上海云盾新金融行业安全解决方案

http://weixin.qq.com/r/RjmSiqTExvm5reDp92xU (二维码自动识别)

扫码关注上海云盾公众号,了解更多网络安全资讯。

众所周知,计算机病毒通过互联网快速扩散与传染。一旦某个程序被病毒感染,则整台计算机甚至整个交易互联网都会受到该病毒的威胁。在互联网金融业务中,除了病毒还存在以下安全风险,这些风险可能导致整个金融系统出现系统性风险,进而导致体系的崩溃。

1.1. 业务安全

金融行业时刻面临着各类欺诈攻击,例如垃圾注册、恶意扫号撞库、活动作弊、恶意评论、虚假资料等系列问题,金融行业风控面临严重挑战,业务安全成为制约其发展的又一瓶颈。

1.2. DNS安全

金融行业DNS服务正在遭受DNS劫持、DNS查询和DDoS等攻击。黑客通过劫持本地域名解析请求,返回虚假IP地址或者使其请求失去响应,从而劫持域名解析使访问跳转到虚假网站实现域名劫持和钓鱼。通过流量攻击和查询攻击导致DNS解析服务器无法提供正常解析服务,从而达到域名无法访问的目的。

1.3. 黑客入侵

金融行业单位用户时刻面临黑客入侵、数据篡改、APT攻击、客户信息泄露、业务逻辑漏洞、撞库盗号等安全问题。黑客入侵成功后会对业务系统进行资金转出、数据篡改、拖库等恶意操作,而金融行业作为特殊行业,在遭受攻击哪怕是非常细微的攻击,都将造成严重的经济损失、名誉损失等问题。

1.4. DDoS/CC攻击

DDoS攻击大致分为两种,要么通过大流量来压垮网络带宽,要么有意制造大量无法完成的请求来快速耗尽服务资源,导致服务器拒绝对外提供服务,严重威胁业务系统安全和稳定,并且攻击方式、手段在不断的发生变化,攻击峰值在不断被刷新,特别是应用层CC攻击,经常在防御攻击者同时也拦截了正常访客,影响了金融行业服务体验、业务发展和权威性。

2016年,包括韩国央行、希腊央行、塞浦路斯央行、荷兰央行、马尔代夫央行、俄罗斯五家主流银行,以及众多互联网金融业务系统均遭受了大流量DDoS攻击,导致业务部分或全部中断甚至被迫关闭。

1.5. 服务质量QoS

金融行业因其特殊性,交易实时性要求非常高。当相关业务系统出现卡、慢情况时将极大降低用户对其信任度、满意度,导致信誉损失、客户流失,特别是互联网金融,甚至出现大量挤兑事件,导致平台无法为继。

2. 安全设计

2.1. 技术架构

上海云盾通过对金融行业的业务系统进行场景化调研和分析,结合YUNDUN安全技术体系和多年安全服务经验,为金融用户推出了涵盖终端、主机层、网络层、应用层的模块化纵深防御体系,可根据具体应用场景组合相关产品模块,并且针对金融行业特点提供资深专家安全服务,助力金融行业做到全面合规、业务和数据安全。

上海云盾针对金融行业推出的典型解决方案,包括云解析(安全DNS)、云监控、云加速(性能加速)、太极抗D、红网卫士、盾眼(安全感知)、替身镜像、CA证书、服卫士、麒麟云火墙等产品,以及安全专家专业的技术服务。上海云盾安全技术架构如下图所示:

1.1. 安全产品和服务

1.1.1. 云解析

云解析提供安全智能的公有云DNS解析服务,资源弹性可扩展。针对目前DNS解析遇到的问题,云解析为用户提供智能解析和安全防护服务。保证DNS解析业务的高可用性、高稳定性。

ò安全防护

云解析DNS服务器集群为了更好的抗DDoS攻击与服务更多的用户,单机被设计为可以处理1800万QPS。服务器集群可以轻松处理亿级QPS,配合太极抗DDNS版防护方案完全可以抵抗各种DDoS和查询攻击。并且支持HTTPDNS有效防止DNS劫持,保证解析安全稳定。

