隨著電子商務快速的發(fā)展，近幾年我國網上銀行業(yè)務發(fā)展迅猛，目前其交易量已超過商業(yè)銀行總交易量的50%以上。在開放網絡中流動的大量金融交易數據，不僅涉及巨大的經濟利益，而且包含大量的用戶個人隱私信息。由于目前網銀交易認證機制存在著缺陷和黑客組織惡意滲透破壞等原因，針對網銀的趨利性犯罪態(tài)勢也越來越明顯。為此，2009年人民銀行開始致力于制訂網銀規(guī)范，并于2012年底正式發(fā)布了《網上銀行系統(tǒng)信息安全通用規(guī)范》。作為一項法律法規(guī)，網銀安全規(guī)范為監(jiān)管部門檢查提供了標準化的依據，能有效促進網銀整體安全水平，在網銀安全使用中具有里程碑的意義。

解讀網銀規(guī)范中的WEB應用安全

WEB應用安全是《網上銀行系統(tǒng)信息安全通用規(guī)范》中的重點，主要有以下三個方面要求：

? 防止敏感信息泄漏

? 應對網上銀行系統(tǒng)WEB服務器設置嚴格的目錄訪問權限，防止未授權訪問。

? 禁止目錄列表瀏覽，防止網上銀行站點重要數據被未授權下載。

? 防止SQL注入攻擊

? 網上銀行系統(tǒng)WEB服務器應用程序應對客戶提交的所有表單、參數進行有效地合法性判斷和非法字符過濾，防止攻擊者惡意構造SQL語句實施注入攻擊。

? 禁止僅在客戶端以腳本形式對客戶的輸入進行合法性判斷和參數字符過濾。

? 防止跨站腳本攻擊

? 應通過嚴格限制客戶端可提交的數據類型以及對提交的數據進行有效性檢查等有效措施防止跨站腳本注入。

天融信TopWAF助網銀系統(tǒng)完成合規(guī)

XX銀行自開通網上銀行系統(tǒng)后，主要還是依靠雙層異構防火墻來做網絡層的訪問控制隔離。其次還部署了入侵檢測設備，用于檢測進入DMZ區(qū)的入侵和攻擊，但也僅限于會話層和表示層的某些非法入侵。而對于應用層的探測和入侵，無法實現實時檢測和攔截。

為了應對監(jiān)管機構的安全合規(guī)檢查，XX銀行依照網銀安全規(guī)范對其網銀系統(tǒng)進行了全面地安全評估，發(fā)現網銀系統(tǒng)的WEB應用存在部分SQL注入、信息泄漏等高危漏洞。考慮到網銀系統(tǒng)已經上線運行，用“改代碼”的方法修補漏洞需要付出過高的代價。所以天融信公司在對該系統(tǒng)進行安全加固時，采用了部署天融信WEB應用安全防護系統(tǒng)TopWAF的解決方案。如下圖所示：

圖1：TopWAF部署方案

TopWAF上線時，天融信實施人員開啟了基本攻擊防護策略，利用內置的特征規(guī)則，對客戶提交的所有表單、參數進行合法性判斷和非法字符過濾，有效防止SQL注入、跨站腳本、目錄遍歷等攻擊。同時，實施人員有針對性地在TopWAF上配置了網站URL訪問控制策略，嚴格限制網站目錄及文件資源的訪問權限。

部署TopWAF后，XX銀行在沒有對網銀系統(tǒng)的WEB應用程序做任何修改的情況下，順利地通過了監(jiān)管機構的安全合規(guī)性檢查。該方案的實施，也為商業(yè)銀行網銀系統(tǒng)安全建設及合規(guī)提供了很好的樣板示范。