隨著網(wǎng)上購物的興起，網(wǎng)上銀行越來越多被人們的應(yīng)用。但網(wǎng)上銀行有很多滯后的問題都不到解決，而在網(wǎng)上銀行時代，帳務(wù)收支的無紙化、處理過程的抽象化、機(jī)構(gòu)網(wǎng)點(diǎn)的虛擬化、業(yè)務(wù)內(nèi)容的大幅增加，均使現(xiàn)有的監(jiān)管方式在效率、質(zhì)量、輻射等方面大打折扣，監(jiān)管信息的真實性、全面性及權(quán)威性面臨嚴(yán)竣的挑戰(zhàn)，對基于互聯(lián)網(wǎng)的銀行服務(wù)業(yè)務(wù)監(jiān)管將出現(xiàn)重大變化。中比較常見的安全威脅主要是來自互聯(lián)網(wǎng)的掃描探測、拒絕服務(wù)攻擊、網(wǎng)絡(luò)釣魚攻擊、網(wǎng)頁篡改、URL劫持、蠕蟲病毒等惡意代碼的侵襲等，而且安全威脅越來越集中于應(yīng)用層。嚴(yán)重的攻擊威脅可能會對網(wǎng)上銀行業(yè)務(wù)帶來以下一些影響：

　　過互聯(lián)網(wǎng)進(jìn)行交易，相關(guān)信息的保密性、真實性、完整性和不可否認(rèn)性是關(guān)鍵的因素。在我國尚沒有法規(guī)來對付這些沒有造成危害或危害較輕的網(wǎng)絡(luò)犯罪的時候，如何確保交易安全，為個人保密，就成為網(wǎng)上銀行發(fā)展需解決的問題。目前各家商業(yè)銀行雖然都采取了一定的安全防范措施、制定了相應(yīng)規(guī)定，但是在執(zhí)行上普遍存在管理不嚴(yán)格的現(xiàn)象，如密碼的保管和定期更換、主機(jī)房的安全管理、災(zāi)難備份、病毒防范等等。

　　網(wǎng)銀業(yè)務(wù)中斷。由于黑客對網(wǎng)銀系統(tǒng)發(fā)起拒絕服務(wù)攻擊，尤其是比較隱蔽的諸如TCP半連接攻擊等，大量消耗WEB服務(wù)器資源，導(dǎo)致用戶無法訪問網(wǎng)站及網(wǎng)銀系統(tǒng)。

　　賬號、密碼以及資金被盜。入侵者可能通過惡意SQL命令的執(zhí)行，獲取數(shù)據(jù)讀取和修改的權(quán)限；XSS攻擊則將目標(biāo)指向了Web業(yè)務(wù)系統(tǒng)所提供服務(wù)的客戶端以及系統(tǒng)管理員，從而獲得管理員權(quán)限，控制網(wǎng)銀網(wǎng)站，或竊取網(wǎng)銀用戶賬號密碼等信息。

　　網(wǎng)站頁面被篡改。網(wǎng)銀業(yè)務(wù)賴以運(yùn)轉(zhuǎn)的網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、應(yīng)用軟件等都會不可避免的出現(xiàn)一些安全漏洞，攻擊者可能利用這些安全漏洞對網(wǎng)銀系統(tǒng)發(fā)起攻擊，篡改網(wǎng)站頁面，對商業(yè)銀行將帶來不良的社會影響。

　　解決方案

　　天融信基于多年來銀行安全建設(shè)經(jīng)驗以及對網(wǎng)銀業(yè)務(wù)的深刻理解，采用天融信TopIDP3000系列高端入侵防御設(shè)備，針對商業(yè)銀行網(wǎng)上銀行安全提出了深層次防御方案，對來自互聯(lián)網(wǎng)的訪問數(shù)據(jù)進(jìn)行深層次檢測與防護(hù)。天融信TopIDP3000系列高端入侵防御設(shè)備采用先進(jìn)的多核處理器硬件技術(shù)，集成入侵檢測與防御、病毒過濾、流量管控和URL過濾等功能，通過新一代并行處理技術(shù)，設(shè)置檢測與阻斷策略對流經(jīng)TopIDP的網(wǎng)銀訪問流量進(jìn)行分析過濾，對異常及可疑流量進(jìn)行積極阻斷，從而提高網(wǎng)銀系統(tǒng)的整體安全性。

　　該方案在網(wǎng)上銀行互聯(lián)網(wǎng)入口處部署專用的高性能入侵防御設(shè)備，采用串接的方式部署于網(wǎng)上銀行互聯(lián)網(wǎng)接入干路中，同互聯(lián)網(wǎng)防火墻協(xié)同，TopIDP入侵防御設(shè)備主要負(fù)責(zé)對4-7層的攻擊與威脅行為進(jìn)行深度檢測與防護(hù)，保障網(wǎng)銀用戶合法的應(yīng)用訪問請求，阻斷非法的訪問請求或惡意攻擊行為，如下圖所示：

