適用于互聯(lián)網(wǎng)金融的應(yīng)用安全防護(hù)方案

適用于互聯(lián)網(wǎng)金融的應(yīng)用安全防護(hù)方案

摘要：隨著互聯(lián)網(wǎng)技術(shù)的高速發(fā)展，傳統(tǒng)金融已衍生出新的形態(tài)，依托云計(jì)算、支付、搜索等互聯(lián)網(wǎng)工具發(fā)展的互聯(lián)網(wǎng)金融是銀行業(yè)未來(lái)發(fā)展的方向。而所有的互聯(lián)網(wǎng)工具都可以簡(jiǎn)單理解為Web應(yīng)用加數(shù)據(jù)庫(kù)模式，針對(duì)數(shù)據(jù)庫(kù)和Web應(yīng)用的數(shù)據(jù)篡改、數(shù)據(jù)竊取技術(shù)不斷發(fā)展，直接修改金融數(shù)據(jù)，竊取客戶信息都將對(duì)銀行的聲譽(yù)帶來(lái)巨大的影響。因此，數(shù)據(jù)庫(kù)和Web應(yīng)用的安全性，直接影響到企業(yè)的發(fā)展和成敗。對(duì)此，本文從網(wǎng)絡(luò)層出發(fā)，針對(duì)數(shù)據(jù)庫(kù)和Web應(yīng)用安全進(jìn)行了探討和研究，旨在完善現(xiàn)有的安全防護(hù)方案，為后續(xù)發(fā)展和建設(shè)提供技術(shù)參考。關(guān)鍵詞：互聯(lián)網(wǎng)金融，多層級(jí)防護(hù)關(guān)聯(lián)，動(dòng)態(tài)建模前言：在實(shí)際應(yīng)用中，無(wú)論是Web應(yīng)用系統(tǒng)還是Web網(wǎng)站，處在網(wǎng)絡(luò)環(huán)境當(dāng)中，都時(shí)時(shí)刻刻面臨著來(lái)自各方面的安全威脅。在傳統(tǒng)的安全防護(hù)技術(shù)當(dāng)中，防火墻、IPS等技術(shù)都只能對(duì)網(wǎng)絡(luò)中協(xié)議層數(shù)據(jù)包進(jìn)行處理，卻無(wú)法對(duì)Web應(yīng)用中大量采用的動(dòng)態(tài)頁(yè)面發(fā)揮理想的效果。因此需要通過(guò)動(dòng)態(tài)建模、多層級(jí)防護(hù)關(guān)聯(lián)和前后臺(tái)關(guān)聯(lián)等技術(shù)，對(duì)系統(tǒng)和網(wǎng)絡(luò)進(jìn)行安全加固。一、基礎(chǔ)防護(hù)策略針對(duì)WEB應(yīng)用和數(shù)據(jù)庫(kù)安全防護(hù)，最重要的是需要對(duì)應(yīng)用層交互的內(nèi)容進(jìn)行安全檢測(cè)。并在這個(gè)層次內(nèi)建立非常深入復(fù)雜的訪問(wèn)策略。對(duì)訪問(wèn)的URL、動(dòng)態(tài)頁(yè)面?zhèn)鬟f參數(shù)、Cookie傳遞的參數(shù)等進(jìn)行監(jiān)測(cè)，對(duì)比正常的訪問(wèn)行為基線；如明顯偏離正常行為模式則可產(chǎn)生告警和即時(shí)阻斷。策略的產(chǎn)生主要由抓包或安全設(shè)備自主學(xué)習(xí)完成，目前部分安全設(shè)備可以根據(jù)Web應(yīng)用的變化進(jìn)行自適應(yīng)調(diào)整，可以大大降低分析和變更帶來(lái)的維護(hù)壓力。同時(shí)，安全管理人員還需要適時(shí)進(jìn)行微調(diào)，以得到最優(yōu)的“充分必要”的策略。二、多層級(jí)防護(hù)關(guān)聯(lián)針對(duì)核心系統(tǒng)的數(shù)據(jù)庫(kù)和應(yīng)用安全防護(hù)，不僅僅只是采用動(dòng)態(tài)頁(yè)面和傳遞參數(shù)防護(hù)，還需要使用一些成熟的技術(shù)，進(jìn)行多層次防護(hù)并且將各個(gè)防護(hù)元素關(guān)聯(lián)起來(lái)。如網(wǎng)絡(luò)防火墻，入侵防御檢測(cè)系統(tǒng)，數(shù)據(jù)庫(kù)審計(jì)和流量清洗等關(guān)鍵技術(shù)。但是，傳統(tǒng)的安全防護(hù)面臨兩個(gè)問(wèn)題，一個(gè)是特征庫(kù)單一，另一個(gè)是誤報(bào)率較高。為了解決這兩個(gè)問(wèn)題，一方面，應(yīng)盡可能采用多套網(wǎng)元系統(tǒng)。特征庫(kù)不僅要覆蓋基本的Snort數(shù)據(jù)庫(kù)，還需要覆蓋WEB應(yīng)用攻擊和數(shù)據(jù)庫(kù)攻擊。