适用于互联网金融的应用安全防护方案

适用于互联网金融的应用安全防护方案

摘要：随着互联网技术的高速发展，传统金融已衍生出新的形态，依托云计算、支付、搜索等互联网工具发展的互联网金融是银行业未来发展的方向。而所有的互联网工具都可以简单理解为Web应用加数据库模式，针对数据库和Web应用的数据篡改、数据窃取技术不断发展，直接修改金融数据，窃取客户信息都将对银行的声誉带来巨大的影响。因此，数据库和Web应用的安全性，直接影响到企业的发展和成败。对此，本文从网络层出发，针对数据库和Web应用安全进行了探讨和研究，旨在完善现有的安全防护方案，为后续发展和建设提供技术参考。关键词：互联网金融，多层级防护关联，动态建模前言：在实际应用中，无论是Web应用系统还是Web网站，处在网络环境当中，都时时刻刻面临着来自各方面的安全威胁。在传统的安全防护技术当中，防火墙、IPS等技术都只能对网络中协议层数据包进行处理，却无法对Web应用中大量采用的动态页面发挥理想的效果。因此需要通过动态建模、多层级防护关联和前后台关联等技术，对系统和网络进行安全加固。一、基础防护策略针对WEB应用和数据库安全防护，最重要的是需要对应用层交互的内容进行安全检测。并在这个层次内建立非常深入复杂的访问策略。对访问的URL、动态页面传递参数、Cookie传递的参数等进行监测，对比正常的访问行为基线；如明显偏离正常行为模式则可产生告警和即时阻断。策略的产生主要由抓包或安全设备自主学习完成，目前部分安全设备可以根据Web应用的变化进行自适应调整，可以大大降低分析和变更带来的维护压力。同时，安全管理人员还需要适时进行微调，以得到最优的“充分必要”的策略。二、多层级防护关联针对核心系统的数据库和应用安全防护，不仅仅只是采用动态页面和传递参数防护，还需要使用一些成熟的技术，进行多层次防护并且将各个防护元素关联起来。如网络防火墙，入侵防御检测系统，数据库审计和流量清洗等关键技术。但是，传统的安全防护面临两个问题，一个是特征库单一，另一个是误报率较高。为了解决这两个问题，一方面，应尽可能采用多套网元系统。特征库不仅要覆盖基本的Snort数据库，还需要覆盖WEB应用攻击和数据库攻击。另一方面，需要通过网元系统之间匹配特征协议，通过集中的网管系统实现告警汇总，从而过滤设备产生的无意义告警，提高攻击识别的准确性。三、前后台关联防护Web服务系统发展的趋势是，除了提供静态信息的提供外，还提供与多种应用和服务的交互接口。网页交互和动态页面技术越来越多的扮演了核心的角色。同时由于动态页面技术的灵活性，它也成为了Web攻击的热点，包括通过动态页面与后台数据库的连接关系，获取和篡改应用系统的核心信息，如账号密码、用户信息、交易信息等。因此，互联网金融系统的安全防护，既要包括前台Web服务器，也要包括后台数据库[1];而且可以进行实时的前后台关联。防护时最重要的是需要发现攻击的真正发起源，通过防护通过后门对数据库发起的攻击，提高攻击发现的能力，以及精确的从大量访问流量中阻断攻击流量。在定义策略时，通信流可以有所不同，具体可为数据库、Web通信、以及其它通信，同时可对这些不同的通信流提供相应的保护。在不同的级别当中，可以在线部署下对通信进行立即阻止，或是对会话、应用程序用户、特定IP等进行连续的检测[2]。这样，如果在未来的应用中有实际需要，可以有效的进行阻止。在负载检查和处理定向至受保护服务器当中，所采用的通信模块作为安全代理。此外，在安全架构当中，包含着很多个安全层，这一点与OSI模型较为对应。四、动态建模在传统的安全防护架构当中，其基本的工作原理是对特征代码进行匹配，而这种方式基本上只能够对已知攻击的黑名单进行防护，却无法对客户具体的Web应用程序进行准确的认识和解析。而在安全架构部署时，需要对现有系统Web应用的合法访问特征进行动态构建，从而生成用户Web应用的正向校验模型。通过这种方式，就能够利用白名单的方式，对很多未知的攻击进行防御，从而进一步提高Web服务的安全性和可靠性[4]。在这种方式当中，动态评估技术对传统防火墙解决方案当中最大的问题进行了解决，有效的避免了通过手工的方式进行防火墙规则的创建和维护。结论：随着互联网金融的高速发展，互联网金融工具已经成为了人们日常工作和生活中必不可少的重要部分。因此其安全性和可靠性也原来越重要。面对网络环境中可能随时发生的各种网络攻击，本文提出的组合型安全解决方案起到了十分有效的安全防护作用，解决了很多传统安全解决方案无法处理的问题，有效的保护了金融系统应用的安全。参考文献:[1]毛武.基于反向代理的Web应用安全解决方案的设计与实现[D].西南交通大学，2013.[2]张子贤.基于防火墙的Internet/Intranet安全解决方案[J].计算机时代，2012,07：2