今天要和大家探討的是以銀行為代表的金融行業(yè)如何借助盛邦安全WEB應(yīng)用安全綜合治理平臺來提升金融機構(gòu)對WEB應(yīng)用的安全管理。首先，銀行客戶在WEB應(yīng)用系統(tǒng)安全管理方面存在著以下幾個問題和挑戰(zhàn)：

（1）應(yīng)用系統(tǒng)多而亂

銀行客戶應(yīng)用系統(tǒng)復(fù)雜，根據(jù)我們的調(diào)研，一般規(guī)模的城市商業(yè)銀行，已經(jīng)上線和正在建設(shè)的各類業(yè)務(wù)系統(tǒng)數(shù)量都在100-200套之間，個別銀行的各類系統(tǒng)超過200套，這些應(yīng)用系統(tǒng)目前基本都是B/S結(jié)構(gòu)的WEB應(yīng)用，針對如此大規(guī)模的應(yīng)用系統(tǒng)的管理，在中小銀行的現(xiàn)行管理體系下，普遍存在管理不到位的情況，例如資產(chǎn)檔案不健全，內(nèi)部域名使用混亂，應(yīng)用系統(tǒng)配置管理缺失等。

（2）安全管理缺乏抓手

銀行的安全管理采用“三道”防線機制，通常是風(fēng)險管理部門或者科技部門下面的安全管理部門開展定期的風(fēng)險評估，同系統(tǒng)開發(fā)和運維部門職能分離，但是針對上線的應(yīng)用系統(tǒng)的安全評估往往缺乏檢查重點和抓手。此外，目前中小銀行針對應(yīng)用系統(tǒng)的漏洞管理機制普遍采用定期的漏洞掃描機制，掃描周期通常為季度、半年、年度，不能進行實時、全面的檢測；對于潛在風(fēng)險的提示和預(yù)警，除了來自監(jiān)管部門、安全廠商的風(fēng)險提示等途徑外，缺乏實時的工具和數(shù)據(jù)支撐，不能精準(zhǔn)預(yù)警以及掌握重要漏洞可能影響的銀行應(yīng)用系統(tǒng)的范圍和數(shù)量。

（3）銀行辦公、開發(fā)、測試網(wǎng)絡(luò)管理存在薄弱點

銀行針對生產(chǎn)網(wǎng)的管控非常嚴格，但是對辦公、開發(fā)、測試網(wǎng)絡(luò)的管理普遍沒有生產(chǎn)網(wǎng)嚴格，存在私搭亂建的個人、項目組、部門的“私有”網(wǎng)站，并在其中進行文件和數(shù)據(jù)共享，例如客戶數(shù)據(jù)、帳號和密碼等敏感數(shù)據(jù)；在服務(wù)器虛擬化的大背景下，各部門和團隊申請資源更加方便，但安全管理并沒有跟上；例如申請的資源可能挪作他用，而這些私有網(wǎng)站又普遍存在管理不到位導(dǎo)致的敏感數(shù)據(jù)泄密的風(fēng)險，通過管理要求很難杜絕，也很難發(fā)現(xiàn)這些違規(guī)搭建的站點。

基于以上情況，盛邦安全WEB應(yīng)用安全綜合治理平臺為上述問題和挑戰(zhàn)提供有效解決方案。

01

解決WEB資產(chǎn)多而亂的問題

盛邦安全WEB應(yīng)用安全綜合治理平臺在網(wǎng)絡(luò)出口或者核心交換旁路部署自學(xué)習(xí)引擎，通過對鏡像流量Http訪問的分析，自動發(fā)現(xiàn)網(wǎng)絡(luò)內(nèi)對外提供訪問的網(wǎng)站及業(yè)務(wù)系統(tǒng)。平臺深度的指紋學(xué)習(xí)功能可以更全面的掌握組織的web資產(chǎn)，探測出服務(wù)器的IP地址/域名、操作系統(tǒng)、中間件、網(wǎng)站編碼方式、物理/MAC地址等信息，協(xié)助銀行客戶建立應(yīng)用系統(tǒng)的資產(chǎn)庫，掌握指紋信息，解決銀行系統(tǒng)資產(chǎn)檔案不健全、內(nèi)部域名使用混亂、應(yīng)用系統(tǒng)配置管理缺失的常見問題。

02

解決安全管理缺乏抓手的問題

盛邦安全WEB應(yīng)用系統(tǒng)綜合治理平臺的資產(chǎn)實時發(fā)現(xiàn)功能，可以發(fā)現(xiàn)網(wǎng)絡(luò)中新上線的應(yīng)用；對于安全管理部門或者風(fēng)險管理部門，可以把新學(xué)習(xí)的新系統(tǒng)作為安全檢查的重點檢查對象，針對這些應(yīng)用系統(tǒng)評估上線流程是否符合內(nèi)部和外部規(guī)范；實時發(fā)現(xiàn)應(yīng)用系統(tǒng)的漏洞信息，及時發(fā)現(xiàn)重大漏洞或威脅并具備實時告警功能，為運維部門提供風(fēng)險提示和整改跟蹤；另外，該平臺可以協(xié)助風(fēng)險/安全管理部門評估現(xiàn)有的漏洞管理機制；同時對于來自任何渠道的漏洞預(yù)警信息，借助資產(chǎn)指紋信息，可以快速摸清銀行網(wǎng)內(nèi)哪些系統(tǒng)面臨威脅，以及評估系統(tǒng)漏洞可影響到的銀行內(nèi)部的主機數(shù)量和比重。

03

解決銀行辦公、開發(fā)、測試網(wǎng)絡(luò)管理薄弱的問題

該平臺可根據(jù)網(wǎng)絡(luò)內(nèi)對外提供訪問的網(wǎng)站及業(yè)務(wù)系統(tǒng)的特點，協(xié)助銀行安全管理部門實時發(fā)現(xiàn)銀行辦公網(wǎng)、開發(fā)網(wǎng)、測試網(wǎng)中已有和新上線的WEB應(yīng)用，并對其進行集中安全監(jiān)控，幫助銀行客戶解決在辦公、開發(fā)測試網(wǎng)絡(luò)內(nèi)私搭亂建、存在管理死角、敏感信息泄漏等高風(fēng)險問題。

（1）       內(nèi)容監(jiān)控：

包括篡改監(jiān)控、敏感詞監(jiān)控以及暗鏈監(jiān)控。發(fā)現(xiàn)不合規(guī)內(nèi)容（如密碼、帳號等）并及時告警，還可以通過配置對高危訪問自動進行阻斷。

（2）       漏洞檢測：

漏洞檢測包含Web漏洞、系統(tǒng)漏洞、數(shù)據(jù)庫漏洞、中間件漏洞，目前平臺支持遠程OWASP定義的Web威脅和及其相關(guān)的漏洞掃描監(jiān)控服務(wù)。

（3）       后門檢測：

銀行內(nèi)部很多重大的數(shù)據(jù)泄漏或者攻擊事件，往往是在早期在網(wǎng)站中植入后門，然后進行提權(quán)，在某個節(jié)點展開惡意行為。而部分銀行客戶沒有很好的重視對內(nèi)部網(wǎng)站后門的檢測。盛邦安全治理平臺中的Webshell檢測不同于傳統(tǒng)的網(wǎng)站后門檢測，不需要在服務(wù)器上安裝檢測插件，而是通過對流量的分析以及Webshell傳輸特征庫，實現(xiàn)對Webshell的檢測。