Web應(yīng)用安全解決方案(XXX0603073540)

千里之行，始于足下。第2頁(yè)/共2頁(yè)精品文檔推薦Web應(yīng)用安全解決方案(XXX0603073540)名目

一.項(xiàng)目背景及必要性(2)

1.1項(xiàng)目背景(2)

二.中國(guó)鐵建Web應(yīng)用安全風(fēng)險(xiǎn)分析(5)

2.1應(yīng)用層安全風(fēng)險(xiǎn)分析(5)

2.1.1身份認(rèn)證漏洞(5)

2.1.2www服務(wù)漏洞(5)

2.1.3Web網(wǎng)站應(yīng)用漏洞(6)

2.2治理層安全風(fēng)險(xiǎn)分析(6)

三.中國(guó)鐵建Web網(wǎng)站安全防護(hù)方案(8)

3.1產(chǎn)品介紹(9)

3.1.1WebGuard網(wǎng)頁(yè)防篡改愛(ài)護(hù)系統(tǒng)解決方案(9)

3.1.2WebGuard-WAF綜合應(yīng)用安全網(wǎng)關(guān)(13)

21

3.2系統(tǒng)部署

3.2.1詳細(xì)部署(21)

3.2.2部署后的效果(22)

23

四.系統(tǒng)報(bào)價(jià)

一.項(xiàng)目背景及必要性

1.1項(xiàng)目背景

近年來(lái)，信息技術(shù)的飛快進(jìn)展使人們獵取、交流和處理信息的手段發(fā)生了巨大的變化，

隨著信息時(shí)代的到來(lái)，信息化進(jìn)展也為挪移工作帶來(lái)了新的挑戰(zhàn)和機(jī)會(huì)。

近兩年來(lái)，黑客攻擊、網(wǎng)絡(luò)病毒等等差不多屢見(jiàn)別鮮，而且一次比一次破壞力大，對(duì)網(wǎng)絡(luò)

安全造成的威脅也越來(lái)越大，一旦網(wǎng)絡(luò)存在安全隱患，遭受重大損失在所難免。在企業(yè)網(wǎng)中，網(wǎng)絡(luò)治理者關(guān)于網(wǎng)絡(luò)安全普遍缺乏重視，然而隨著網(wǎng)絡(luò)環(huán)境的惡化，以及一次次付出慘重代

價(jià)的教訓(xùn)，企事業(yè)單位網(wǎng)的治理者差不多將安全因素看作網(wǎng)絡(luò)建設(shè)、改造的關(guān)鍵環(huán)節(jié)。

國(guó)內(nèi)相關(guān)行業(yè)網(wǎng)站的安全咨詢題有其歷史緣故：在舊網(wǎng)絡(luò)階段，一方面因?yàn)橐庾R(shí)與資金方

面的緣故，以及對(duì)技術(shù)的偏好和運(yùn)營(yíng)意識(shí)的別腳，普遍都存在“重技術(shù)、輕安全、輕治理”

的傾向，政府網(wǎng)絡(luò)建設(shè)者在安全方面往往沒(méi)有太多的關(guān)注，常常不過(guò)在內(nèi)部網(wǎng)與互聯(lián)網(wǎng)之間

放一具防火墻就萬(wàn)事大吉，有點(diǎn)政府甚至啥也別放，直截了當(dāng)面對(duì)互聯(lián)網(wǎng)，這就給病毒、黑客

提供了充分施展身手的空間。而病毒泛濫、黑客攻擊、信息丟失、服務(wù)被拒絕等等，這些安

全隱患發(fā)生任何一次對(duì)整個(gè)網(wǎng)絡(luò)都將是致命性的。

隨著網(wǎng)絡(luò)規(guī)模的急劇膨脹，網(wǎng)絡(luò)用戶的快速增長(zhǎng)，網(wǎng)站在各行業(yè)的信息化建設(shè)中差不多在