ò智能解析

在注重安全的同时云解析也非常注重智能,云解析拥有全球最权威的IP地址库,支持分大洲、大区、省份、运营商、SEO等线路进行解析,同时支持自定义私有线路,满足指点IP或IP段访问指定服务器的需求;解析仅仅6 秒就可以同步到所有 DNS 服务器,快如闪电;支持秒级TTL、支持显性隐性DNSURL转发服务、支持DNS解析统计报表;支持服务器宕机智能切换到可用IP功能;支持定制专属NS名称,彰显企业形象;同时云解析具有独家AP、CNAMEP负载均衡轮询解析协议,可满足同时使用多家CDN服务。

1.1.1. 云监控

云监控为服务器提供服务可用性闭环监控。监控涵盖HTTP/HTTPS/TCP等协议。并且可配置备用服务器IP配合云解析做到宕机智能联动切换,当恢复后可重新切换回被监控服务器。在检测到异常的同时会发送多维度告警通知,如短信、微信、邮件保证信息送达,并且可以设置回调URL,云监控将会把监控到的数据回调给指定的URL,根据需要进行处置。

1.1.1. 云加速

云加速是面向WEB及移动应用推出的专业的性能加速云产品。与其他厂商一样拥有遍布全国的CDN节点。与其他厂商区别之处在于提供基础安全功能,提供精细化Web及移动的性能优化;提供数据报表和日志下载功能,让业务统计信息一目了然,为业务优化提供数据支撑。可配合红网卫士和太极抗D获取更高的防护能力。

ò基础安全

基于上海云盾的安全基因,云加速基础安全提供云IDS,为用户检测识别SQL注入、XSS跨站、CSRF攻击、文件包含攻击、目录遍历攻击、信息泄露、恶意爬虫,网站恶意扫描等攻击。为用户提供盗链防护、区域屏蔽、访问控制-黑名单、SSL、错误页面自定义等服务。

ò性能优化

采用TCP优化和路由优化,保证访客到云加速CDN网络,云加速CDN网络到源站是最佳链路。完美解决跨运营商、跨地区、跨服务器导致的站点响应慢和用户体验差的问题。确保网站访问更快、服务更稳定。

同时采用页面无损压缩、无效代码删减等技术,大量减少传输资源的大小,使页面加载更快。云加速还支持游客缓存、HTTP2、WebP图片优化、私有协议栈、源站负载均衡、网站动静资源分离等多种加速功能。全力提升访问速度和动态加速效果。同时还提供搜索引擎优化服务,提升蜘蛛抓取效率,提升搜索引擎排名。独特的网站永远在线功能,保证网站永不离线。

1.1.1. 太极抗D

太极抗D基于云+管+端的云服务模型,为客户提供DDoS的云观测、云防护、云追溯、端联动、云管理的全方位抗D解决方案。

针对金融行业太极抗D采用端联动、云防护和本地部署等方式解决金融行业面临的DDoS攻击。端联动采用在PC客户端和手机移动端嵌入SDK从客户端对DDoS攻击进行识别和防护;云端防护全方位的支持TCP、UDP、HTTP、HTTPS、WEBSOCKET等多种协议;本地部署提供太极抗D-硬件防火墙,可部署服务器所在机房进行流量清洗。太极抗D采用三层清洗模型从源头到终端全方位清洗,全面防护各种类型DDoS攻击。ò一级清洗中心

上海云盾信息技术有限公司一直与运营商保持密切的合作,双方在IDC、大带宽、云防护深度合作。借助运营商管道级抗D能力,通过骨干路由的近源压制和近源清洗、QOS限速等策略进一步保障无限的清洗能力。

