客戶需求：傳統(tǒng)WAF技術存在較大的局限性，已不再適應當下復雜的網(wǎng)絡攻擊形勢，在災備數(shù)據(jù)中心部署能力更強的新一代WAF產(chǎn)品，能夠準確識別Web攻擊、降低運維成本，在滿足合規(guī)要求基礎上，實現(xiàn)對抗能力的全面升級。

解決方案： 亞信安全的信舷Web應用防火墻(AISWAF)通過動態(tài)構(gòu)建Web應用的合法訪問特征，采用動態(tài)建模技術創(chuàng)建Web和Web服務應用的行為安全模型，克服了傳統(tǒng)應用防火墻的運維難題，全面提升了數(shù)據(jù)中心的安全能力。

效果/客戶證言：項目的成功部署，全面提升了Web安全及防數(shù)據(jù)泄露能力，滿足安全合規(guī)的監(jiān)管要求。同時，利用亞信安全WAF的動態(tài)應用建模，時刻感知應用的變化以及安全基線，將安全管理可視化，全面提升了跨部門協(xié)作和溝通效率。

——某銀行網(wǎng)絡安全管理人員

?在金融科技(FinTech)全面推動下，新型技術與數(shù)字業(yè)務擴展延伸出了很多新的安全問題，同時也受到了更加嚴格的監(jiān)管合規(guī)要求。在此背景下，國內(nèi)某銀行用戶部署亞信安全的信舷Web應用防火墻(AISWAF)，進一步夯實了防范個人信息泄露以及賬戶資金竊取的網(wǎng)絡安全風控能力，樹立了金融數(shù)據(jù)中心安全合規(guī)管理的最佳實踐案例。

傳統(tǒng)防御體系正被打破Web安全進入全新階段

金融行業(yè)一直是IT高度發(fā)展的一個領域，同時也是數(shù)據(jù)資產(chǎn)高度集中的一個行業(yè)。在這種背景下，金融行業(yè)對于安全的重視程度普遍較高，安全技術和管理能力也都更勝一籌。

作為全國12家股份制銀行中排名前列的銀行，用戶一直采用某品牌的傳統(tǒng)WAF產(chǎn)品保障核心業(yè)務的安全運行，如信用卡商城，信用卡App等關鍵業(yè)務。然而，傳統(tǒng)WAF技術存在較大的局限性，已不再適應當下復雜的網(wǎng)絡攻擊形勢，因此WAF技術的革新升級成為必然。為此，用戶決定在災備數(shù)據(jù)中心部署能力更強的新一代WAF產(chǎn)品，并邀請了國內(nèi)多家WAF廠商，從以下幾個方面進行測試評估：

1. 能夠自動精準的學習訪問流量，構(gòu)建業(yè)務訪問行為的基準模型，并且可以隨著業(yè)務的變化動態(tài)的調(diào)整所學習到的基線模型，既可以讓安全人員準確了解到業(yè)務訪問的實際情況，又降低人工調(diào)整配置的復雜度，提升運維效率；

2. 準確的攻擊識別，降低誤報率和漏報率，進一步降低安全風險；

3. 可以按需基于不同的判斷條件靈活配置自定義策略，滿足業(yè)務防護更細粒度的防護要求；

4. 在金融科技背景下，產(chǎn)品對于新型的攻擊行為做到有效識別和精準防護，如基于API相關的攻擊；

5. 安全攻擊事件的排查需要完善的可視化視圖來追蹤溯源；

6. 產(chǎn)品的部署不要改動整網(wǎng)架構(gòu)，需要支持安全部門和網(wǎng)絡部門跨部門合作，實現(xiàn)無縫對接，降低溝通成本；

實現(xiàn)Web應用安全一體化防御守住用戶的“錢袋子”

保住用戶的錢袋子、嚴防個人身份信息泄露是金融企業(yè)的天職。經(jīng)過前期論證以及后續(xù)的PoC驗證，亞信安全WAF在防護功能的完整性上以及運維成本方面都滿足了用戶需求，并最終被部署在用戶的災備數(shù)據(jù)中心，實現(xiàn)了Web應用安全防護的一體化。

與傳統(tǒng)的WAF產(chǎn)品“手工打理”不同，亞信安全通過動態(tài)構(gòu)建客戶Web應用的合法訪問特征，采用動態(tài)建模技術創(chuàng)建合法用戶對Web和Web服務應用的行為的安全模型，克服了其它應用防火墻運維難題，全面提升了用戶數(shù)據(jù)中心的安全能力：

1. 采用了動態(tài)建模技術，通過自動檢測分析實時數(shù)據(jù)通信，然后應用復雜的學習算法來創(chuàng)建包含訪問站點的所有合法HTTP請求的“業(yè)務模型”，無需人工干預，還可根據(jù)Web應用的變化進行自適應調(diào)整，有效偵測零日漏洞、梳理應用、API資產(chǎn)；

2. 對灰色流量進行協(xié)議校驗、特征簽名、應用模型、威脅情報等多維度并行分析，精準識別惡意攻擊，降低誤報和漏報率；

3. 亞信安全WAF提供開箱即用的安全策略，特征碼項目近萬個，默認策略近五百條，定期的特征庫及其安全策略更新，通過一鍵更新，保障系統(tǒng)有效識別并阻擋最新的Web攻擊；

4. 亞信安全WAF允許安全管理員根據(jù)企業(yè)業(yè)務及安全策略需求靈活的定制策略，提供了超過40+匹配條件，實現(xiàn)強大的自定義安全能力，滿足用戶的業(yè)務場景防護需求；

5. 強大而詳細的告警、事件、日志記錄，能夠?qū)ο鄳墓艏皰呙柽M行實時的跟蹤和分析，提供安全審核依據(jù)采用透明橋接方式部署，能夠?qū)崟r阻斷非法流量，具有很小的處理時延，及時保護了Web應用系統(tǒng)；

6. 采用透明橋接方式部署，無需改變現(xiàn)有架構(gòu)即可保護Web應用系統(tǒng)安全。

形成動態(tài)防護機制全面提升運維效率

對于用戶而言，通過亞信安全的信舷Web應用防火墻(AISWAF)既可以應對已知攻擊威脅，同時也有多種防護手段應對未知威脅攻擊，以極低的資源消耗就能防止人機攻擊行為、保障多類型的應用安全，讓企業(yè)的安全運維成本大幅降低。

該銀行的網(wǎng)絡安全工程師表示：“項目的成功部署，全面提升了Web安全及防數(shù)據(jù)泄露能力，滿足安全合規(guī)的監(jiān)管要求。同時，利用亞信安全WAF的動態(tài)應用建模，時刻感知應用的變化以及安全基線，將安全管理可視化，全面提升了跨部門協(xié)作和溝通效率?！?