隨著金融業(yè)網(wǎng)絡(luò)安全風(fēng)險防范的形勢日趨嚴(yán)峻，部署于基層人行的各類Web應(yīng)用系統(tǒng)因安全防護能力薄弱、改造升級成本巨大，成為了網(wǎng)絡(luò)安全防護的難點和痛點。本文立足浙江省人民銀行實際，探索研究RASP與IAST安全技術(shù)的技術(shù)原理與產(chǎn)品特點，強化基層人行應(yīng)用系統(tǒng)的安全防護能力。實踐結(jié)果表明，基于“RASP+IAST”的新型安全防護體系具有高性能、低成本的特點，能有效攔截各類外部攻擊，提升系統(tǒng)安防水平，填補基層人行安全短板。最后，本文從穩(wěn)定性、擴展性、協(xié)同性三方面對新技術(shù)、新產(chǎn)品提出進一步思考，為下一階段深度應(yīng)用打下堅實的基礎(chǔ)。

近年來，隨著全國數(shù)字化改革不斷深入，金融業(yè)數(shù)字化轉(zhuǎn)型已成為實現(xiàn)高質(zhì)量金融服務(wù)的關(guān)鍵路徑，“數(shù)據(jù)多跑路，群眾少跑腿”的線上政務(wù)服務(wù)理念已逐步被公眾所接受。在數(shù)字化基礎(chǔ)設(shè)施建設(shè)中，金融業(yè)Web應(yīng)用系統(tǒng)既是面向公眾對外服務(wù)的重要窗口，又作為數(shù)據(jù)查詢、存儲、轉(zhuǎn)發(fā)的重要媒介，在社會活動、經(jīng)濟活動中承擔(dān)著重要的角色。而另一方面，Web應(yīng)用系統(tǒng)也成為網(wǎng)絡(luò)攻擊的主要入口，病毒、蠕蟲、后門、注入、DDoS等各類外部攻擊成為了主機安全、系統(tǒng)安全、數(shù)據(jù)安全的重大威脅。解決這些安全問題勢在必行。

2022年以來，在深入落實科技管理“三集中”的背景下，基層人行自建的應(yīng)用系統(tǒng)逐步被上收至省級數(shù)據(jù)中心，實行應(yīng)用系統(tǒng)的“統(tǒng)一運行、統(tǒng)一管理、統(tǒng)一維護”。然而部署于基層的應(yīng)用系統(tǒng)大多為自行開發(fā)建設(shè)的系統(tǒng)，往往存在安全設(shè)計薄弱，安全開發(fā)松懈，普遍具有“體量小、數(shù)量多、業(yè)務(wù)少、防護弱”的特點。又因其系統(tǒng)架構(gòu)五花八門，安全級別參差不齊，短時間內(nèi)完成統(tǒng)一整合的工作量大、復(fù)雜度高。而應(yīng)用系統(tǒng)自身又難以有效應(yīng)對日益發(fā)展變化的新型Web攻擊，成為安全管理的難點和痛點。為進一步加強Web應(yīng)用系統(tǒng)安全防范力度，基層人行亟需針對該“薄弱環(huán)節(jié)”強化入侵防護能力，提升應(yīng)用系統(tǒng)自身的“免疫力”，以促進系統(tǒng)的優(yōu)化升級。

“運行時應(yīng)用自保護技術(shù)”（Runtime application self-protection，簡稱RASP）與“交互式應(yīng)用安全測試技術(shù)”（Interactive Application Security Testing，簡稱IAST）相結(jié)合的新型安全防護體系為應(yīng)用系統(tǒng)安全防護提出了新思路：RASP技術(shù)能將自身與現(xiàn)有Web應(yīng)用系統(tǒng)深度融合，構(gòu)筑起一道內(nèi)部防線，實現(xiàn)對外來攻擊的實時監(jiān)測、阻斷攔截，使應(yīng)用系統(tǒng)擁有自我保護的能力；IAST技術(shù)能幫助開發(fā)人員或者運維人員在Web應(yīng)用系統(tǒng)的測試階段與運行階段，主動對系統(tǒng)的安全風(fēng)險進行精細化的測試評估，為開發(fā)人員提供漏洞修復(fù)建議?；趦深惣夹g(shù)相結(jié)合構(gòu)成的新型安全防護體系，能有效發(fā)現(xiàn)安全隱患、捕捉外部入侵、及時查漏補缺，實現(xiàn)了覆蓋事前、事中、事后各階段的安全保障要求。

