圖:四川省某市商業(yè)銀行網(wǎng)站防護(hù)系統(tǒng)部署圖
部署前��,天融信幫助該銀行對網(wǎng)站系統(tǒng)進(jìn)行了一次全面的WEB應(yīng)用安全檢查�����,主要是進(jìn)行遠(yuǎn)程滲透測試(模擬黑客攻擊)�,在真實(shí)的環(huán)境下檢測網(wǎng)站存在安全隱患����,根據(jù)檢查的結(jié)果�,提出加固修補(bǔ)方案�,加強(qiáng)門戶網(wǎng)站的應(yīng)用安全。測試后��,該銀行在網(wǎng)站系統(tǒng)前端部署了天融信WEB應(yīng)用安全網(wǎng)關(guān)(TopWAF)設(shè)備���,串行在防火墻DMZ區(qū)域�,防止黑客利用WEB應(yīng)用漏洞對網(wǎng)站系統(tǒng)進(jìn)行SQL注入�、跨站腳本等攻擊,并對網(wǎng)絡(luò)層及應(yīng)用層DDoS攻擊進(jìn)行有效控制���。此外��,通過TopWAF內(nèi)置的“業(yè)務(wù)智能分析模塊”�,該銀行對網(wǎng)站訪問數(shù)據(jù)進(jìn)行細(xì)粒度分析�,通過自動生成的統(tǒng)計(jì)報(bào)表可以將網(wǎng)站業(yè)務(wù)情況直觀、詳細(xì)地展現(xiàn)出來���,作為后續(xù)網(wǎng)站業(yè)務(wù)更新的決策依據(jù)����。
該銀行還在門戶網(wǎng)站服務(wù)器上部署了天融信網(wǎng)頁防篡改系統(tǒng)監(jiān)控代理端���,形成完整的網(wǎng)站安全事件全周期解決方案�,并通過內(nèi)核文件底層驅(qū)動內(nèi)嵌到操作系統(tǒng)中,以事件觸發(fā)方式進(jìn)行自動監(jiān)測�,對WEB服務(wù)器文件夾的所有文件內(nèi)容進(jìn)行實(shí)時監(jiān)測。一旦發(fā)現(xiàn)變更����,可實(shí)時阻斷篡改行為,并通過純內(nèi)核安全出站校驗(yàn)方式檢查出站內(nèi)容的完整性及可靠性���,使得公眾無法看到被篡改的頁面����,避免企業(yè)形象和業(yè)務(wù)損失�����。
該銀行還在辦公網(wǎng)內(nèi)部署了防篡改發(fā)布以及管理中心服務(wù)器���,作為網(wǎng)站內(nèi)容更新發(fā)布及后期篡改恢復(fù)的專用平臺。發(fā)布服務(wù)器會自動備份門戶網(wǎng)站服務(wù)器中的所有內(nèi)容��,當(dāng)發(fā)生網(wǎng)頁被意外破壞時��,防篡改系統(tǒng)就能通過其內(nèi)部的內(nèi)容恢復(fù)機(jī)制從可信備份端進(jìn)行實(shí)時恢復(fù),恢復(fù)時間小于5毫秒�,并確保文件的真實(shí)可靠性。同時���,TopWAF防篡改系統(tǒng)集成了頁面自動發(fā)布功能����。該服務(wù)器將可信備份路徑下的網(wǎng)頁內(nèi)容通過加密的方式快速發(fā)布到WEB服務(wù)器相應(yīng)文件夾��,實(shí)現(xiàn)了無人工干預(yù)的網(wǎng)站內(nèi)容安全����、快速、方便的發(fā)布��。
經(jīng)過全面的網(wǎng)站系統(tǒng)安全建設(shè)和改造�����,四川省某市商業(yè)銀行已經(jīng)頗具心得���,目前系統(tǒng)已經(jīng)實(shí)現(xiàn)了事前預(yù)警����、事中防護(hù)以及事后恢復(fù),符合等級保護(hù)的相關(guān)要求����、符合銀監(jiān)局商業(yè)銀行信息科技等級達(dá)標(biāo)規(guī)范的要求。該方案的實(shí)施���,形成了網(wǎng)站安全事件全周期解決方案���,為商業(yè)銀行網(wǎng)絡(luò)系統(tǒng)安全和業(yè)務(wù)系統(tǒng)安全建設(shè)提供了很好的樣板示范。
