网银安全解决方案

引言

应用安全是当前安全界的一个热点话题，应用安全与业务应用密不可分，不同的业务应用有不同的应用安全范畴和应用安全重点。本文通过分析网银系统面临的常见安全风险，从应用安全的角度出发，介绍如何选择专业应用层安全产品，来消除和缓解这些安全风险。

网银利用互联网技术，通过互联网向用户提供开户、销户、查询、对帐、行内转帐、跨行转帐、信贷、网上证券、投资理财等传统银行业务。由于网银业务为银行以及银行客户带来了前所未有的便利性，近几年在国内发展迅猛。目前国内网银用户达到一亿五千万，2008年全年的网银交易量达到了300多万亿元。同时，网银作为金融行业的真金白银与互联网行业的开放自由的一个结合体，其安全性受到了广泛的关注，网银安全直接关系到了资金安全和交易安全，其重要性不言而喻。

网银安全主要涉及网银服务器安全、网银交易身份安全和网银客户端安全三个部分。其中PKI技术和现代加密技术已可完善地保证网银交易身份安全，而网银客户端安全更多的是通过结合网银用户的终端PC安全来保证，与用户的安全意识和终端PC的安全防护密切相关。所以在当前，网银系统最需要重点关注的就是网银服务器安全。

网银服务器安全风险

受网银业务的需要，网银服务器暴露在互联网上，因而它不可避免地会面临来自互联网上的各种安全风险，主要有以下几种：

1. 系统漏洞带来的安全风险。

系统漏洞往往会带来不可预计和不可控制的安全后果，如2009年5月，发生了因暴风影音软件的一个微小漏洞导致多个省份大面积的断

网事件。目前，国内的网银系统往往架设在Unix操作系统上，采用

WebSphere等中间件和DB2等数据库，也有部分网银采用了Windows

系统。这些网银业务赖以运转的基础软件都会不可避免的不时爆出一

些系统漏洞，而每个漏洞都可能被互联网上的攻击者所利用，造成网

银帐号失窃或数据篡改。如某银行的网银系统曾被黑客利用OS的系统

漏洞入侵，并被成功窃取了网上银行客户的身份证号码、银行账号及

密码等敏感信息，直接造成了网银用户的资金被非法转移。

2. Web安全问题带来的风险。

网银业务通常采用B/S架构，因此，Web安全问题会直接威胁到网银的应用安全。根据知名的Web安全与数据库安全研究组织OWASP

提供的报告显示，目前对Web业务威胁最严重的两种攻击方式是SQL

注入攻击和跨站脚本攻击。SQL注入的攻击原理是，程序员在编写代码

的时候，没有对用户输入数据的合法性进行判断，导致入侵者可以通

过恶意SQL命令的执行，获得数据读取和修改的权限。跨站脚本(XSS)

