入侵檢測系統(tǒng)及其在銀行系統(tǒng)中的作用

(陜西國際商貿(mào)學(xué)院陜西西安712000)

摘要隨著“網(wǎng)上銀行”的興起，銀行系統(tǒng)的安全問題顯得越來越重要。為了解決銀行的安全隱患，新一級別的安全措施也就脫穎而出。第一種方法是網(wǎng)絡(luò)設(shè)備與IDS設(shè)備聯(lián)動。IDS系統(tǒng)可根據(jù)上報信息和數(shù)據(jù)流內(nèi)容進行檢測，在發(fā)現(xiàn)網(wǎng)絡(luò)安全事件的時候，進行有針對性的動作。第二種就是應(yīng)用安全。這種安全技術(shù)是將傳統(tǒng)的網(wǎng)絡(luò)和操作系統(tǒng)以及入侵檢測系統(tǒng)概念應(yīng)用于數(shù)據(jù)庫，使銀行系統(tǒng)的數(shù)據(jù)庫得到有效的保護。

關(guān)鍵詞入侵檢測系統(tǒng)；銀行網(wǎng)絡(luò)安全；作用

隨著網(wǎng)絡(luò)安全風險系數(shù)的不斷提高，曾經(jīng)作為最主要的安全防范手段的防火墻，已經(jīng)不能滿足人們對網(wǎng)絡(luò)安全的要求。因為防火墻、身份認證、數(shù)據(jù)加密等這些技術(shù)，它們的安全技術(shù)的規(guī)范性、完善性、實用性還存在許多的不足，特別是在平臺的兼容性、協(xié)議的適應(yīng)性、多接口的滿足性方面與國外先進產(chǎn)品存在很大的差距，而且這些方法只能將一部分的網(wǎng)絡(luò)攻擊拒之門外，并且它們的網(wǎng)絡(luò)配置是靜態(tài)的，不能隨著時間和外界應(yīng)用的變化而變化，導(dǎo)致有很多實現(xiàn)和配置上的漏洞不能及時補救，一旦入侵者繞過防火墻或者利用系統(tǒng)的漏洞攻入網(wǎng)絡(luò)，這些配置對入侵者而言將變的毫無意義。因此，為了保護計算機系統(tǒng)的安全，一種能及時發(fā)現(xiàn)入侵，成功阻止入侵，并在事后對入侵進行分析，查明系統(tǒng)漏洞并及時修補的網(wǎng)絡(luò)安全技術(shù)——入侵檢測系統(tǒng)(IDS)應(yīng)運而生。

