安恒信息某全国性商业银行应用安全整体解决方案

一、WEB应用面临的风险

随着互联网技术的迅猛发展，许多政府和银行的关键业务活动越来越多地依赖于WEB应用，在向客户提供通过浏览器访问企业信息功能的同时，企业所面临的风险在不断增加。主要表现在两个层面：一是随着Web应用程序的增多，这些Web应用程序所带来的安全漏洞越来越多；二是随着互联网技术的发展，被用来进行攻击的黑客工具越来越多、黑客活动越来越猖獗,组织性和经济利益驱动非常明显。

然而与之形成鲜明对比的却是：现阶段的安全解决方案无一例外的把重点放在网络安全层面，致使面临应用层攻击（如：针对WEB应用的SQL注入攻击、跨站脚本攻击等）发生时，传统的网络防火墙、IDS/IPS等安全产品对网站攻击几乎不起作用，许多政府和企业门户网站成为黑客组织成批传播木马的最有效途径。

据统计75%的网络攻击和互联网安全侵害源于应用软件，网页上的漏洞的根源还是来自程序开发者对网页程序编制和检测。未经过安全训练的程序员缺乏相关的网页安全知识；应用部门缺乏良好的编程规范和代码检测机制等等。解决此类问题必须在WEB应用软件开发程序上整治，仅仅靠打补丁和安装防火墙是远远不够的。

网络信息技术的发展和电子商务的普及，对传统的经营思想和经营方式产生了强烈的冲击。以互联网技术为核心的网上银行使银行业务也发生了巨大变化。"网上银行"为金融企业的发展带来了前所未有的商机，但同时银行业务网络与互联网的连接，使得银行容易成为非法入侵和恶意攻击的对象，加上目前网络秩序较混乱，黑客攻击事件层出不穷，使开展银行业务的银行面临更多的风险。在开放网络中流动的大量金融交易数据，不仅涉及巨大的经济利益，而且包含大量的用户个人隐私信息，必然吸引不法分子的网络入侵、网上侦听、电子欺诈和攻击行为，对于信用重于一切的银行来说，这都是极大的风险！

二、安恒解决方案

面对外部的WEB应用风险，应从两个方面来进行解决，第一方面是了解目前现有网上银行及WEB网站存在的安全漏洞，可通过安恒的WEB应用弱点扫描器了解已知的WEB应用系统（WEB网站、网上银行、其它B/S应用）存在的风险，通过扫描器发现的漏洞进行加固防护。第二方面通过部署明御WEB应用防火墙抵御互联网上针对WEB应用层的攻击行为，提高网上银行的抗风险能力，保障网上银行的正常运行，为网上银行客户提供全方位的保障，详细部署情况参见下图。

在提供网上银行服务的服务器前端直连部署明御WEB应用防火墙（WAF），采用国内首创全透明部署的WEB应用防火墙硬件设备，无需改变用户现有的网络结构和DNS配置，安装部署方便简单。明御WEB应用防火墙可以提供针对WEB应用层攻击防御和流量监控，完全支持HTTPS加密协议的攻击防御。例如：SQL注入攻击、跨站脚本攻击、应用层DDOS攻击、表单绕过、缓冲区溢出、恶意报文攻击、网页盗链、钓鱼攻击、Cookie注入等攻击防御，并通过强大的缓存技术和负载均衡技术提高网站及网上银行的访问速度。

系统部署图如下：