商業(yè)銀行網(wǎng)站安全防護(hù)方案new

《商業(yè)銀行網(wǎng)站安全防護(hù)方案new》由會(huì)員上傳分享，免費(fèi)在線閱讀，更多相關(guān)內(nèi)容在教育資源-天天文庫(kù)。

1、商業(yè)銀行網(wǎng)站安全防護(hù)方案■文檔編號(hào)NSF-FNC-20110313■密級(jí)商業(yè)機(jī)密■版本編號(hào)V1.0■日期2011-03-25?2021綠盟科技-II-目錄一.概述1二.銀行網(wǎng)站安全需求分析12.1兩個(gè)目標(biāo)：安全保障與合規(guī)12.2安全保障要求22.3合規(guī)要求2三.銀行網(wǎng)站安全防護(hù)53.1常見(jiàn)銀行網(wǎng)站拓?fù)鋱D53.2對(duì)現(xiàn)有環(huán)境進(jìn)行防護(hù)6四.安全防護(hù)措施說(shuō)明74.1網(wǎng)絡(luò)層安全防護(hù)74.1.1網(wǎng)絡(luò)安全域訪問(wèn)控制74.1.2拒絕服務(wù)攻擊防護(hù)74.2系統(tǒng)層安全建設(shè)84.2.1系統(tǒng)漏洞發(fā)現(xiàn)與管理84.2.2系統(tǒng)安全加固84.3應(yīng)用層安全建設(shè)94.3.1WEB應(yīng)用防護(hù)94.3.2頁(yè)面防篡改防護(hù)1

2、04.3.3網(wǎng)站安全監(jiān)測(cè)服務(wù)10五.安全設(shè)備及服務(wù)投入?yún)R總11附錄A綠盟科技公司簡(jiǎn)介12A.1公司技術(shù)團(tuán)隊(duì)及分支機(jī)構(gòu)12A.2領(lǐng)先的專(zhuān)業(yè)安全廠商12A.3安全基礎(chǔ)研究實(shí)力13A.4專(zhuān)業(yè)安全服務(wù)實(shí)力14A.5安全產(chǎn)品開(kāi)發(fā)實(shí)力14A.6綠盟科技明顯領(lǐng)先于其他國(guó)內(nèi)廠商的方面14A.7綠盟科技銀行業(yè)部分客戶15-II-一.概述近年來(lái)，在地下黑色產(chǎn)業(yè)鏈的推動(dòng)下，網(wǎng)絡(luò)犯罪行為趨利性表現(xiàn)更加明顯，追求經(jīng)濟(jì)利益依然是主要目標(biāo)。黑客往往利用仿冒網(wǎng)站、偽造郵件、盜號(hào)木馬、后門(mén)病毒等，并結(jié)合社會(huì)工程學(xué)，竊取大量用戶數(shù)據(jù)牟取暴利，包括網(wǎng)游賬號(hào)、網(wǎng)銀賬號(hào)和密碼、網(wǎng)銀數(shù)字證書(shū)等。木馬、病毒等惡意程序的制作

3、、傳播、用戶信息竊取、第三方平臺(tái)銷(xiāo)贓、洗錢(qián)等各環(huán)節(jié)的流水作業(yè)構(gòu)成了完善的地下黑色產(chǎn)業(yè)鏈條，為各種網(wǎng)絡(luò)犯罪行為帶來(lái)了利益驅(qū)動(dòng)，加之黑客攻擊手法更具隱蔽性，使得對(duì)這些網(wǎng)絡(luò)犯罪行為的取證、追查和打擊都非常困難。商業(yè)銀行門(mén)戶網(wǎng)站是信息系統(tǒng)建設(shè)的重要組成部分，作為面向Internet用戶的窗口，為公眾提供各類(lèi)信息，及網(wǎng)上銀行介紹、鏈接等。如果網(wǎng)站遭到黑客攻擊，網(wǎng)站發(fā)布的重要信息被篡改，會(huì)嚴(yán)重影響商業(yè)銀行的業(yè)務(wù)開(kāi)展，造成極壞的社會(huì)影響及聲譽(yù)影響。二.銀行網(wǎng)站安全需求分析綠盟科技根據(jù)商業(yè)銀行的現(xiàn)狀與需求，結(jié)合長(zhǎng)期的安全研究成果和銀行業(yè)內(nèi)豐富的實(shí)踐經(jīng)驗(yàn)，對(duì)網(wǎng)站系統(tǒng)的安全需求進(jìn)行了分析，設(shè)計(jì)了針

