随着网上购物的兴起,网上银行和电子银行的广泛应用,可能会造成网上银行成为非法入侵和恶意攻击的对象,加上黑客攻击事件层出,让网上银行业务面临更多的风险.在开放网络中流动的大量金融交易数据，不仅涉及巨大的经济利益，而且包含大量的用户个人隐私信息，必然吸引不法分子的网络入侵、网上侦听、电子欺诈和攻击行为，对于信用重于一切的银行来说，这都是极大的风险！

来自监管层的合规需求

　　近年来，国家各部门不断推出了各种监管要求，对银行的信息科技领域，尤其是电子银行，提出了明确的要求。其中与之相关的法律、法规与行业监管指引有：

    2011年，中国人民银行发布了《网上银行系统信息安全通用规范（试行）》；
    2009年，银监会发布《商业银行信息科技风险管理指引》；
    2007年，全国信息安全标准化技术委员会发布了《网上银行系统信息安全保障评估准则》；
    2006年，银监会发布《电子银行业务管理办法》，《电子银行安全评估指引》 、《银行业金融机构信息系统风险管理指引》和《银行业金融机构内部审计指引》；

web安全防护解决方案

　　基于目前网上银行和手机银行用户的敏感信息,掌控者安全研发的生物识别技术插件的输入保护措施，在保障用户体验的基础上又达到了很好的安全防护功能。在不改变用户操作习惯的基础上，结合设备指纹，实现终端设备、手机号码和账户的绑定，利用高强度的加密形式对明文验证码进行上下行的加密处理，有效防止短信转发、拦截、伪基站、克隆、补卡攻击和钓鱼网站等，规避银行用户注册、交易、转账中的安全风险。为应对移动互联网日益增长的病毒与恶意代码威胁，识别和防御恶意程序、恶意代码对移动终端用户的危害，从而造成用户不必要的损失,帮助用户解决因移动终端自身环境安全问题导致的来自于手机内部的安全风险.

　　税收是国家财政收入的主要来源，是国民经济的重要命脉。随着征管软件、征管系统等税收系统的应用，越来越多的税务基础数据以电子化的形式在网络上流转、计算机里存储。为了充分利用税务基础数据，同时为预防意外情况对数据造成的危害，税务系统利用现有网络，采取统一的格式和标准，将全省税收业务数据实时上行到省局统一的集中数据库中，实现了税收业务数据全省集中。

安全需求

　　针对税务数据中心安全监管目标包含如下三个方面：一是让安全管理者实时全面了解数据库实际发生的操作情况，能够使管理人员能够清晰的了解掌握企业报税数据的完整更新过程。二是在可疑行为发生时可以自动启动预先设置的告警流程，尽可能防范数据库风险的发生。诸如一旦发生内部工作人员批量检索高收入纳税人个人信息的时候触发告警。三是一旦发生非法操作，触发事先设置好的审计策略，进行实时监控。为了达到以上的目标，需要采取一种可信赖高效的综合途径，确保数据库活动记录的100%捕获是极为重要的，任何一种遗漏关键活动的行为，都会导致数据库安全上的错误判断，并且干扰数据库在运行时的性能。

解决方案

　　首先对税务业务数据访问的实时监控：系统内置高性能分析和采集引擎，实时解析业务访问数据流，还原原始的SQL操作，实现全程的实时监控。识别SYBASE、SQLSever、Oracle等数据库类型，记录办事大厅工作人员、办公室工作人员、企业纳税人、系统维护员、DBA等人员对数据库的访问及操作,同时记录操作时间、操作源、操作结果等等。

　　然后对税务业务数据访问的全程风险控制：系统自动根据预设置的税务应用风险控制策略，结合对数据库活动的实时监控信息，进行审计规则检测，任何尝试的恶意访问或违反审计规则的操作都会被检测到并实时告警。结合税务征管系统业务特点，以安全风险控制为基本，捕获类似大容量记录检索、敏感数据信息（高收入纳税人信息或纳税企业的销售信息及客户信息）的越权访问、对数据库系统的高风险操作（删除关键字段、大批量更新等等）等等操作，提供告警。完整安全事件的追溯回放：允许安全管理员提取审计历史数据，对过去某一时段或单个业务访问过程进行回放，快速真实展现当时的完整操作过程，便于分析和追溯系统安全问题。

