以網(wǎng)上銀行為代表的WEB應用面臨嚴峻的安全形勢

隨著(zhù)互聯(lián)網(wǎng)的發(fā)展，電子商務(wù)的廣泛應用，網(wǎng)上購物成為人們的基本需求。與此同時(shí)，網(wǎng)上銀行、手機銀行等電子銀行應運而生，眾多銀行通過(guò)互聯(lián)網(wǎng)向公眾提供各種金融服務(wù)的電子銀行系統，使客戶(hù)可以不受時(shí)空限制，足不出戶(hù)便可以通過(guò)網(wǎng)絡(luò )進(jìn)行申請、查詢(xún)、管理、轉賬等銀行業(yè)務(wù)，體驗網(wǎng)上經(jīng)濟新生活。

銀行業(yè)務(wù)網(wǎng)絡(luò )與互聯(lián)網(wǎng)的連接，使得網(wǎng)上銀行容易成為非法入侵和惡意攻擊的對象，加上目前網(wǎng)絡(luò )秩序較混亂，黑客攻擊事件層出不窮，使開(kāi)展網(wǎng)上銀行業(yè)務(wù)的銀行面臨更多的風(fēng)險。在開(kāi)放網(wǎng)絡(luò )中流動(dòng)的大量金融交易數據，不僅涉及巨大的經(jīng)濟利益，而且包含大量的用戶(hù)個(gè)人隱私信息，必然吸引不法分子的網(wǎng)絡(luò )入侵、網(wǎng)上偵聽(tīng)、電子欺詐和攻擊行為，對于信用重于一切的銀行來(lái)說(shuō)，這都是極大的風(fēng)險！

來(lái)自監管層的合規需求

近年來(lái)，國家各部門(mén)不斷推出了各種監管要求，對銀行的信息科技領(lǐng)域，尤其是電子銀行，提出了明確的要求。其中與之相關(guān)的法律、法規與行業(yè)監管指引有：

2010年，中國人民銀行發(fā)布了《網(wǎng)上銀行系統信息安全通用規范（試行）》。

2009年，銀監會(huì )發(fā)布《商業(yè)銀行信息科技風(fēng)險管理指引》；

2007年，全國信息安全標準化技術(shù)委員會(huì )發(fā)布了《網(wǎng)上銀行系統信息安全保障評估準則》；

2006年，銀監會(huì )發(fā)布《電子銀行業(yè)務(wù)管理辦法》，《電子銀行安全評估指引》 、《銀行業(yè)金融機構信息系統風(fēng)險管理指引》和《銀行業(yè)金融機構內部審計指引》；

解決方案

面對外部的WEB應用風(fēng)險，應從兩個(gè)方面來(lái)進(jìn)行解決，第一方面是了解目前現有網(wǎng)上銀行及WEB網(wǎng)站存在的安全漏洞，可通過(guò)安恒的WEB應用弱點(diǎn)掃描器了解已知的WEB應用系統（WEB網(wǎng)站、網(wǎng)上銀行、其它B/S應用）存在的風(fēng)險，通過(guò)掃描器發(fā)現的漏洞進(jìn)行加固防護。第二方面通過(guò)部署明御WEB應用防火墻抵御互聯(lián)網(wǎng)上針對WEB應用層的攻擊行為，提高網(wǎng)上銀行的抗風(fēng)險能力，保障網(wǎng)上銀行的正常運行，為網(wǎng)上銀行客戶(hù)提供全方位的保障，詳細部署情況參見(jiàn)下圖。

在提供網(wǎng)上銀行服務(wù)的服務(wù)器前端直連部署明御WEB應用防火墻（WAF），采用國內首創(chuàng )全透明部署的WEB應用防火墻硬件設備，無(wú)需改變用戶(hù)現有的網(wǎng)絡(luò )結構和DNS配置，安裝部署方便簡(jiǎn)單。明御WEB應用防火墻可以提供針對WEB應用層攻擊防御和流量監控，完全支持HTTPS加密協(xié)議的攻擊防御。例如：SQL注入攻擊、跨站腳本攻擊、應用層DDOS攻擊、表單繞過(guò)、緩沖區溢出、惡意報文攻擊、網(wǎng)頁(yè)盜鏈、釣魚(yú)攻擊、Cookie注入等攻擊防御，并通過(guò)強大的緩存技術(shù)和負載均衡技術(shù)提高網(wǎng)站及網(wǎng)上銀行的訪(fǎng)問(wèn)速度。