- 快捷搜索
- 全站搜索
近年来,网络技术飞速发展的同时也滋生出各种信息安全问题。新的漏洞、病毒、攻击程序层出不穷,入侵主机后修改设置并侵入企业网、在网内主机上安置木马程序等网络安全事件逐渐增多,严重影响了企业网的正常运行,尤其对风险高度集中的大型商业银行数据中心的信息安全构成很大威胁。传统防御技术对网络攻击主要采取被动手段,在应对日益加剧的网络风险时显得捉襟见肘,网络安全防护技术正经历着从静态保护向主动防御发展的关键阶段。
围绕业界关注的网络安全防御问题,笔者提出一种基于蜜罐(honeypot)技术的安全联动模型,在此基础上探讨运用主动防御技术,构建动态的主动式网络安全防御体系和联动机制。同时,结合国内大型商业银行数据中心实际,阐述主动式网络安全防御的良好效用和应用趋势。
一、主动式网络安全防御体系的组成
主动式网络安全防御是指在动态网络中,直接监控网络信息,通过部署诱骗系统,吸引黑客攻击,牵制和转移黑客对真正业务网络的攻击,并控制数据传输,分析捕获的网络流数据,获取黑客入侵手段,对网络入侵进行取证,跟踪回溯攻击源。
主动式网络安全防御技术在增强本地网络安全性的同时,及时发现正在遭受的攻击并采取相应措施,将损失降到最低。相对于传统、静态的安全防御技术,主动式网络安全防御具有防御体系多层次、防御能力动态提升、安全部件实时互动、事前主动预警等优势。
主动式网络安全防御体系包括防护、检测、预测和响应四大部件。
(1)防护:保障信息及系统的保密性、完整性、可用性,将相关安全技术分类,建立防护技术体系。
(2)检测:动态检测入侵事件和安全威胁,关注信息系统当前的安全状态。
(3)预警:动态预测入侵事件和安全威胁,分析信息系统的安全趋势,为调整防护和响应方案提供依据。
(4)响应:主动响应危及系统安全的入侵事件,防止危害蔓延和扩散,及时恢复运行,保障系统正常服务。
防护、检测、预警和响应组成了一个完整的安全周期。主动式网络安全防御在原有静态安全防护模型的基础上,增加预警机制,建立动态响应体系,连接安全周期的防护、检测和响应过程,为信息系统提供实时安全保障。
二、主动式网络安全需建立联动机制
传统的网络防护技术及产品在保障网络安全时发挥着各自的作用,但网络安全不是孤立问题,依靠任何一款单一的产品无法实现,只有将不同厂商、不同功能的产品统一管理,使它们联动运转、协同工作,才能充分发挥整体最佳性能,全方位保障网络安全。
1.联动概念
联动指在一个系统的各个成员之间建立一种关联和互动机制,通过这种机制,各个成员自由交换各种信息,相互作用和影响。在主动式网络安全防御体系中,联动是一种新型的网络防护策略。通过联动策略,防火墙、入侵检测系统、反病毒系统、日志处理系统等安全技术和产品在“强强组合,互补互益”的基础上,充分发挥单一产品的优势,构建最强的防御系统。
2.传统联动模型
网络安全联动机制中较为完善的安全联动模型有TopSEC模型、入侵检测产品、防火墙联动模型和基于策略的智能联动模型,下面主要介绍基于策略的智能联动模型(如图1所示)。该模型中防火墙、VPN、IDS等安全部件,通过智能代理进行整合,经过部件关联、智能推理传送给联动策略引擎,再根据事先设定好的策略进行联动,并将最终的策略应用到防火墙、VPN、IDS等安全部件中。
3.主动式网络安全联动模型
通过部署诱骗系统,吸引攻击者,记录攻击行为,进而分析新型攻击的特点。同时,通过联动机制,使模型中的各安全部件协同工作,最终发挥主动性联动优点,构建一个自适应、动态的主动式防御系统。其中,蜜罐技术是防御体系内各安全部件实现主动式联动的核心技术。
在银行业信息化新阶段,信息技术风险也自然成为金融机构操作风险的重要方面
华融湘江银行致力于服务地方经济、中小企业、广大客户,全力打造成为客户信