今天要和大家探討的是以銀行為代表的金融行業(yè)如何借助盛邦安全WEB應(yīng)用安全綜合治理平臺(tái)來(lái)提升金融機(jī)構(gòu)對(duì)WEB應(yīng)用的安全管理。首先，銀行客戶(hù)在WEB應(yīng)用系統(tǒng)安全管理方面存在著以下幾個(gè)問(wèn)題和挑戰(zhàn)：

（1）應(yīng)用系統(tǒng)多而亂

銀行客戶(hù)應(yīng)用系統(tǒng)復(fù)雜，根據(jù)我們的調(diào)研，一般規(guī)模的城市商業(yè)銀行，已經(jīng)上線和正在建設(shè)的各類(lèi)業(yè)務(wù)系統(tǒng)數(shù)量都在100-200套之間，個(gè)別銀行的各類(lèi)系統(tǒng)超過(guò)200套，這些應(yīng)用系統(tǒng)目前基本都是B/S結(jié)構(gòu)的WEB應(yīng)用，針對(duì)如此大規(guī)模的應(yīng)用系統(tǒng)的管理，在中小銀行的現(xiàn)行管理體系下，普遍存在管理不到位的情況，例如資產(chǎn)檔案不健全，內(nèi)部域名使用混亂，應(yīng)用系統(tǒng)配置管理缺失等。

（2）安全管理缺乏抓手

銀行的安全管理采用“三道”防線機(jī)制，通常是風(fēng)險(xiǎn)管理部門(mén)或者科技部門(mén)下面的安全管理部門(mén)開(kāi)展定期的風(fēng)險(xiǎn)評(píng)估，同系統(tǒng)開(kāi)發(fā)和運(yùn)維部門(mén)職能分離，但是針對(duì)上線的應(yīng)用系統(tǒng)的安全評(píng)估往往缺乏檢查重點(diǎn)和抓手。此外，目前中小銀行針對(duì)應(yīng)用系統(tǒng)的漏洞管理機(jī)制普遍采用定期的漏洞掃描機(jī)制，掃描周期通常為季度、半年、年度，不能進(jìn)行實(shí)時(shí)、全面的檢測(cè)；對(duì)于潛在風(fēng)險(xiǎn)的提示和預(yù)警，除了來(lái)自監(jiān)管部門(mén)、安全廠商的風(fēng)險(xiǎn)提示等途徑外，缺乏實(shí)時(shí)的工具和數(shù)據(jù)支撐，不能精準(zhǔn)預(yù)警以及掌握重要漏洞可能影響的銀行應(yīng)用系統(tǒng)的范圍和數(shù)量。

（3）銀行辦公、開(kāi)發(fā)、測(cè)試網(wǎng)絡(luò)管理存在薄弱點(diǎn)

銀行針對(duì)生產(chǎn)網(wǎng)的管控非常嚴(yán)格，但是對(duì)辦公、開(kāi)發(fā)、測(cè)試網(wǎng)絡(luò)的管理普遍沒(méi)有生產(chǎn)網(wǎng)嚴(yán)格，存在私搭亂建的個(gè)人、項(xiàng)目組、部門(mén)的“私有”網(wǎng)站，并在其中進(jìn)行文件和數(shù)據(jù)共享，例如客戶(hù)數(shù)據(jù)、帳號(hào)和密碼等敏感數(shù)據(jù)；在服務(wù)器虛擬化的大背景下，各部門(mén)和團(tuán)隊(duì)申請(qǐng)資源更加方便，但安全管理并沒(méi)有跟上；例如申請(qǐng)的資源可能挪作他用，而這些私有網(wǎng)站又普遍存在管理不到位導(dǎo)致的敏感數(shù)據(jù)泄密的風(fēng)險(xiǎn)，通過(guò)管理要求很難杜絕，也很難發(fā)現(xiàn)這些違規(guī)搭建的站點(diǎn)。

基于以上情況，盛邦安全WEB應(yīng)用安全綜合治理平臺(tái)為上述問(wèn)題和挑戰(zhàn)提供有效解決方案。

01

解決WEB資產(chǎn)多而亂的問(wèn)題

盛邦安全WEB應(yīng)用安全綜合治理平臺(tái)在網(wǎng)絡(luò)出口或者核心交換旁路部署自學(xué)習(xí)引擎，通過(guò)對(duì)鏡像流量Http訪問(wèn)的分析，自動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)內(nèi)對(duì)外提供訪問(wèn)的網(wǎng)站及業(yè)務(wù)系統(tǒng)。平臺(tái)深度的指紋學(xué)習(xí)功能可以更全面的掌握組織的web資產(chǎn)，探測(cè)出服務(wù)器的IP地址/域名、操作系統(tǒng)、中間件、網(wǎng)站編碼方式、物理/MAC地址等信息，協(xié)助銀行客戶(hù)建立應(yīng)用系統(tǒng)的資產(chǎn)庫(kù)，掌握指紋信息，解決銀行系統(tǒng)資產(chǎn)檔案不健全、內(nèi)部域名使用混亂、應(yīng)用系統(tǒng)配置管理缺失的常見(jiàn)問(wèn)題。

