城市商业银行WEB服务器安全解决方案

一、需求背景

　　某市城市商业银行已经实施了初步的安全建设，目前单独部署了2台防火墙和单机版防病毒，但已不能满足该商业银行业务发展及上级监管部门对信息安全提出的更高要求。经过漏洞评估，该商业银行发现生产网（包括核心服务器）与互联网的隔离不足，存在大量高危风险漏洞，且被攻击者利用并获得系统控制权限的可能性极大，为了加强信息安全保障，用户决定进行网络安全二期改造。

　　根据已经实施的风险评估，确认当前较为紧迫的安全需求包括：

　　安全域调整

　　划分单独的核心服务器区域，将原来统一部署在生产网核心交换机的应用服务器和数据库服务器等割接至新增的核心服务器交换机，该交换机接入生产网核心交换机，将核心服务器区置于单个VLAN中，同时用VLAN将生产网和办公网实现隔离。

　　内外网逻辑隔离

　　在生产网核与互联网之间部署UTM（统一威胁管理）设备，使其工作在透明模式，通过合理配置UTM的访问控制策略可降低无法修补的设备漏洞所造成的威胁，并将使用存在漏洞服务的终端控制在一定的范围内，对其访问行为进行日志记录。

　　核心服务器保护

　　该市城市商业银行业务系统均为WEB应用业务，通过之前进行的风险评估，确认这些WEB应用服务器均具有SQL注入漏洞，被攻击的可能性极大，威胁可能来自外部终端和内部终端，需要重点保护，因此需要部署一台可精确阻断SQL注入攻击的防御设备。

　　二、实施方案

　　通过对多家产品的横向测试，最终该市城市商业银行选择了苏州乐拓数据中心USG一体化安全网关产品作为内外网隔离设备，选择了乐拓IPS产品作为核心服务器保护设备，具体产品部署方案如下：

　　该方案在建设之初用户对网络进行了全面的风险评估，因此建设具有很强的针对性。来自互联网的威胁包括：网络入侵、病毒传播、非授权访问控制、资源滥用、非法言论传播等，天清汉马USG一体化安全网关具有功能全、性能高、应用简单等特点，适用于城市商业银行的内外网隔离需求。

　　城市商业银行网络中的核心服务器包含了最重要的业务系统以及数据资源，而针对服务器群的威胁主要是应用层威胁，具体来讲主要是针对WEB业务的应用威胁。目前针对WEB系统破坏力最强的威胁就是SQL注入，通过SQL注入入侵者可以获取WEB应用系统的完整权限，可以任意修改和窃取敏感数据，对城市商业银行来讲彻底屏蔽SQL注入威胁至关重要。而目前可选择的安全产品之中，只有启明星辰的天清IPS因为采用了基于原理的SQL注入检测与阻断技术，可以有效识别并阻断SQL注入攻击，因此城市商业银行选择了天清IPS作为核心服务器保护设备。产品上线后，通过天清IPS日志系统可以看出，有多起SQL注入攻击被成功阻断，用户信息系统的安全性得到了极大的提高。