ò二级清洗中心

通过在本地部署太极抗D自主研发的军工级硬件防火墙,对数据中心异常流量进行实时诊断,并且配合私有的IP信誉库、本地规则策略自动发现、自动牵引、自动启动清洗策略,同时可以与云端进行联动通过云端实时更新本地IP信誉库、防护策略等。

ò三级清洗中心

太极抗D本地私有DAF(基于DPDK的应用防火墙)是第三级清洗中心重要组成部分,通过集群架构,配合IP信誉库、设备指纹等对应用层攻击进行逐包深度检测,秒级攻击响应时延。同时配合大数据机器学习,精准识别攻击行为,将应用层攻击消灭于无形,为用户提供完美的防护体验。

1.1.1. 红网卫士

红网卫士是面向企业级客户推出的基于大数据驱动的专业防入侵、云防控智慧产品,提供高级云WAF、业务风控、内容访问控制、高级威胁分析以及专家团队服务。解决系统被黑、被篡改、有漏洞、业务安全等问题。

ò云WAF

红网卫士云WAF基于大数据安全分析技术,通过搜集来自多种数据源的信息安全数据,深入分析挖掘有价值的信息,主动获取关于未来安全威胁信息,实时动态联动升级安全规则库,对未知安全威胁做到提前响应,颠覆传统单点、被动、孤岛防护,降低风险,实现最佳的安全防护。云端防御策略能涵盖防护策略涵括CVE、OWASP、CNVD的各种漏洞。支持SQL注入防护、XSS攻击防护、CSRF攻击防护,文件包含攻击,目录遍历攻击,信息泄露,恶意爬虫,网站恶意扫描,Webshell防护等,具备独立的Web应用防护规则库。

红网卫士云WAF具有自学习能力,根据智能因子组成防护规则智能的判定是否存在攻击行为。防止因规则库过大导致匹配效率下降问题。

能够对未知的攻击进行检测和防护,红网卫士云WAF可防99.9%以上的黑客入侵。

ò业务风控

基于YUNDUN大数据分析能力,通过对用户行为、软硬件环境信息、设备指纹、业务基础信息综合判定用户请求的风险程度。实时解决垃圾注册、恶意扫号撞库、活动作弊、恶意爬虫等严重业务风险,无需网站修改源码/调用API接口等繁琐操作。

ò高级威胁分析

通过大数据行为建模、访问模型分析、设备指纹、IP信誉库、代理/Bot网络、攻击特征、APT攻击挖掘发现真正的威胁。

ò防篡改

针对党政机关等特别关心的网页篡改事件,红网卫士提供了网页防篡改功能,通过锁定网站内容,可以在锁定期内保证网页内容不变,可配合独创的安全替身服务,100%防止网页被篡改。

ò脱敏

可以对网站中敏感内容进行提供,提供模式词库,可以上传自定义词库,并且可以将敏感内容替换为指定内容。

ò关键资源锁

在访问某个URL/文件类型时,可以强制访客输入既定的登录账户和密码,以及仅允许某个IP/UA/地区可访问,关键资源锁可有效防止暴力破解后台等敏感URL,以及限制可执行文件访问。

1.1.1. 盾眼

1.1.1.1. 盾眼-WEB威胁感知

盾眼-WEB威胁感知是采用“全流量镜像”和“大数据分析处理”技术的新一代入侵检测系统,专注于WEB入侵检测,挖掘潜在威胁,发现业务风险,生成审计信息,并发送告警信息。1.1.1.1. 盾眼-风险观测

对Web漏洞和网站内容进行全面观测,包括Web弱点扫描、内容观测、篡改等监控。旨在提前发现系统安全缺陷,有效降低系统安全风险,降低政府、企业因系统缺陷遭受攻击或恶意信息造成的损失。

ò漏洞扫描

漏洞扫描使用SAAS模式,无需复杂的部署和安装,即采即用。漏洞库有专人维护,涵盖CVE漏洞库,采用双扫描引擎,根据不同行业建有行业专属漏洞库,极大提高行业漏洞扫描结果的准确性,降低误报和漏报率。提供详细的漏洞报告,支持报告导出,报告内容包括:

