(陜西國(guó)際商貿(mào)學(xué)院陜西西安712000)

摘要隨著“網(wǎng)上銀行”的興起，銀行系統(tǒng)的安全問(wèn)題顯得越來(lái)越重要。為了解決銀行的安全隱患，新一級(jí)別的安全措施也就脫穎而出。第一種方法是網(wǎng)絡(luò)設(shè)備與IDS設(shè)備聯(lián)動(dòng)。IDS系統(tǒng)可根據(jù)上報(bào)信息和數(shù)據(jù)流內(nèi)容進(jìn)行檢測(cè)，在發(fā)現(xiàn)網(wǎng)絡(luò)安全事件的時(shí)候，進(jìn)行有針對(duì)性的動(dòng)作。第二種就是應(yīng)用安全。這種安全技術(shù)是將傳統(tǒng)的網(wǎng)絡(luò)和操作系統(tǒng)以及入侵檢測(cè)系統(tǒng)概念應(yīng)用于數(shù)據(jù)庫(kù)，使銀行系統(tǒng)的數(shù)據(jù)庫(kù)得到有效的保護(hù)。

關(guān)鍵詞入侵檢測(cè)系統(tǒng)；銀行網(wǎng)絡(luò)安全；作用

隨著網(wǎng)絡(luò)安全風(fēng)險(xiǎn)系數(shù)的不斷提高，曾經(jīng)作為最主要的安全防范手段的防火墻，已經(jīng)不能滿足人們對(duì)網(wǎng)絡(luò)安全的要求。因?yàn)榉阑饓?、身份認(rèn)證、數(shù)據(jù)加密等這些技術(shù)，它們的安全技術(shù)的規(guī)范性、完善性、實(shí)用性還存在許多的不足，特別是在平臺(tái)的兼容性、協(xié)議的適應(yīng)性、多接口的滿足性方面與國(guó)外先進(jìn)產(chǎn)品存在很大的差距，而且這些方法只能將一部分的網(wǎng)絡(luò)攻擊拒之門(mén)外，并且它們的網(wǎng)絡(luò)配置是靜態(tài)的，不能隨著時(shí)間和外界應(yīng)用的變化而變化，導(dǎo)致有很多實(shí)現(xiàn)和配置上的漏洞不能及時(shí)補(bǔ)救，一旦入侵者繞過(guò)防火墻或者利用系統(tǒng)的漏洞攻入網(wǎng)絡(luò)，這些配置對(duì)入侵者而言將變的毫無(wú)意義。因此，為了保護(hù)計(jì)算機(jī)系統(tǒng)的安全，一種能及時(shí)發(fā)現(xiàn)入侵，成功阻止入侵，并在事后對(duì)入侵進(jìn)行分析，查明系統(tǒng)漏洞并及時(shí)修補(bǔ)的網(wǎng)絡(luò)安全技術(shù)——入侵檢測(cè)系統(tǒng)(IDS)應(yīng)運(yùn)而生。