　　随着网络技术的高速发展，网络运营商公司作为IT技术应用的领航者，网上营业厅已经成为了其重要组成部分，也是运营商公司对外宣传的重要窗口。系统的稳定运行、有效运行成为了系统自身内在的基本要求，开展网上营业厅系统的保障工作有着非常重要的意义。由于网厅完全基于互联网，而互联网固有的开放性、匿名性、虚拟性在网上交易过程中也日益暴露出越来越多的安全问题,面对变化多样的WEB应用安全攻击手段，如何加强网上营业厅的安全防护能力，防止不法分子窃取用户的账号密码，各类安全风险所导致的网页篡改风险、网页挂马风险以及网络钓鱼等涉及交易的风险，是当前迫切需要解决的问题。

解决方案

　　针对目前日益增多的应用层攻击行为，需要对网站能够提供有效的安全防护，选用掌控者WEB应用防火墙对客户服务平台门户网站、应用系统、业务网站进行应用安全防护，防止网站被入侵、防止系统信息被修改、防止对后台数据库的恶意访问、杜绝应用层DoS攻击，保障系统服务的持续性。

　　随着信息技术的高速发展，网上办公、办事已经进入我们的日常生活，政府门户网站职能也有了较大的改变，由原来的静态内容发布转变为全面而复杂的电子政务外网系统。然而随着信息技术进步的同时，我们要面对的信息安全问题也日益增多，我们面临的安全威胁正在不断增长，如何建设一套完整网站安全解决方案已经成为当前必须面对一个问题。

政策性要求

　　国家政府门户和电子政务网站已经成为各级人民政府及其部门发布政府信息、提供在线服务、与公众互动交流的重要平台和窗口，在提高行政效能、提升政府公信力等方面发挥了重要作用。但也有一些地方和部门政府网站存在发布信息和页面更新不及时甚至链接错误等问题，给政府形象和公信力造成不良影响。为此，温家宝总理作出重要批示，指出办好政府网站的关键在于及时、准确公开政务信息，倾听群众的意见、呼声和要求，及时讲清事实真相、政策措施、处理结果。只有互动、解决问题，才能吸引群众。为切实加强和规范政府网站管理，2011年4月国务院办公厅签发了国办函〔2011〕40号文件――《国务院办公厅关于进一步加强政府网站管理工作的通知》。以及电子政务门户网站安全防护体系依据《国家信息化领导小组关于我国电子政务建设指导意见》；ISO15408 / GB/T 18336 ；国家973信息与网络安全体系研究G1999035801课题组IATF《信息技术保障技术框架》相关要求，根据电子政务门户网站的安全现状制定的。

解决方案

　　掌控者网站安全监测平台是软硬件一体化监测平台，采用远程监测技术对WEB应用提供全天24小时实时安全监测服务。对网站的不间断监测服务提升网站的安全防护能力和网站服务质量，并通过安全监测平台的事件跟踪功能建立起一种长效的安全保障机制。平台的使用可以有效地解决政府网站当前存在的主要安全问题，采用自动化监测技术实现了高效、准确、公正的网站安全监管目标。平台实现了大批量网站24小时不间断监测服务，网站发生安全问题可以即时发现。相比大量人工检测繁重的工作量，监测平台上线后仅需要通过监测平台查看安全状态、跟踪网站整改工作即可。一方面提高了网站安全监测的频率和服务质量，另一方面提升了工作效率，管理人员可以更多的精力专注于安全监管相关的工作。

　　公安部网络安全保卫局有关负责人表示，当前我国网络黑客攻击破坏活动形势仍然非常严峻，境内黑客攻击破坏活动仍然处于高发状态，大量的计算机系统未采取有效的安全保护措施，上网用户安全意识薄弱，防范能力较弱。公安机关将继续加大打击力度，继续重点严厉打击僵尸网络活动，集中打击一批分布式拒绝攻击破坏活动，全面清理境内互联网运营单位被放置木马病毒、非法控制软件以及网络信息服务认证工具回传服务器，维护信息网络安全；严厉打击黑客攻击破坏活动利益链条，重点整治打击木马病毒程序制售团伙、以黑客教学为幌子开展非法培训活动，铲除黑客攻击破坏活动的源头。