中國人民銀行嘉興市中心支行  朱維聰

新型安全防護體系的特點

1.體系架構(gòu)新

新型安全防護體系架構(gòu)包含前臺嵌入式模塊與后臺管理平臺兩部分。前臺嵌入式模塊作為Web應(yīng)用系統(tǒng)的插件，將檢測程序部署至應(yīng)用程序內(nèi)部，當(dāng)用戶發(fā)起訪問請求時，全面精準(zhǔn)地采集各接口函數(shù)的輸入輸出信息，并將結(jié)果反饋至后臺管理平臺。當(dāng)Web應(yīng)用系統(tǒng)遭受到實際攻擊的時候，嵌入式模塊能自動對其進行防御，做出相應(yīng)的識別、報警和阻斷，不需要進行任何人工干預(yù)。后臺管理平臺對接各個部署在不同Web應(yīng)用系統(tǒng)中的嵌入式模塊，將采集得到的信息進行分類統(tǒng)計、分析評判，并將分析結(jié)果通過可視化的方式向管理員展示。前后模塊各司其職，相互配合，全方位筑牢各應(yīng)用系統(tǒng)抵御外部攻擊的安全防線。

圖  “RASP+IAST”安全防護體系架構(gòu)圖

2.信息采集廣

新型安全防護體系能達到“白盒”式的信息采集和風(fēng)險預(yù)警。其前臺嵌入式模塊能在Web應(yīng)用系統(tǒng)內(nèi)部掃描程序的函數(shù)調(diào)用和數(shù)據(jù)流向等信息，將每一次外部請求的執(zhí)行情況和詳細結(jié)果以日志的形式記錄下來，保存到與之對接的后臺管理平臺，供進一步深入分析。安全管理人員能詳細地查看到風(fēng)險請求在執(zhí)行中的整個過程，這些信息對人工識別系統(tǒng)誤判和人工驗證攻擊風(fēng)險都具有重要的參考價值。而傳統(tǒng)的Web應(yīng)用入侵防御系統(tǒng)（簡稱WAF）僅僅只對每次請求的輸入輸出內(nèi)容進行模式匹配，致使安全管理人員能掌握的信息十分有限。

3.漏洞覆蓋全

經(jīng)過業(yè)界多年的探索研究和實踐沉淀，目前RASP與IAST的技術(shù)產(chǎn)品，已支持當(dāng)前各類主流編程語言開發(fā)的Web應(yīng)用系統(tǒng)，覆蓋所有常見的安全漏洞。依托安插在代碼中的探針，在獲取代碼數(shù)據(jù)流、代碼控制流等信息后，結(jié)合外部請求對漏洞進行綜合分析判斷，相較于傳統(tǒng)WAF系統(tǒng)，具有更高的覆蓋率和更低的誤報率。在此基礎(chǔ)上，新型安全防護體系還賦予了應(yīng)用系統(tǒng)“自主發(fā)現(xiàn)，自我提升”的能力。通過捕捉代碼中未被捕獲的未知異常，幫助開發(fā)人員及時發(fā)現(xiàn)應(yīng)用系統(tǒng)中存在未知漏洞，第一時間處理和修復(fù)，在運行時通過交互式的反饋與修復(fù)，使應(yīng)用系統(tǒng)實現(xiàn)自我完善。

4.部署成本低

目前運行的各類存量Web應(yīng)用系統(tǒng)，一部分由外部軟件公司開發(fā)，缺乏相關(guān)安全加固的維保服務(wù)，另一部分為科技部門自行開發(fā)，而因人員崗位調(diào)動或改造工程量大等客觀原因，難以實現(xiàn)通過系統(tǒng)改造的方式提升安全防護能力。新型安全防護體系的部署方式跳出了“必須對系統(tǒng)做改造”的約束，提供了一種“應(yīng)用系統(tǒng)無感知”的部署方法：前臺嵌入式模塊以動態(tài)鏈接的方式與服務(wù)中間件進行整合，在安裝模塊程序后，只需進行簡單的配置，重啟Web服務(wù)后即可完成部署，部分版本還支持“免重啟”部署。在開通網(wǎng)絡(luò)訪問權(quán)限后，即可與后臺管理平臺進行對接。

