從安全運(yùn)維、安全監(jiān)測(cè)、安全服務(wù)方面“三管齊下”,建立完善的安全運(yùn)營(yíng)體系。安全運(yùn)維主要面向日常運(yùn)維操作,包括安全問(wèn)題處理、安全資產(chǎn)管理和安全驗(yàn)證工作。安全監(jiān)測(cè)是實(shí)時(shí)檢測(cè)和了解現(xiàn)網(wǎng)安全狀況,通過(guò)全流量監(jiān)控、日志審計(jì)監(jiān)測(cè)、態(tài)勢(shì)感知監(jiān)測(cè)等平臺(tái),對(duì)安全狀況做到心里有數(shù),在第一時(shí)間獲取安全問(wèn)題告警。安全服務(wù)主要是合理地使用第三方安全技術(shù)支持能力,借助安全咨詢(xún)公司的能力構(gòu)建企業(yè)自身安全防護(hù)體系,并通過(guò)定期或不定期發(fā)起模擬攻擊,發(fā)現(xiàn)隱患、解決隱患,逐步完善安全保障體系。要確保全行信息系統(tǒng)內(nèi)外部不發(fā)生安全事件,即使在發(fā)生安全事件時(shí)也能夠快速感知、快速處理,減少安全事件帶來(lái)的資金及聲譽(yù)影響。
3
金融網(wǎng)絡(luò)安全技術(shù)
網(wǎng)絡(luò)安全技術(shù)涉及從物理層到業(yè)務(wù)層的各個(gè)層面,貫穿產(chǎn)品設(shè)計(jì)到產(chǎn)品上線(xiàn)運(yùn)營(yíng)的全流程。現(xiàn)階段網(wǎng)絡(luò)攻擊的方式和種類(lèi)也隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展而不斷迭代,做好網(wǎng)絡(luò)安全防護(hù)的前提是我們要對(duì)網(wǎng)絡(luò)攻擊有充分的了解。下文將拋磚引玉對(duì)常見(jiàn)的網(wǎng)絡(luò)安全攻擊及防御技術(shù)進(jìn)行簡(jiǎn)單介紹。
01 防拒絕服務(wù)攻擊
拒絕服務(wù)攻擊可以理解為攻擊者以消耗被攻擊者可用資源為手段,以達(dá)到網(wǎng)絡(luò)資源和系統(tǒng)資源消耗殆盡為目的,從而使被攻擊者無(wú)法響應(yīng)正常的業(yè)務(wù)請(qǐng)求。拒絕服務(wù)攻擊是黑客常用的攻擊手段之一,一般我們把拒絕服務(wù)攻擊分為網(wǎng)絡(luò)資源類(lèi)和系統(tǒng)資源類(lèi)。
網(wǎng)絡(luò)資源類(lèi)攻擊是攻擊者發(fā)起大量耗費(fèi)網(wǎng)絡(luò)資源的請(qǐng)求,使被攻擊者網(wǎng)絡(luò)資源耗盡,致使合法用戶(hù)無(wú)法正常請(qǐng)求。一般攻擊者會(huì)控制成千上萬(wàn)的“肉雞”(傀儡機(jī),即可以被黑客遠(yuǎn)程控制的機(jī)器)在同一時(shí)間發(fā)起如批量下載等耗費(fèi)網(wǎng)絡(luò)帶寬資源的請(qǐng)求,以達(dá)到攻擊目的。
系統(tǒng)資源類(lèi)攻擊指攻擊者消耗大量計(jì)算機(jī)系統(tǒng)資源,致使系統(tǒng)無(wú)足夠資源響應(yīng)正常的合法請(qǐng)求。常用攻擊手段有SYN Flood、死亡之PING、Teardrop淚滴攻擊、Land攻擊、Finger炸彈、Smurf攻擊 和UDP攻擊等。
以SYN Flood攻擊為例,SYN Flood利用TCP三次握手協(xié)議實(shí)現(xiàn)攻擊。如圖2所示,左側(cè)為正常的三次握手,客戶(hù)端發(fā)起SYN請(qǐng)求、服務(wù)端響應(yīng)SYN+ACK、客戶(hù)端再回應(yīng)ACK,這樣三次握手就建立完成。SYN Flood攻擊則是攻擊者在收到服務(wù)端響應(yīng)的SYN+ACK回應(yīng)后,不對(duì)此回應(yīng)做ACK響應(yīng),此時(shí)服務(wù)端處于TCP半連接狀態(tài),一直等待客戶(hù)端ACK響應(yīng)直到SYN超時(shí),通常SYN超時(shí)時(shí)間為0.5~2分鐘。服務(wù)端會(huì)維護(hù)半連接列表,當(dāng)大量SYN Flood攻擊時(shí)會(huì)導(dǎo)致服務(wù)端TCP/IP堆棧溢出。