解决方案

　　掌控者安全推出了WEB应用弱点扫描器，旨在降低WEB应用的风险，提供OWASP TOP 10检测，可以帮助用户充分了解WEB应用存在的安全隐患，建立安全可靠的WEB应用服务，改善并提升应用系统抗各类WEB应用攻击的能力（如：注入攻击、跨站脚本、钓鱼攻击、信息泄漏、恶意编码、表单绕过、缓冲区溢出等），协助用户快速准确的完成了等级保护测评应用层检查，为制订实施和整改方案提供了有利的依据。

　　2017年6月1日，《中华人民共和国网络安全法》正式施行。这是我国网络安全领域的基本大法,在网络安全立法中有着里程碑式的重要意义。网络安全法种明确了加强个人信息保护、建立个人信息数据泄露通知制度、明确互联网企业有不可推卸责任、网络运营者不得为非实名用户提供服务、企业无安全技术能力将吊销证照淘汰出局等。

　　随着国内外环境的不断发展和变化，网络安全的范围已经不仅仅限于国防、军事和外交，其内涵涉及经济、金融、能源、科技、信息、文化、社会等各个领域。

　　根据权威机构发布数据显示，国内目前信息安全专业人才缺口高达70余万，而且今后5年内，社会对信息安全人才的需求仍将以每年3万人的数量增加。这种人才缺口在就业市场上已经体现得很明显，《2015年中国大学生就业报告》对2014届毕业生毕业半年后月收入进行了统计，发现信息安全专业已位于榜首，且薪资高于其他专业。

解决方案

　　校企合作的信息安全实训室采用先进、稳定、成熟的虚拟化技术，无需采购大量网络设备、安全设备，即可基于攻防平台仿真、虚拟还原政企事业单位网络信息系统真实业务场景，能够在线动态生成批量业务场景，支持大规模学员同时在线训练。

　　信息安全攻防实验室应具有教学系统、实训系统CTF对抗系统模块组成。支持动态管理与考核评估机制，具有学习教学课件、多媒体课件、实验靶机、作业指导书等资源。

　　平台支持CTF解题、CTF攻防、CTF综合渗透测试三种主流竞赛模式，支持单兵作战、多兵作战参赛形式，能够全面培养、挖掘、选拔学员的理论知识能力和攻防实战技能能力，定期组织安全开发赛、安全运维管理赛、安全加固赛、安全攻击赛、安全取证、数据分析、应急响应赛等赛事，有效的培养学员在校期间的实战化能力，更加适用于学员在未来就业过程中能够快速开展信息化安全工作。只有实践加理论才能更好的成长。

国家信息安全等级保护情况概述

从1994年开始,国家相关部门从目标、方法、规范等方面不断地在推进及落实等级保护工作，包括：

• 1994年，国务院颁布了《中华人民共和国计算机信息系统安全保护条例》，规定：计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定。这一重大决定，明确了关于实行信息安全等级保护制度的有关规定，提出从整体上、根本上解决国家信息安全问题的办法，从而也拉开了等级保护工作的序幕。
• 1999年，国家标准GB17859-1999《计算机信息系统安全保护等级划分准则》颁布；1999年底，公安部与信息产业部、国家安全部、国家保密局、国家密码管理委员会等相关部门起草了《计算机信息系统安全保护等级制度建设纲要》；
• 2003年，中共中央办公厅、国务院办公厅转发了《国家信息化领导小组关于加强信息安全保障的意见》(中办发[2003]27号)；
• 2004年公安部联合国家保密局、国家密码管理局、国家保密委员会和国务院信息化工作办公室发布《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)；2005年底，公安部和国务院信息化工作办公室联合印发了《关于开展信息系统安全等级保护基础调查工作的通知》(公信安[2005]1431号)；
• 2006年6月，公安部、国家保密局、国家密码管理局、国务院信息办联合下发了《关于开展信息安全等级保护试点工作的通知》(公信安[2006]573号)；
• 2007年6月，公安部、国家保密局、国家密码管理局和国务院信息化工作办公室联合下发了《信息安全等级保护管理办法》(公通字[2007]43号)等等。

