隨著電子商務(wù)快速的發(fā)展��,近幾年我國(guó)網(wǎng)上銀行業(yè)務(wù)發(fā)展迅猛�����,目前其交易量已超過(guò)商業(yè)銀行總交易量的50%以上����。在開(kāi)放網(wǎng)絡(luò)中流動(dòng)的大量金融交易數(shù)據(jù),不僅涉及巨大的經(jīng)濟(jì)利益��,而且包含大量的用戶個(gè)人隱私信息��。由于目前網(wǎng)銀交易認(rèn)證機(jī)制存在著缺陷和黑客組織惡意滲透破壞等原因�,針對(duì)網(wǎng)銀的趨利性犯罪態(tài)勢(shì)也越來(lái)越明顯�����。為此���,2009年人民銀行開(kāi)始致力于制訂網(wǎng)銀規(guī)范�,并于2012年底正式發(fā)布了《網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范》����。作為一項(xiàng)法律法規(guī),網(wǎng)銀安全規(guī)范為監(jiān)管部門(mén)檢查提供了標(biāo)準(zhǔn)化的依據(jù)����,能有效促進(jìn)網(wǎng)銀整體安全水平,在網(wǎng)銀安全使用中具有里程碑的意義��。
解讀網(wǎng)銀規(guī)范中的WEB應(yīng)用安全
WEB應(yīng)用安全是《網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范》中的重點(diǎn),主要有以下三個(gè)方面要求:
? 防止敏感信息泄漏
? 應(yīng)對(duì)網(wǎng)上銀行系統(tǒng)WEB服務(wù)器設(shè)置嚴(yán)格的目錄訪問(wèn)權(quán)限�,防止未授權(quán)訪問(wèn)。
? 禁止目錄列表瀏覽�����,防止網(wǎng)上銀行站點(diǎn)重要數(shù)據(jù)被未授權(quán)下載����。
? 防止SQL注入攻擊
? 網(wǎng)上銀行系統(tǒng)WEB服務(wù)器應(yīng)用程序應(yīng)對(duì)客戶提交的所有表單、參數(shù)進(jìn)行有效地合法性判斷和非法字符過(guò)濾����,防止攻擊者惡意構(gòu)造SQL語(yǔ)句實(shí)施注入攻擊。
? 禁止僅在客戶端以腳本形式對(duì)客戶的輸入進(jìn)行合法性判斷和參數(shù)字符過(guò)濾���。
? 防止跨站腳本攻擊
? 應(yīng)通過(guò)嚴(yán)格限制客戶端可提交的數(shù)據(jù)類(lèi)型以及對(duì)提交的數(shù)據(jù)進(jìn)行有效性檢查等有效措施防止跨站腳本注入��。
天融信TopWAF助網(wǎng)銀系統(tǒng)完成合規(guī)
XX銀行自開(kāi)通網(wǎng)上銀行系統(tǒng)后�����,主要還是依靠雙層異構(gòu)防火墻來(lái)做網(wǎng)絡(luò)層的訪問(wèn)控制隔離�����。其次還部署了入侵檢測(cè)設(shè)備����,用于檢測(cè)進(jìn)入DMZ區(qū)的入侵和攻擊,但也僅限于會(huì)話層和表示層的某些非法入侵��。而對(duì)于應(yīng)用層的探測(cè)和入侵��,無(wú)法實(shí)現(xiàn)實(shí)時(shí)檢測(cè)和攔截�����。
為了應(yīng)對(duì)監(jiān)管機(jī)構(gòu)的安全合規(guī)檢查��,XX銀行依照網(wǎng)銀安全規(guī)范對(duì)其網(wǎng)銀系統(tǒng)進(jìn)行了全面地安全評(píng)估��,發(fā)現(xiàn)網(wǎng)銀系統(tǒng)的WEB應(yīng)用存在部分SQL注入����、信息泄漏等高危漏洞�����?紤]到網(wǎng)銀系統(tǒng)已經(jīng)上線運(yùn)行����,用“改代碼”的方法修補(bǔ)漏洞需要付出過(guò)高的代價(jià)。所以天融信公司在對(duì)該系統(tǒng)進(jìn)行安全加固時(shí)��,采用了部署天融信WEB應(yīng)用安全防護(hù)系統(tǒng)TopWAF的解決方案�。如下圖所示:
圖1:TopWAF部署方案
TopWAF上線時(shí),天融信實(shí)施人員開(kāi)啟了基本攻擊防護(hù)策略���,利用內(nèi)置的特征規(guī)則����,對(duì)客戶提交的所有表單����、參數(shù)進(jìn)行合法性判斷和非法字符過(guò)濾,有效防止SQL注入���、跨站腳本����、目錄遍歷等攻擊����。同時(shí)���,實(shí)施人員有針對(duì)性地在TopWAF上配置了網(wǎng)站URL訪問(wèn)控制策略,嚴(yán)格限制網(wǎng)站目錄及文件資源的訪問(wèn)權(quán)限���。
部署TopWAF后��,XX銀行在沒(méi)有對(duì)網(wǎng)銀系統(tǒng)的WEB應(yīng)用程序做任何修改的情況下�����,順利地通過(guò)了監(jiān)管機(jī)構(gòu)的安全合規(guī)性檢查��。該方案的實(shí)施��,也為商業(yè)銀行網(wǎng)銀系統(tǒng)安全建設(shè)及合規(guī)提供了很好的樣板示范�����。