圖2 SYN Flood攻擊
對(duì)于拒絕服務(wù)攻擊的防護(hù):一是使用電信運(yùn)營(yíng)商DDoS服務(wù),運(yùn)營(yíng)商具有互聯(lián)網(wǎng)高帶寬,配合流量清洗設(shè)備,可以在運(yùn)營(yíng)商側(cè)抵御來(lái)自互聯(lián)網(wǎng)的各種拒絕服務(wù)攻擊;二是在互聯(lián)網(wǎng)前置區(qū)域內(nèi)部部署抗DDoS防火墻、黑洞等設(shè)備對(duì)惡意攻擊進(jìn)行流量清洗,防御Flood等攻擊;三是優(yōu)化系統(tǒng)層參數(shù)限制,調(diào)整可使用的最大內(nèi)存,增強(qiáng)操作系統(tǒng)TCP/IP棧及可以生成的最大文件數(shù)等。另外,對(duì)于網(wǎng)站類(lèi)應(yīng)用,通過(guò)把靜態(tài)內(nèi)容部署到CDN,也可以抵御部分DDoS攻擊。
02 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)
在互聯(lián)網(wǎng)前置區(qū)域部署全流量入侵檢測(cè)系統(tǒng),可對(duì)互聯(lián)網(wǎng)入口和出口的所有訪(fǎng)問(wèn)進(jìn)行通信數(shù)據(jù)流的實(shí)時(shí)檢測(cè)、分析,特別是對(duì)報(bào)文中涉及的敏感字段和網(wǎng)絡(luò)活動(dòng)中的異常情況進(jìn)行檢測(cè)。通過(guò)全網(wǎng)的實(shí)時(shí)檢測(cè)、分析,能夠及時(shí)發(fā)現(xiàn)違規(guī)行為并及時(shí)處理。網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)IDS系統(tǒng)可實(shí)現(xiàn)以下功能。
(1)應(yīng)用層攻擊特診檢測(cè)
應(yīng)用層攻擊通常會(huì)在請(qǐng)求URL、請(qǐng)求報(bào)文中帶上攻擊請(qǐng)求。通過(guò)應(yīng)用協(xié)議分析技術(shù)可以實(shí)現(xiàn)應(yīng)用層特診檢測(cè),實(shí)時(shí)檢測(cè)數(shù)據(jù)流中符合IDS攻擊特診庫(kù)的攻擊行為;通過(guò)匹配可以識(shí)別為應(yīng)用層攻擊,從而進(jìn)行檢測(cè)通知、主動(dòng)防護(hù)。為確保能夠檢測(cè)到最新的攻擊事件,IDS特征庫(kù)需要定期更新。
(2)異常檢測(cè)
通過(guò)對(duì)特定時(shí)間間隔內(nèi)出現(xiàn)的超流量、超鏈接的數(shù)據(jù)包進(jìn)行檢測(cè),實(shí)現(xiàn)對(duì)DDoS、掃描等異常攻擊事件的檢測(cè)。
(3)SSL加密通信攻擊檢測(cè)
通過(guò)卸載SSL證書(shū)、解碼通信數(shù)據(jù),對(duì)加密報(bào)文進(jìn)行分析、檢測(cè)基于SSL加密通信的攻擊行為,可以保護(hù)基于SSL加密訪(fǎng)問(wèn)的前置服務(wù)器的安全性。
需要注意的是,在部署IDS設(shè)備時(shí),需要考慮合適的網(wǎng)絡(luò)位置。為分析SSL加密后的通信數(shù)據(jù),入口IDS部署可以放置在SSL卸載設(shè)備之后;為追溯攻擊者源IP地址,建議部署在NAT地址轉(zhuǎn)換設(shè)備之前。
03 入侵防御系統(tǒng)
在生產(chǎn)前置區(qū)與核心區(qū)之間部署入侵防御系統(tǒng)(IPS),可作為防火墻的安全補(bǔ)充。防火墻可以通過(guò)IP、端口五元組進(jìn)行訪(fǎng)問(wèn)控制,但無(wú)法識(shí)別和阻隔對(duì)合法IP地址和端口的攻擊行為。IPS工作在第2~7層,深入網(wǎng)絡(luò)數(shù)據(jù)內(nèi)部,通常使用特征庫(kù)匹配和異常分析等方法來(lái)識(shí)別網(wǎng)絡(luò)攻擊行為,能夠及時(shí)中斷、調(diào)整和隔離具有攻擊性的網(wǎng)絡(luò)行為,并產(chǎn)生日志報(bào)告報(bào)警信息。
