一、行业背景
Web业务平台已经在电子商务、金融信息化中得到广泛的应用,很多金融企业都将应用架设在Web平台上,并不断完善和提高其功能和性能,为客户提供更为方便、快捷的服务支持。因此,国内城市商业银行业务系统多为Web应用业务。
Web业务的迅速发展引起了黑客们的强烈关注,他们将注意力从以往对传统网络服务器的攻击逐步转移到了对 Web 业务的攻击上。但是,很多企业对此并没有做好足够的准备,也没有给予足够的重视。
根据 Gartner 的调查,信息安全攻击有 75% 都是发生在 Web 应用层而非网络层面上。同时,数据也显示,2/3的 Web
站点都相当脆弱,易受攻击。可以说,绝大多数金融企业将大量的投资花费在网络和服务器的安全上,没有从真正意义上保证 Web 业务本身的安全,才给了黑客可乘之机。根据世界上知名的Web安全与数据库安全研究组织OWASP提供的报告,目前对Web业务系统威胁最严重的两种攻击方式是SQL注入攻击和跨站脚本攻击。
SQL注入攻击。SQL注入的攻击原理是利用程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,导致入侵者可以通过恶意SQL命令的执行,获得数据读取和修改的权限。攻击者成功进行SQL注入后,会拥有整个系统的最高权限,可以修改页面、数据,在网页中添加恶意代码,危害极大。
跨站脚本(XSS)攻击。不同于SQL注入以Web服务器为目标的攻击方式,跨站脚本攻击则是将目标指向了 Web业务系统所提供服务的客户端。跨站脚本攻击是通过在网页中加入恶意代码,当访问者浏览网页时恶意代码会被执行或者通过给管理员发信息的方式诱使管理员浏览,从而获得管理员权限,控制整个网站。
根据以往跨站脚本攻击的安全事件及产生的后果来看,跨站脚本攻击可导致的后果极其严重,影响面也十分之广,列举出一部分如下:盗取各类用户账号,如机器登录账号、用户网银账号、各类管理员账号。控制企业数据,包括读取、篡改、添加、删除企业敏感数据的能力。盗窃企业重要的具有商业价值的资料。非法转账。网站挂马。控制受害者机器向其他网站发起攻击……
对国内城市商业银行的风险评估发现,商行的Web应用服务器均具有SQL注入漏洞,被攻击的可能性极大,威胁可能来自外部终端和内部终端。如何进一步加强信息安全保障建设。
二、解决方案
金融网站的特点决定了对应用安全产品的需求定位是:可靠性高、性能优异、运行稳定、对异构环境的适应性强。针对金融企业网站的特点,以北方网站保护系统为核心的金融行业应用安全解决方案具有以下要点:
1、全面性:不仅仅对网页篡改进行防御,还需要对跨站攻击、cookies泄露攻击、非法执行、非法上传等WEB应用攻击进行全面防御。
2、稳定性:要保障各种极端情况下安全防护系统的稳定运行。因此应采用负载均衡模式部署。
|
