肖鳴

【摘要】 金融行業(yè)已經(jīng)在交易、結(jié)算、分析等工作領(lǐng)域開發(fā)了信息化系統(tǒng)，積累了海量的金融機(jī)密數(shù)據(jù)，同時也成為黑客等非法人員攻擊的熱點目標(biāo)。針對金融行業(yè)的信息系統(tǒng)、數(shù)據(jù)庫進(jìn)行APT攻擊，具有持續(xù)性、滲透性、隱蔽性和未知性等特點，嚴(yán)重威脅金融行業(yè)系統(tǒng)安全。因此，構(gòu)建一種多層次、融合的防御模型，實時地、主動地防御APT攻擊，對提高金融行業(yè)系統(tǒng)防御能力具有重要意義。

【關(guān)鍵詞】 APT 金融行業(yè) 網(wǎng)絡(luò)安全 防御

一、引言

隨著云計算、大數(shù)據(jù)、移動互聯(lián)網(wǎng)等技術(shù)的快速發(fā)展，金融行業(yè)開發(fā)了許多信息化系統(tǒng)，比如證券交易管理系統(tǒng)、銀行現(xiàn)金管理系統(tǒng)、央行結(jié)算管理系統(tǒng)等，為人們帶來了極大的方便。但是，這些系統(tǒng)也容易成為黑客等非法人員的攻擊目標(biāo)，存在極大的安全隱患。隨著APT技術(shù)的誕生和發(fā)展，金融行業(yè)系統(tǒng)安全及防御模型成為許多學(xué)者研究的熱點，提出了多種安全防御技術(shù)，以提升金融信息系統(tǒng)的防御能力[1]。

二、APT攻擊原理及特點

高級持續(xù)性威脅（Advanced Persistent Threat，APT）具有極強(qiáng)的針對性、隱蔽性、持續(xù)性，對金融行業(yè)信息系統(tǒng)的安全構(gòu)成嚴(yán)重威脅[2]。攻擊者利用金融企業(yè)或組織信任程序存在的漏洞，將木馬、病毒嵌入到程序中，搜集目標(biāo)主機(jī)、服務(wù)器的信息，這種攻擊行為采用專業(yè)的黑客攻擊軟件，難以被信息安全軟件檢測到，APT可以利用數(shù)月、數(shù)年的時間觀察、收集金融行業(yè)信息，逐漸滲透到金融企業(yè)內(nèi)部系統(tǒng)，獲取較高價值的信息，進(jìn)行販賣或交易，輕則影響企業(yè)安全和信譽(yù)，重則威脅國家金融系統(tǒng)。構(gòu)建一個有效的防御系統(tǒng)，狙擊APT攻擊，具有重要的作用[3]。

（1）APT目標(biāo)和途徑。APT攻擊的主要目標(biāo)是金融行業(yè)有高級權(quán)限的員工、有價值的資產(chǎn)，攻擊渠道較多，攻擊渠道包括信息收集，獲取金融機(jī)構(gòu)組織架構(gòu)、人際關(guān)系、網(wǎng)絡(luò)架構(gòu)、防護(hù)設(shè)備、資產(chǎn)存儲等信息；利用社工發(fā)起試探，獲取IM通訊記錄、郵件等；利用0DAY技術(shù)實施針對性攻擊，取得內(nèi)部員工的控制權(quán)；滲透到目標(biāo)核心資產(chǎn)，利用加密傳輸通道把數(shù)據(jù)外發(fā)，實現(xiàn)長期獲取機(jī)密信息的目的。

（2）APT攻擊防護(hù)思路。APT攻擊防護(hù)思路包括安全需求分析、威脅模型分析、測試內(nèi)容分析、安全測試預(yù)備、安全測試、安全報告等流程。

