1.1 金融行业基本需求

随着互联网支付发展，很多企业及个人都已经习惯于通过互联网进行转账、支付等财务交易。这也使得商业银行等金融机构将越来越多的业务移至网络中。这种先进的业务形态使客户可以不受时空限制，足不出户便可以通过网络进行相关银行业务。同时，巨大的经济利益以及社会影响力，也让黑客们纷纷将攻击目标投向银行网站系统，给银行及客户带来了严重的网络安全威胁。如何保护网站系统的安全，已经成为每一家商业银行的管理者所面临的严峻问题。

一般商业银行的网站系统共包括：门户网站服务器群、企业网银服务器群和个人网银服务器群。其中，门户网站作为该市金融行业的窗口，常常是一些不法分子的重点攻击对象。网站一旦被篡改（加入一些敏感的显性内容）、或在网页中插入恶意代码，会引发较大的影响，严重时甚至会造成政治事件。另外，由于门户网站上链接了网银系统的接口，一旦被不法分子实施了挂马、盗链、伪造等恶意攻击手段，很容易窃取到其它正常用户的网银登陆信息。如果此类情况发生，很容易造成大范围的用户账户被窃等事件，会给银行及广大用户造成难以弥补的经济损失和社会负面影响。因此，银行信息中心决定将网站系统的安全防护提升到了一个较高的级别。

根据商行网站系统的网络环境现状及应用特点，结合系统的金融行业特性，商行信息系统管理人员总结其对网站防护系统的主要需求如下：

l 对网站系统进行安全审核、安全加固；

l 阻止来自互联网的恶意DDOS攻击，提高网站服务的可用性；

l 防止黑客利用WEB应用漏洞对网站进行SQL注入、XSS等攻击，窃取敏感信息或篡改网页；

l 实现网页被篡改后的快速恢复，防止被篡改网页引起的各种经济损失、恶性社会影响等；

l 实现网站内容的安全、快速发布；

l 详细记录网站的访问行为，并根据访问数据对网站业务进行分析，形成分析报表；

1.2 网络拓扑

1.3 解决方案

在内外网站系统集群前前端部署天融信WEB应用安全防护系统（TopWAF）设备，代理互联网客户端对网站系统的所有请求，清洗异常流量。防止黑客利用WEB应用漏洞对网站系统进行SQL注入、XSS等攻击，并对网络层及应用层的DDoS攻击进行有效控制。通过内置的“业务智能分析模块”，对网站的访问数据进行细粒度的分析，形成统计报表，将网站业务情况直观、详细地展现给商行管理人员，作为后续网站业务更新的决策依据。

在门户网站服务器上部署天融信网页防篡改系统监控代理端。通过内核文件底层驱动内嵌到操作系统中，基于事件触发方式进行自动监测，对WEB服务器文件夹的所有文件内容进行实时监测，若发现变更，实时阻断篡改行为。通过非协议方式，纯内核安全出站校验方式检查出站内容的完整性及可靠性，使得公众无法看到被篡改页面。

在管理区域部署防篡改发布+管理中心服务器，作为网站内容更新发布及后期篡改恢复的专用平台。发布服务器会自动备份门户网站服务器中的所有内容，当发生网页被意外破坏时，防篡改系统通过其内部的内容恢复机制，从可信备份端进行实时恢复，恢复时间小于5ms，确保文件的真实可靠性。同时，防篡改系统集成了页面自动发布功能。该服务器将可信备份路径下的网页内容通过加密的方式快速发布到WEB服务器相应文件夹。减少人工干预。实现网站内容安全、快速、方便的发布。

1.4 客户收益

l 符合等级保护的相关要求、符合银监局商业银行信息科技等级达标规范的要求。

l 有效防护网站页面被篡改、挂马。

l 防止用户个人信息及账户信息数据被窃取。

l 通过WEB安全应用网关的漏洞扫描功能，网络管理员可以在事前了解WEB服务器所存在的安全漏洞，并及时进行修补。

l 即使WEB服务器所存在的安全漏洞没有被及时修补，管理员也不必担心黑客会利用漏洞完成攻击。WEB应用安全网关会广泛阻止对于WEB服务器的恶意行为。保证网站系统对外服务的正常。

l 如果出现极端的网页被篡改情况，网页防篡改系统会在5ms内完成网页的自动恢复。避免被篡改网页公布于众，维护金融门户的公众形象。

l 通过WEB安全应用网关的应用加速功能，可提升网站的访问速率，减小服务器负载。优化网站服务质量。

l 网站无需另行安装内容发布系统，网页防篡改系统即可实现网站内容的安全、快速更新发布。

l 商行相关领导可通过WEB安全应用网关内置的“业务智能分析”模块所产生的统计报表，直观了解到网站的业务情况。为商行门户网站业务后续的发展提供决策性依据。