扮演至關(guān)重要的角XXX，作為數(shù)字化信息的最重要傳輸載體，怎么保證企業(yè)、金融證券、政府

及事業(yè)單位網(wǎng)絡(luò)能正常的運(yùn)行別受各種網(wǎng)絡(luò)黑客的侵害就成為各地政府別可回避的一具緊迫

咨詢題；所以，解決網(wǎng)絡(luò)安全咨詢題刻別容緩。

當(dāng)前企業(yè)、金融證券和政府業(yè)務(wù)系統(tǒng)大都居于B/S架構(gòu)，使用Web應(yīng)用來(lái)運(yùn)行核心業(yè)務(wù)，

但是，Web應(yīng)用安全威脅已成為當(dāng)前信息安全的要緊威脅，從以下數(shù)據(jù)能夠看出，80%以上的信息安全威脅來(lái)自于Web應(yīng)用：

圖1.1信息安全事件分布

圖1.2Web漏洞進(jìn)展趨勢(shì)

圖1.3最新十大安全威脅

從以上數(shù)據(jù)能夠看出，隨著Web應(yīng)用的極速進(jìn)展及大量使用，Web應(yīng)用漏洞在急劇增加，Web安全威脅已成為當(dāng)前信息安全的要緊威脅。所以，在平臺(tái)業(yè)務(wù)建設(shè)的并且，必須加

強(qiáng)Web應(yīng)用安全建設(shè)，經(jīng)過(guò)全面有效的Web安全防護(hù)，保障業(yè)務(wù)系統(tǒng)正常穩(wěn)定運(yùn)行。

基于以上數(shù)據(jù)信息能夠看出，中國(guó)鐵建的對(duì)外網(wǎng)站直截了當(dāng)暴露在互聯(lián)網(wǎng)，存在極大的安全

威脅，需要對(duì)Web網(wǎng)站做必要的安全防護(hù)。

二.中國(guó)鐵建Web應(yīng)用安全風(fēng)險(xiǎn)分析

2.1應(yīng)用層安全風(fēng)險(xiǎn)分析

Web應(yīng)用系統(tǒng)要緊存在以下安全風(fēng)險(xiǎn)：用戶提交的業(yè)務(wù)信息被監(jiān)聽(tīng)或修改；用戶對(duì)成功

提交的業(yè)務(wù)舉行事后抵賴；由于挪移網(wǎng)絡(luò)對(duì)外提供網(wǎng)上WWW服務(wù)，所以存在外網(wǎng)非法用戶

對(duì)內(nèi)部網(wǎng)和服務(wù)器的攻擊。

2.1.1身份認(rèn)證漏洞

服務(wù)系統(tǒng)登錄和主機(jī)登錄使用的是靜態(tài)口令，口令在一定時(shí)刻內(nèi)是別變的，且在數(shù)據(jù)庫(kù)

中有存儲(chǔ)記錄，可重復(fù)使用。如此非法用戶經(jīng)過(guò)網(wǎng)絡(luò)竊聽(tīng)，非法數(shù)據(jù)庫(kù)拜訪，窮舉攻擊，重

放攻擊等手段非常容易得到這種靜態(tài)口令，然后，利用口令，可對(duì)資源非法拜訪和越權(quán)操作。

對(duì)挪移系統(tǒng)的網(wǎng)上挪移服務(wù)平臺(tái)，必須加強(qiáng)用戶的身份認(rèn)證，防止對(duì)挪移網(wǎng)絡(luò)資源的非

授權(quán)拜訪以及越權(quán)操作。

2.1.2www服務(wù)漏洞

WebServer目前正在成為挪移系統(tǒng)對(duì)外宣傳、開(kāi)展業(yè)務(wù)的基地，但公開(kāi)服務(wù)器本身別能保證沒(méi)有漏洞，別法分子也許利用服務(wù)的漏洞修改頁(yè)面甚至破壞服務(wù)器。系統(tǒng)中的BUG，使得黑客能夠遠(yuǎn)程對(duì)公開(kāi)服務(wù)器發(fā)出指令，從而導(dǎo)致對(duì)系統(tǒng)舉行修改和損壞，包括無(wú)限制地向