和汽車(chē)上安裝的防盜警報(bào)系統(tǒng)的功能和作用類(lèi)似，在計(jì)算機(jī)安全領(lǐng)域，我們所說(shuō)的入侵檢測(cè)系統(tǒng)是為了檢測(cè)有意(攻擊)或無(wú)意(誤用)、人工(黑客)或自動(dòng)(病毒)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)系統(tǒng)進(jìn)行攻擊的行為而搭建的攻擊威脅檢測(cè)系統(tǒng)。IDS是英文“IntrusionDetectionSystems”的縮寫(xiě)，中文意思是“入侵檢測(cè)系統(tǒng)”。專(zhuān)業(yè)上講就是依照一定的安全策略，對(duì)網(wǎng)絡(luò)系統(tǒng)的運(yùn)行狀況進(jìn)行監(jiān)視，盡可能發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證網(wǎng)絡(luò)系統(tǒng)資源的機(jī)密性、完整性和可用性。入侵檢測(cè)是繼“防火墻”、“數(shù)據(jù)加密”等傳統(tǒng)安全保護(hù)措施后新一代安全保障技術(shù)，是一種動(dòng)態(tài)的安全防御技術(shù)。入侵檢測(cè)是防火墻的合理補(bǔ)充，被認(rèn)為是防火墻之后的第二道安全閘門(mén)，在盡量不影響網(wǎng)絡(luò)性能的前提下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)，從而提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。在本質(zhì)上，入侵檢測(cè)系統(tǒng)是一個(gè)典型的“窺探設(shè)備”，它不跨接多個(gè)物理網(wǎng)段(通常只有一個(gè)監(jiān)聽(tīng)端口)，無(wú)須轉(zhuǎn)發(fā)任何流量，而只需要在網(wǎng)絡(luò)上被動(dòng)地、無(wú)聲息地收集它所關(guān)心的報(bào)文即可。在實(shí)際的部署中，IDS是并聯(lián)在網(wǎng)絡(luò)中，通過(guò)旁路監(jiān)聽(tīng)的方式實(shí)時(shí)地監(jiān)視網(wǎng)絡(luò)中的流量，對(duì)網(wǎng)絡(luò)的運(yùn)行和性能無(wú)任何影響，同時(shí)判斷其中是否有攻擊的企圖，通過(guò)各種手段向管理員報(bào)警，它不但可以發(fā)現(xiàn)從外部的攻擊，而且也可以發(fā)現(xiàn)內(nèi)部的惡意行為。入侵檢測(cè)系統(tǒng)就其最基本的功能來(lái)講，可以說(shuō)是一個(gè)分類(lèi)器，它是根據(jù)系統(tǒng)的安全策略來(lái)對(duì)收集到的事件或狀態(tài)信息進(jìn)行分類(lèi)處理，從而判斷出入侵或非入侵的行為。有效的入侵檢測(cè)手段對(duì)于保障系統(tǒng)安全是必不可少的。即使一個(gè)系統(tǒng)中不存在某個(gè)特定的漏洞，入侵檢測(cè)系統(tǒng)仍舊可以檢測(cè)到相應(yīng)的攻擊事件，并調(diào)整系統(tǒng)狀態(tài)對(duì)未來(lái)可能發(fā)生的入侵發(fā)出警告。對(duì)一個(gè)成功的入侵檢測(cè)系統(tǒng)來(lái)講，它不但可使系統(tǒng)管理員時(shí)刻了解網(wǎng)絡(luò)系統(tǒng)的任何變更，還能給網(wǎng)絡(luò)安全策略的制訂提供指南。更為重要的一點(diǎn)是，它應(yīng)該宜于管理、配置簡(jiǎn)單，從而使非專(zhuān)業(yè)人員非常容易的獲得網(wǎng)絡(luò)安全。而且，入侵檢測(cè)的規(guī)模還應(yīng)根據(jù)網(wǎng)絡(luò)威脅、系統(tǒng)構(gòu)造和安全需求的改變而改變。入侵檢測(cè)系統(tǒng)在發(fā)現(xiàn)入侵后，會(huì)及時(shí)做出響應(yīng)，包括切斷網(wǎng)絡(luò)連接、記錄事件和報(bào)警等。

隨著社會(huì)的進(jìn)步，計(jì)算機(jī)信息系統(tǒng)廣泛地深入到社會(huì)各行各業(yè)，尤其是金融系統(tǒng)。以互聯(lián)網(wǎng)技術(shù)為核心的網(wǎng)上銀行使銀行業(yè)務(wù)也發(fā)生了巨大變化?！熬W(wǎng)上銀行”在為金融企業(yè)的發(fā)展帶來(lái)前所未有的商機(jī)的同時(shí)，也為眾多用戶(hù)帶來(lái)實(shí)實(shí)在在的方便。作為一種全新的銀行客戶(hù)服務(wù)提交渠道，“網(wǎng)上銀行”以其特有的便利性，被越來(lái)越多的人所接受。然而隨著“網(wǎng)上銀行”的興起，銀行系統(tǒng)的安全問(wèn)題顯得越來(lái)越重要，安全隱患已成為迫在眉睫的首要問(wèn)題。為了解決銀行的安全隱患，新一級(jí)別的安全措施也就脫穎而出。第一種方法是網(wǎng)絡(luò)設(shè)備與IDS設(shè)備聯(lián)動(dòng)。眾所周知，各種相關(guān)網(wǎng)絡(luò)安全的黑客和病毒都是依賴(lài)網(wǎng)絡(luò)平臺(tái)進(jìn)行的，而如果在網(wǎng)絡(luò)平臺(tái)上就能切斷黑客和病毒的傳播途徑，那么就能更好地保證安全。眾多銀行如農(nóng)業(yè)銀行、建設(shè)銀行、工商銀行等都采取了IDS與網(wǎng)絡(luò)交換設(shè)備聯(lián)動(dòng)。即是指交換機(jī)或防火墻在運(yùn)行的過(guò)程中，將各種數(shù)據(jù)流的信息上報(bào)給安全設(shè)備，IDS系統(tǒng)可根據(jù)上報(bào)信息和數(shù)據(jù)流內(nèi)容進(jìn)行檢測(cè)，在發(fā)現(xiàn)網(wǎng)絡(luò)安全事件的時(shí)候，進(jìn)行有針對(duì)性的動(dòng)作，并將這些對(duì)安全事件反應(yīng)的動(dòng)作發(fā)送到交換機(jī)或防火墻上，由交換機(jī)或防火墻來(lái)實(shí)現(xiàn)精確端口的關(guān)閉和斷開(kāi)；第二種就是應(yīng)用安全。這種安全技術(shù)是將傳統(tǒng)的網(wǎng)絡(luò)和操作系統(tǒng)以及入侵檢測(cè)系統(tǒng)概念應(yīng)用于數(shù)據(jù)庫(kù)。與通常的網(wǎng)絡(luò)或操作系統(tǒng)解決方案不同的是，應(yīng)用IDS提供主動(dòng)的、針對(duì)SQL的保護(hù)和監(jiān)視，可以保護(hù)數(shù)以千計(jì)的預(yù)先包裝或自行開(kāi)發(fā)的Web應(yīng)用。比如，應(yīng)用IDS可以監(jiān)視和防護(hù)關(guān)鍵的數(shù)據(jù)，使那些針對(duì)數(shù)據(jù)庫(kù)的攻擊，如緩沖區(qū)溢出和Web應(yīng)用攻擊等無(wú)法對(duì)數(shù)據(jù)庫(kù)造成真正的損害，而且應(yīng)用IDS還可以對(duì)這些事件進(jìn)行審查。這樣可以使銀行系統(tǒng)的數(shù)據(jù)庫(kù)得到有效的保護(hù)。