和汽車上安裝的防盜警報系統(tǒng)的功能和作用類似，在計算機安全領(lǐng)域，我們所說的入侵檢測系統(tǒng)是為了檢測有意(攻擊)或無意(誤用)、人工(黑客)或自動(病毒)對計算機網(wǎng)絡(luò)和計算機系統(tǒng)進行攻擊的行為而搭建的攻擊威脅檢測系統(tǒng)。IDS是英文“IntrusionDetectionSystems”的縮寫，中文意思是“入侵檢測系統(tǒng)”。專業(yè)上講就是依照一定的安全策略，對網(wǎng)絡(luò)系統(tǒng)的運行狀況進行監(jiān)視，盡可能發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證網(wǎng)絡(luò)系統(tǒng)資源的機密性、完整性和可用性。入侵檢測是繼“防火墻”、“數(shù)據(jù)加密”等傳統(tǒng)安全保護措施后新一代安全保障技術(shù)，是一種動態(tài)的安全防御技術(shù)。入侵檢測是防火墻的合理補充，被認為是防火墻之后的第二道安全閘門，在盡量不影響網(wǎng)絡(luò)性能的前提下能對網(wǎng)絡(luò)進行監(jiān)測，從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護。在本質(zhì)上，入侵檢測系統(tǒng)是一個典型的“窺探設(shè)備”，它不跨接多個物理網(wǎng)段(通常只有一個監(jiān)聽端口)，無須轉(zhuǎn)發(fā)任何流量，而只需要在網(wǎng)絡(luò)上被動地、無聲息地收集它所關(guān)心的報文即可。在實際的部署中，IDS是并聯(lián)在網(wǎng)絡(luò)中，通過旁路監(jiān)聽的方式實時地監(jiān)視網(wǎng)絡(luò)中的流量，對網(wǎng)絡(luò)的運行和性能無任何影響，同時判斷其中是否有攻擊的企圖，通過各種手段向管理員報警，它不但可以發(fā)現(xiàn)從外部的攻擊，而且也可以發(fā)現(xiàn)內(nèi)部的惡意行為。入侵檢測系統(tǒng)就其最基本的功能來講，可以說是一個分類器，它是根據(jù)系統(tǒng)的安全策略來對收集到的事件或狀態(tài)信息進行分類處理，從而判斷出入侵或非入侵的行為。有效的入侵檢測手段對于保障系統(tǒng)安全是必不可少的。即使一個系統(tǒng)中不存在某個特定的漏洞，入侵檢測系統(tǒng)仍舊可以檢測到相應(yīng)的攻擊事件，并調(diào)整系統(tǒng)狀態(tài)對未來可能發(fā)生的入侵發(fā)出警告。對一個成功的入侵檢測系統(tǒng)來講，它不但可使系統(tǒng)管理員時刻了解網(wǎng)絡(luò)系統(tǒng)的任何變更，還能給網(wǎng)絡(luò)安全策略的制訂提供指南。更為重要的一點是，它應(yīng)該宜于管理、配置簡單，從而使非專業(yè)人員非常容易的獲得網(wǎng)絡(luò)安全。而且，入侵檢測的規(guī)模還應(yīng)根據(jù)網(wǎng)絡(luò)威脅、系統(tǒng)構(gòu)造和安全需求的改變而改變。入侵檢測系統(tǒng)在發(fā)現(xiàn)入侵后，會及時做出響應(yīng)，包括切斷網(wǎng)絡(luò)連接、記錄事件和報警等。

隨著社會的進步，計算機信息系統(tǒng)廣泛地深入到社會各行各業(yè)，尤其是金融系統(tǒng)。以互聯(lián)網(wǎng)技術(shù)為核心的網(wǎng)上銀行使銀行業(yè)務(wù)也發(fā)生了巨大變化。“網(wǎng)上銀行”在為金融企業(yè)的發(fā)展帶來前所未有的商機的同時，也為眾多用戶帶來實實在在的方便。作為一種全新的銀行客戶服務(wù)提交渠道，“網(wǎng)上銀行”以其特有的便利性，被越來越多的人所接受。然而隨著“網(wǎng)上銀行”的興起，銀行系統(tǒng)的安全問題顯得越來越重要，安全隱患已成為迫在眉睫的首要問題。為了解決銀行的安全隱患，新一級別的安全措施也就脫穎而出。第一種方法是網(wǎng)絡(luò)設(shè)備與IDS設(shè)備聯(lián)動。眾所周知，各種相關(guān)網(wǎng)絡(luò)安全的黑客和病毒都是依賴網(wǎng)絡(luò)平臺進行的，而如果在網(wǎng)絡(luò)平臺上就能切斷黑客和病毒的傳播途徑，那么就能更好地保證安全。眾多銀行如農(nóng)業(yè)銀行、建設(shè)銀行、工商銀行等都采取了IDS與網(wǎng)絡(luò)交換設(shè)備聯(lián)動。即是指交換機或防火墻在運行的過程中，將各種數(shù)據(jù)流的信息上報給安全設(shè)備，IDS系統(tǒng)可根據(jù)上報信息和數(shù)據(jù)流內(nèi)容進行檢測，在發(fā)現(xiàn)網(wǎng)絡(luò)安全事件的時候，進行有針對性的動作，并將這些對安全事件反應(yīng)的動作發(fā)送到交換機或防火墻上，由交換機或防火墻來實現(xiàn)精確端口的關(guān)閉和斷開；第二種就是應(yīng)用安全。這種安全技術(shù)是將傳統(tǒng)的網(wǎng)絡(luò)和操作系統(tǒng)以及入侵檢測系統(tǒng)概念應(yīng)用于數(shù)據(jù)庫。與通常的網(wǎng)絡(luò)或操作系統(tǒng)解決方案不同的是，應(yīng)用IDS提供主動的、針對SQL的保護和監(jiān)視，可以保護數(shù)以千計的預(yù)先包裝或自行開發(fā)的Web應(yīng)用。比如，應(yīng)用IDS可以監(jiān)視和防護關(guān)鍵的數(shù)據(jù)，使那些針對數(shù)據(jù)庫的攻擊，如緩沖區(qū)溢出和Web應(yīng)用攻擊等無法對數(shù)據(jù)庫造成真正的損害，而且應(yīng)用IDS還可以對這些事件進行審查。這樣可以使銀行系統(tǒng)的數(shù)據(jù)庫得到有效的保護。