主要功能與運作機制

1.基于規(guī)則匹配的攻擊檢測

前臺嵌入式模塊能基于歷史經(jīng)驗通過風(fēng)險字符串特征進行匹配識別。新型安全防護體系的規(guī)則匹配，相較于傳統(tǒng)的外部請求規(guī)則匹配更加精細化，其通過Hook（掛鉤）方法，獲取內(nèi)部函數(shù)的參數(shù)，對參數(shù)值進行更具針對性的識別。不僅能有效抵御SQL注入、命令注入、文件上傳、跨站腳本等外部攻擊，在性能上更是顯著優(yōu)于傳統(tǒng)的匹配方法。

2.基于污點追蹤的漏洞檢測

污點即Web應(yīng)用系統(tǒng)中存在風(fēng)險的變量和函數(shù)。新型安全防護體系通過追蹤外部可控制的風(fēng)險變量和風(fēng)險函數(shù)，判斷風(fēng)險變量是否未經(jīng)安全處理輸入危險函數(shù)中執(zhí)行，并對危險函數(shù)的輸入輸出信息進行嚴(yán)格把關(guān)。此外，污點追蹤不僅包括在線的風(fēng)險診斷，還涵蓋了離線的可疑攻擊分析：依托強大的信息存儲分析能力，后臺管理平臺能根據(jù)可疑攻擊的變換步驟、請求頻率等特征進行分析，基于目前先進的機器學(xué)習(xí)模型，不斷地迭代更新和自我提升，使整套防護體系不斷完善。

3.基于交互式的安全風(fēng)險掃描

安全風(fēng)險掃描是一種交互式掃描，在用戶發(fā)出請求過程中，前臺嵌入式模塊通過獲取到應(yīng)用系統(tǒng)運行時的狀態(tài)信息，精確識別安全漏洞，從而實現(xiàn)對應(yīng)用系統(tǒng)實時精確的在線檢測，與此同時將采集獲得的信息反饋到后臺管理平臺，對檢測出的安全漏洞進行匯總、統(tǒng)計、分析、展示。此外，應(yīng)用系統(tǒng)所使用的第三方組件往往由于版本未及時更新而存在一些已知漏洞，后臺管理平臺能根據(jù)第三方組件漏洞庫對正在運行的組件進行風(fēng)險掃描和安全檢測，精準(zhǔn)定位到Web應(yīng)用系統(tǒng)運行中加載的漏洞組件。

4.高覆蓋率Webshell檢測

Webshell是網(wǎng)站入侵的常用后門，入侵者利用Webshell可以在Web應(yīng)用系統(tǒng)所在的服務(wù)器上執(zhí)行系統(tǒng)命令、讀寫文件和竊取數(shù)據(jù)等惡意操作。Webshell具有隱秘性強、靈活度高、危害性大等特點，因此對Webshell的檢測始終是安全防御的重點。運用RASP技術(shù)能夠通過部署標(biāo)記探針和檢測探針提取Webshell軟件特征，基于前臺嵌入式模塊采集的數(shù)據(jù)在后臺管理平臺做檢測。檢測方法包括規(guī)則匹配、行為統(tǒng)計分析、污點追蹤等，通過標(biāo)記非信任的數(shù)據(jù)源，實現(xiàn)了對整個數(shù)據(jù)鏈路的全面監(jiān)測。

實踐路徑與取得成效

1.驗證安全防護效果

為確保測試驗證過程的安全，避免對生產(chǎn)系統(tǒng)的干擾，人民銀行杭州中心支行首先在互聯(lián)網(wǎng)環(huán)境構(gòu)建“二套模擬+三套實戰(zhàn)”的靶機環(huán)境作為模擬實戰(zhàn)的“試驗田”，對RASP與IAST技術(shù)的安全防護能力進行了實戰(zhàn)檢驗。并組織全省安全技術(shù)骨干，對測試靶機應(yīng)用系統(tǒng)進行安全掃描和發(fā)起自由攻擊，結(jié)果表明RASP技術(shù)能有效攔截SQL注入、命令執(zhí)行、目錄遍歷、文件包含等十余項常見Web攻擊行為，對大幅提升應(yīng)用系統(tǒng)安全防護能力，具備顯著效果，彌補了傳統(tǒng)外部檢測系統(tǒng)的盲區(qū)。IAST技術(shù)能在日常交互過程中，將系統(tǒng)本身及其第三方組件存在的詳細漏洞信息反饋給安全管理人員，相較于傳統(tǒng)漏洞掃描方式具有更高的精準(zhǔn)度和更廣的覆蓋面。