4、對(duì)性的方案。2.1兩個(gè)目標(biāo)：安全保障與合規(guī)綠盟科技建議商業(yè)銀行網(wǎng)站系統(tǒng)的安全建設(shè)，要達(dá)到兩個(gè)目標(biāo)：1、安全保障，即建立自身的網(wǎng)站系統(tǒng)安全體系，保障安全穩(wěn)定運(yùn)行。提供安全穩(wěn)定的IT系統(tǒng)，支撐業(yè)務(wù)正常運(yùn)行，是信息技術(shù)部門(mén)的業(yè)務(wù)使命。商業(yè)銀行應(yīng)以安全威脅為基礎(chǔ)，完善網(wǎng)站安全體系。通過(guò)管理制度體系化、安全技術(shù)加強(qiáng)等措施，長(zhǎng)期保障網(wǎng)上銀行和網(wǎng)站的安全性，避免頭痛醫(yī)頭、腳痛醫(yī)腳，做到防患于未然。2、合規(guī)，即主動(dòng)滿足行業(yè)監(jiān)管部門(mén)的相關(guān)要求。滿足包括中國(guó)銀監(jiān)會(huì)在內(nèi)的，主要監(jiān)管部門(mén)的要求。除銀監(jiān)會(huì)之外，近年來(lái)人民銀行、銀監(jiān)會(huì)和公安部（各大行業(yè)安全監(jiān)管）等行業(yè)監(jiān)管部門(mén)對(duì)網(wǎng)站問(wèn)題也越來(lái)越重視，紛紛出

5、臺(tái)相應(yīng)的指引、規(guī)范、要求等加強(qiáng)這方面的工作。商業(yè)銀行應(yīng)充分考慮以上部門(mén)的要求、理解這些標(biāo)準(zhǔn)規(guī)范之間的相互關(guān)系，并將其融入到的網(wǎng)站安全體系完善的工作中。-15-?2010綠盟科技密級(jí)：內(nèi)部使用網(wǎng)站安全的合規(guī)要求，主要會(huì)依據(jù)電子銀行、網(wǎng)上銀行的標(biāo)準(zhǔn)規(guī)范來(lái)分析。人民銀行、銀監(jiān)會(huì)等監(jiān)管機(jī)構(gòu)是把電子銀行系統(tǒng)/網(wǎng)站系統(tǒng)看作有機(jī)的整體來(lái)考慮，因此對(duì)于網(wǎng)站相關(guān)的安全標(biāo)準(zhǔn)規(guī)范，會(huì)以電子銀行系統(tǒng)為主，統(tǒng)一提出要求。兩個(gè)目標(biāo)相輔相承，互為補(bǔ)充。商業(yè)銀行有自己的需求和特點(diǎn)，必須量體裁衣，將通用的要求、標(biāo)準(zhǔn)、規(guī)范落實(shí)到自己IT風(fēng)險(xiǎn)管理體系的各方面，建立適合自己業(yè)務(wù)特點(diǎn)與發(fā)展需求的網(wǎng)站安全體系，才能達(dá)到有

6、效管理風(fēng)險(xiǎn)、控制成本的目的；另一方面，行業(yè)監(jiān)管部門(mén)的要求，針對(duì)著銀行業(yè)內(nèi)和國(guó)內(nèi)各行業(yè)機(jī)構(gòu)中普遍存在的安全問(wèn)題，在對(duì)監(jiān)管部門(mén)要求進(jìn)行滿足的合規(guī)工作中，可以有效地發(fā)現(xiàn)與解決商業(yè)銀行網(wǎng)站中存在的業(yè)內(nèi)共性安全問(wèn)題，包括那些難以查覺(jué)的隱患。1.1安全保障要求從商業(yè)銀行門(mén)戶網(wǎng)站現(xiàn)狀所面臨的安全威脅來(lái)看，從物理層、到網(wǎng)絡(luò)層，再到系統(tǒng)層和應(yīng)用層，每個(gè)層面都存在著安全威脅。在物理層面存在著火災(zāi)、水災(zāi)、機(jī)房及物理設(shè)備破壞等威脅；在網(wǎng)絡(luò)層面存在著網(wǎng)絡(luò)中斷、拒絕服務(wù)攻擊等威脅；在系統(tǒng)層面存在系統(tǒng)漏洞、溢出攻擊等威脅；在應(yīng)用層面存在著SQL注入、跨站腳本以及網(wǎng)頁(yè)掛馬等威脅，黑客可以竊取用戶的隱私信息等。

7、下圖為安全威脅列表與防護(hù)方法：層面威脅影響范圍防護(hù)方法物理火災(zāi)、水災(zāi)、溫濕異常…機(jī)房、硬件設(shè)備加強(qiáng)物理安全措施網(wǎng)絡(luò)中斷、arp攻擊、DDoS…網(wǎng)絡(luò)設(shè)備及鏈路防火墻、抗DDOS攻擊、鏈路冗余系統(tǒng)遠(yuǎn)程溢出、DoS、掃描探測(cè)…操作系統(tǒng)漏洞掃描、安全加固應(yīng)用SQL注入、XSS、口令猜測(cè)…WEB應(yīng)用、中間件WAF、網(wǎng)頁(yè)防篡改、網(wǎng)站監(jiān)測(cè)服務(wù)1.2合規(guī)要求網(wǎng)站系統(tǒng)的合規(guī)要求分析，目前主要參考監(jiān)管部門(mén)在電子銀行安全相關(guān)標(biāo)準(zhǔn)與規(guī)范。這是由于：-15-?2010綠盟科技密級(jí)：內(nèi)部使用1、商業(yè)銀行門(mén)戶網(wǎng)站和電子銀