银行网站防篡改 网络业务更无忧

　　随着互联网应用的发展，很多企业及个人都已经习惯于进行网络转账、支付等财务交易，这也促进了商业银行等金融机构将越来越多的业务搬到网络上进行。这种方便、快捷的业务形态有利的一面是，让客户可以不受时空限制，足不出户便可以通过网络进行相关银行业务;而不利一面是，巨大的经济利益以及社会影响力，也让黑客们纷纷将攻击目标投向银行网站系统，给银行及客户带来了严重的网络安全威胁和直接经济损失。如何保护网站系统的安全，已经成为每一家商业银行管理者所面临的严峻问题。四川省某市商业银行也曾经饱受网站系统安全困扰。

　　该网站系统共包括：门户网站服务器群、企业网银服务器群和个人网银服务器群。其中，门户网站作为该市金融行业的窗口，常常成为不法分子的重点攻击对象。网站一旦被篡改(加入一些敏感的显性内容)、或在网页中插入恶意代码，都会引发较大影响，严重时甚至会造成政治事件。另外，由于门户网站上链接了网银系统的接口，一旦被不法分子实施了挂马、盗链、伪造等恶意攻击手段，很容易窃取到其它正常用户的网银登陆信息。如果此类情况发生，很容易造成大范围的用户账户被窃等事件，会给银行及广大用户造成难以弥补的经济损失和社会负面影响。因此，银行信息中心决定将网站系统的安全防护提升到了一个较高的级别。

　　根据商行网站系统的网络环境现状及应用特点，结合系统的金融行业特性，商行信息系统管理人员总结其对网站防护系统的主要需求如下：

　　· 对网站系统进行安全审核、安全加固;

　　· 阻止来自互联网的恶意DDOS攻击，提高网站服务的可用性;

　　· 防止黑客利用WEB应用漏洞对网站进行攻击，窃取敏感信息或篡改网页;

　　· 实现网页被篡改后的快速恢复，防止被篡改网页带来经济损失、不良影响等;

　　· 实现网站内容的安全、快速发布;

　　· 详细记录网站访问行为，根据访问数据对网站业务进行分析，形成报表;

　　该商业银行针对以上需求，邀请了国内多家Web安全解决方案提供商，进行真实环境中的测试对比。经过全方位测试，天融信公司的“网站安全事件全周期解决方案”凭借在性能、功能及特性等方面的出色表现最终被该商业银行采用，作为构建业务系统安全的关键组件。天融信网站安全事件全周期解决方案拓扑图如下：

图：四川省某市商业银行网站防护系统部署图

　　部署前，天融信帮助该银行对网站系统进行了一次全面的WEB应用安全检查，主要是进行远程渗透测试(模拟黑客攻击)，在真实的环境下检测网站存在安全隐患，根据检查的结果，提出加固修补方案，加强门户网站的应用安全。测试后，该银行在网站系统前端部署了天融信WEB应用安全网关(TopWAF)设备，串行在防火墙DMZ区域，防止黑客利用WEB应用漏洞对网站系统进行SQL注入、跨站脚本等攻击，并对网络层及应用层DDoS攻击进行有效控制。此外，通过TopWAF内置的“业务智能分析模块”，该银行对网站访问数据进行细粒度分析，通过自动生成的统计报表可以将网站业务情况直观、详细地展现出来，作为后续网站业务更新的决策依据。

　　该银行还在门户网站服务器上部署了天融信网页防篡改系统监控代理端，形成完整的网站安全事件全周期解决方案，并通过内核文件底层驱动内嵌到操作系统中，以事件触发方式进行自动监测，对WEB服务器文件夹的所有文件内容进行实时监测。一旦发现变更，可实时阻断篡改行为，并通过纯内核安全出站校验方式检查出站内容的完整性及可靠性，使得公众无法看到被篡改的页面，避免企业形象和业务损失。

　　该银行还在办公网内部署了防篡改发布以及管理中心服务器，作为网站内容更新发布及后期篡改恢复的专用平台。发布服务器会自动备份门户网站服务器中的所有内容，当发生网页被意外破坏时，防篡改系统就能通过其内部的内容恢复机制从可信备份端进行实时恢复，恢复时间小于5毫秒，并确保文件的真实可靠性。同时，TopWAF防篡改系统集成了页面自动发布功能。该服务器将可信备份路径下的网页内容通过加密的方式快速发布到WEB服务器相应文件夹，实现了无人工干预的网站内容安全、快速、方便的发布。

　　经过全面的网站系统安全建设和改造，四川省某市商业银行已经颇具心得，目前系统已经实现了事前预警、事中防护以及事后恢复，符合等级保护的相关要求、符合银监局商业银行信息科技等级达标规范的要求。该方案的实施，形成了网站安全事件全周期解决方案，为商业银行网络系统安全和业务系统安全建设提供了很好的样板示范。