当前位置: 行业与应用 > 行业解决方案

商业银行WEB应用弱点扫描器建设方案

以网上银行为代表的WEB应用面临严峻的安全形势

随着互联网的发展,电子商务的广泛应用,网上购物成为人们的基本需求。与此同时,网上银行、手机银行等电子银行应运而生,众多银行通过互联网向公众提供各种金融服务的电子银行系统,使客户可以不受时空限制,足不出户便可以通过网络进行申请、查询、管理、转账等银行业务,体验网上经济新生活。

银行业务网络与互联网的连接,使得网上银行容易成为非法入侵和恶意攻击的对象,加上目前网络秩序较混乱,黑客攻击事件层出不穷,使开展网上银行业务的银行面临更多的风险。这些攻击往往都是利用来自WEB应用本身的漏洞,如XSS跨站攻击、SQL 注入、恶意代码等等,而Web应用安全正逐渐成为最严重、最广泛、危害性最大的安全问题。

来自监管层的合规需求

近年来,国家各部门不断推出了各种监管要求,对银行的信息科技领域,尤其是电子银行,提出了明确的要求。其中与之相关的法律、法规与行业监管指引有:

2010年,中国人民银行发布了《网上银行系统信息安全通用规范(试行)》;

2009年,银监会发布《商业银行信息科技风险管理指引》;

2007年,全国信息安全标准化技术委员会发布了《网上银行系统信息安全保障评估准则》;

2006年,银监会发布《电子银行业务管理办法》,《电子银行安全评估指引》 、《银行业金融机构信息系统风险管理指引》和《银行业金融机构内部审计指引》。

……

WEB应用扫描的必要性

对病症预防胜于治疗。相同的道理,在信息安全领域里,对攻击的事中防护不如事先弥补。黑客对于例如网银的WEB应用系统的攻击就是利用WEB应用系统的漏洞而进行的,而且黑客入侵的操作步骤中,通过扫描获取系统的漏洞就是第一步。如果我们先于攻击者发现了这些来自WEB应用系统的漏洞,那么我们就能通过采取合理有效的手段去弥补这些漏洞,从自身源头彻底杜绝黑客的攻击。WEB应用扫描的意义正在于此。

WEB应用扫描可在WEB应用系统的不同生命周期中使用。在WEB应用系统开发阶段,通过WEB应用扫描可以及时发现漏洞及时修复漏洞;在WEB应用系统上线前,WEB应用扫描可以作为准入的手段之一;在WEB应用系统的运维阶段,定期的WEB应用扫描又可以作为评估加固的依据。可见一款优秀的WEB应用扫描系统对于WEB应用系统来说是何等的重要。

明鉴WEB应用弱点扫描器

明鉴WEB应用弱点扫描器(MatriXay)是杭州安恒信息技术有限公司在深入分析研究WEB-数据库构架应用系统中典型安全漏洞以及流行的攻击技术基础上,研制开发的一款WEB应用安全评估工具。它采用攻击技术的原理和渗透性测试的方法,对WEB应用进行深度漏洞探测,可帮助应用开发者和管理者了解应用系统存在的脆弱性,为改善并提高应用系统安全性提供依据,帮助用户建立安全可靠的WEB应用服务,对WEB应用攻击说“不!”

作为公安部等级保护测评中心专用应用安全测评工具,工信部安全中心运营商Web安全检查工具,明鉴WEB应用弱点扫描器还在2008年奥运和2010年世博会的WEB安全保障中发挥了重要的作用。与市场上同类产品的不同之处在于:不仅具有非凡的扫描功能,还提供了强大的渗透测试、网页木马检测功能。因此,被评价为“最佳的WEB安全评估工具”。

银行如何面对来自外部的WEB应用风险?首先很重要的步骤就是对WEB漏洞进行扫描,了解目前现有网上银行及WEB网站存在的安全漏洞,并及时进行加固防护。安恒明御WEB应用弱点扫描系统就是业界领先的扫描工具。


图1 系统部署图

客户清单

  • 宁波银行
  • 台州商业银行
  • 温州银行
  • 萧山农信社
  • 定海农村合作银行
  • 禾城农村合作银行
  • 普陀农村合作银行
  • 椒江农村合作银行
  • 上虞农村合作银行
  • 衢江信用联社
  • 江山合作银行
  • 柯城农信联社
  • 龙游农村信用联合社
  • 新昌农村合作银行
  • 诸暨农村合作银行