服務(wù)器發(fā)出大量指令，以至于服務(wù)器“拒絕服務(wù)”，最后引起整個(gè)系統(tǒng)的崩潰。這就要求我

們必須提高服務(wù)器的抗破壞能力，防止拒絕服務(wù)（DOS）或分布式拒絕服務(wù)（DDOS）之類的惡意攻擊，提高服務(wù)器備份與恢復(fù)、防篡改與自動(dòng)修復(fù)能力。

2.1.3Web網(wǎng)站應(yīng)用漏洞

Web網(wǎng)站用于對(duì)外提供服務(wù)，作為對(duì)外展示的窗口，部分網(wǎng)站與用戶還有相當(dāng)部分的數(shù)

據(jù)交互，Web網(wǎng)站應(yīng)用在開(kāi)辟過(guò)程中，難免會(huì)浮現(xiàn)一些漏洞，如：SQL注入漏洞、跨站漏洞、敏感信息泄露漏洞等，這些漏洞非常容易被黑客檢測(cè)到并加以利用，達(dá)到篡改數(shù)據(jù)，截取數(shù)據(jù)

信息等目的，黑客還能夠利用漏洞提升權(quán)限，達(dá)到操縱計(jì)算機(jī)，損壞數(shù)據(jù)信息等操作，對(duì)用

戶數(shù)據(jù)信息造成極大威脅。

2.2治理層安全風(fēng)險(xiǎn)分析

再安全的網(wǎng)絡(luò)設(shè)備離別開(kāi)人的治理，再好的安全策略最后要靠人來(lái)實(shí)現(xiàn)，所以治理是整

個(gè)網(wǎng)絡(luò)安全中最為重要的一環(huán)，尤其是關(guān)于一具比較龐大和復(fù)雜的網(wǎng)絡(luò)，更是這樣。所以我

們有必要仔細(xì)的分析治理所帶來(lái)的安全風(fēng)險(xiǎn)，并采取相應(yīng)的安全措施。

挪移系統(tǒng)應(yīng)按照國(guó)家對(duì)于計(jì)算機(jī)和網(wǎng)絡(luò)的一些安全治理?xiàng)l例，如《計(jì)算站場(chǎng)地安全要求》、《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全愛(ài)護(hù)條例》等，制訂安全治理制度。

責(zé)權(quán)別明，治理混亂、安全治理制度別健全及缺乏可操作性等都也許引起治理安全的風(fēng)

險(xiǎn)。責(zé)權(quán)別明，治理混亂，使得一些職員或治理員隨便讓一些非本地職員甚至外來(lái)人員進(jìn)入

機(jī)房重地，或者職員故意無(wú)意泄漏他們所懂的一些重要信息，而治理上卻沒(méi)有相應(yīng)制度來(lái)

約束。

當(dāng)網(wǎng)絡(luò)浮現(xiàn)攻擊行為或網(wǎng)絡(luò)受到其它一些安全威脅時(shí)（如內(nèi)部人員的違規(guī)操作等），無(wú)法舉行實(shí)時(shí)的檢測(cè)、監(jiān)控、報(bào)告與預(yù)警。并且，當(dāng)事故發(fā)生后，也無(wú)法提供黑客攻擊行為的追

蹤線索及破案依據(jù)，即缺乏對(duì)網(wǎng)絡(luò)的可控性與可審查性。這就要求我們必須對(duì)站點(diǎn)的拜訪活

動(dòng)舉行多層次的記錄，及時(shí)發(fā)覺(jué)非法入侵行為。建立全新網(wǎng)絡(luò)安全機(jī)制，必須深刻明白網(wǎng)絡(luò)

并能提供直截了當(dāng)?shù)慕鉀Q方案，所以，最可行的做法是治理制度和治理解決方案的結(jié)合。

三.中國(guó)鐵建Web網(wǎng)站安全防護(hù)方案

依照上述需求分析，對(duì)當(dāng)前Web安全風(fēng)險(xiǎn)分析，XX科技應(yīng)用安全團(tuán)隊(duì)經(jīng)過(guò)對(duì)網(wǎng)站安全

