智恒联盟金融行业网站应用安全决方案.docx

金融行业网站应用安全解决方案一、 概述经济全球化的理念曾使人为之振奋，金融自由化曾给人几分梦想，也是当今世界发展的大趋势，它意味着国际资本流动的加速、信息跨国界的传播、生产资料配置的优化及社会生产力的高效化。特别是在国际金融自由化和电子化的辅助下，资金的流量和流速激增，进一步刺激了金融交易的发展。网络信息技术的发展和电子商务的普及，对企业传统的经营思想和经营方式产生了强烈的冲击，以互联网技术为核心的网上银行使银行业务也发生了巨大变化。“网上银行”在为金融企业的发展带来前所未有的商机的同时，也为众多用户带来实实在在的方便，但是面对这一新兴的事物，人们却有一个最大的疑惑：“网上银行”安全吗？毋庸置疑，网上银行以安全为第一原则。据调查，有60%的网上用户认为“安全”是进行网上购物时首要考虑的因素。据我国公安部破获各类“黑客”案件统计，其中以经济为目的的网络犯罪占61%。如此脆弱的网站安全体系不能不令人担忧，而商业银行经营的三性原则（安全性、流动性、盈利性）中，安全性是决定一切工作的前提，只有保证了安全，才谈得上盈利。 正如我国著名计算机专家沈昌祥院士指出的：信息安全保障能力是21世纪综合国力、经济竞争实力和生存能力的重要组成部份，是世纪之交世界各国在奋力攀登的制高点。二十世纪末，美国一些著名网站、银行、电子商务网站遭受黑客攻击；黑客入侵微软窃取源代码软件等重要案件，都证明了网站安全的严重性。因此，解决金融也网站信息安全问题刻不容缓。智恒联盟作为国内专业信息安全厂商，长久以来一直专注于国内金融、政府及其他企事业单位的信息安建设，智恒安全团队根据各行业的安全现状提出了很多的安全理念及全面有效的网络信息安全解决方案。经过多年对金融业信息化建设的研究，智恒专门针对金融行业提出了一套在当前安全形势下行之有效的全面的安全解决方案。能够有效保障金融业的网银系统及核心数据安全。二、 金融行业网站系统风险及需求分析2.1 银行网站安全应用随着网络的快速发展，各金融企业之间的竞争也日益激烈，主要是通过提高金融机构的运作效率，为客户提供方便快捷和丰富多彩的服务，增强金融企业的发展能力和影响力来实现的。目前银行主要应用有：储蓄、对公、信用卡、储蓄卡、IC卡、国际业务、电子汇兑、电子邮件、电子公文、网上银行、网上交易系统、新的综合对公业务、国际业务信贷系统等，客户可以不必亲身去银行办理业务，只要能够上网，无论在家里、办公室，还是在旅途中，都能够每天24小时安全便捷地管理自己的资产，或者办理查询、转账、缴费等银行业务。但是我们应该意识到事务的两面性，随着应用的不断增加，网站安全风险也会不断暴露出来。原来由单个计算机安全事故引起的损害可能传播到其他系统和主机，引起大范围的瘫痪和损失。而且由于银行属于商业系统，都有一些各自的商业机密信息，如果这些涉密信息在网上传输过程中泄密，其造成的损失将是不可估量的。大体上，银行业务系统分为两类：传统业务系统和新兴业务系统。传统业务注重两个方面的安全问题：保持传统业务系统与其它系统的独立性，对内部人员的安全审计和稽查。新兴业务系统面临更复杂的使用环境，使用对象可能是银行从业人员，也可能是银行的客户。新兴业务系统的安全需求有以下特点：新兴业务系统与其它信息系统广泛进行连接，对信息的隐秘性、系统的独立性要求相对较低，而对业务系统本身的自我保护却有很高的要求。例如，对于网上银行系统，就需要接入Internet。这就意味着网上银行系统将面临来自全球的安全攻击，如何提高其抗攻击能力，就是网上银行系统首先要考虑的问题。