適用于互聯網金融的應用安全防護方案

摘要：隨著互聯網技術的高速發展，傳統金融已衍生出新的形態，依托云計算、支付、搜索等互聯網工具發展的互聯網金融是銀行業未來發展的方向。而所有的互聯網工具都可以簡單理解為Web應用加數據庫模式，針對數據庫和Web應用的數據篡改、數據竊取技術不斷發展，直接修改金融數據，竊取客戶信息都將對銀行的聲譽帶來巨大的影響。因此，數據庫和Web應用的安全性，直接影響到企業的發展和成敗。對此，本文從網絡層出發，針對數據庫和Web應用安全進行了探討和研究，旨在完善現有的安全防護方案，為后續發展和建設提供技術參考。關鍵詞：互聯網金融，多層級防護關聯，動態建模前言：在實際應用中，無論是Web應用系統還是Web網站，處在網絡環境當中，都時時刻刻面臨著來自各方面的安全威脅。在傳統的安全防護技術當中，防火墻、IPS等技術都只能對網絡中協議層數據包進行處理，卻無法對Web應用中大量采用的動態頁面發揮理想的效果。因此需要通過動態建模、多層級防護關聯和前后臺關聯等技術，對系統和網絡進行安全加固。一、基礎防護策略針對WEB應用和數據庫安全防護，最重要的是需要對應用層交互的內容進行安全檢測。并在這個層次內建立非常深入復雜的訪問策略。對訪問的URL、動態頁面傳遞參數、Cookie傳遞的參數等進行監測，對比正常的訪問行為基線；如明顯偏離正常行為模式則可產生告警和即時阻斷。策略的產生主要由抓包或安全設備自主學習完成，目前部分安全設備可以根據Web應用的變化進行自適應調整，可以大大降低分析和變更帶來的維護壓力。同時，安全管理人員還需要適時進行微調，以得到最優的“充分必要”的策略。二、多層級防護關聯針對核心系統的數據庫和應用安全防護，不僅僅只是采用動態頁面和傳遞參數防護，還需要使用一些成熟的技術，進行多層次防護并且將各個防護元素關聯起來。如網絡防火墻，入侵防御檢測系統，數據庫審計和流量清洗等關鍵技術。但是，傳統的安全防護面臨兩個問題，一個是特征庫單一，另一個是誤報率較高。為了解決這兩個問題，一方面，應盡可能采用多套網元系統。特征庫不僅要覆蓋基本的Snort數據庫，還需要覆蓋WEB應用攻擊和數據庫攻擊。另一方面，需要通過網元系統之間匹配特征協議，通過集中的網管系統實現告警匯總，從而過濾設備產生的無意義告警，提高攻擊識別的準確性。三、前后臺關聯防護Web服務系統發展的趨勢是，除了提供靜態信息的提供外，還提供與多種應用和服務的交互接口。網頁交互和動態頁面技術越來越多的扮演了核心的角色。同時由于動態頁面技術的靈活性，它也成為了Web攻擊的熱點，包括通過動態頁面與后臺數據庫的連接關系，獲取和篡改應用系統的核心信息，如賬號密碼、用戶信息、交易信息等。因此，互聯網金融系統的安全防護，既要包括前臺Web服務器，也要包括后臺數據庫[1];而且可以進行實時的前后臺關聯。防護時最重要的是需要發現攻擊的真正發起源，通過防護通過后門對數據庫發起的攻擊，提高攻擊發現的能力，以及精確的從大量訪問流量中阻斷攻擊流量。在定義策略時，通信流可以有所不同，具體可為數據庫、Web通信、以及其它通信，同時可對這些不同的通信流提供相應的保護。在不同的級別當中，可以在線部署下對通信進行立即阻止，或是對會話、應用程序用戶、特定IP等進行連續的檢測[2]。這樣，如果在未來的應用中有實際需要，可以有效的進行阻止。在負載檢查和處理定向至受保護服務器當中，所采用的通信模塊作為安全代理。此外，在安全架構當中，包含著很多個安全層，這一點與OSI模型較為對應。四、動態建模在傳統的安全防護架構當中，其基本的工作原理是對特征代碼進行匹配，而這種方式基本上只能夠對已知攻擊的黑名單進行防護，卻無法對客戶具體的Web應用程序進行準確的認識和解析。而在安全架構部署時，需要對現有系統Web應用的合法訪問特征進行動態構建，從而生成用戶Web應用的正向校驗模型。通過這種方式，就能夠利用白名單的方式，對很多未知的攻擊進行防御，從而進一步提高Web服務的安全性和可靠性[4]。在這種方式當中，動態評估技術對傳統防火墻解決方案當中最大的問題進行了解決，有效的避免了通過手工的方式進行防火墻規則的創建和維護。結論：隨著互聯網金融的高速發展，互聯網金融工具已經成為了人們日常工作和生活中必不可少的重要部分。因此其安全性和可靠性也原來越重要。面對網絡環境中可能隨時發生的各種網絡攻擊，本文提出的組合型安全解決方案起到了十分有效的安全防護作用，解決了很多傳統安全解決方案無法處理的問題，有效的保護了金融系統應用的安全。參考文獻:[1]毛武.基于反向代理的Web應用安全解決方案的設計與實現[D].西南交通大學，2013.[2]張子賢.基于防火墻的Internet/Intranet安全解決方案[J].計算機時代，2012,07：2