今天要和大家探討的是以銀行為代表的金融行業(yè)如何借助盛邦安全WEB應用安全綜合治理平臺來提升金融機構對WEB應用的安全管理。首先，銀行客戶在WEB應用系統(tǒng)安全管理方面存在著以下幾個問題和挑戰(zhàn)：

（1）應用系統(tǒng)多而亂

銀行客戶應用系統(tǒng)復雜，根據(jù)我們的調研，一般規(guī)模的城市商業(yè)銀行，已經上線和正在建設的各類業(yè)務系統(tǒng)數(shù)量都在100-200套之間，個別銀行的各類系統(tǒng)超過200套，這些應用系統(tǒng)目前基本都是B/S結構的WEB應用，針對如此大規(guī)模的應用系統(tǒng)的管理，在中小銀行的現(xiàn)行管理體系下，普遍存在管理不到位的情況，例如資產檔案不健全，內部域名使用混亂，應用系統(tǒng)配置管理缺失等。

（2）安全管理缺乏抓手

銀行的安全管理采用“三道”防線機制，通常是風險管理部門或者科技部門下面的安全管理部門開展定期的風險評估，同系統(tǒng)開發(fā)和運維部門職能分離，但是針對上線的應用系統(tǒng)的安全評估往往缺乏檢查重點和抓手。此外，目前中小銀行針對應用系統(tǒng)的漏洞管理機制普遍采用定期的漏洞掃描機制，掃描周期通常為季度、半年、年度，不能進行實時、全面的檢測；對于潛在風險的提示和預警，除了來自監(jiān)管部門、安全廠商的風險提示等途徑外，缺乏實時的工具和數(shù)據(jù)支撐，不能精準預警以及掌握重要漏洞可能影響的銀行應用系統(tǒng)的范圍和數(shù)量。

（3）銀行辦公、開發(fā)、測試網(wǎng)絡管理存在薄弱點

銀行針對生產網(wǎng)的管控非常嚴格，但是對辦公、開發(fā)、測試網(wǎng)絡的管理普遍沒有生產網(wǎng)嚴格，存在私搭亂建的個人、項目組、部門的“私有”網(wǎng)站，并在其中進行文件和數(shù)據(jù)共享，例如客戶數(shù)據(jù)、帳號和密碼等敏感數(shù)據(jù)；在服務器虛擬化的大背景下，各部門和團隊申請資源更加方便，但安全管理并沒有跟上；例如申請的資源可能挪作他用，而這些私有網(wǎng)站又普遍存在管理不到位導致的敏感數(shù)據(jù)泄密的風險，通過管理要求很難杜絕，也很難發(fā)現(xiàn)這些違規(guī)搭建的站點。

基于以上情況，盛邦安全WEB應用安全綜合治理平臺為上述問題和挑戰(zhàn)提供有效解決方案。

01

解決WEB資產多而亂的問題

盛邦安全WEB應用安全綜合治理平臺在網(wǎng)絡出口或者核心交換旁路部署自學習引擎，通過對鏡像流量Http訪問的分析，自動發(fā)現(xiàn)網(wǎng)絡內對外提供訪問的網(wǎng)站及業(yè)務系統(tǒng)。平臺深度的指紋學習功能可以更全面的掌握組織的web資產，探測出服務器的IP地址/域名、操作系統(tǒng)、中間件、網(wǎng)站編碼方式、物理/MAC地址等信息，協(xié)助銀行客戶建立應用系統(tǒng)的資產庫，掌握指紋信息，解決銀行系統(tǒng)資產檔案不健全、內部域名使用混亂、應用系統(tǒng)配置管理缺失的常見問題。

02

解決安全管理缺乏抓手的問題

盛邦安全WEB應用系統(tǒng)綜合治理平臺的資產實時發(fā)現(xiàn)功能，可以發(fā)現(xiàn)網(wǎng)絡中新上線的應用；對于安全管理部門或者風險管理部門，可以把新學習的新系統(tǒng)作為安全檢查的重點檢查對象，針對這些應用系統(tǒng)評估上線流程是否符合內部和外部規(guī)范；實時發(fā)現(xiàn)應用系統(tǒng)的漏洞信息，及時發(fā)現(xiàn)重大漏洞或威脅并具備實時告警功能，為運維部門提供風險提示和整改跟蹤；另外，該平臺可以協(xié)助風險/安全管理部門評估現(xiàn)有的漏洞管理機制；同時對于來自任何渠道的漏洞預警信息，借助資產指紋信息，可以快速摸清銀行網(wǎng)內哪些系統(tǒng)面臨威脅，以及評估系統(tǒng)漏洞可影響到的銀行內部的主機數(shù)量和比重。

03

解決銀行辦公、開發(fā)、測試網(wǎng)絡管理薄弱的問題

該平臺可根據(jù)網(wǎng)絡內對外提供訪問的網(wǎng)站及業(yè)務系統(tǒng)的特點，協(xié)助銀行安全管理部門實時發(fā)現(xiàn)銀行辦公網(wǎng)、開發(fā)網(wǎng)、測試網(wǎng)中已有和新上線的WEB應用，并對其進行集中安全監(jiān)控，幫助銀行客戶解決在辦公、開發(fā)測試網(wǎng)絡內私搭亂建、存在管理死角、敏感信息泄漏等高風險問題。

（1）       內容監(jiān)控：

包括篡改監(jiān)控、敏感詞監(jiān)控以及暗鏈監(jiān)控。發(fā)現(xiàn)不合規(guī)內容（如密碼、帳號等）并及時告警，還可以通過配置對高危訪問自動進行阻斷。

（2）       漏洞檢測：

漏洞檢測包含Web漏洞、系統(tǒng)漏洞、數(shù)據(jù)庫漏洞、中間件漏洞，目前平臺支持遠程OWASP定義的Web威脅和及其相關的漏洞掃描監(jiān)控服務。

（3）       后門檢測：

銀行內部很多重大的數(shù)據(jù)泄漏或者攻擊事件，往往是在早期在網(wǎng)站中植入后門，然后進行提權，在某個節(jié)點展開惡意行為。而部分銀行客戶沒有很好的重視對內部網(wǎng)站后門的檢測。盛邦安全治理平臺中的Webshell檢測不同于傳統(tǒng)的網(wǎng)站后門檢測，不需要在服務器上安裝檢測插件，而是通過對流量的分析以及Webshell傳輸特征庫，實現(xiàn)對Webshell的檢測。