国家在出台相关政策文件的同时，也逐步发布了对应执行的技术标准及规范，部分内容包括：

• 《计算机信息系统安全保护等级划分准则》GB17859-1999
• 《信息安全技术信息系统安全等级保护定级指南》GB/T22240-2008
• 《信息安全技术信息系统安全等级保护实施指南》
• 《信息安全技术信息系统安全等级保护基本要求》GB/T22239-2008
• 《信息安全技术系统安全等级保护通用安全技术要求》GB/T20271-2006

针对应用系统的测评，《等级保护测评要求》就测评方法作如下描述：

• 应检查关键应用系统，查看应用系统是否具有对人机接口输入或通信接口输入的数据进行有效性检验的功能；
• 应测试关键应用系统，可通过对人机接口输入的不同长度或格式的数据，查看系统的反应，验证系统人机接口有效性检验功能是否正确；
• 应渗透测试主要应用系统，进行试图绕过访问控制的操作，验证应用系统的访问控制功能是否不存在明显的弱点。

针对数据库系统，《等级保护测评要求》就测评方法作如下描述：

• 应检查关键服务器操作系统和关键数据库管理系统，查看匿名/默认帐户的访问权限是否已被禁用或者限制，是否删除了系统中多余的、过期的以及共享的帐户；
• 应检查关键服务器操作系统和关键数据库管理系统的权限设置情况，查看是否依据安全策略对用户权限进行了限制；
• 应检查关键服务器操作系统和关键数据库管理系统的补丁是否得到了及时更新；
• 应检查关键服务器操作系统和关键数据库管理系统帐户列表，查看管理员用户名分配是否唯一；
• 应检查关键服务器操作系统和关键数据库管理系统，查看是否提供了身份鉴别措施，其身份鉴别信息是否具有不易被冒用的特点，如对用户登录口令的最小长度、复杂度和更换周期进行要求和限制；
• 应检查关键数据库服务器的数据库管理员与操作系统管理员是否由不同管理员担任。

　　等级保护测评技术人员的个人能力参差不齐，因此对于进行技术测试的结果就会有偏差，有些时候，这些偏差会导致整个检测结果不正确。如果有一种标准化的检测工具，用来替代人工技术测试，又能得到标准化的结果输出，而且这种标准化的结果，又能得到业界的普遍认可，这将会给等级保护测评带来巨大的裨益。

解决方案

针对于对等级保护要求的深入研究，及对测评工作的技术分析，江西掌控者信息安全技术有限公司，作为国内领先的专业WEB应用和数据库安全解决方案提供商，成功开发并推出了等级保护专用测评工具，使用掌控者WEB应用弱点扫描器，帮助测评机构开展相关测评工作。掌控者WEB应用弱点扫描器：全面支持OWASP TOP10检测，可以充分了解WEB应用存在的安全隐患，（如：注入攻击、跨站脚本、钓鱼攻击、信息泄漏、恶意编码、表单绕过、缓冲区溢出等），还提供了强大的安全审计、渗透测试功能，误报率和漏报率等各项关键指标均达到国际领先水平。

　　智慧城市已成为我国城市发展的新理念和新模式，其核心的驱动力是通过深度的城市信息化来满足城市发展转型和管理方式转变的需求，通过推进实体基础设施和信息基础设施相互融合、构建城市智能基础设施为基础，以物联网、云计算、大数据、移动互联网等新一代信息通信技术在城市经济社会发展各领域的运用为主线，以开发、整合和利用城市信息资源为核心，通过智慧的应用和解决方案，实现城市管理的精细化、公共服务的便捷化、生活环境的宜居化。在智慧城市的建设过程中，物联网、云计算、大数据、移动互联网等新技术的广泛运用，既面临新的发展机遇，也面临网络安全的巨大挑战。在智慧城市建设中，要利用最先进的信息技术全面感知城市的要素和运行状态，要建立人与物、物与物之间的信息交互及过程，要通过海量信息收集及存储分析来挖掘系统间的联系规律等，势必导致智慧城市中存在着大量的信息系统以及这些系统中拥有海量的有价值信息，这些信息无疑是城市乃至国家的重要战略资源。如何确保这些数据、信息的安全，是智慧城市建设中务必要谨慎对待的重大问题。同时智慧城市建设应如实评估城市自身优劣势以及面临的机遇和挑战，围绕关键资产和领域，在技术支撑下实现经济增长和社会进步的目标，信息安全更是其中不可或缺的重要内容。

