天融信TopWAF打造网银WEB应用安全

袁绍龙 发表于:13年10月11日 00:55 [来稿] DOIT.com.cn

  • 分享:
[导读]由于目前网银交易认证机制存在着缺陷和黑客组织恶意渗透破坏等原因,针对网银的趋利性犯罪态势也越来越明显。为此,2009年人民银行开始致力于制订网银规范,并于2012年底正式发布了《网上银行系统信息安全通用规范》。

随着电子商务快速的发展,近几年我国网上银行业务发展迅猛,目前其交易量已超过商业银行总交易量的50%以上。在开放网络中流动的大量金融交易数据,不仅涉及巨大的经济利益,而且包含大量的用户个人隐私信息。由于目前网银交易认证机制存在着缺陷和黑客组织恶意渗透破坏等原因,针对网银的趋利性犯罪态势也越来越明显。为此,2009年人民银行开始致力于制订网银规范,并于2012年底正式发布了《网上银行系统信息安全通用规范》。作为一项法律法规,网银安全规范为监管部门检查提供了标准化的依据,能有效促进网银整体安全水平,在网银安全使用中具有里程碑的意义。

解读网银规范中的WEB应用安全

WEB应用安全是《网上银行系统信息安全通用规范》中的重点,主要有以下三个方面要求:

? 防止敏感信息泄漏

? 应对网上银行系统WEB服务器设置严格的目录访问权限,防止未授权访问。

? 禁止目录列表浏览,防止网上银行站点重要数据被未授权下载。

? 防止SQL注入攻击

? 网上银行系统WEB服务器应用程序应对客户提交的所有表单、参数进行有效地合法性判断和非法字符过滤,防止攻击者恶意构造SQL语句实施注入攻击。

? 禁止仅在客户端以脚本形式对客户的输入进行合法性判断和参数字符过滤。

? 防止跨站脚本攻击

? 应通过严格限制客户端可提交的数据类型以及对提交的数据进行有效性检查等有效措施防止跨站脚本注入。

天融信TopWAF助网银系统完成合规

XX银行自开通网上银行系统后,主要还是依靠双层异构防火墙来做网络层的访问控制隔离。其次还部署了入侵检测设备,用于检测进入DMZ区的入侵和攻击,但也仅限于会话层和表示层的某些非法入侵。而对于应用层的探测和入侵,无法实现实时检测和拦截。

为了应对监管机构的安全合规检查,XX银行依照网银安全规范对其网银系统进行了全面地安全评估,发现网银系统的WEB应用存在部分SQL注入、信息泄漏等高危漏洞。考虑到网银系统已经上线运行,用“改代码”的方法修补漏洞需要付出过高的代价。所以天融信公司在对该系统进行安全加固时,采用了部署天融信WEB应用安全防护系统TopWAF的解决方案。如下图所示:

图1:TopWAF部署方案

TopWAF上线时,天融信实施人员开启了基本攻击防护策略,利用内置的特征规则,对客户提交的所有表单、参数进行合法性判断和非法字符过滤,有效防止SQL注入、跨站脚本、目录遍历等攻击。同时,实施人员有针对性地在TopWAF上配置了网站URL访问控制策略,严格限制网站目录及文件资源的访问权限。

部署TopWAF后,XX银行在没有对网银系统的WEB应用程序做任何修改的情况下,顺利地通过了监管机构的安全合规性检查。该方案的实施,也为商业银行网银系统安全建设及合规提供了很好的样板示范。

[责任编辑:袁绍龙]
袁绍龙
根据知名调研机构Gartner针对大数据的调查显示:2013年,用户在大数据领域的投资将会持续增长;64%的企业正在考虑大数据项目,而去年这个数字则是58%;社交媒体、银行业以及服务行业是目前大数据投资的领先行业;而交通、医疗以及保险等行业则正在积极准备大数据投资。
官方微信
weixin
精彩专题更多
存储风云榜”是由DOIT传媒主办的年度大型活动。回顾2014年,存储作为IT系统架构中最基础的元素,已经成为了推动信息产业发展的核心动力,存储产业的发展迈向成熟,数据经济的概念顺势而为的提出。
华为OceanStor V3系列存储系统是面向企业级应用的新一代统一存储产品。在功能、性能、效率、可靠性和易用性上都达到业界领先水平,很好的满足了大型数据库OLTP/OLAP、文件共享、云计算等各种应用下的数据存储需求。
联想携ThinkServer+System+七大行业解决方案惊艳第十六届高交会
 

公司简介 | 媒体优势 | 广告服务 | 客户寄语 | DOIT历程 | 诚聘英才 | 联系我们 | 会员注册 | 订阅中心

Copyright © 2013 DOIT Media, All rights Reserved. 北京楚科信息技术有限公司 版权所有.