以網(wǎng)上銀行為代表的WEB應(yīng)用面臨嚴峻的安全形勢

隨著互聯(lián)網(wǎng)的發(fā)展，電子商務(wù)的廣泛應(yīng)用，網(wǎng)上購物成為人們的基本需求。與此同時，網(wǎng)上銀行、手機銀行等電子銀行應(yīng)運而生，眾多銀行通過互聯(lián)網(wǎng)向公眾提供各種金融服務(wù)的電子銀行系統(tǒng)，使客戶可以不受時空限制，足不出戶便可以通過網(wǎng)絡(luò)進行申請、查詢、管理、轉(zhuǎn)賬等銀行業(yè)務(wù)，體驗網(wǎng)上經(jīng)濟新生活。

銀行業(yè)務(wù)網(wǎng)絡(luò)與互聯(lián)網(wǎng)的連接，使得網(wǎng)上銀行容易成為非法入侵和惡意攻擊的對象，加上目前網(wǎng)絡(luò)秩序較混亂，黑客攻擊事件層出不窮，使開展網(wǎng)上銀行業(yè)務(wù)的銀行面臨更多的風(fēng)險。在開放網(wǎng)絡(luò)中流動的大量金融交易數(shù)據(jù)，不僅涉及巨大的經(jīng)濟利益，而且包含大量的用戶個人隱私信息，必然吸引不法分子的網(wǎng)絡(luò)入侵、網(wǎng)上偵聽、電子欺詐和攻擊行為，對于信用重于一切的銀行來說，這都是極大的風(fēng)險！

來自監(jiān)管層的合規(guī)需求

近年來，國家各部門不斷推出了各種監(jiān)管要求，對銀行的信息科技領(lǐng)域，尤其是電子銀行，提出了明確的要求。其中與之相關(guān)的法律、法規(guī)與行業(yè)監(jiān)管指引有：

2010年，中國人民銀行發(fā)布了《網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范（試行）》。

2009年，銀監(jiān)會發(fā)布《商業(yè)銀行信息科技風(fēng)險管理指引》；

2007年，全國信息安全標(biāo)準化技術(shù)委員會發(fā)布了《網(wǎng)上銀行系統(tǒng)信息安全保障評估準則》；

2006年，銀監(jiān)會發(fā)布《電子銀行業(yè)務(wù)管理辦法》，《電子銀行安全評估指引》 、《銀行業(yè)金融機構(gòu)信息系統(tǒng)風(fēng)險管理指引》和《銀行業(yè)金融機構(gòu)內(nèi)部審計指引》；

解決方案

面對外部的WEB應(yīng)用風(fēng)險，應(yīng)從兩個方面來進行解決，第一方面是了解目前現(xiàn)有網(wǎng)上銀行及WEB網(wǎng)站存在的安全漏洞，可通過安恒的WEB應(yīng)用弱點掃描器了解已知的WEB應(yīng)用系統(tǒng)（WEB網(wǎng)站、網(wǎng)上銀行、其它B/S應(yīng)用）存在的風(fēng)險，通過掃描器發(fā)現(xiàn)的漏洞進行加固防護。第二方面通過部署明御WEB應(yīng)用防火墻抵御互聯(lián)網(wǎng)上針對WEB應(yīng)用層的攻擊行為，提高網(wǎng)上銀行的抗風(fēng)險能力，保障網(wǎng)上銀行的正常運行，為網(wǎng)上銀行客戶提供全方位的保障，詳細部署情況參見下圖。

在提供網(wǎng)上銀行服務(wù)的服務(wù)器前端直連部署明御WEB應(yīng)用防火墻（WAF），采用國內(nèi)首創(chuàng)全透明部署的WEB應(yīng)用防火墻硬件設(shè)備，無需改變用戶現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)和DNS配置，安裝部署方便簡單。明御WEB應(yīng)用防火墻可以提供針對WEB應(yīng)用層攻擊防御和流量監(jiān)控，完全支持HTTPS加密協(xié)議的攻擊防御。例如：SQL注入攻擊、跨站腳本攻擊、應(yīng)用層DDOS攻擊、表單繞過、緩沖區(qū)溢出、惡意報文攻擊、網(wǎng)頁盜鏈、釣魚攻擊、Cookie注入等攻擊防御，并通過強大的緩存技術(shù)和負載均衡技術(shù)提高網(wǎng)站及網(wǎng)上銀行的訪問速度。

系統(tǒng)部署圖如下：