　　在对智慧城市重要业务信息系统进行信息安全等级保护建设工作的前期准备阶段，应首先了解并掌握GB 17859-1999《计算机信息系统安全保护等级划分准则》和GB/T 25080-2010《信息系统安全等级保护实施指南》两部标准。前者是强制性国家标准，是等保和其他各项标准制定的基础。后者为等保建设工作提供了方法指导，阐述了在系统建设、运维和废止等各个生命周期阶段中如何按照信息安全等级保护政策、标准要求实施等级保护工作。 在智慧城市信息系统的等保定级阶段，应参照GB/T 22240-2008《信息系统安全等级保护定级指南》。此标准规定了定级的依据、对象、流程、方法及等级变更等内容，指导开展信息系统定级工作。

　　在智慧城市信息系统的等保安全建设/整改阶段，应参照以下几部标准，以帮助详尽的挖掘信息安全需求。首先是GB/T 22239-2008《信息系统安全等级保护基本要求》，此标准是在GB 17859-1999《计算机信息系统安全保护等级划分准则》以及各类技术类标准、管理类标准和产品类标准基础上制订的，给出了各级信息系统应当具备的安全防护能力，并从技术和管理两个方面提出了相应的措施。其次是GB/T 25070-2010《信息系统等级保护安全设计技术要求》，此标准提出了信息系统等级保护安全设计的技术要求，包括安全计算环境、安全区域边界、安全通信网络、安全管理中心等各方面的要求。另外还有GB/T 20271-2006《信息系统通用安全技术要求》，此标准主要从信息系统安全保护等级划分的角度，说明为实现GB 17859-1999《计算机信息系统安全保护等级划分准则》中每一个安全保护等级的安全功能要求应采取的安全技术措施，以及各安全保护等级的安全功能在具体实现上的差异。同时，还可参考管理方面的两部标准。GB/T 20269-2006《信息系统安全管理要求》对信息和信息系统的安全保护提出了分等级安全管理的要求，阐述了安全管理要求及强度，并将管理要求落实到信息安全等级保护所规定的五个等级上。GB/T 20282-2006《信息系统安全工程管理要求》规定了信息安全工程的管理要求，是对信息安全工程中所涉及的需求方、实施方案与第三方工程实施的指导性文件。

　　在智慧城市信息系统的等保测评阶段，应参照GB/T 28448-2012《信息系统安全等级保护测评要求》和GB/T 28449-2012《信息系统安全等级保护测评过程指南》这两部标准指导等级测评工作的实施。前者阐述了等级测评的原则、测评内容、测评强度、单元测试、整体测评、测评结论的产生方法等内容；后者阐述了信息系统等级测评的过程，包括测评准备、方案编制、现场测评、分析与报告编制等各个活动的工作任务、分析方法和工作结果等。

　　随着新一代信息技术的发展，一些新技术、新应用在智慧城市的建设中发挥了越来越重要的重要，比如云计算、物联网和移动互联网，而且这些技术慢慢延生到了我们重要的信息基础设施当中，在这种新技术带来便利和好处的同时，也对我们的安全保障工作提出了一些新的需求，原来的等级保护相关标准制度针对这些新技术的运用也或多或少存在着一定的缺陷。面对这些问题，全国信息安全标准化技术委员会联合公安部，邀请了业内主流安全厂商、云服务等厂商，对等级保护的基本要求和测评要求这个两个核心标准进行修订，同时在修订这两个标准的同时，针对云计算、物联网和移动互联网等新的技术领域进行专项细化和完善，推出了相应的扩展标准要求，作为原标准的补充。比如针对云计算有云平台等级保护基本要求、设计要求、测评要求，三个标准一体化推进。基本要求是基础，设计要求是到达它的一条途径，测评要求帮助大家来确认安全建设的结果。

