当前位置: 行业与应用 > 行业解决方案

商业银行WEB应用防火墙建设方案

以网上银行为代表的WEB应用面临严峻的安全形势

随着互联网的发展,电子商务的广泛应用,网上购物成为人们的基本需求。与此同时,网上银行、手机银行等电子银行应运而生,众多银行通过互联网向公众提供各种金融服务的电子银行系统,使客户可以不受时空限制,足不出户便可以通过网络进行申请、查询、管理、转账等银行业务,体验网上经济新生活。

银行业务网络与互联网的连接,使得网上银行容易成为非法入侵和恶意攻击的对象,加上目前网络秩序较混乱,黑客攻击事件层出不穷,使开展网上银行业务的银行面临更多的风险。在开放网络中流动的大量金融交易数据,不仅涉及巨大的经济利益,而且包含大量的用户个人隐私信息,必然吸引不法分子的网络入侵、网上侦听、电子欺诈和攻击行为,对于信用重于一切的银行来说,这都是极大的风险!

来自监管层的合规需求

近年来,国家各部门不断推出了各种监管要求,对银行的信息科技领域,尤其是电子银行,提出了明确的要求。其中与之相关的法律、法规与行业监管指引有:

2011年,中国人民银行发布了《网上银行系统信息安全通用规范(试行)》;

2009年,银监会发布《商业银行信息科技风险管理指引》;

2007年,全国信息安全标准化技术委员会发布了《网上银行系统信息安全保障评估准则》;

2006年,银监会发布《电子银行业务管理办法》,《电子银行安全评估指引》 、《银行业金融机构信息系统风险管理指引》和《银行业金融机构内部审计指引》;

……

传统安全设备对WEB应用防护效果欠佳

以网上银行为例,目前现有的安全防护措施主要通过SSL安全代理、防火墙、IDS/IPS 、软件防火墙/防病毒等方式,但由于这些安全防护措施自身的局限性,导致网上银行无法应对日新月异的安全攻击,特别是目前基于正常WEB访问而发起的WEB应用攻击手段,安全事件依然频频发生。对传统四类安全设备分析如下:

  • SSL安全代理
    • 依赖浏览器的正确实现以及服务器软件、实际加密算法的支持。
    • 对跨站攻击、SQL注入以及数据监听等攻击手法无可奈何。
  • 防火墙
    • 只能检测网络层的攻击。
    • 无法阻拦来自网络内部的非法操作。
    • 无法动态识别或自适应地调整规则。
    • 对WEB应用,端口80或443必须开放 。
  • IDS/IPS
    • 只检测已知特征。
    • 对数据层的信息缺乏深度分析,误报/漏报率很高。
    • 没有对session/user的跟踪,不能保护SSL流量。

     

    WEB应用防火墙(WAF)应运而生

    明御WEB应用防火墙(简称:WAF)是安恒结合多年应用安全的攻防理论和应急响应实践经验积累的基础上自主研发完成,满足各类法律法规如PCI、等级保护、企业内部控制规范等要求,以国内首创的全透明部署模式全面支持HTTPS,在提供WEB应用实时深度防御的同时实现WEB应用加速及敏感信息泄露防护,为Web应用提供全方位的防护解决方案。

    明御WEB应用防火墙基于安恒专利级WEB入侵异常检测技术,对WEB应用实施全面、深度防御,具有以下功能特点:

    1. 深度防御

    明御WEB应用防火墙基于安恒专利级WEB入侵异常检测技术,对WEB应用实施全面、深度防御,能够有效识别、阻止日益盛行的WEB应用黑客攻击(如SQL注入、钓鱼攻击、表单绕过、缓冲区溢出、CGI扫描、目录遍历等):

    • SQL注入
    • 命令注入
    • Cookie 注入
    • 跨站脚本(XSS)
    • 敏感信息泄露
    • 恶意代码
    • 错误配置
    • 隐藏字段
    • 会话劫持
    • 参数篡改
    • 缓冲区溢出
    • 应用层拒绝服务
    • 弱口令
    • 其他变形的应用攻击
    • 网页篡改监测

    实时监测网站服务器的相关页面是否给非法更改,一旦发现被改则第一时间通知管理员,并形成详细的日志信息。与此同时,WAF系统将对外显示之前的正确页面,防止被篡改的内容被访问。

    1. Web应用加速

    系统内嵌应用加速模块,通过对各类静态页面及部分脚本的高速缓存,大大提高访问速度。

    1. 敏感信息泄露防护

    系统内置安全防护策略,可以灵活定义HTTP/HTTPS错误返回的默认页面,避免因为WEB服务异常,导致敏感信息(如:WEB应用安装目录、WEB服务器版本信息等)的泄露。

    1. 策略配置

    提供自定义安全策略配置,适应各种应用环境。

    1. 告警

    实时告警,支持邮件、短信等多种方式告警。

    1. 系统报表

    支持自定义报表,支持各类导出格式(WORD、EXCEL、PDF、HTML等)。


    图1 系统部署图

    面对外部的WEB应用风险,通过部署明御WEB应用防火墙抵御互联网上针对WEB应用层的攻击行为,提高网上银行的抗风险能力,保障网上银行的正常运行,为网上银行客户提供全方位的保障。

    明御WEB应用防火墙(WAF),采用国内首创全透明部署的WEB应用防火墙硬件设备,无需改变用户现有的网络结构和DNS配置,安装部署方便简单。明御WEB应用防火墙可以提供针对WEB应用层攻击防御和流量监控,完全支持HTTPS加密协议的攻击防御。例如:SQL注入攻击、跨站脚本攻击、应用层DDOS攻击、表单绕过、缓冲区溢出、恶意报文攻击、网页盗链、钓鱼攻击、Cookie注入等攻击防御,并通过强大的缓存技术和负载均衡技术提高网站及网上银行的访问速度。

    收益分析

    部署明御WEB应用防火墙,可以极大地提高银行对于网上银行系统的安全预警和安全防护能力,可以及时发现攻击行为和违规操作,能够有效地保护网上银行系统,针对非法访问及恶意攻击进行全方位的保护,并提供WEB访问加速减少服务器的负载,提高响应速度,更好地为客户服务,能够提升银行的品牌和整体竞争力。

    客户清单

    • 中信银行
    • 重庆银行
    • 浙江省农村信用社联合社
    • 上海银行
    • 杭州银行
    • 台州商业银行
    • 湖州商业银行
    • 温州银行
    • 绍兴银行
    • 余杭市农村信用合作社
    • 萧山农村信用合作社
    • 定海农村合作银行
    • 普陀农村合作银行
    • 富阳农村合作银行
    • 椒江农村合作银行
    • 禾城农村合作银行
    • 桐庐农村合作银行
    • 临安农村信用合作社
    • 龙游农村信用联合社
    • 柯城农信联社
    • 江山合作银行
    • 衢江信用联社
    • 上虞农村合作银行
    • 杭州联合农村商业银行股份有限公司
    • 新昌农村合作银行
    • 诸暨农村合作银行