2.規(guī)劃部署測試路徑

前臺嵌入式模塊需直接嵌入Web應(yīng)用系統(tǒng)代碼邏輯，因此產(chǎn)生的兼容性風(fēng)險較高。為積極穩(wěn)妥探索可行部署測試路徑，人民銀行杭州中心支行采取“先測試環(huán)境，后生產(chǎn)環(huán)境，先地市試點，后全省應(yīng)用”的策略，克服內(nèi)外網(wǎng)隔離等實際困難，在“金融數(shù)據(jù)報送系統(tǒng)”等多個面向金融機構(gòu)的應(yīng)用系統(tǒng)生產(chǎn)環(huán)境中成功完成了應(yīng)用部署。經(jīng)過6個月的連續(xù)運行，相關(guān)應(yīng)用系統(tǒng)在RASP與IAST技術(shù)的持續(xù)防護下，保持連續(xù)生產(chǎn)，業(yè)務(wù)處理正常，兩項技術(shù)在同一Web應(yīng)用系統(tǒng)中能保持穩(wěn)定運行、良好兼容，同時進行應(yīng)用安全檢測防護，未發(fā)生異常中斷或其他不兼容的情況。

3.全省推廣應(yīng)用實踐

基于前期的階段性成果，人民銀行杭州中心支行組織省內(nèi)各地市中心支行梳理各自Web應(yīng)用系統(tǒng)，統(tǒng)計其使用的操作系統(tǒng)、開發(fā)語言、服務(wù)中間件等信息，評估部署RASP與IAST安全組件的可行性，盡可能將更多的系統(tǒng)納入部署清單中，共同推進新型安全防護體系應(yīng)用的“全覆蓋”。截至目前已基本完成各系統(tǒng)的部署計劃，全省共完成20余套Web應(yīng)用系統(tǒng)的部署工作，占全省地市中心支行自建信息系統(tǒng)數(shù)量近80%。

總結(jié)思考與未來展望

上述應(yīng)用實踐與取得成效，為基層人行優(yōu)化安全管理提出了新思路，積累了寶貴的經(jīng)驗，包括RASP與IAST技術(shù)在各主機環(huán)境、各系統(tǒng)框架下的應(yīng)用，新型安全防護體系在人民銀行內(nèi)網(wǎng)中的應(yīng)用等。下一階段將持續(xù)細化測試，探索新型安全防護體系在人民銀行內(nèi)部系統(tǒng)中更深入地應(yīng)用，包含以下三方面。

1.總結(jié)經(jīng)驗，積極推進系統(tǒng)漏洞修復(fù)

在前期取得的實踐成果基礎(chǔ)上，一方面總結(jié)當(dāng)前地市自建系統(tǒng)的安全態(tài)勢，重點關(guān)注安全防控的薄弱環(huán)節(jié)，維護建立系統(tǒng)的風(fēng)險庫、漏洞庫和案例庫；另一方面歸納匯總推廣部署過程中的成功經(jīng)驗和失敗教訓(xùn)，沉淀形成知識庫和經(jīng)驗庫。針對推廣部署工作中發(fā)現(xiàn)的漏洞列出計劃開展整改，對系統(tǒng)架構(gòu)及技術(shù)框架老舊無法兼容新技術(shù)新業(yè)態(tài)發(fā)展的應(yīng)用系統(tǒng)，推動其功能整合或由新系統(tǒng)替代。

2.做精做細，全面推廣深度融合應(yīng)用

完成新型安全防護體系推廣部署全覆蓋的“最后沖刺”，進一步開展在基層人行現(xiàn)有系統(tǒng)的部署應(yīng)用。研究RASP定制化工作，通過RASP工具調(diào)參、自定義編程接口，提升RASP運行機制與人民銀行系統(tǒng)體系的契合度。探索RASP與WAF的深度融合，配合實現(xiàn)定制化的防御策略，構(gòu)建“內(nèi)部+外部”的雙重防線，形成互補短板、協(xié)同強化的安全生態(tài)。

3.形成閉環(huán)，打造高效聯(lián)合運維機制

將新型安全防護體系的應(yīng)用納入未來新系統(tǒng)建設(shè)的安全考量標(biāo)準(zhǔn)中，作為筑牢安全生產(chǎn)底線的重要一環(huán)。將應(yīng)用系統(tǒng)安全運維作為重點抓手，推進新技術(shù)、新知識在基層人行的普及，提升全省科技隊伍的安全防控意識和安全運維水平。在下一步落實新型安全防護體系的運維與監(jiān)測工作中，將其納入全省網(wǎng)絡(luò)安全聯(lián)合運維體系，落實責(zé)任單位和責(zé)任人員，做到漏洞風(fēng)險的早發(fā)現(xiàn)、早處理、早解決。