04 漏洞掃描系統(tǒng)
漏洞掃描系統(tǒng)主動(dòng)進(jìn)行網(wǎng)絡(luò)探測(cè)、主機(jī)探測(cè)、端口探測(cè)掃描和硬件特性及版本信息檢測(cè)。通過(guò)漏洞掃描可以了解主機(jī)操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備版本和配置,以及安全設(shè)備、數(shù)據(jù)庫(kù)、中間件和應(yīng)用組件等資產(chǎn)的安全狀態(tài)信息。通過(guò)匹配在線(xiàn)最新漏洞庫(kù),可檢測(cè)并匹配內(nèi)網(wǎng)環(huán)境CVE、OWASP等漏洞類(lèi)型,并提供相應(yīng)解決方案。
05 數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)
數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)主要用于監(jiān)視并記錄對(duì)數(shù)據(jù)庫(kù)服務(wù)器的各類(lèi)操作行為,通過(guò)對(duì)網(wǎng)絡(luò)數(shù)據(jù)的分析,實(shí)時(shí)、智能地解析對(duì)數(shù)據(jù)庫(kù)服務(wù)器的各種操作,并記入審計(jì)數(shù)據(jù)庫(kù)中以便日后查詢(xún)、分析、過(guò)濾,實(shí)現(xiàn)對(duì)目標(biāo)數(shù)據(jù)庫(kù)系統(tǒng)用戶(hù)操作的監(jiān)控和審計(jì)。
06 防篡改系統(tǒng)
針對(duì)Web應(yīng)用及靜態(tài)資源部署防篡改系統(tǒng),可避免因應(yīng)用權(quán)限配置不當(dāng)、惡意程序失察、脆弱方案控制等因素帶來(lái)的風(fēng)險(xiǎn)。防篡改系統(tǒng)一般分為管理服務(wù)、發(fā)布服務(wù)、客戶(hù)端服務(wù),可防止靜態(tài)文件被發(fā)布服務(wù)以外的任何方式修改,即使被修改也能被檢測(cè)和立刻恢復(fù)。防篡改系統(tǒng)一般作為網(wǎng)站、H5頁(yè)面等面向互聯(lián)網(wǎng)應(yīng)用系統(tǒng)的重要防護(hù)手段,可以有效阻止安全事件的發(fā)生。
07 威脅態(tài)勢(shì)感知系統(tǒng)
在完成以上基礎(chǔ)性防護(hù)、被動(dòng)式響應(yīng)安全體系建設(shè)后,需要建立完整的信息安全防護(hù)體系,需要化被動(dòng)為主動(dòng),建立以大數(shù)據(jù)平臺(tái)為基礎(chǔ)的態(tài)勢(shì)感知系統(tǒng),從全局視角對(duì)安全威脅進(jìn)行發(fā)現(xiàn)識(shí)別、理解分析和響應(yīng)處理,做到安全風(fēng)險(xiǎn)預(yù)測(cè)。
4
小結(jié)
金融機(jī)構(gòu)信息安全工作首先是要樹(shù)立金融從業(yè)人員的安全意識(shí),加強(qiáng)安全管理、安全監(jiān)測(cè),并運(yùn)用安全態(tài)勢(shì)感知、安全大數(shù)據(jù)分析和機(jī)器學(xué)習(xí)等技術(shù),實(shí)現(xiàn)安全管理和安全技術(shù)雙管齊下。安全工作需要嵌套在設(shè)計(jì)、開(kāi)發(fā)、測(cè)試、運(yùn)維全流程,貫穿應(yīng)用產(chǎn)品研發(fā)全生命周期。正所謂“道高一尺、魔高一丈”,安全工作需要實(shí)踐PDCA持續(xù)改進(jìn)方法論,不斷發(fā)現(xiàn)和解決問(wèn)題,構(gòu)建完善的安全管理、安全技術(shù)、安全運(yùn)營(yíng)的安全體系。
本文摘編于《中小銀行運(yùn)維架構(gòu):解密與實(shí)戰(zhàn)》,經(jīng)出版方授權(quán)發(fā)布。