新兴业务系统的使用对象涉及社会的各个阶层，其服务对象可能是遵纪守法的用户，也有可能是别有用心的用户。所以，新兴业务系统对用户的身份鉴别、访问控制等有着很高的要求。2.2 银行网站安全风险分析2.2.1 来自互联网风险金融行业网站系统中网上银行、电子商务、网上交易系统都是通过Internet公网,并且都与银行发生关系，银行系统网络如果与Internet公网直接或间接互联，那么由于互联网自身的广泛性、自由性等特点，像银行这样的金融行业自然会被恶意的入侵者列入其攻击目标的前列。根据艾瑞市场调查发现，目前网民不使用网上银行的主要原因是担心交易安全问题，因此如何降低网上银行的安全风险显得尤为关键，以下是网上银行存在的安全威胁：1) 由于错误地实现访问控制，使攻击者对网上银行系统的访问未能检测到，从而造成对信息完整性、保密性、或可用性的潜在危害。2) 攻击者通过执行命令、发送数据、或执行其他操作使系统资源对用户失效，资源可能是带宽、处理器时间、内部存储器、数据存储器等。3) 攻击者通过挂马攻击、注入攻击、钓鱼攻击等方式窃听网络用户数据。4) 攻击者通过窃听通信线路获取用户数据。5) 攻击者为获得消息内容对加密数据使用密码分析。6) 当截获了有效用户的标识和鉴别数据后，未授权用户在将来使用这些鉴别数据，访问系统提供的功能。7) 授权用户、信息系统、攻击者下载和执行恶意代码，产生异常的进程，破坏系统资产的完整性、可用性、或保密性。8) 攻击者欺骗用户使用户与伪造的系统服务交互。9) 消息的接收者（或发送者）为避免对接收（或发送）的信息负责而否认接收（或发送）过数据。10) 合法用户滥用授权不正当地收集、修改或发送敏感的或对系统安全关键的数据。11) 关键系统组件失效导致系统关键功能失败。2.2.2 来自外单位风险银行系统为了竞争，已不仅仅是局限在本系统纵向网上做文章，而是逐步向横向发展，主要表现在银行不断增加中间业务，增加服务功能。比如代收电话费、水电费、代收保险费、证券转帐等业务。因此，就与电信局、水电局、保险公司、证券交易所等单位网络互联。由于银行与这些单位之间不可能是完全信任关系，因此，它们之间的互联，也使得银行网站系统存在着来自外单位的安全威胁。2.2.3 来自不信任域风险大部分银行系统都发展到全国联网。一个系统分布在全国各地，范围之广，而且各级银行也都是独立核算单位，因此，对每一个区域银行来说，其它区域银行都可以说是不信任的，同样存在安全危险。2.2.4 来自运维管理的安全风险随着信息金融行业信息化建设进程，由于设备和服务器众多，系统管理员压力太大等因素，越权访问、误操作、滥用、恶意破坏等情况时有发生，这严重影响企业的经济运行效能，并对企业声誉造成重大影响。另外黑客的恶意访问也有可能获取系统权限，闯入部门或企业内部网络，造成不可估量的损失。如何提高系统运维管理水平，跟踪服务器上用户的操作行为，防止黑客的入侵和破坏，提供控制和审计依据，降低运维成本，满足相关标准要求，越来越成为企事业单位关心的问题。根据资料统计，在对单位造成严重损害的案例中，有 70是组织里的内部人员所为，在日常的内部运维管理及IT内控合规性遵循过程中，经常会遇到如下问题： 1) 使用共享帐号的安全隐患 企业的支撑系统中有大量的网络设备、主机系统和应用系统，分别属于不同的部门和不同的业务系统。各应用系统都有一套独立的帐号体系，用户为了方便登陆，经常出现多人共用帐号的情况。 多人同时使用一个系统帐号在带来方便性的同时，导致用户身份唯一性无法确定。