攻击则将目标指向了Web业务系统所提供服务的客户端，跨站脚本攻

击是通过在网页中加入恶意代码，当访问者浏览网页时恶意代码会被

执行或者通过给管理员发信息的方式诱使管理员浏览，从而获得管理

员权限，控制网银网站。在过去几年中，国内多个网银网站曾被监控

到多起挂马事件。

3. 数据库安全问题带来的风险。

数据库是网银系统的核心，前两种安全风险最终也会危害到数据库的安全。但是针对网银系统，数据库的安全问题还有其特定的含义，

那就是数据库的权限滥用所带来的安全问题，如违规越权操作、恶意

入侵导致数据库里的敏感信息失窃，且事后无法有效追溯和审计。

4. DDoS攻击带来的安全风险。

DDoS的本质是攻击者合法或非法地利用互联网上的大量其他机器（可能是“肉机”，也可能是合法的代理机器），对攻击目标发起多对一

的攻击；并且，随着攻防对抗的发展，当前基于应用层的DDoS攻击方

式逐渐成为了DDoS的主流。DDoS攻击的危害体现在网银上，就是造

成网银系统的服务器资源或者带宽资源被攻击报文占用，从而无法响

应正常的网银业务。

网银应用安全解决方案

针对来自互联网上的各种应用安全风险，可以通过目前市场上主流的应用层安全产品实现对网银服务器区的安全加固，主要包括IPS、数据库审计产品和专业抗DDoS设备。

IPS可以对数据流进行深入七层的全面分析，有效阻断恶意的攻击报文，并提供攻击特征的定期自动更新机制，因而在网银系统中被得到广泛的应用，几乎成为网银系统应用安全部署的基础配置。针对网银系统，通过IPS专业的应用层安全特性，可有效防御系统漏洞及Web带来的安全风险（如SQL注入、跨站脚本攻击等）、恶意入侵数据库的安全风险等等；同时，IPS能分析出对网银数据库的一些重要操作并能进行阻断或预警。

另外，针对网银数据库的安全风险，可以部署数据库审计产品；针对网银的DDoS攻击问题，可以选择专业的抗DDoS设备。

下图为这三类专业的应用安全产品在网银的部署组网方案，该方案全面考虑了网银面临的各类应用安全风险，并在网银服务器区的关键路径和关键节点上进行了针对性的安全防御。

网银服务器区的应用安全产品部署组网方案

1. 针对系统漏洞带来的安全风险，IPS深入应用层的入侵检测

防御引擎可以对访问网银的每个数据报文进行全面深度分析，对具有

利用系统漏洞特征的攻击报文进行实时阻断，从而使攻击者无法利用

系统漏洞攻击网银系统。同时，IPS厂家都组建有一支攻防研究团队，

攻防研究团队会实时跟踪各种常用操作系统、中间件、数据库系统、

应用程序等的最新漏洞信息，并实时提取出漏洞利用的特征规则。这

些最新的特征规则可以自动下发到部署在网银的IPS设备上，从而使IPS

能够防范最新暴露的系统漏洞。可以说，IPS为网银系统提供了一个虚

拟的漏洞补丁功能。

2. 针对基于Web的安全威胁问题，IPS产品可以分析B/S架构

的每一个HTTP请求，根据常见Web攻击（如SQL注入、XSS跨站脚本

的通用攻击）原理对每个客户端提交的HTTP请求进行攻击特征匹配，

可以将攻击报文实时阻断。同时，IPS厂家的攻防研究团队会跟踪业界

最新的攻击手法，并分析攻击原理，提取出攻击特征规则，来确保IPS

可以防范最新的基于Web的安全威胁。

3. 针对数据库安全问题带来的风险，IPS产品提供了一类安全

策略相关的特征规则库。虽然触发这类特征规则的网络访问行为不能

被判断一定是攻击事件，但肯定是存在一定安全风险的，如对网银数

据库的一些重要操作的访问行为相关的特征规则就属于这一类。IPS可

以对这些访问行为进行检测，并进行告警，同时根据网银安全策略有

些明确不应该发生的数据库操作行为，也可通过IPS设置直接进行实时

阻断。

另外，通过数据库审计设备，可以对网银数据库的所有操作进行记录，数据库审计设备通过交换机镜像获得访问数据库的流量，并对

访问流量进行分析，将访问行为进行记录审计，从而实现对数据库的

违规操作等进行事后追溯。

4. 针对DDoS带来的安全风险，通过抗DDoS设备可进行有效

防御。抗DDoS设备部署在网银互联网出口路由器上，对来自互联网的

访问流量进行抽样分析，获得正常的访问流量模型。当访问流量偏离

正常模型过大之后，抗DDoS设备会认为是一个异常事件并启动防御，

通过发布动态路由，将有DDoS攻击嫌疑的流量牵引到抗DDoS设备上

进行检测过滤，对确定为DDoS的攻击流量进行丢弃，而正常的访问请

求则重新回注到出口路由器上进行转发。

结合网银应用的特点，通过部署应用安全设备IPS、数据库审计设备和抗DDoS设备形成的立体防御体系，将对网银服务器的应用安全形成有效的保障。同时进一步配合网银交易身份安全保障和网银客户端安全保障系统，可确保网银应用的安全开展，以保障网银应用的高速发展需求。