日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
打造網(wǎng)銀WEB應(yīng)用安全

隨著電子商務(wù)快速的發(fā)展,近幾年我國網(wǎng)上銀行業(yè)務(wù)發(fā)展迅猛,目前其交易量已超過商業(yè)銀行總交易量的50%以上。在開放網(wǎng)絡(luò)中流動的大量金融交易數(shù)據(jù),不僅涉及巨大的經(jīng)濟(jì)利益,而且包含大量的用戶個人隱私信息。由于目前網(wǎng)銀交易認(rèn)證機(jī)制存在著缺陷和黑客組織惡意滲透破壞等原因,針對網(wǎng)銀的趨利性犯罪態(tài)勢也越來越明顯。為此,2009年人民銀行開始致力于制訂網(wǎng)銀規(guī)范,并于2012年底正式發(fā)布了《網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范》。作為一項(xiàng)法律法規(guī),網(wǎng)銀安全規(guī)范為監(jiān)管部門檢查提供了標(biāo)準(zhǔn)化的依據(jù),能有效促進(jìn)網(wǎng)銀整體安全水平,在網(wǎng)銀安全使用中具有里程碑的意義。

網(wǎng)站設(shè)計(jì)制作過程拒絕使用模板建站;使用PHP+MYSQL原生開發(fā)可交付網(wǎng)站源代碼;符合網(wǎng)站優(yōu)化排名的后臺管理系統(tǒng);成都網(wǎng)站制作、網(wǎng)站建設(shè)收費(fèi)合理;免費(fèi)進(jìn)行網(wǎng)站備案等企業(yè)網(wǎng)站建設(shè)一條龍服務(wù).我們是一家持續(xù)穩(wěn)定運(yùn)營了10多年的創(chuàng)新互聯(lián)網(wǎng)站建設(shè)公司。

解讀網(wǎng)銀規(guī)范中的WEB應(yīng)用安全

WEB應(yīng)用安全是《網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范》中的重點(diǎn),主要有以下三個方面要求:

防止敏感信息泄漏

應(yīng)對網(wǎng)上銀行系統(tǒng)WEB服務(wù)器設(shè)置嚴(yán)格的目錄訪問權(quán)限,防止未授權(quán)訪問。

禁止目錄列表瀏覽,防止網(wǎng)上銀行站點(diǎn)重要數(shù)據(jù)被未授權(quán)下載。

防止SQL注入攻擊

網(wǎng)上銀行系統(tǒng)WEB服務(wù)器應(yīng)用程序應(yīng)對客戶提交的所有表單、參數(shù)進(jìn)行有效地合法性判斷和非法字符過濾,防止攻擊者惡意構(gòu)造SQL語句實(shí)施注入攻擊。

禁止僅在客戶端以腳本形式對客戶的輸入進(jìn)行合法性判斷和參數(shù)字符過濾。

防止跨站腳本攻擊

應(yīng)通過嚴(yán)格限制客戶端可提交的數(shù)據(jù)類型以及對提交的數(shù)據(jù)進(jìn)行有效性檢查等有效措施防止跨站腳本注入。

TopWAF助網(wǎng)銀系統(tǒng)完成合規(guī)

XX銀行自開通網(wǎng)上銀行系統(tǒng)后,主要還是依靠雙層異構(gòu)防火墻來做網(wǎng)絡(luò)層的訪問控制隔離。其次還部署了入侵檢測設(shè)備,用于檢測進(jìn)入DMZ區(qū)的入侵和攻擊,但也僅限于會話層和表示層的某些非法入侵。而對于應(yīng)用層的探測和入侵,無法實(shí)現(xiàn)實(shí)時檢測和攔截。

為了應(yīng)對監(jiān)管機(jī)構(gòu)的安全合規(guī)檢查,XX銀行依照網(wǎng)銀安全規(guī)范對其網(wǎng)銀系統(tǒng)進(jìn)行了全面地安全評估,發(fā)現(xiàn)網(wǎng)銀系統(tǒng)的WEB應(yīng)用存在部分SQL注入、信息泄漏等高危漏洞??紤]到網(wǎng)銀系統(tǒng)已經(jīng)上線運(yùn)行,用“改代碼”的方法修補(bǔ)漏洞需要付出過高的代價。所以天融信公司在對該系統(tǒng)進(jìn)行安全加固時,采用了部署天融信WEB應(yīng)用安全防護(hù)系統(tǒng)TopWAF的解決方案。如下圖所示:

TopWAF部署方案

TopWAF上線時,天融信實(shí)施人員開啟了基本攻擊防護(hù)策略,利用內(nèi)置的特征規(guī)則,對客戶提交的所有表單、參數(shù)進(jìn)行合法性判斷和非法字符過濾,有效防止SQL注入、跨站腳本、目錄遍歷等攻擊。同時,實(shí)施人員有針對性地在TopWAF上配置了網(wǎng)站URL訪問控制策略,嚴(yán)格限制網(wǎng)站目錄及文件資源的訪問權(quán)限。

部署TopWAF后,XX銀行在沒有對網(wǎng)銀系統(tǒng)的WEB應(yīng)用程序做任何修改的情況下,順利地通過了監(jiān)管機(jī)構(gòu)的安全合規(guī)性檢查。該方案的實(shí)施,也為商業(yè)銀行網(wǎng)銀系統(tǒng)安全建設(shè)及合規(guī)提供了很好的樣板示范。


當(dāng)前題目:打造網(wǎng)銀WEB應(yīng)用安全
URL分享:http://www.5511xx.com/article/djjoeph.html