多年的研究、調(diào)研，針對(duì)Web應(yīng)用安全提出了全新的安全防護(hù)方式，對(duì)WebServer和AppServer采納Web網(wǎng)站安全防護(hù)系統(tǒng)（WebGuard網(wǎng)頁(yè)防篡改愛(ài)護(hù)系統(tǒng)，簡(jiǎn)稱‘WebGuard’）+WAF綜合應(yīng)用安全網(wǎng)關(guān)來(lái)對(duì)網(wǎng)站應(yīng)用做全面的安全防護(hù)，WebGuard采納系統(tǒng)底層文件驅(qū)動(dòng)愛(ài)護(hù)技術(shù)+增強(qiáng)型事件觸發(fā)技術(shù)，對(duì)Web網(wǎng)站頁(yè)面直截了當(dāng)防護(hù)，防止黑客

篡改網(wǎng)站頁(yè)面。WAF綜合應(yīng)用安全網(wǎng)關(guān)可以有效防止各類新型應(yīng)用攻擊，如：SQL注入攻擊、跨站攻擊、名目遍歷、操作系統(tǒng)命令攻擊、Cookie攻擊等，還能有效防護(hù)給類DDos攻擊，CC攻擊等要緊的流量及應(yīng)用型拒絕服務(wù)式攻擊。

設(shè)備一覽表：

產(chǎn)品名稱產(chǎn)品形態(tài)產(chǎn)品職能其他講明

Web網(wǎng)站安全防護(hù)系統(tǒng)（WebGuard）軟件經(jīng)過(guò)文件底層驅(qū)動(dòng)技術(shù)+增強(qiáng)型事件觸發(fā)技術(shù)，對(duì)Web網(wǎng)頁(yè)文件到里面去全面有效的

防護(hù)，防止黑客對(duì)Web頁(yè)面的非法篡改

攻擊，有效保障Web應(yīng)用安全。

WebGuard-WAF綜合應(yīng)用安全網(wǎng)關(guān)軟件+硬

件

針對(duì)當(dāng)前主流的Web應(yīng)用攻擊做全面安

全防護(hù)，能夠防止各類應(yīng)用攻擊，包括

SQL注入攻擊、跨站攻擊、名目遍歷、遠(yuǎn)

程文件包含攻擊、操作系統(tǒng)命令注入攻

擊、Cookie注入攻擊、其他變形的應(yīng)用

攻擊。還能有效防止DDoS攻擊，CC攻

擊等網(wǎng)絡(luò)及應(yīng)用類型的拒絕服務(wù)類攻擊。

3.1產(chǎn)品介紹

3.1.1WebGuard網(wǎng)頁(yè)防篡改愛(ài)護(hù)系統(tǒng)解決方案

Web網(wǎng)站安全防護(hù)系統(tǒng)由XX科技依照長(zhǎng)期對(duì)Web站點(diǎn)舉行安全研究成果自主研發(fā)的高可靠性、高安全性以及高易用性的軟件系統(tǒng)。要緊用于愛(ài)護(hù)站點(diǎn)內(nèi)容安全，防止黑客非法篡

改網(wǎng)頁(yè)，愛(ài)護(hù)公眾形象。該系統(tǒng)也是國(guó)內(nèi)唯一經(jīng)過(guò)國(guó)家嚴(yán)格檢測(cè)的第三代網(wǎng)頁(yè)防篡改技術(shù)。

網(wǎng)頁(yè)防篡改技術(shù)在近幾年當(dāng)中依照黑客攻擊技術(shù)的進(jìn)展也得到了較快的進(jìn)展，第三代網(wǎng)頁(yè)防

篡改技術(shù)較之往常的技術(shù)有幾個(gè)特點(diǎn)，響應(yīng)恢復(fù)速度快、推斷準(zhǔn)確、部署靈便等特點(diǎn)，集成

