今天要和大家探討的是以銀行為代表的金融行業如何借助盛邦安全WEB應用安全綜合治理平臺來提升金融機構對WEB應用的安全管理。首先，銀行客戶在WEB應用系統安全管理方面存在著以下幾個問題和挑戰：

（1）應用系統多而亂

銀行客戶應用系統復雜，根據我們的調研，一般規模的城市商業銀行，已經上線和正在建設的各類業務系統數量都在100-200套之間，個別銀行的各類系統超過200套，這些應用系統目前基本都是B/S結構的WEB應用，針對如此大規模的應用系統的管理，在中小銀行的現行管理體系下，普遍存在管理不到位的情況，例如資產檔案不健全，內部域名使用混亂，應用系統配置管理缺失等。

（2）安全管理缺乏抓手

銀行的安全管理采用“三道”防線機制，通常是風險管理部門或者科技部門下面的安全管理部門開展定期的風險評估，同系統開發和運維部門職能分離，但是針對上線的應用系統的安全評估往往缺乏檢查重點和抓手。此外，目前中小銀行針對應用系統的漏洞管理機制普遍采用定期的漏洞掃描機制，掃描周期通常為季度、半年、年度，不能進行實時、全面的檢測；對于潛在風險的提示和預警，除了來自監管部門、安全廠商的風險提示等途徑外，缺乏實時的工具和數據支撐，不能精準預警以及掌握重要漏洞可能影響的銀行應用系統的范圍和數量。

（3）銀行辦公、開發、測試網絡管理存在薄弱點

銀行針對生產網的管控非常嚴格，但是對辦公、開發、測試網絡的管理普遍沒有生產網嚴格，存在私搭亂建的個人、項目組、部門的“私有”網站，并在其中進行文件和數據共享，例如客戶數據、帳號和密碼等敏感數據；在服務器虛擬化的大背景下，各部門和團隊申請資源更加方便，但安全管理并沒有跟上；例如申請的資源可能挪作他用，而這些私有網站又普遍存在管理不到位導致的敏感數據泄密的風險，通過管理要求很難杜絕，也很難發現這些違規搭建的站點。

基于以上情況，盛邦安全WEB應用安全綜合治理平臺為上述問題和挑戰提供有效解決方案。

01

解決WEB資產多而亂的問題

盛邦安全WEB應用安全綜合治理平臺在網絡出口或者核心交換旁路部署自學習引擎，通過對鏡像流量Http訪問的分析，自動發現網絡內對外提供訪問的網站及業務系統。平臺深度的指紋學習功能可以更全面的掌握組織的web資產，探測出服務器的IP地址/域名、操作系統、中間件、網站編碼方式、物理/MAC地址等信息，協助銀行客戶建立應用系統的資產庫，掌握指紋信息，解決銀行系統資產檔案不健全、內部域名使用混亂、應用系統配置管理缺失的常見問題。

02

解決安全管理缺乏抓手的問題

盛邦安全WEB應用系統綜合治理平臺的資產實時發現功能，可以發現網絡中新上線的應用；對于安全管理部門或者風險管理部門，可以把新學習的新系統作為安全檢查的重點檢查對象，針對這些應用系統評估上線流程是否符合內部和外部規范；實時發現應用系統的漏洞信息，及時發現重大漏洞或威脅并具備實時告警功能，為運維部門提供風險提示和整改跟蹤；另外，該平臺可以協助風險/安全管理部門評估現有的漏洞管理機制；同時對于來自任何渠道的漏洞預警信息，借助資產指紋信息，可以快速摸清銀行網內哪些系統面臨威脅，以及評估系統漏洞可影響到的銀行內部的主機數量和比重。

03

解決銀行辦公、開發、測試網絡管理薄弱的問題

該平臺可根據網絡內對外提供訪問的網站及業務系統的特點，協助銀行安全管理部門實時發現銀行辦公網、開發網、測試網中已有和新上線的WEB應用，并對其進行集中安全監控，幫助銀行客戶解決在辦公、開發測試網絡內私搭亂建、存在管理死角、敏感信息泄漏等高風險問題。

（1）       內容監控：

包括篡改監控、敏感詞監控以及暗鏈監控。發現不合規內容（如密碼、帳號等）并及時告警，還可以通過配置對高危訪問自動進行阻斷。

（2）       漏洞檢測：

漏洞檢測包含Web漏洞、系統漏洞、數據庫漏洞、中間件漏洞，目前平臺支持遠程OWASP定義的Web威脅和及其相關的漏洞掃描監控服務。

（3）       后門檢測：

銀行內部很多重大的數據泄漏或者攻擊事件，往往是在早期在網站中植入后門，然后進行提權，在某個節點展開惡意行為。而部分銀行客戶沒有很好的重視對內部網站后門的檢測。盛邦安全治理平臺中的Webshell檢測不同于傳統的網站后門檢測，不需要在服務器上安裝檢測插件，而是通過對流量的分析以及Webshell傳輸特征庫，實現對Webshell的檢測。