02

解決安全管理缺乏抓手的問(wèn)題

盛邦安全WEB應(yīng)用系統(tǒng)綜合治理平臺(tái)的資產(chǎn)實(shí)時(shí)發(fā)現(xiàn)功能，可以發(fā)現(xiàn)網(wǎng)絡(luò)中新上線的應(yīng)用；對(duì)于安全管理部門(mén)或者風(fēng)險(xiǎn)管理部門(mén)，可以把新學(xué)習(xí)的新系統(tǒng)作為安全檢查的重點(diǎn)檢查對(duì)象，針對(duì)這些應(yīng)用系統(tǒng)評(píng)估上線流程是否符合內(nèi)部和外部規(guī)范；實(shí)時(shí)發(fā)現(xiàn)應(yīng)用系統(tǒng)的漏洞信息，及時(shí)發(fā)現(xiàn)重大漏洞或威脅并具備實(shí)時(shí)告警功能，為運(yùn)維部門(mén)提供風(fēng)險(xiǎn)提示和整改跟蹤；另外，該平臺(tái)可以協(xié)助風(fēng)險(xiǎn)/安全管理部門(mén)評(píng)估現(xiàn)有的漏洞管理機(jī)制；同時(shí)對(duì)于來(lái)自任何渠道的漏洞預(yù)警信息，借助資產(chǎn)指紋信息，可以快速摸清銀行網(wǎng)內(nèi)哪些系統(tǒng)面臨威脅，以及評(píng)估系統(tǒng)漏洞可影響到的銀行內(nèi)部的主機(jī)數(shù)量和比重。

03

解決銀行辦公、開(kāi)發(fā)、測(cè)試網(wǎng)絡(luò)管理薄弱的問(wèn)題

該平臺(tái)可根據(jù)網(wǎng)絡(luò)內(nèi)對(duì)外提供訪問(wèn)的網(wǎng)站及業(yè)務(wù)系統(tǒng)的特點(diǎn)，協(xié)助銀行安全管理部門(mén)實(shí)時(shí)發(fā)現(xiàn)銀行辦公網(wǎng)、開(kāi)發(fā)網(wǎng)、測(cè)試網(wǎng)中已有和新上線的WEB應(yīng)用，并對(duì)其進(jìn)行集中安全監(jiān)控，幫助銀行客戶(hù)解決在辦公、開(kāi)發(fā)測(cè)試網(wǎng)絡(luò)內(nèi)私搭亂建、存在管理死角、敏感信息泄漏等高風(fēng)險(xiǎn)問(wèn)題。

（1）       內(nèi)容監(jiān)控：

包括篡改監(jiān)控、敏感詞監(jiān)控以及暗鏈監(jiān)控。發(fā)現(xiàn)不合規(guī)內(nèi)容（如密碼、帳號(hào)等）并及時(shí)告警，還可以通過(guò)配置對(duì)高危訪問(wèn)自動(dòng)進(jìn)行阻斷。

（2）       漏洞檢測(cè)：

漏洞檢測(cè)包含Web漏洞、系統(tǒng)漏洞、數(shù)據(jù)庫(kù)漏洞、中間件漏洞，目前平臺(tái)支持遠(yuǎn)程O(píng)WASP定義的Web威脅和及其相關(guān)的漏洞掃描監(jiān)控服務(wù)。

（3）       后門(mén)檢測(cè)：

銀行內(nèi)部很多重大的數(shù)據(jù)泄漏或者攻擊事件，往往是在早期在網(wǎng)站中植入后門(mén)，然后進(jìn)行提權(quán)，在某個(gè)節(jié)點(diǎn)展開(kāi)惡意行為。而部分銀行客戶(hù)沒(méi)有很好的重視對(duì)內(nèi)部網(wǎng)站后門(mén)的檢測(cè)。盛邦安全治理平臺(tái)中的Webshell檢測(cè)不同于傳統(tǒng)的網(wǎng)站后門(mén)檢測(cè)，不需要在服務(wù)器上安裝檢測(cè)插件，而是通過(guò)對(duì)流量的分析以及Webshell傳輸特征庫(kù)，實(shí)現(xiàn)對(duì)Webshell的檢測(cè)。