商业银行的web应用弱点扫描器建设方案.docVIP

商业银行WEB应用弱点扫描器建设方案 银为WEB应临严势 随着互联网的发展，电子商务的广泛应用，网上购物成为人们的基本需求。与此同时，网上银行、手机银行等电子银行应运而生，众多银行通过 互联网向公众提供各种金融服务的电子银行系统，使客户可以不受时空限制，足不出户便可以通过网络进行申请、查询、管理、转账等银行业务，体验网上经济新生 活。 银行业务网络与互联网的连接，使得网上银行容易成为非法入侵和恶意攻击的对象，加上目前网络秩序较混乱，黑客攻击事件层出不 穷，使开展网上银行业务的银行面临更多的风险。这些攻击往往都是利用来自WEB应用本身的漏洞，如XSS跨站攻击、SQL 注入、恶意代码等等，而Web应用安全正逐渐成为最严重、最广泛、危害性最大的安全问题。 监层规求 近年来，国家各部门不断推出了各种监管要求，对银行的信息科技领域，尤其是电子银行，提出了明确的要求。其中与之相关的法律、法规与行业监管指引有： 2010年，中国人民银行发布了《网上银行系统信息安全通用规范（试行）》； 2009年，银监会发布《商业银行信息科技风险管理指引》； 2007年，全国信息安全标准化技术委员会发布了《网上银行系统信息安全保障评估准则》； 2006年，银监会发布《电子银行业务管理办法》，《电子银行安全评估指引》 、《银行业金融机构信息系统风险管理指引》和《银行业金融机构内部审计指引》。 ……