解决方案

通过掌控者信息安全公司开发的自动化检测扫描器,应用于深度协议解析,WEB应用攻击检测,邮件攻击检测,0day攻击检测,流量分析检测,攻击路径分析,物联网安全.进行自动化扫描，对吸费、暗跑流量等恶意行为进行识别等全面渗透测试.

　　注册用户数据作为网站所有者的核心信息资产，涉及到网站及关联信息系统的实质业务，对其保密性的要求强度不言而喻。随着网站及微博实名制规定的陆续出台，如果在实名制的网站出现用户数据泄露事件，将会产生更恶劣的影响。

　　针对近期部分互联网站信息泄露事件，工信部于2011年12月28日发布通告要求：各互联网站要高度重视用户信息安全工作，把用户信息保护作为关系行业健康发展和企业诚信建设的重要工作抓好抓实。发生用户信息泄露的 网站，要妥善做好善后工作，尽快通过网站公告、电子邮件、电话、短信等方式向用户发出警示，提醒用户修改在本网站或其他网站使用的相同用户名和密码。未发生用户信息泄露的网站，要加强安全监测，必要时提醒用户修改密码。

解决方案

　　加强系统安全体系建设，减少从系统层发生信息泄密的发生,通过对系统层的安全风险评估，发现系统安全层面存在的安全隐患及问题，并进行安全加固,通过部署相应的网络防火墙进行合理的访问控制及安全域划分,建立运维审计系统将远程运维进行安全审计，通过三个方面的建设加强系统安全体系建设。

　　建设应用安全体系，提高应用层抗攻击能力，降低信息泄密造成影响,通过对应用层的安全风险评估，发现应用安全层面存在的安全隐患及问题，并进行安全加固,建立事前预警机制，建设WEB应用安全检测系统和数据库安全检测系统，对已有业务系统及数据库进行安全检查，减少信息泄密的发生,建立事中防护体系，建设WEB应用防火墙，提高WEB应用系统的抗风险能力,建立事后追溯手段，建设应用与数据库安全审计系统，提高系统运行的透明度，对用户访问及数据库操作行为进行安全审计。

　　提升信息安全管理水平，加强管理制度建，辅以安全培训及应急响应,建立应急响应机制，通过安恒专业的安全服务团队对发生的安全事件进行专业分析与服务，帮助用户快速地对安全事件进行响应,建立安全培训体系，通过定期专业安全培训提升企业的技术人员安全管理实力,通过管理制度建设，严格的安全管理制度、明确的部门安全职责划分、合理的人员角色配置都可以在很大程度上降低其它层次的安全漏洞。

　　随着医院信息化的迅猛发展，信息的高度集中使得核心数据泄密的隐患也越来越突出，在利益的驱使下非法统方行为时有发生，严重影响了医院的公众形象，也严重损害了患者的利益。鉴于问题严重性，卫生管理部分也引起了高度的重视，多数医院也采取了“教育为先、制度为主”的管理手段，但还是难以达到预期效果。另外，随着移动医疗和远程医疗的日趋广泛的应用，如何保障移动医疗和远程医疗的应用安全也是一个极其严峻的挑战。任何的安全事件所导致的医院业务系统宕机，都会降低患者的就医满意度，损害医院的信誉，处理不当则可能会引起医患纠纷、法律问题甚至社会问题。

解决方案

　　利用掌控者安全公司的自动化漏洞检测扫描器，定期对医院的门户网站,收费系统,移动端系统,数据库进行安全扫描，可以识别SQL注入、访问权限绕过、提权漏洞、权限过大等漏洞和不安全配置，并提供专业的分析报告和安全加固建议。防止不法人员破解数据库密码，入侵系统数据库服务器等方式的非法行为。配合掌控者安全的防御系统全天24小时自动监测,通过用户行为比较确定是否可能存在的违规操作.