如果其中任何一个人离职或者将帐号告诉其他无关人员，会使这个帐号的安全无法保证。 由于共享帐号是多人共同使用，发生问题后，无法准确定位恶意操作或误操作的责任人。更改密码需要通知到每一个需要使用此帐号的人员，带来了密码管理的复杂化。 2) 密码策略无法有效执行 为了保证密码的安全性，安全管理员制定了严格的密码策略，比如密码要定期修改，密码要保证足够的长度和复杂度等，但是由于管理的机器数量和帐号数量太多，往往导致密码策略的实施流于形式。3) 授权不清晰 各系统分别管理所属的系统资源，为本系统的用户分配权限，无法严格按照最小权限原则分配权限。另外，随着用户数量的增加，权限管理任务越来越重，当维护人员同时对多个系统进行维护时，工作复杂度会成倍增加，安全性无法得到充分保证。4) 访问控制策略不严格 目前的管理中，没有一个清晰的访问控制列表，无法一目了然的看到什么用户能够以何种身份访问哪些关键设备，同时缺少有效的技术手段来保证访问控制策略被有效执行。5) 用户操作无法有效审计 各系统独立运行、维护和管理，所以各系统的审计也是相互独立的。每个网络设备，每个主机系统分别进行审计，安全事故发生后需要排查各系统的日志，但是往往日志找到了，也不能最终定位到行为人。 6) 缺乏身份识别及认证机制。很多企业或组织为了保护重要系统的安全，实施了双人分段管理密码、操作系统与数据库管理人员的权限分离、禁止混岗等策略，但实际工作中难免有工作或账户使用交叉情况出现，存在着无法对自然人身份的强制识别和认证风险；7) 第三方人员不易于管理。当第三方运维人员（代维/原厂工程师），需要对系统进行操作时，基于对合作伙伴的信任或工作需要，企业或组织通常提供高权限的系统账户甚至管理员帐户，而管理员却无法从技术上限制和确保，第三方人员的所有操作行为的合规性；8) 故障分析手段欠缺。当系统因某些操作发生故障、事件时，缺乏对操作过程的记录，无法还原事故现场，分析总结具体原由，故障、事件消除的时间延长。上述风险带来的运维安全风险和审计监管问题，已经成为企业信息系统安全运行的严重隐患，制约业务发展，影响企业效益。企业IT运维安全管理的变革已刻不容缓! 另外，企业员工的安全意识薄弱，企业的安全管理体制不健全也是网络存在安全风险的重要因素之一，健全的安全管理体制是一个企业网站安全得以保障及维系的关键因素。2.2.5 风险可能导致的结果安全威胁可能引发的结果有非法使用资源、恶意破坏数据、数据窃取、数据篡改、假冒、欺骗、敲诈勒索等。种种结果对银行这样特殊性的行业来说，其损失都是不可估量的。必须将各类风险防患于未然。2.3 金融行业网站安全需求分析通过以上对金融行业网站应用安全风险分析，当前金融业网络信息安全已进入一个多因子时代，传统安全防护方式已经不能有效解决当前形势下的信息安全问题。智恒联盟安全团队结合多年的信息安全研究经验，对金融业提出了一套行之有效的整体信息安全防护方案，具体方案如下：1） 门户及业务外网安全防护门户及业务外网直接与Internet互联网相连，实时对外提供服务，最容易受到黑客攻击，针对对外网站系统，需要重点防护。网站系统的安全防护主要包括两方面：一方面是对门户网站及业务网站系统进行安全检测，检测后针对网站应用存在的问题来对网站进行安全整改；另一方面是对网站做全面有效的安全防护。智恒联盟针对金融业的门户及业务网站系统，制定了全面的安全防护方案：u 使用WebPecker网站安全检测平台对网站做全面的安全检测，及时发现网站的安全漏洞，针对网站存在的安全隐患提出行之有效的解决办法。