三、多層次融合APT攻擊防御模型

（1）安全預(yù)警。安全預(yù)警可以分析金融信息系統(tǒng)自身是否存在APT可以利用的漏洞，輔助觀察APT攻擊行為、攻擊趨勢，實現(xiàn)攻擊行為預(yù)警和趨勢預(yù)警。金融信息系統(tǒng)擁有的子系統(tǒng)較多，每一個子系統(tǒng)都可能采用不同的架構(gòu)、技術(shù)開發(fā)，這些系統(tǒng)集成在一起，難免會存在漏洞，比如系統(tǒng)集成接口漏洞、系統(tǒng)兼容性漏洞等，降低了系統(tǒng)的安全系數(shù)，為APT攻擊留下了隱患。我們可以采用補(bǔ)丁修復(fù)、攻擊行為預(yù)警、攻擊趨勢預(yù)警等方法，提高系統(tǒng)的防御能力。

（2）安全保護(hù)。金融行業(yè)信息系統(tǒng)采用了各種安全保護(hù)技術(shù)，包括殺毒軟件、防火墻、網(wǎng)絡(luò)入侵檢測、應(yīng)用防火墻、訪問控制、防篡改、數(shù)據(jù)加密、數(shù)據(jù)泄露防護(hù)等，這些防御技術(shù)可以最大程度地保障金融行業(yè)系統(tǒng)數(shù)據(jù)的可靠性、完整性和機(jī)密性。

（3）安全分析。安全分析是多層次融合防御模型最為重要的一個環(huán)節(jié)，通過入侵監(jiān)測、網(wǎng)絡(luò)抓包等方法獲取網(wǎng)絡(luò)流量信息，分析數(shù)據(jù)包每一個字段的內(nèi)容，利用上下文信息觀察是否存在病毒、木馬等攻擊流量，構(gòu)建日常網(wǎng)絡(luò)訪問模型區(qū)分異常流量，及時將威脅報告給管理員，快速發(fā)現(xiàn)潛在的APT威脅。

（4）安全響應(yīng)。如果防御系統(tǒng)發(fā)現(xiàn)了APT攻擊威脅的病毒、木馬，可以采取安全保護(hù)措施，使用殺毒軟件清除病毒或木馬專殺工具殺滅木馬，同時使用防火墻阻斷通信傳輸，終止APT的持續(xù)性威脅。

（5）系統(tǒng)恢復(fù)。金融行業(yè)系統(tǒng)運(yùn)行遭受APT攻擊是不可避免的，一旦系統(tǒng)遭受攻擊，系統(tǒng)管理人員應(yīng)該采用系統(tǒng)恢復(fù)技術(shù)，盡可能地將損失降到最低。系統(tǒng)恢復(fù)技術(shù)主要包括備份和恢復(fù)兩個階段，數(shù)據(jù)備份包括數(shù)據(jù)離線備份、在線備份、增量備份；數(shù)據(jù)恢復(fù)技術(shù)包括定點恢復(fù)、全部恢復(fù)等，兩者集成在一起，可以將系統(tǒng)恢復(fù)到一個未受到APT攻擊的正常狀態(tài)。

結(jié)束語：金融行業(yè)信息系統(tǒng)安全防御是一個動態(tài)的、自適應(yīng)的調(diào)整過程，隨著攻擊技術(shù)的提高，安全防御也需要創(chuàng)新理念，堅持動靜結(jié)合的原則，在防御系統(tǒng)引入更加先進(jìn)的技術(shù)，防御APT攻擊，提高金融信息安全防御能力。

參 考 文 獻(xiàn)

[1] 付鈺， 李洪成， 吳曉平，等. 基于大數(shù)據(jù)分析的APT攻擊檢測研究綜述[J]. 通信學(xué)報， 2015， 36（11）：1-14.

[2]杜躍進(jìn)， 翟立東， 李躍，等. 一種應(yīng)對APT攻擊的安全架構(gòu)：異常發(fā)現(xiàn)[J]. 計算機(jī)研究與發(fā)展， 2014， 51（7）：1633-1645.

[3]許婷. 一種有效防范APT攻擊的網(wǎng)絡(luò)安全架構(gòu)[J]. 信息安全與通信保密， 2013（6）：65-67.