当前位置: 行业与应用 > 行业解决方案

商业银行安全服务方案

以网上银行为代表的WEB应用面临严峻的安全形势

随着互联网的发展,电子商务的广泛应用,网上购物成为人们的基本需求。与此同时,网上银行、手机银行等电子银行应运而生,众多银行通过互联网向公众提供各种金融服务的电子银行系统,使客户可以不受时空限制,足不出户便可以通过网络进行申请、查询、管理、转账等银行业务,体验网上经济新生活。

银行业务网络与互联网的连接,使得网上银行容易成为非法入侵和恶意攻击的对象,加上目前网络秩序较混乱,黑客攻击事件层出不穷,使开展网上银行业务的银行面临更多的风险。在开放网络中流动的大量金融交易数据,不仅涉及巨大的经济利益,而且包含大量的用户个人隐私信息,必然吸引不法分子的网络入侵、网上侦听、电子欺诈和攻击行为,对于信用重于一切的银行来说,这都是极大的风险!

来自监管层的合规需求

近年来,国家各部门不断推出了各种监管要求,对银行的信息科技领域,尤其是电子银行,提出了明确的要求。其中与之相关的法律、法规与行业监管指引有:

2010年,中国人民银行发布了《网上银行系统信息安全通用规范(试行)》;

2009年,银监会发布《商业银行信息科技风险管理指引》;

2007年,全国信息安全标准化技术委员会发布了《网上银行系统信息安全保障评估准则》;

2006年,银监会发布《电子银行业务管理办法》,《电子银行安全评估指引》 、《银行业金融机构信息系统风险管理指引》和《银行业金融机构内部审计指引》;

……

安全服务的必要性

信息安全一向是一个发展和交互的过程,使用任何一种功能再强大的防范产品都不能解决一直在日益变化的安全问题,因为:

  • 安全是动态的不断变化和发展的过程,单纯的产品部署无法确保客户整体安全;
  • 安全建设是一项复杂的系统工程,安全不是简单的产品的堆砌;
  • 安全产品无法解决所有问题;
  • 人员的操作水平和系统的复杂性之间的差距,造成现有的系统管理员对目前先进、复杂的网络的管理能力有限;

我们认为,信息安全并不是按照说明书安装几个安全产品就能解决问题的。它需要合适的安全服务和合理的安全产品组合,一方面,脱离服务的产品无法发挥其固有的能力,另一方面,脱离产品的服务效率低下、成本过高。因此,安恒提出“产品服务化、服务产品化”的理念,以优秀的产品、满意的服务为客户网络安全提供保证。

安全服务工程是一项综合服务,由安恒公司经验丰富的安全技术专家,基于用户网络结构的特性和其个性化的需求来提供有针对性的安全解决方案,通过将来自一线的经验变成用户所需要的安全服务,从而保障客户相关重要系统和资源的安全,有效地减少用户单位由于安全问题引起的不可估量的损失。

安恒WEB专业安全服务

安恒WEB安全专业服务(WEB Security Professional Service)通过专业的安全工具、白客级的专家团队,协助客户对WEB应用进行常规扫描、高频度检测,对WEB应用安全事件进行成因分析、应急修复。同时帮助安全开发及维护人员及时了解安全知识、提升安全技能,从而切实增强商业银行网银WEB应用的整体抗风险能力。
安恒WEB安全专业服务包含两大类、九方面:


表4-1 远程服务内容


服务名称

服务内容

客户收益

WEB应用深度漏洞检测

  1. 采用专业安全工具及安全专家人工检测相结合的方式,对WEB应用进行深度风险评估(黑盒测试)
  1. 识别、控制、降低或消除可能影响WEB应用的安全风险
WEB应用木马检测

  1. 利用安恒专业安全工具检测网页木马
  1. 了解WEB应用的当前状况,是否已经被攻击挂马
  2. 清除网页木马和恶意代码
渗透测试

  1. 利用存在的漏洞及黑客攻击技术,实施无害攻击
  1. 知道WEB应用抵御黑客入侵的强度
  2. 了解黑客是如何利用现有的漏洞
远程应急响应

  1. 对受攻击WEB应用进行入侵分析、应急修复
  1. 及时解决安全事件,化解安全危机
  2. 将安全事件影响的损失降到最低
WEB应用安全通告

  1. WEB应用安全漏洞通告
  2. 重大WEB应用安全事件通告
  1. 及时了解最新的WEB应用漏洞信息
  2. 及时规避新WEB应用安全漏洞带来的风险
  3. 了解最新外部安全环境

表4-2 现场服务内容


服务名称

服务内容

客户收益

WEB应用安全加固

  1. 采用专业安全工具对WEB应用进行代码审核,并协助加固(白盒测试)
  1. 修补WEB应用漏洞,完善WEB应用编码。
  2. 增强WEB应用抵御黑客入侵的强度
  3. 增强业务连续性
WEB应用安全培训

  1. 安全开发培训
  2. 安全维护培训
  1. 培养开发人员安全编码意识、安全编码能力
  2. 增强维护人员专业安全知识
现场应急响应

  1. 对受攻击WEB应用进行入侵分析、应急修复
  1. 及时解决安全事件,化解安全危机
  2. 将安全事件影响的损失降到最低
安全巡检

  1. 对应用系统进行安全巡检,并提交巡检报告
  1. 定期掌握应用系统存在的安全隐患
  2. 及时落实修补措施

 

客户清单

  • 中国建设银行股份有限公司
  • 浙商银行
  • 重庆银行
  • 杭州银行
  • 绍兴银行
  • 宁波银行
  • 海通证券
  • 浙江省农村信用社联合社
  • 杭州余杭农村合作银行
  • 萧山农信社
  • 上虞农村合作银行
  • 椒江农村合作银行
  • 富阳农村合作银行
  • 桐庐农村合作银行
  • 浙江省永安期货经纪有限公司
  • 禾城农村合作银行
  • 临安市农村信用合作联社
  • 财通证券有限责任公司
  • 杭州联合农村商业银行股份有限公司
  • 舟山定海农村合作银行、
  • 湖州银行股份有限公司
  • 新昌农村合作银行
  • 诸暨农村合作银行