度較高，別依靠于原有web系統(tǒng)架構(gòu)、部署也別妨礙網(wǎng)站整體結(jié)構(gòu)。通過(guò)廣闊用戶實(shí)踐表明，WebGuard差不多成為網(wǎng)站安全建設(shè)最佳解決方案。

系統(tǒng)組成原理

WebGuard系統(tǒng)包含三個(gè)部分：監(jiān)控代理客戶端，治理中心服務(wù)器和治理客戶端，各部

分功能如下：

1.監(jiān)控代理客戶端（MonitorClientSetup）安裝在Web站點(diǎn)服務(wù)器上，依照服務(wù)器

數(shù)量購(gòu)買客戶端數(shù)量，要緊用于監(jiān)控站點(diǎn)狀態(tài)，執(zhí)行治理中心所配置的策略；

2.治理中心服務(wù)器（CenterServerSetup）建議部署在獨(dú)立pc服務(wù)器上，若所治理

的web服務(wù)器數(shù)量較少，也能夠并且部署在治理客戶端；要緊用于用戶治理，策略

下發(fā)，日志監(jiān)控，以及治理各代理客戶端；

3.治理客戶端(ConsoleSetup)部署在網(wǎng)管員任意一臺(tái)計(jì)算機(jī)，能夠由單臺(tái)pc機(jī)替代，

要緊用于登錄治理中心服務(wù)器舉行配置治理WebGuard中心服務(wù)器；

圖3.1系統(tǒng)結(jié)構(gòu)示意圖

各組建之間通信采取徹底加密傳輸，包括數(shù)據(jù)傳輸，用戶認(rèn)證等，確保通信的保密性；

系統(tǒng)要緊功能

基于驅(qū)動(dòng)級(jí)文件愛(ài)護(hù)技術(shù)，支持各類網(wǎng)頁(yè)格式，包含各類動(dòng)態(tài)頁(yè)面足本；

徹底防護(hù)技術(shù)，支持大規(guī)模延續(xù)篡改攻擊防護(hù)；

系統(tǒng)后臺(tái)自動(dòng)運(yùn)行，支持?jǐn)嗑€狀態(tài)下篡改監(jiān)測(cè)；

驅(qū)動(dòng)技術(shù)徹底杜絕被篡改內(nèi)容被外界掃瞄；

支持多站點(diǎn)分布式部署，統(tǒng)一集中治理功能；

支持大規(guī)模虛擬機(jī)、雙機(jī)熱備網(wǎng)站系統(tǒng)部署架構(gòu)；

支持單獨(dú)文件、文件夾及多級(jí)文件夾名目?jī)?nèi)容篡改愛(ài)護(hù)；

支持網(wǎng)頁(yè)格式類型分類，便于分類治理；

支持網(wǎng)頁(yè)自動(dòng)上傳功能，無(wú)需人工干涉；

支持異地文件快速同步功能和斷點(diǎn)續(xù)傳功能，極大的增加網(wǎng)站整體安全性和穩(wěn)定性；

支持多用戶治理功能，方便操作；

支持網(wǎng)頁(yè)自動(dòng)同步新增、修改、刪除等功能；

自動(dòng)檢測(cè)文件攻擊記錄，并實(shí)時(shí)記入日志，支持導(dǎo)出報(bào)表；

支持服務(wù)器多種遠(yuǎn)程治理功能，如遠(yuǎn)程接管、遠(yuǎn)程喚醒、遠(yuǎn)程關(guān)機(jī)、遠(yuǎn)程用戶注銷等；

系統(tǒng)C/S結(jié)構(gòu)，確保高可靠性；

支持多個(gè)策略治理，策略設(shè)置支持即時(shí)生效，無(wú)需重啟；

支持服務(wù)器冗余雙機(jī)及負(fù)載均衡分布部署；

支持多種告警方式，日志告警、聲音告警、郵件告警或定制其他告警方式；

支持用戶認(rèn)證，