圖:四川省某市商業(yè)銀行網(wǎng)站防護系統(tǒng)部署圖
部署前,天融信幫助該銀行對網(wǎng)站系統(tǒng)進行了一次全面的WEB應用安全檢查�,主要是進行遠程滲透測試(模擬黑客攻擊),在真實的環(huán)境下檢測網(wǎng)站存在安全隱患����,根據(jù)檢查的結果,提出加固修補方案�����,加強門戶網(wǎng)站的應用安全����。測試后,該銀行在網(wǎng)站系統(tǒng)前端部署了天融信WEB應用安全網(wǎng)關(TopWAF)設備�,串行在防火墻DMZ區(qū)域,防止黑客利用WEB應用漏洞對網(wǎng)站系統(tǒng)進行SQL注入��、跨站腳本等攻擊���,并對網(wǎng)絡層及應用層DDoS攻擊進行有效控制�����。此外��,通過TopWAF內置的“業(yè)務智能分析模塊”��,該銀行對網(wǎng)站訪問數(shù)據(jù)進行細粒度分析���,通過自動生成的統(tǒng)計報表可以將網(wǎng)站業(yè)務情況直觀、詳細地展現(xiàn)出來���,作為后續(xù)網(wǎng)站業(yè)務更新的決策依據(jù)�����。
該銀行還在門戶網(wǎng)站服務器上部署了天融信網(wǎng)頁防篡改系統(tǒng)監(jiān)控代理端���,形成完整的網(wǎng)站安全事件全周期解決方案,并通過內核文件底層驅動內嵌到操作系統(tǒng)中���,以事件觸發(fā)方式進行自動監(jiān)測���,對WEB服務器文件夾的所有文件內容進行實時監(jiān)測�����。一旦發(fā)現(xiàn)變更���,可實時阻斷篡改行為,并通過純內核安全出站校驗方式檢查出站內容的完整性及可靠性����,使得公眾無法看到被篡改的頁面,避免企業(yè)形象和業(yè)務損失�。
該銀行還在辦公網(wǎng)內部署了防篡改發(fā)布以及管理中心服務器,作為網(wǎng)站內容更新發(fā)布及后期篡改恢復的專用平臺��。發(fā)布服務器會自動備份門戶網(wǎng)站服務器中的所有內容���,當發(fā)生網(wǎng)頁被意外破壞時���,防篡改系統(tǒng)就能通過其內部的內容恢復機制從可信備份端進行實時恢復,恢復時間小于5毫秒��,并確保文件的真實可靠性�����。同時,TopWAF防篡改系統(tǒng)集成了頁面自動發(fā)布功能�。該服務器將可信備份路徑下的網(wǎng)頁內容通過加密的方式快速發(fā)布到WEB服務器相應文件夾,實現(xiàn)了無人工干預的網(wǎng)站內容安全��、快速�、方便的發(fā)布�。
經(jīng)過全面的網(wǎng)站系統(tǒng)安全建設和改造,四川省某市商業(yè)銀行已經(jīng)頗具心得��,目前系統(tǒng)已經(jīng)實現(xiàn)了事前預警��、事中防護以及事后恢復�,符合等級保護的相關要求、符合銀監(jiān)局商業(yè)銀行信息科技等級達標規(guī)范的要求��。該方案的實施����,形成了網(wǎng)站安全事件全周期解決方案,為商業(yè)銀行網(wǎng)絡系統(tǒng)安全和業(yè)務系統(tǒng)安全建設提供了很好的樣板示范����。
