商业银行WEB应用弱点扫描器建设方案

安恒信息

以网上银行为代表的WEB应用面临严峻的安全形势

随着互联网的发展，电子商务的广泛应用，网上购物成为人们的基本需求。与此同时，网上银行、手机银行等电子银行应运而生，众多银行通过互联网向公众提供各种金融服务的电子银行系统，使客户可以不受时空限制，足不出户便可以通过网络进行申请、查询、管理、转账等银行业务，体验网上经济新生活。

银行业务网络与互联网的连接，使得网上银行容易成为非法入侵和恶意攻击的对象，加上目前网络秩序较混乱，黑客攻击事件层出不穷，使开展网上银行业务的银行面临更多的风险。这些攻击往往都是利用来自WEB应用本身的漏洞，如XSS跨站攻击、SQL 注入、恶意代码等等，而Web应用安全正逐渐成为最严重、最广泛、危害性最大的安全问题。
来自监管层的合规需求

近年来，国家各部门不断推出了各种监管要求，对银行的信息科技领域，尤其是电子银行，提出了明确的要求。其中与之相关的法律、法规与行业监管指引有：

2010年，中国人民银行发布了《网上银行系统信息安全通用规范（试行）》；

2009年，银监会发布《商业银行信息科技风险管理指引》；

2007年，全国信息安全标准化技术委员会发布了《网上银行系统信息安全保障评估准则》；

2006年，银监会发布《电子银行业务管理办法》，《电子银行安全评估指引》 、《银行业金融机构信息系统风险管理指引》和《银行业金融机构内部审计指引》。

……
WEB应用扫描的必要性

对病症预防胜于治疗。相同的道理，在信息安全领域里，对攻击的事中防护不如事先弥补。黑客对于例如网银的WEB应用系统的攻击就是利用WEB应用系统的漏洞而进行的，而且黑客入侵的操作步骤中，通过扫描获取系统的漏洞就是第一步。如果我们先于攻击者发现了这些来自WEB应用系统的漏洞，那么我们就能通过采取合理有效的手段去弥补这些漏洞，从自身源头彻底杜绝黑客的攻击。WEB应用扫描的意义正在于此。

WEB应用扫描可在WEB应用系统的不同生命周期中使用。在WEB应用系统开发阶段，通过WEB应用扫描可以及时发现漏洞及时修复漏洞；在WEB应用系统上线前，WEB应用扫描可以作为准入的手段之一；在WEB应用系统的运维阶段，定期的WEB应用扫描又可以作为评估加固的依据。可见一款优秀的WEB应用扫描系统对于WEB应用系统来说是何等的重要。
明鉴WEB应用弱点扫描器

明鉴WEB应用弱点扫描器（MatriXay）是杭州安恒信息技术有限公司在深入分析研究WEB-数据库构架应用系统中典型安全漏洞以及流行的攻击技术基础上，研制开发的一款WEB应用安全评估工具。它采用攻击技术的原理和渗透性测试的方法，对WEB应用进行深度漏洞探测，可帮助应用开发者和管理者了解应用系统存在的脆弱性，为改善并提高应用系统安全性提供依据，帮助用户建立安全可靠的WEB应用服务，对WEB应用攻击说“不！”

作为公安部等级保护测评中心专用应用安全测评工具，工信部安全中心运营商Web安全检查工具，明鉴WEB应用弱点扫描器还在2008年奥运和2010年世博会的WEB安全保障中发挥了重要的作用。与市场上同类产品的不同之处在于：不仅具有非凡的扫描功能，还提供了强大的渗透测试、网页木马检测功能。因此，被评价为“最佳的WEB安全评估工具”。

银行如何面对来自外部的WEB应用风险？首先很重要的步骤就是对WEB漏洞进行扫描，了解目前现有网上银行及WEB网站存在的安全漏洞，并及时进行加固防护。安恒明御WEB应用弱点扫描系统就是业界领先的扫描工具。

网路游侠

http://weibo.com/1408734653/z0Jz5qgWk

安恒信息

谢谢游侠