隨著電子商務快速的發(fā)展�,近幾年我國網(wǎng)上銀行業(yè)務發(fā)展迅猛����,目前其交易量已超過商業(yè)銀行總交易量的50%以上。在開放網(wǎng)絡中流動的大量金融交易數(shù)據(jù)���,不僅涉及巨大的經(jīng)濟利益�����,而且包含大量的用戶個人隱私信息����。由于目前網(wǎng)銀交易認證機制存在著缺陷和黑客組織惡意滲透破壞等原因,針對網(wǎng)銀的趨利性犯罪態(tài)勢也越來越明顯���。為此�,2009年人民銀行開始致力于制訂網(wǎng)銀規(guī)范��,并于2012年底正式發(fā)布了《網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范》����。作為一項法律法規(guī),網(wǎng)銀安全規(guī)范為監(jiān)管部門檢查提供了標準化的依據(jù)�����,能有效促進網(wǎng)銀整體安全水平�����,在網(wǎng)銀安全使用中具有里程碑的意義。
解讀網(wǎng)銀規(guī)范中的WEB應用安全
WEB應用安全是《網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范》中的重點�,主要有以下三個方面要求:
? 防止敏感信息泄漏
? 應對網(wǎng)上銀行系統(tǒng)WEB服務器設置嚴格的目錄訪問權(quán)限,防止未授權(quán)訪問��。
? 禁止目錄列表瀏覽�����,防止網(wǎng)上銀行站點重要數(shù)據(jù)被未授權(quán)下載��。
? 防止SQL注入攻擊
? 網(wǎng)上銀行系統(tǒng)WEB服務器應用程序應對客戶提交的所有表單��、參數(shù)進行有效地合法性判斷和非法字符過濾�����,防止攻擊者惡意構(gòu)造SQL語句實施注入攻擊�����。
? 禁止僅在客戶端以腳本形式對客戶的輸入進行合法性判斷和參數(shù)字符過濾��。
? 防止跨站腳本攻擊
? 應通過嚴格限制客戶端可提交的數(shù)據(jù)類型以及對提交的數(shù)據(jù)進行有效性檢查等有效措施防止跨站腳本注入�����。
天融信TopWAF助網(wǎng)銀系統(tǒng)完成合規(guī)
XX銀行自開通網(wǎng)上銀行系統(tǒng)后��,主要還是依靠雙層異構(gòu)防火墻來做網(wǎng)絡層的訪問控制隔離���。其次還部署了入侵檢測設備�����,用于檢測進入DMZ區(qū)的入侵和攻擊���,但也僅限于會話層和表示層的某些非法入侵。而對于應用層的探測和入侵���,無法實現(xiàn)實時檢測和攔截�����。
為了應對監(jiān)管機構(gòu)的安全合規(guī)檢查���,XX銀行依照網(wǎng)銀安全規(guī)范對其網(wǎng)銀系統(tǒng)進行了全面地安全評估,發(fā)現(xiàn)網(wǎng)銀系統(tǒng)的WEB應用存在部分SQL注入�、信息泄漏等高危漏洞。考慮到網(wǎng)銀系統(tǒng)已經(jīng)上線運行����,用“改代碼”的方法修補漏洞需要付出過高的代價。所以天融信公司在對該系統(tǒng)進行安全加固時����,采用了部署天融信WEB應用安全防護系統(tǒng)TopWAF的解決方案。如下圖所示:
圖1:TopWAF部署方案
TopWAF上線時�����,天融信實施人員開啟了基本攻擊防護策略����,利用內(nèi)置的特征規(guī)則,對客戶提交的所有表單�����、參數(shù)進行合法性判斷和非法字符過濾��,有效防止SQL注入�����、跨站腳本、目錄遍歷等攻擊��。同時��,實施人員有針對性地在TopWAF上配置了網(wǎng)站URL訪問控制策略���,嚴格限制網(wǎng)站目錄及文件資源的訪問權(quán)限。
部署TopWAF后����,XX銀行在沒有對網(wǎng)銀系統(tǒng)的WEB應用程序做任何修改的情況下,順利地通過了監(jiān)管機構(gòu)的安全合規(guī)性檢查����。該方案的實施,也為商業(yè)銀行網(wǎng)銀系統(tǒng)安全建設及合規(guī)提供了很好的樣板示范�。
