农村信用社应用安全解决方案

需求描述

据CFCA《2010中国电子银行调查报告》显示,2010年在经济形势强劲扭转、大众的选择更趋理性并注重时尚元素的环境下,网上银行以其安全、稳定且高效、方便的产品及服务为用户青睐。其中全国第三方支付用户的比例达到19%,在使用第三方支付的用户中,有近80%开通了网上银行。其中92%的用户使用第三方支付进行过网络购物,其次是手机充值,使用比例为63%。

网上银行已经成为人们办理银行业务的重要途径,因此网上银行的安全性更尤为重要。据调查显示,网上银行的安全性是用户最为关注的原因,因此制定一系列网上银行的信息安全保障措施势在必行。




解决方案

安恒信息专注于应用安全研究、为用户提供最佳的应用安全解决方案。以《网上银行系统信息安全通用规范》的应用安全要求为依据,并结合安恒多年在农村信用社从事应用安全服务的实践定制了本方案。







方案遵循持续改进的方法实施网上银行应用安全的风险管理措施,采用安全检测、安全防护、安全审计、安全监测多种措施相结合的方法进行实施。每个阶段均辅助以最佳产品与服务的组合,实现产品与服务相结合,防御与监测相补充的安全保障措施。

安全检测用于定位当前系统存在的主要安全问题,采用渗透测试的方法对网上银行客户端控件、网上银行、农信门户网站进行安全检测,为安全加固提供基础。

部署应用防火墙来进一步保障应用系统的安全性,通过数据库审计系统完善审计要求;同时考虑到农信社业务的特性,针对每个县级农信社部署WEB应用防火墙用于防护门户网站的安全性,并通过综合日志管理平台对全省范围的WEB安全状态进行监控和实时响应。

安全服务提供安全检测

安全检测主要采用安全扫描技术、渗透测试技术展开工作。安恒信息的安全服务团队由一支具有一流技术实力和丰富攻防经验的专家和研发团队组成,安全服务团队主要由CISP、CISSP、ISO27001主任审核员、高级网络认证工程师、高级项目经理组成。曾为2008北京奥运会、2010上海世博会、2010广州亚运会等多次国家重大项目提供安全服务。

通过风险评估可以从根源找到安全隐患的原因,降低业务系统面临的风险。农信社应用安全风险评估主要涉及以下几个方面

 ● 网上银行客户端控件安全:通过渗透测试可以检测出客户端控件是否满足《规范》中要求的抗逆向、反汇编、是否具备抗键盘消息钩子、是否涉及敏感信息的存储等;通过沙箱分析等技术还可以识别出密码保护以及登陆控制是否满足要求,从而识别客户端控件的安全程度。
 ● 网上银行服务器安全:通过代码白盒分析,可以在程序未上线时就检测程序的安全质量,最大限度提高代码安全。对于在线生产系统,通过安全扫描和渗透测试相结合的方式分析WEB应用系统的安全是否满足要求。
 ● 农信社门户网站安全:检测门户网站是否存在应用安全漏洞,如SQL注入、跨站脚本等信息,防止被入侵后修复网银链接等。监测门户网站的内容安全,是否涉及敏感的链接指向如钓鱼网站,内容是否属实或发生重大变更等安全事件的发生。

应用防火墙提供安全防护

在网上银行WEB服务器前端部署WEB应用防火墙,可以最快的实现WEB应用安全防护,是包含PCI-DSS在内公认的最佳做法。明御WEB应用防火墙具备积极防御功能,不但可以实现防御已知的WEB应用攻击,而且还可通过积极模式实现对未知攻击的防护。

 ● 明御WEB应用防火墙内置多种应用攻击特征库,可以高效的阻断来自客户端的SQL注入攻击、跨站脚本攻击等应用层攻击,并提供强大的策略定义功能,可以即时为应用程序提供虚拟补丁,在最短时间内修复程序的缺陷。
 ● 通过WEB应用防火墙可以实现《规范》中要求的对用户输入的完整验证,自动阻断用户的攻击行为。
 ● WEB应用防火墙具备高性能的页面内容过滤功能,可以实现《规范》中要求的防止敏感信息泄露的要求,并可以统一访问出错信息。

WEB应用防火墙不仅适用于网上银行WEB服务器前端,而且也是解决银行门户网站安全的利器。农信社门户网站众多,每个地级市、县级单位均有各自独立的门户网站。用户登陆时大多是通过开户行所在的门户网站进行访问的。因此门户网站的安全直接影响网银的安全性,门户网站的安全也显得日益重要,可通过部署WEB应用防火墙有效的防护门户网站的安全。

数据库审计系统提供安全审计

网上银行系统的安全除了采用安全服务和部署WEB应用防火墙等安全防护产品之外,安全审计也同等重要,通过部署数据库审计系统产品,实现内部安全审计,从而保障网上银行系统的安全满足《规范》中要求的三年规划,即增强安全要求。

明御数据库审计系统作为独立的硬件产品是国内唯一可实现高性能、细粒度、可审计数据库查询内容的数据库审计产品。

 ● 丰富的数据库支持oracle、SQL server、DB2、Mysql、informix、oscar、Sybase、HTTP、FTP、Telnet等
 ● 分布式部署方式,适用大型系统环境
 ● 数据库风险评估(高效检测数据库配置弱点、弱口令、补丁等风险)
 ● 三层审计(支持客户端、中间件、数据库三层关联审计)
 ● 双向审计(不但支持请求审计,而且支持返回数据审计)

该产品能够很好的整合到网上银行审计系统中,并能满足《网上银行系统信息安全通用规范》中的如下要求:

 ● 审计范围应覆盖到服务器和管理终端上的每个操作系统用户和数据库用户。
 ● 审计内容应包括重要用户行为、系统资源的异常使用和重要信息系统命令的使用等系统内重要的安全相关事件。
 ● 审计记录包括时间、类型、访问者标识、访问对象标识和事件结果。
 ● 应根据记录数据进行安全分析,并生成审计报表。
 ● 应保护审计记录,避免遭受未授权的删除、修改或覆盖。

统一监测与响应

针对农信社下属机构多,门户网站众多地域分散监管难度大等情况,本方案推荐部署明御综合日志审计平台。综合日志审计平台可以实现将下属地市、县级单位门户网站的安全日志集中监控和实时分析。由部署在省级机构的监测中心快速发现安全问题及时响应。

明御®综合日志审计平台(简称DAS-Logger)作为信息系统的综合性管理平台,通过对客户网络设备、安全设备、主机和应用系统日志进行全面的标准化处理,及时发现各种安全威胁、异常行为事件,为管理人员提供全局的视角,确保客户业务的不间断运营安全。

返回列表
杭州安恒信息技术有限公司 版权所有 © 2007-2017    浙ICP备09102757号 | 法律声明 | 隐私保护 |