u 对门户外网采取必要的安全防护，在传统防火墙，IPS防护基础上增加WebGuard网页防篡改系统和WebGuard-WAF综合应用安全网关（以下简称“WAF”）。利用网页防篡改系统对金融行业门户网站页面进行有效防护，可以有效阻止网站内容遭到外部攻击，防止因网页被篡改造成严重的社会影响，网页防篡改保护系统通过服务器文件访问底层驱动技术，对保护的对象（静态网页、动态执行脚本、文件夹）实时监测其属性，一旦发现更改立刻阻断非法篡改操作，阻止网页文件被修改，并实时通知管理员，彻底地保证了网页内容不被篡改；WAF能够有效防止当前主流的各类应用攻击，包括SQL注入攻击、跨站攻击、目录遍历、Cookie欺骗等；还能有效防止拒绝服务攻击，如Ddos、CC攻击等。另外，Web应用防火墙可以有效保障业务联系性，提供Cache加速，网站服务器状态监控，HA负载均衡等。2） 运维管理安全防护外网安全只是安全的一个层面，要保障整个金融信息系统安全，光有外网安全是不够的，根据资料统计，在对单位造成严重损害的案例中，有 70是组织里的内部人员所为。金融业的网络环境都比较复杂，网络设备、安全设备、服务器和各类应用众多，同时，管理维护这些设备和应用的人员也很多，并且关系复杂，有单位内部人员，外部人员，第三方运维人员，临时介入的应用管理员等。要方便有效的统一管理这些设备和用户，就需要有一个强大的运维审计平台，智恒SAS运维安全审计系统就能有效解决运维安全管理问题。三、 金融行业网站安全解决方案根据金融行业网站系统现状及安全风险分析，智恒联盟应用安全团队通过对金融行业网站安全多年的研究，针对金融行业网站安全提出了全新的安全防护方式，采WebPecker网站安全检测平台，对金融业的门户及业务外网做整体安全测评，发现网站风险点，针对风险提出有效的解决办法；采用WebGuard网页防篡改保护系统+ WAF解决金融行业网站安全防护问题，有效保障网站免遭黑客攻击篡改，防患于未然；采用SAS运维安全审计系统，综合管理审计所有管理人员、运维人员的所有操作过程，当出现安全问题时，可以回放所有操作记录，准确定位，方便快捷找的到事故原因。使用以上设备可以从根本上解决金融行业网站所面临的安全隐患，保障金融行业网站安全、稳定的运行。3.1 Web安全检测WebPecker V8 专业版网站信息安全统一检测与监控平台，是智恒联盟WEBLab（网站安全攻防研究实验室）长期针对网站安全的研究成果，结合最新的网站远程攻击检测技术，将传统的网站渗透测试工具结合集中监控及管理的方法而研发出来专业性网站应用安全检测平台，也是国内最为实用最先进的一套网站安全监控解决方案。WebPecker系统功能分核心功能和管理功能，如下表所示：分类说明核心功能敏感信息告警对网站的敏感字段通过爬虫技术进行分析比对，及时发现网站中出现的敏感信息，避免了人工发现的滞后性，分析效率大大提高，且消耗系统资源及少；敏感信息可以根据实际情况进行分类；网站存活监控实时7*24小时自动监控网站的存活，发现死机或连接中断等情况；可设置告警及时通知相关管理员；挂马检测通过云安全、静态检测以及沙箱还原检测技术检测网站是否被挂马，并识别出木马种类及危害；SQL注入检测通过渗透测试等检测方法，检测网站是否存在SQL注入漏洞；SQL注入漏洞会导致网站数据库信息被窃取、篡改、删除，进一步导致网站被挂马甚至攻击者获取到网站服务器管理权限；XSS跨站脚本漏洞检测检测网站是否存在跨站脚本漏洞；跨站脚本漏洞会导致网站用户信息被窃取、网站出现挂马、甚至网站内容管理者权限被盗用；管理功能报表功能每个网站都可生成独立的图形报表，可以一目了然了解到详细信息； 