1)高危、中危、低危、信息级漏洞个数及占总漏洞数的比例;

2)OWASP TOP占比分布;

3)具体漏洞名称,所属CVE编号,漏洞描述、漏洞影响并给出修复方案。

ò敏感词监控

专人定期维护的敏感词库,观测频率可达1分钟以内,快速、准确发现敏感词信息。观测能力包括:

˜发现具体敏感词信息;

˜含敏感信息的URL列表及详情;

˜可自定义敏感词词库;

˜短信、邮件、微信等多维度告警通知

ò篡改监控

通过动态指纹及网页相似度比对等多种检测算法配合使用,可在1分钟内发现篡改并发出告警通知,同时配合人工检测,大大降低了篡改误报率。并且可以配合红网卫士启用替身镜像,防止被篡改内容流出。

ò异常链接监控

实时观测整个网站中所包含的异常链接,如黑链、暗链、无响应链接等异常链接,支持设置监控白名单。

1.1.1.1. 大数据威胁情报

传统的防护手段依赖于已有的防护规则,采用规则进行防护主要存在两个问题第一:不能对规则以外的攻击进行防护;二:随着规则库的增加导致匹配效率严重下降,引起验证时间过长影响用户体验,不利于正常业务的开展。上海云盾大数据威胁情报采用数据驱动,通过对被攻击者进行关联分析可以发现真正的威胁和攻击控制端,通过机器学习、行为建模等方式学习攻击行为,自我优化防御模型,可对未知威胁进行主动防御。并且各个防护节点之间可以进行联动防御。

大数据威胁情报提供站在甲方视角的统计报告、可视化推演、高级威胁分析,发现真正的威胁。1.1.1. 替身镜像

像云盘快照一样备份网站内容,灵活的备份规则设置,按容量计费。支持云内或云外网站备份。支持一键预览、更新、推送备份内容。当源服务器出现异常时可保障服务永久在线。

可基于时间区间、区域位置对您网站进行替身访问控制。正常时期可隔离境外黑客组织渗透,敏感时期100%保障内容不被篡改。

1.1.1. CA数字证书

因金融行业特殊性关键业务系统均需启用HTTPS对业务交互进行加密传输,防止信息流被监听、篡改、劫持。上海云盾为用户提供自有证书上传和管理和申购服务,申购证书可直接在云平台使用,同时支持证书下载,下载与其他地方使用。上海云盾云平台支持单向和双向SSL证书。

针对金融行业的特殊性,上海云盾还提供Key-less SSL,无需提供证书私钥,以保证私钥的安全性。

发表回复

相关推荐

香港公司必备知识 | 3分钟了解商业登记证

根据香港《商业登记条例》(第310章)的规定,任何在香港经营业务的人士,都需要在公司开业之后的一个月内,以书面通知向税局 ...

· 2分钟前

被聯合抵制!四川大學走到今天這一步,純屬自找的

“落實立德樹人根本任務有差距,思想政治工作不夠到位,師德師風建設不夠紮實,加強學科建設不夠有力。”“落實全面從嚴治黨兩個...

· 10分钟前

小户型福利,7款迷你衣帽间设计方案,超实用!

其实在心底, 每个女生都希望有一间属于自己的衣帽间(包括丽酱在内)。 我们在很多影视剧里都看过这样梦幻敞亮的衣帽间,简 ...

· 11分钟前

直流電機和交流電機有什麼不同

1、首要兩者的外部供電不同,直流電機運用直流電做為電源;而交流電機則是運用交流電做為電源。2、從結構上說,前者的原理相...

· 12分钟前

转帖 欲加之罪,何患无辞–袁崇焕十二宗罪辨析

这是《袁崇焕之孤城》第二部《孤忠》后记之二(已在起点首发),看到凤凰网“袁崇焕是怎样走上神坛的?”等几组专稿以及起点中 ...

· 13分钟前