网银安全解决方案
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
引言
应用安全是当前安全界的一个热点话题,应用安全与业务应用密不可分,不同的业务应用有不同的应用安全范畴和应用安全重点。本文通过分析网银系统面临的常见安全风险,从应用安全的角度出发,介绍如何选择专业应用层安全产品,来消除和缓解这些安全风险。
网银利用技术,通过互联网向用户提供开户、销户、查询、对帐、行内转帐、跨行转帐、信贷、网上证券、投资理财等传统银行业务。由于网银业务为银行以及银行客户带来了前所未有的便利性,近几年在国内发展迅猛。目前国内网银用户达到一亿五千万,2008年全年的网银交易量达到了300多万亿元。同时,网银作为金融行业的真金白银与互联网行业的开放自由的一个结合体,其安全性受到了广泛的关注,网银安全直接关系到了资金安全和交易安全,其重要性不言而喻。
网银安全主要涉及网银服务器安全、网银交易身份安全和网银客户端安全三个部分。其中PKI技术和现代加密技术已可完善地保证网银交易身份安全,而网银客户端安全更多的是通过结合网银用户的终端PC安全来保证,与用户的安全意识和终端PC的安全防护密切相关。所以在当前,网银系统最需要重点关注的就是网银服务器安全。
网银服务器安全风险
受网银业务的需要,网银服务器暴露在互联网上,因而它不可避免地会面临来自互联网上的各种安全风险,主要有以下几种:
1. 系统漏洞带来的安全风险。
系统漏洞往往会带来不可预计和不可控制的安全后果,如2009年5月,
发生了因暴风影音软件的一个微小漏洞导致多个省份大面积的断网事
件。目前,国内的网银系统往往架设在Unix操作系统上,采用WebSphere
等中间件和DB2等数据库,也有部分网银采用了Windows系统。这些
网银业务赖以运转的基础软件都会不可避免的不时爆出一些系统漏
洞,而每个漏洞都可能被互联网上的攻击者所利用,造成网银帐号失窃或数据篡改。如某银行的网银系统曾被黑客利用OS的系统漏洞入侵,并被成功窃取了网上银行客户的身份证号码、银行账号及密码等敏感信息,直接造成了网银用户的资金被非法转移。
2. Web安全问题带来的风险。
网银业务通常采用B/S架构,因此,Web安全问题会直接威胁到网银的应用安全。根据知名的Web安全与数据库安全研究组织OWASP提供的报告显示,目前对Web业务威胁最严重的两种攻击方式是SQL注入攻击和跨站脚本攻击。SQL注入的攻击原理是,程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,导致入侵者可以通过恶意SQL 命令的执行,获得数据读取和修改的权限。跨站脚本(XSS)攻击则将目标指向了Web业务系统所提供服务的客户端,跨站脚本攻击是通过在网页中加入恶意代码,当访问者浏览网页时恶意代码会被执行或者通过给管理员发信息的方式诱使管理员浏览,从而获得管理员权限,控制网银网站。在过去几年中,国内多个网银网站曾被监控到多起挂马事件。
3. 数据库安全问题带来的风险。
数据库是网银系统的核心,前两种安全风险最终也会危害到数据库的安全。但是针对网银系统,数据库的安全问题还有其特定的含义,那就是数据库的权限滥用所带来的安全问题,如违规越权操作、恶意入侵导致数据库里的敏感信息失窃,且事后无法有效追溯和审计。
4. DDoS攻击带来的安全风险。
DDoS的本质是攻击者合法或非法地利用互联网上的大量其他机器(可能是“肉机”,也可能是合法的代理机器),对攻击目标发起多对一的攻击;并且,随着攻防对抗的发展,当前基于应用层的DDoS攻击方
式逐渐成为了DDoS的主流。DDoS攻击的危害体现在网银上,就是造成
网银系统的服务器资源或者带宽资源被攻击报文占用,从而无法响应
正常的网银业务。
网银应用安全解决方案
针对来自互联网上的各种应用安全风险,可以通过目前市场上主流的应用层安全产品实现对网银服务器区的安全加固,主要包括IPS、数据库审计产品和专业抗DDoS设备。
IPS可以对数据流进行深入七层的全面分析,有效阻断恶意的攻击报文,并提供攻击特征的定期自动更新机制,因而在网银系统中被得到广泛的应用,几乎成为网银系统应用安全部署的基础配置。针对网银系统,通过IPS专业的应用层安全特性,可有效防御系统漏洞及Web带来的安全风险(如SQL注入、跨站脚本攻击等)、恶意入侵数据库的安全风险等等;同时,IPS能分析出对网银数据库的一些重要操作并能进行阻断或预警。
另外,针对网银数据库的安全风险,可以部署数据库审计产品;针对网银的DDoS攻击问题,可以选择专业的抗DDoS设备。
下图为这三类专业的应用安全产品在网银的部署组网方案,该方案全面考虑了网银面临的各类应用安全风险,并在网银服务器区的关键路径和关键节点上进行了针对性的安全防御。
网银服务器区的应用安全产品部署组网方案
1. 针对系统漏洞带来的安全风险,IPS深入应用层的入侵检
测防御引擎可以对访问网银的每个数据报文进行全面深度分析,对具有利用系统漏洞特征的攻击报文进行实时阻断,从而使攻击者无法利用系统漏洞攻击网银系统。同时,IPS厂家都组建有一支攻防研究团队,攻防研究团队会实时跟踪各种常用操作系统、中间件、数据库系统、应用程序等的最新漏洞信息,并实时提取出漏洞利用的特征规则。这些最新的特征规则可以自动下发到部署在网银的IPS设备上,从而使IPS能够防范最新暴露的系统漏洞。可以说,IPS为网银系统提供了一个虚拟的漏洞补丁功能。
2. 针对基于Web的安全威胁问题,IPS产品可以分析B/S架
构的每一个HTTP请求,根据常见Web攻击(如SQL注入、XSS跨站脚本的通用攻击)原理对每个客户端提交的HTTP请求进行攻击特征匹配,可以将攻击报文实时阻断。同时,IPS厂家的攻防研究团队会跟踪业界最新的攻击手法,并分析攻击原理,提取出攻击特征规则,来确保IPS 可以防范最新的基于Web的安全威胁。
3. 针对数据库安全问题带来的风险,IPS产品提供了一类安
全策略相关的特征规则库。虽然触发这类特征规则的网络访问行为不