當今，隨著科技的發(fā)展，金融網(wǎng)絡(luò)犯罪手法層出不窮。所以實施有效的安全保護策略對銀行系統(tǒng)來說尤為重要，尤其是對實施了網(wǎng)絡(luò)化的銀行系統(tǒng)更是萬分關(guān)鍵。而單純依靠安全技術(shù)和軟、硬件產(chǎn)品解決網(wǎng)絡(luò)安全問題的想法是不現(xiàn)實也是不明智的，因為在網(wǎng)絡(luò)迅速發(fā)展的今天，隨著信息化的不斷普及，入侵攻擊的手段也會層出不窮。僅僅發(fā)現(xiàn)入侵行為還不夠，還必須采取進一步的措施(如改變網(wǎng)絡(luò)配置、切斷連接、向攻擊者發(fā)出警告信息，甚至進行反擊等)以制止攻擊，避免造成進一步危害。因此，作為安全防御體系的入侵檢測技術(shù)要走的路還很長，新一代的安全防御體系也正在出現(xiàn)，如IPS等，因此IDS還應(yīng)該擴展其他的功能，比如可以和其他技術(shù)相結(jié)合，可以和防火墻技術(shù)相結(jié)合，防火墻是對惡意用戶或網(wǎng)絡(luò)進行隔離的常用手段之一，適當配置的防火墻可以屏蔽惡意數(shù)據(jù)或網(wǎng)段，以保護網(wǎng)絡(luò)。由于防火墻技術(shù)已比較成熟，將入侵檢測技術(shù)和防火墻技術(shù)相結(jié)合，利用入侵檢測結(jié)果實時改變防火墻配置，使其斷開惡意連接或數(shù)據(jù)傳送，以實現(xiàn)對攻擊的動態(tài)響應(yīng)。同時還應(yīng)該提高企業(yè)的網(wǎng)絡(luò)安全意識，加大整體防范網(wǎng)絡(luò)入侵和攻擊的能力，并在此基礎(chǔ)上形成一支高素質(zhì)的網(wǎng)絡(luò)安全管理專業(yè)隊伍，這樣才能從根本上解決我們面臨的威脅和困擾。

參考文獻

[1]Intrusion Detection，Rebecca GurelyBace，Macmillan Technical Publishing，U．S．A，1999．

[2]Intrusion Detection System terminology，CliffA，Partone．www．secrityfocus．com.2001．

[3]Management Information Systems2：Organization and Technology in the Networked Enterprise (Sixth Edition) Kenneth C．Laudon，Jane P．Laudon．

[4]陳鵬．基于模式匹配的網(wǎng)絡(luò)入侵檢測系統(tǒng)的研究與實現(xiàn)[D]．湖南：湖南學(xué)，2005．

作者簡介

高亞玲(1974-)，女，陜西咸陽人，碩士研究生、助教，研究方向為計算機網(wǎng)絡(luò)應(yīng)用與安全．