商业银行主动式网络安全防御探讨范文

《中国金融电脑杂志》2015年第一期

一、主动式网络安全联动机制

传统的网络防护技术及产品在保障网络安全时发挥着各自的作用，但网络安全不是孤立问题，依靠任何一款单一的产品无法实现，只有将不同厂商、不同功能的产品统一管理，使它们联动运转、协同工作，才能充分发挥整体最佳性能，全方位保障网络安全。

1.联动概念联动指在一个系统的各个成员之间建立一种关联和互动机制，通过这种机制，各个成员自由交换各种信息，相互作用和影响。在主动式网络安全防御体系中，联动是一种新型的网络防护策略。通过联动策略，防火墙、入侵检测系统、反病毒系统、日志处理系统等安全技术和产品在“强强组合，互补互益”的基础上，充分发挥单一产品的优势，构建最强的防御系统。

2.传统联动模型网络安全联动机制中较为完善的安全联动模型有TopSEC模型、入侵检测产品、防火墙联动模型和基于策略的智能联动模型，下面主要介绍基于策略的智能联动模型（如图1所示）。该模型中防火墙、VPN、IDS等安全部件，通过智能进行整合，经过部件关联、智能推理传送给联动策略引擎，再根据事先设定好的策略进行联动，并将最终的策略应用到防火墙、VPN、IDS等安全部件中。

3.主动式网络安全联动模型通过部署诱骗系统，吸引攻击者，记录攻击行为，进而分析新型攻击的特点。同时，通过联动机制，使模型中的各安全部件协同工作，最终发挥主动性联动优点，构建一个自适应、动态的主动式防御系统。其中，蜜罐技术是防御体系内各安全部件实现主动式联动的核心技术。（1）蜜罐技术蜜罐是一种安全概念，美国Project Honeypot研究组的Lance Spitaner将其定义一种安全资源，它的价值就在于被扫描、攻击和摧毁。蜜罐可以是仿效的操作系统或应用程序，也可以是真实的系统或程序。通过蜜罐技术建立一个诱骗环境，吸引攻击者或入侵者，观察和记录攻击行为并形成日志，分析日志后追踪、识别入侵者的身份，进而学习新的入侵规则，主动分析新型攻击特点，不断加固自身防御能力。（2）蜜罐技术实现方式如图2所示，简单的实现方式是将蜜罐置于防火墙内部，通过防火墙与外部网络进行连接。蜜罐内部主要由网络服务、数据收集和日志记录模块组成。网络服务模块将蜜罐伪装成正常服务，吸引入侵者对其进行攻击；数据收集模块主要捕获入侵者行为信息，用于分析攻击者所使用的工具、策略以及攻击目的等；日志记录模块将捕获到的信息按照一定的格式生成日志文件，并记录到日志服务器。（3）基于蜜罐技术的主动式安全联动模型将蜜罐技术融合到传统安全联动模型，改进后形成的新模型，让蜜罐技术处于整个系统的核心地位，使整个安全联动模型由被动状态转变为主动状态，利用蜜罐技术在整个系统中的自学习、自进化的特点，克服传统安全联动模型无法主动捕获网络攻击行为、对未知攻击防御能力不足的问题。基于蜜罐技术的主动式安全联动模型（如图3所示）由防火墙、蜜罐系统、防病毒系统、IDS、策略库和联动系统控制中心组成。该模型通过蜜罐诱骗系统不断学习新的攻击手段，将处理后形成的新规则及策略上传至模型策略库，通过联动系统控制中心实现防火墙、IDS、反病毒等安全部件协同联动，及时更新防火墙、防病毒策略和IDS的检查规则。该模型较好地整合了各种安全防御产品的优点，借助于蜜罐技术“主动诱捕”的特点，提高了安全防御系统对于未知攻击的捕捉能力。

二、网络安全防御技术在数据中心的应用与展望

目前，国内大型银行数据中心普遍使用的网络安全防御技术是基于网络监控参数基线的阈值预警方法和入侵检测系统（Intrusion Detection Systems ，IDS）。阈值预警方法是在基线数值基础上给予一定的冗余，计算出该监控参数的阈值数值，形成阈值线。当实际运行的数值超出阈值线，说明该监控参数运行异常，可以在事件发生之前提前干预，阻止事件发生，保障网络服务连续性。这种防御技术支持动态改进，但出现误报的几率比较高。IDS主要通过监控网络系统的状态、行为以及使用情况，检测系统用户越权使用、系统外部入侵等情况。IDS具有一定的智能识别和攻击功能，在检测到入侵后能够及时采取相应措施，是一项相对成熟的防御技术。但IDS主要通过特征库判断，面对新型攻击无法识别，且攻击识别只能在事中或事后阶段进行，本质上仍然是被动防护。在入侵技术越来越成熟的形势下，采用单一的网络安全部件如IDS、防火墙、扫描器、病毒查杀、认证等已经满足不了网络安全防护的要求，将各种安全部件的功能和优点进行融合、实现联动互补，进而发挥最大效力将成为必然趋势。

与上述两种现有防御技术相比，基于蜜罐的主动式网络防御技术优势明显。基于蜜罐的主动式网络联动系统定义简单，实力却很强大，使用简单设备和较少资源即可实现；能够收集到小数据高价值信息，使得分析信息更容易，从中获取的价值更大；能够监控检测、捕获攻击，降低传统安全防御设备的误报率和漏报率；适应能力强，可以在多种环境下使用。大型商业银行数据中心网络覆盖范围广，若能将主动式网络防御技术应用于实践，实现由点及面、全方位检测病毒动向，主动发现病毒威胁并自动采取应对方案，将有效解决本地和网络入侵、外部非法接入等隐患，网络安全防范将取得显著成效。虽然目前还存在一些尚未解决的难点问题，但随着新技术、新概念的引入和应用，主动式网络安全防御将逐步走向实用化，在数据中心网络安全防护中得到广泛应用，成为应对网络威胁的有力武器。

作者：李国金陈佳莺单位：中国农业银行股份有限公司数据中心