3.3.3　金融网络安全技术

网络安全技术涉及从物理层到业务层的各个层面，贯穿产品设计到产品上线运营的全流程。现阶段网络攻击的方式和种类也随着互联网技术的发展而不断迭代，做好网络安全防护的前提是我们要对网络攻击有充分的了解。下文将抛砖引玉对常见的网络安全攻击及防御技术进行简单介绍。

1. 防拒绝服务攻击

拒绝服务攻击可以理解为攻击者以消耗被攻击者可用资源为手段，以达到网络资源和系统资源消耗殆尽为目的，从而使被攻击者无法响应正常的业务请求。拒绝服务攻击是黑客常用的攻击手段之一，一般我们把拒绝服务攻击分为网络资源类和系统资源类。

▪ 网络资源类攻击是攻击者发起大量耗费网络资源的请求，使被攻击者网络资源耗尽，致使合法用户无法正常请求。一般攻击者会控制成千上万的“肉鸡”（傀儡机，即可以被黑客远程控制的机器）在同一时间发起如批量下载等耗费网络带宽资源的请求，以达到攻击目的。

▪ 系统资源类攻击指攻击者消耗大量计算机系统资源，致使系统无足够资源响应正常的合法请求。常用攻击手段有SYN Flood、死亡之PING、Teardrop泪滴攻击、Land攻击、Finger炸弹、Smurf攻击和UDP攻击等。

以SYN Flood攻击为例，SYN Flood利用TCP三次握手协议实现攻击。如图3-7所示，左侧为正常的三次握手，客户端发起SYN请求、服务端响应SYN+ACK、客户端再回应ACK，这样三次握手就建立完成。SYN Flood攻击则是攻击者在收到服务端响应的SYN+ACK回应后，不对此回应做ACK响应，此时服务端处于TCP半连接状态，一直等待客户端ACK响应直到SYN超时，通常SYN超时时间为0.5～2分钟。服务端会维护半连接列表，当大量SYN Flood攻击时会导致服务端TCP/IP堆栈溢出。

对于拒绝服务攻击的防护：一是使用电信运营商DDoS服务，运营商具有互联网高带宽，配合流量清洗设备，可以在运营商侧抵御来自互联网的各种拒绝服务攻击；二是在互联网前置区域内部部署抗DDoS防火墙、黑洞等设备对恶意攻击进行流量清洗，防御Flood等攻击；三是优化系统层参数限制，调整可使用的最大内存，增强操作系统TCP/IP栈及可以生成的最大文件数等。另外，对于网站类应用，通过把静态内容部署到CDN，也可以抵御部分DDoS攻击。

2. 网络入侵检测系统

在互联网前置区域部署全流量入侵检测系统，可对互联网入口和出口的所有访问进行通信数据流的实时检测、分析，特别是对报文中涉及的敏感字段和网络活动中的异常情况进行检测。通过全网的实时检测、分析，能够及时发现违规行为并及时处理。网络入侵检测系统IDS系统可实现以下功能。

（1）应用层攻击特诊检测

应用层攻击通常会在请求URL、请求报文中带上攻击请求。通过应用协议分析技术可以实现应用层特诊检测，实时检测数据流中符合IDS攻击特诊库的攻击行为；通过匹配可以识别为应用层攻击，从而进行检测通知、主动防护。为确保能够检测到最新的攻击事件，IDS特征库需要定期更新。

（2）异常检测

通过对特定时间间隔内出现的超流量、超链接的数据包进行检测，实现对DDoS、扫描等异常攻击事件的检测。

（3）SSL加密通信攻击检测

通过卸载SSL证书、解码通信数据，对加密报文进行分析、检测基于SSL加密通信的攻击行为，可以保护基于SSL加密访问的前置服务器的安全性。

需要注意的是，在部署IDS设备时，需要考虑合适的网络位置。为分析SSL加密后的通信数据，入口IDS部署可以放置在SSL卸载设备之后；为追溯攻击者源IP地址，建议部署在NAT地址转换设备之前。

3. 入侵防御系统

在生产前置区与核心区之间部署入侵防御系统（IPS），可作为防火墙的安全补充。防火墙可以通过IP、端口五元组进行访问控制，但无法识别和阻隔对合法IP地址和端口的攻击行为。IPS工作在第2～7层，深入网络数据内部，通常使用特征库匹配和异常分析等方法来识别网络攻击行为，能够及时中断、调整和隔离具有攻击性的网络行为，并产生日志报告报警信息。

4. 漏洞扫描系统

漏洞扫描系统主动进行网络探测、主机探测、端口探测扫描和硬件特性及版本信息检测。通过漏洞扫描可以了解主机操作系统、网络设备版本和配置，以及安全设备、数据库、中间件和应用组件等资产的安全状态信息。通过匹配在线最新漏洞库，可检测并匹配内网环境CVE、OWASP等漏洞类型，并提供相应解决方案。

5. 数据库审计系统

数据库审计系统主要用于监视并记录对数据库服务器的各类操作行为，通过对网络数据的分析，实时、智能地解析对数据库服务器的各种操作，并记入审计数据库中以便日后查询、分析、过滤，实现对目标数据库系统用户操作的监控和审计。

6. 防篡改系统

针对Web应用及静态资源部署防篡改系统，可避免因应用权限配置不当、恶意程序失察、脆弱方案控制等因素带来的风险。防篡改系统一般分为管理服务、发布服务、客户端服务，可防止静态文件被发布服务以外的任何方式修改，即使被修改也能被检测和立刻恢复。防篡改系统一般作为网站、H5页面等面向互联网应用系统的重要防护手段，可以有效阻止安全事件的发生。

7. 威胁态势感知系统

在完成以上基础性防护、被动式响应安全体系建设后，需要建立完整的信息安全防护体系，需要化被动为主动，建立以大数据平台为基础的态势感知系统，从全局视角对安全威胁进行发现识别、理解分析和响应处理，做到安全风险预测。