當(dāng)今，隨著科技的發(fā)展，金融網(wǎng)絡(luò)犯罪手法層出不窮。所以實(shí)施有效的安全保護(hù)策略對(duì)銀行系統(tǒng)來(lái)說(shuō)尤為重要，尤其是對(duì)實(shí)施了網(wǎng)絡(luò)化的銀行系統(tǒng)更是萬(wàn)分關(guān)鍵。而單純依靠安全技術(shù)和軟、硬件產(chǎn)品解決網(wǎng)絡(luò)安全問(wèn)題的想法是不現(xiàn)實(shí)也是不明智的，因?yàn)樵诰W(wǎng)絡(luò)迅速發(fā)展的今天，隨著信息化的不斷普及，入侵攻擊的手段也會(huì)層出不窮。僅僅發(fā)現(xiàn)入侵行為還不夠，還必須采取進(jìn)一步的措施(如改變網(wǎng)絡(luò)配置、切斷連接、向攻擊者發(fā)出警告信息，甚至進(jìn)行反擊等)以制止攻擊，避免造成進(jìn)一步危害。因此，作為安全防御體系的入侵檢測(cè)技術(shù)要走的路還很長(zhǎng)，新一代的安全防御體系也正在出現(xiàn)，如IPS等，因此IDS還應(yīng)該擴(kuò)展其他的功能，比如可以和其他技術(shù)相結(jié)合，可以和防火墻技術(shù)相結(jié)合，防火墻是對(duì)惡意用戶(hù)或網(wǎng)絡(luò)進(jìn)行隔離的常用手段之一，適當(dāng)配置的防火墻可以屏蔽惡意數(shù)據(jù)或網(wǎng)段，以保護(hù)網(wǎng)絡(luò)。由于防火墻技術(shù)已比較成熟，將入侵檢測(cè)技術(shù)和防火墻技術(shù)相結(jié)合，利用入侵檢測(cè)結(jié)果實(shí)時(shí)改變防火墻配置，使其斷開(kāi)惡意連接或數(shù)據(jù)傳送，以實(shí)現(xiàn)對(duì)攻擊的動(dòng)態(tài)響應(yīng)。同時(shí)還應(yīng)該提高企業(yè)的網(wǎng)絡(luò)安全意識(shí)，加大整體防范網(wǎng)絡(luò)入侵和攻擊的能力，并在此基礎(chǔ)上形成一支高素質(zhì)的網(wǎng)絡(luò)安全管理專(zhuān)業(yè)隊(duì)伍，這樣才能從根本上解決我們面臨的威脅和困擾。

參考文獻(xiàn)

[1]Intrusion Detection，Rebecca GurelyBace，Macmillan Technical Publishing，U．S．A，1999．

[2]Intrusion Detection System terminology，CliffA，Partone．www．secrityfocus．com.2001．

[3]Management Information Systems2：Organization and Technology in the Networked Enterprise (Sixth Edition) Kenneth C．Laudon，Jane P．Laudon．

[4]陳鵬．基于模式匹配的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的研究與實(shí)現(xiàn)[D]．湖南：湖南學(xué)，2005．

作者簡(jiǎn)介

高亞玲(1974-)，女，陜西咸陽(yáng)人，碩士研究生、助教，研究方向?yàn)橛?jì)算機(jī)網(wǎng)絡(luò)應(yīng)用與安全．