另一方面，需要通過(guò)網(wǎng)元系統(tǒng)之間匹配特征協(xié)議，通過(guò)集中的網(wǎng)管系統(tǒng)實(shí)現(xiàn)告警匯總，從而過(guò)濾設(shè)備產(chǎn)生的無(wú)意義告警，提高攻擊識(shí)別的準(zhǔn)確性。三、前后臺(tái)關(guān)聯(lián)防護(hù)Web服務(wù)系統(tǒng)發(fā)展的趨勢(shì)是，除了提供靜態(tài)信息的提供外，還提供與多種應(yīng)用和服務(wù)的交互接口。網(wǎng)頁(yè)交互和動(dòng)態(tài)頁(yè)面技術(shù)越來(lái)越多的扮演了核心的角色。同時(shí)由于動(dòng)態(tài)頁(yè)面技術(shù)的靈活性，它也成為了Web攻擊的熱點(diǎn)，包括通過(guò)動(dòng)態(tài)頁(yè)面與后臺(tái)數(shù)據(jù)庫(kù)的連接關(guān)系，獲取和篡改應(yīng)用系統(tǒng)的核心信息，如賬號(hào)密碼、用戶信息、交易信息等。因此，互聯(lián)網(wǎng)金融系統(tǒng)的安全防護(hù)，既要包括前臺(tái)Web服務(wù)器，也要包括后臺(tái)數(shù)據(jù)庫(kù)[1];而且可以進(jìn)行實(shí)時(shí)的前后臺(tái)關(guān)聯(lián)。防護(hù)時(shí)最重要的是需要發(fā)現(xiàn)攻擊的真正發(fā)起源，通過(guò)防護(hù)通過(guò)后門對(duì)數(shù)據(jù)庫(kù)發(fā)起的攻擊，提高攻擊發(fā)現(xiàn)的能力，以及精確的從大量訪問(wèn)流量中阻斷攻擊流量。在定義策略時(shí)，通信流可以有所不同，具體可為數(shù)據(jù)庫(kù)、Web通信、以及其它通信，同時(shí)可對(duì)這些不同的通信流提供相應(yīng)的保護(hù)。在不同的級(jí)別當(dāng)中，可以在線部署下對(duì)通信進(jìn)行立即阻止，或是對(duì)會(huì)話、應(yīng)用程序用戶、特定IP等進(jìn)行連續(xù)的檢測(cè)[2]。這樣，如果在未來(lái)的應(yīng)用中有實(shí)際需要，可以有效的進(jìn)行阻止。在負(fù)載檢查和處理定向至受保護(hù)服務(wù)器當(dāng)中，所采用的通信模塊作為安全代理。此外，在安全架構(gòu)當(dāng)中，包含著很多個(gè)安全層，這一點(diǎn)與OSI模型較為對(duì)應(yīng)。四、動(dòng)態(tài)建模在傳統(tǒng)的安全防護(hù)架構(gòu)當(dāng)中，其基本的工作原理是對(duì)特征代碼進(jìn)行匹配，而這種方式基本上只能夠?qū)σ阎舻暮诿麊芜M(jìn)行防護(hù)，卻無(wú)法對(duì)客戶具體的Web應(yīng)用程序進(jìn)行準(zhǔn)確的認(rèn)識(shí)和解析。而在安全架構(gòu)部署時(shí)，需要對(duì)現(xiàn)有系統(tǒng)Web應(yīng)用的合法訪問(wèn)特征進(jìn)行動(dòng)態(tài)構(gòu)建，從而生成用戶Web應(yīng)用的正向校驗(yàn)?zāi)Ｐ?。通過(guò)這種方式，就能夠利用白名單的方式，對(duì)很多未知的攻擊進(jìn)行防御，從而進(jìn)一步提高Web服務(wù)的安全性和可靠性[4]。在這種方式當(dāng)中，動(dòng)態(tài)評(píng)估技術(shù)對(duì)傳統(tǒng)防火墻解決方案當(dāng)中最大的問(wèn)題進(jìn)行了解決，有效的避免了通過(guò)手工的方式進(jìn)行防火墻規(guī)則的創(chuàng)建和維護(hù)。結(jié)論：隨著互聯(lián)網(wǎng)金融的高速發(fā)展，互聯(lián)網(wǎng)金融工具已經(jīng)成為了人們?nèi)粘９ぷ骱蜕钪斜夭豢缮俚闹匾糠?。因此其安全性和可靠性也原?lái)越重要。面對(duì)網(wǎng)絡(luò)環(huán)境中可能隨時(shí)發(fā)生的各種網(wǎng)絡(luò)攻擊，本文提出的組合型安全解決方案起到了十分有效的安全防護(hù)作用，解決了很多傳統(tǒng)安全解決方案無(wú)法處理的問(wèn)題，有效的保護(hù)了金融系統(tǒng)應(yīng)用的安全。參考文獻(xiàn):[1]毛武.基于反向代理的Web應(yīng)用安全解決方案的設(shè)計(jì)與實(shí)現(xiàn)[D].西南交通大學(xué)，2013.[2]張子賢.基于防火墻的Internet/Intranet安全解決方案[J].計(jì)算機(jī)時(shí)代，2012,07：2