项目背景
网信理财通过多场景投资体验来满足平台用户的多元化投资需求,形成互联网金融领域的闭环生态系统。平台提供投资人导流,金融服务专区专设、信息传递等多项线上科技功能,使得金融交易的每个环节均安全快捷,同时也为融资方发布融资需求提供便捷的龙8下载的技术支持。
网信理财的线上业务系统由理财平台、p2p金融平台、在线客服系统、门户网站等多个对外系统组成。由于各种不同的应用服务都需要对外提供服务,需要对整套应用系统进行安全防护。信息安全正如木桶理论所描述,web应用系统的安全并不取决于我们在某一个方面巨大投入,而在于我们是否针对脆弱的防护御点采取了有效的措施。
项目内容
建设目标
- 安全合规
通过web应用安全建设,应能够实现安全合规的要求,特别是能满足公安部关于等级保护建设的技术要求
- 专业应用防护
能提供专业的web应用层防护功能,可针对特定的http请求url,请求参数,响应头部等重要信息进行分析,识别出异常的攻击行为,从而实现web应用层的安全防护和安全审计目标
- 能够对cc攻击提供针对性保护,并减少误报、漏报情况的发生
- 关键业务交叉热备
基于现有网络环境的特殊性,因此要求部署的web安全产品能较好的解决单点故障的问题,实现关键业务交叉热备的冗余目标
- 现有环境最小改动
现有环境涉及大量的访问控制、路由走向、地址转换、负载均衡等一系列的配置,因此要求部署新的安全产品时对现有环境改动尽可能小,最好实现全透明部署
核心技术
针对网信理财线上业务系统的应用安全需求,主要涉及web应用防火墙的两个核心技术能否满足用户的需求。两个核心技术如下:
- 全透明web应用防火墙
由于用户网络环境的复杂性,需要web应用防火墙支持全透明部署模式。由于web应用防火墙采用了应用代理技术架构,通常会导致网络上的不透明,导致访问者ip地址、tcp会话等方面的改变。明御web应用防火墙采用了全新的技术架构,支持全透明部署,因此在本环境中不会对现有网络环境产生影响,支持全透明部署。
- 多层级防护
项目价值
>通过部署web应用防火墙达到了如下的安全防护效果
>满足等级保护部分防护与审计需要
>安全部署
·采用透明代理方式部署,减少因部署web应用防火墙带来的网络调整问题,同时,通过双机ha,避免了因单点故障造成的业务中断问题
·采用访问速率、访问集中度检测算法检测,基于url、请求头字段、目标ip、请求方法等多种组合条件,并结合用户访问行为建模分析技术与地理位置的识别,解决了困扰网信理财长时间的cc攻击
>应用层攻击防护
·通过部署web应用防火墙有效的识别并阻断了来自应用层的各种安全探测、扫描、攻击行为从而提升了线上业务的安全防护水平,及时发现sql注入漏洞、弱口令账户、绕过验证、目录遍历、文件上传、跨站脚本等系统存在的安全隐患和漏洞
>虚拟补丁服务
·应用层的漏洞通常是由于代码的质量原因所致,通过安全检测可以快速的发现存在的安全问题。然而修复代码的质量问题通常需要一个复杂的过程,涉及到开发商的协商、代码重写、代码测试、补丁升级等一系列过程,而这个过程通常需要大量的时间和人力投入。如何将发现问题到解决问题的时间尽可能缩短将是降低安全风险的关键,安恒信息的web应用防火墙具有虚拟补丁的功能,针对发现漏洞的程序可通过waf配置规则从而将存在的漏洞通过web应用防火墙进行修复,使攻击无法到达真实的web应用服务器,形成“虚拟补丁”的效果。而配置web应用防火墙规则的可能可以在极短的时间内完成,从而最大限度的缩短了漏洞暴露的时间