用户管理功能对不同的用户授权相应范围内的管理，大致分为高级管理员、普通管理员及日志审核员；趋势分析根据周期性检测结果，针对某一网站进行安全趋势分析，作为决策依据；多线程检测功能采用多线程的分析检测，可以最大效率的对各个网站进行分析；科学实用带宽和系统资源；集成渗透工具集成专业化的集成工具，便于高级分析技术人员对网站进行深度的渗透测试，最大限度的挖掘出网站的潜在威胁；网站安全量化分析通过分值计算，对各个网站进行分值统计，并进行量化，便于主管部门一目了然清晰的了解到网站的安全性状况；告警功能对于网站的敏感信息内容自行配制告警功能，方便管理者及时了解到发生的安全事件，可根据量化的标准，对网站的安全事件严重程度进行不同形式的告警；3.2 Web安全防护根据调查了解，网页篡改攻击事件具有以下特点：篡改网站页面传播速度快、阅读人群多;复制容易，事后消除影响难，预先检查和实时防范较难，网络环境复杂难以追查责任。此外，攻击工具简单且向智能化趋势发展，据不完全统计，我国95%以上的站点都受到过不同程度的黑客攻击，攻击形式繁多，网站的安全防范日益成为大家关注的焦点，商业网站（网银）成为重要攻击目标。当金融行业网站系统受到攻击后，必须采取重要技术手段加以防护，建议采用网页防篡改系统，对网站系统进行监控保护，防止系统再次遭到非法破坏。WebGuard网页防篡改保护系统由北京智恒联盟科技有限公司根据长期对Web站点进行安全研究成果自主研发的高可靠性、高安全性以及高易用性的软件系统。主要用于保护站点内容安全，防止黑客非法篡改网页，保护公众形象。该系统也是国内唯一通过国家严格检测的第三代网页防篡改技术。网页防篡改技术在近几年当中根据黑客攻击技术的发展也得到了较快的发展，第三代网页防篡改技术较之以前的技术有几个特点，响应速度快、判断准确、部署灵活等特点，集成度较高，不依赖于原有web系统架构、部署也不影响网站整体结构。经过广大用户实践表明，WebGuard 已经成为金融行业网站安全建设最佳解决方案。Web应用攻击已经成为当前的主流攻击行为，据统计，90%以上的攻击都是利用Web应用存在漏洞进行的攻击，Web攻击能够篡改数据库、获取数据信息、构造跨站、网站挂马、篡改页面等，对Web应用有极大的危害。WAF是智恒联盟公司自有知识产权，自主研发出品的高可靠性、高安全性、高易用性系统。WAF是网络安全专家团针对“网站型”服务器量身定制的产业化产品，融合了我公司长期对网站系统进行的安全研究成果，应用多项专利技术，主要从网站平台系统可用性和信息可信任的角度，解决WEB防护及加速、内容防篡改、流量分析和管理、异常流量清洗、负载均衡等核心需求，提供事前预警、事中防护、事后分析全周期安全防护解决方案。图 三1 WAF工作原理示意图WAF源于防护产品精品理念，致力于提高“网站型”服务器，应用服务系统的安全性和可靠性，保障网站应用服务系统的运行质量，提升网站应用系统运行质量，为网站应用服务系统的信息化规划部门、投资决策部门、运行维护部门提供具有参考意义的量化数据。事前，WAF进行网站服务运行动态监视，实时监测服务能力和服务质量，建立隐患预警机制。事中，基于“无故障运行时间”理念，依托稳定高效安全的系统内核以及先进全面的多维防护体系，从WEB应用威胁防御、WEB防篡改、抗拒绝服务攻击和WEB应用效能优化等多个角度，保障网站应用服务系统的运行质量。事后，WAF提供多角度量化的决策支撑数据，为用户提供便捷的使用管理、有