　　圖：天融信針對網(wǎng)上銀行安全的深層次防御方案

　　例如采用ISS網(wǎng)絡(luò)動態(tài)監(jiān)控產(chǎn)品，進(jìn)行系統(tǒng)漏洞掃描和實時入侵檢測。在2000年2月Yahoo等大網(wǎng)站遭到黑客入侵破壞時，使用ISS安全產(chǎn)品的網(wǎng)站均幸免于難。

　　方案優(yōu)勢

　　天融信網(wǎng)上銀行安全深層次防護(hù)方案具有如下一些特點(diǎn)及優(yōu)勢：

　　靈活部署

　　天融信TopIDP支持混合部署模式，即可以采取在線串接部署模式，也可以采用旁路部署模式，充分發(fā)揮一機(jī)多用的效能，用戶可根據(jù)實際需要將該TopIDP產(chǎn)品旁路部署于關(guān)鍵網(wǎng)絡(luò)區(qū)域中交換機(jī)鏡像端口，也可以部署于網(wǎng)絡(luò)內(nèi)部服務(wù)器前端，保護(hù)相應(yīng)的網(wǎng)絡(luò)資源。此外，在線串接部署時還支持透明、路由、NAT等模式，客戶可根據(jù)實際需要進(jìn)行細(xì)粒度配置。

　　高可用性設(shè)計

　　天融信TopIDP產(chǎn)品提供軟、硬雙BYPASS功能，保障鏈路在各種情況下的通暢。軟件BYPASS是在入侵防御引擎關(guān)鍵進(jìn)程出現(xiàn)異?；蛐枰匦聠拥那闆r下啟動；硬件BYPASS是在入侵防御引擎出現(xiàn)硬件故障或掉電的情況下啟動，多途徑確保鏈路通訊正常。TopIDP還支持光口bypass功能，而直接物理上導(dǎo)通。此外，在鏈路高可用性設(shè)計方面，天融信TopIDP產(chǎn)品支持主-主、主-備以及負(fù)載均衡部署模式，從鏈路層面提高用戶對網(wǎng)銀業(yè)務(wù)系統(tǒng)訪問的高可用性。

　　高性能

　　TopIDP采用先進(jìn)的多核處理器硬件平臺+并行處理技術(shù)+自主知識產(chǎn)權(quán)操作系統(tǒng)TOS（Topsec Operating System），內(nèi)置處理器動態(tài)負(fù)載均衡技術(shù)。在軟件實現(xiàn)方面，TopIDP產(chǎn)品在目前多核處理器硬件平臺基礎(chǔ)上，將并行處理技術(shù)成功融入天融信自主知識產(chǎn)權(quán)的安全操作系統(tǒng)TOS中，集成多項發(fā)明，形成了先進(jìn)的多核架構(gòu)技術(shù)體系。此外，TopIDP采用多引擎并行檢測機(jī)制，內(nèi)置五大檢測引擎，分別是攻擊檢測引擎、病毒惡意代碼檢測引擎、應(yīng)用識別檢測引擎、URL過濾引擎、惡意網(wǎng)站過濾引擎，并行檢測內(nèi)外部攻擊數(shù)據(jù)流量，以提高檢測的效率。通過公開對比測試結(jié)果顯示，TopIDP在100%背景流量、策略全開情況下，性能測試結(jié)果達(dá)到業(yè)界水平。

　　強(qiáng)大的規(guī)則庫

　　天融信TopIDP內(nèi)置五大檢測規(guī)則庫，包括攻擊規(guī)則庫、病毒惡意代碼庫、應(yīng)用識別規(guī)則庫、URL規(guī)則庫、惡意網(wǎng)站庫等。其中，攻擊規(guī)則庫能夠?qū)崟r檢測和阻斷包括溢出攻擊、RPC攻擊、WEBCGI攻擊、拒絕服務(wù)、木馬、蠕蟲、系統(tǒng)漏洞等在內(nèi)的超過2800種網(wǎng)絡(luò)攻擊行為，能實時檢測并阻斷當(dāng)前主流應(yīng)用層攻擊行為，包括SQL注入攻擊、XSS攻擊等黑客攻擊行為；病毒與惡意代碼規(guī)則庫與國際國內(nèi)防病毒廠商卡合作，在TopIDP產(chǎn)品中引入了著名的karpersky safestream網(wǎng)絡(luò)病毒庫，采用基于數(shù)據(jù)流的檢測技術(shù)，能夠檢測包括木馬、后門和蠕蟲在內(nèi)的新近流行的超過2萬種網(wǎng)絡(luò)病毒。TopIDP產(chǎn)品采用基于目標(biāo)主機(jī)的流檢測引擎，可即時處理IP分片和TCP流重組，有效阻斷各種逃逸檢測的攻擊手段。