天融信TopWAF打造网银WEB应用安全

随着电子商务快速的发展，近几年我国网上银行业务发展迅猛，目前其交易量已超过商业银行总交易量的50%以上。在开放网络中流动的大量金融交易数据，不仅涉及巨大的经济利益，而且包含大量的用户个人隐私信息。由于目前网银交易认证机制存在着缺陷和黑客组织恶意渗透破坏等原因，针对网银的趋利性犯罪态势也越来越明显。为此，2009年人民银行开始致力于制订网银规范，并于2012年底正式发布了《网上银行系统信息安全通用规范》。作为一项法律法规，网银安全规范为监管部门检查提供了标准化的依据，能有效促进网银整体安全水平，在网银安全使用中具有里程碑的意义。

解读网银规范中的WEB应用安全

WEB应用安全是《网上银行系统信息安全通用规范》中的重点，主要有以下三个方面要求：

· 防止敏感信息泄漏

 —应对网上银行系统WEB服务器设置严格的目录访问权限，防止未授权访问。

 —禁止目录列表浏览，防止网上银行站点重要数据被未授权下载。

· 防止SQL注入攻击

 —网上银行系统WEB服务器应用程序应对客户提交的所有表单、参数进行有效地合法性判断和非法字符过滤，防止攻击者恶意构造SQL语句实施注入攻击。

 —禁止仅在客户端以脚本形式对客户的输入进行合法性判断和参数字符过滤。

· 防止跨站脚本攻击

 —应通过严格限制客户端可提交的数据类型以及对提交的数据进行有效性检查等有效措施防止跨站脚本注入。

天融信TopWAF助网银系统完成合规

XX银行自开通网上银行系统后，主要还是依靠双层异构防火墙来做网络层的访问控制隔离。其次还部署了入侵检测设备，用于检测进入DMZ区的入侵和攻击，但也仅限于会话层和表示层的某些非法入侵。而对于应用层的探测和入侵，无法实现实时检测和拦截。

为了应对监管机构的安全合规检查，XX银行依照网银安全规范对其网银系统进行了全面地安全评估，发现网银系统的WEB应用存在部分SQL注入、信息泄漏等高危漏洞。考虑到网银系统已经上线运行，用“改代码”的方法修补漏洞需要付出过高的代价。所以天融信公司在对该系统进行安全加固时，采用了部署天融信WEB应用安全防护系统TopWAF的解决方案。如下图所示：

图1：TopWAF部署方案

TopWAF上线时，天融信实施人员开启了基本攻击防护策略，利用内置的特征规则，对客户提交的所有表单、参数进行合法性判断和非法字符过滤，有效防止SQL注入、跨站脚本、目录遍历等攻击。同时，实施人员有针对性地在TopWAF上配置了网站URL访问控制策略，严格限制网站目录及文件资源的访问权限。

部署TopWAF后，XX银行在没有对网银系统的WEB应用程序做任何修改的情况下，顺利地通过了监管机构的安全合规性检查。该方案的实施，也为商业银行网银系统安全建设及合规提供了很好的样板示范。