电子商务安全解决专项方案.docx
《电子商务安全解决专项方案.docx》由会员分享,可在线阅读,更多相关《电子商务安全解决专项方案.docx(23页珍藏版)》请在咨信网上搜索。
电子商务信息安全处理方案 ■文档编号 V10 ■密级 内部 ■版本编号 V10.2 ■日期 -07-31 信息安全技术有限 7月 第一章序言 1.1 概念 电子商务通常是指是在全球各地广泛商业贸易活动中,在因特网开放网络环境下,基于浏览器/服务器应用方法,买卖双方不谋面地进行多种商贸活动,实现消费者网上购物、商户之间网上交易和在线电子支付和多种商务活动、交易活动、金融活动和相关综合服务活动一个新型商业运行模式。电子商务是利用微电脑技术和网络通讯技术进行商务活动。各国政府、学者、企业界人士依据自己所处地位和对电子商务参与角度和程度不一样,给出了很多不一样定义。 首先将电子商务划分为广义和狭义电子商务。广义电子商务定义为,使用多种电子工具从事商务或活动;狭义电子商务定义为,关键利用Internet从事商务或活动。不管是广义还是狭义电子商务概念,电子商务全部涵盖了两个方面:一是离不开互联网这个平台,没有了网络,就称不上为电子商务;二是经过互联网完成是一个商务活动。 狭义上讲,电子商务(Electronic Commerce,简称EC)是指:经过使用互联网等电子工具(这些工具包含电报、电话、广播、电视、传真、计算机、计算机网络、移动通信等)在全球范围内进行商务贸易活动。是以计算机网络为基础所进行多种商务活动,包含商品和服务提供者、广告商、消费者、中介商等相关各方行为总和。大家通常了解电子商务是指狭义上电子商务。 广义上讲,电子商务一词源自于Electronic Business,就是经过电子手段进行商业事务活动。经过使用互联网等电子工具,使企业内部、供给商、用户和合作伙伴之间,利用电子业务共享信息,实现企业间业务步骤电子化,配合企业内部电子化生产管理系统,提升企业生产、库存、流通和资金等各个步骤效率。 联合国国际贸易程序简化工作组对电子商务定义是:采取电子形式开展商务活动,它包含在供给商、用户、政府及其它参与方之间经过任何电子工具,如EDI、Web技术、电子邮件等共享非结构化商务信息,并管理和完成在商务活动、管理活动和消费活动中多种交易。 电子商务是利用计算机技术、网络技术和远程通信技术,实现电子化、数字化和网络化,商务化整个商务过程。 电子商务是以商务活动为主体,以计算机网络为基础,以电子化方法为手段,在法律许可范围内所进行商务活动交易过程。 电子商务是利用数字信息技术,对企业各项活动进行连续优化过程。 1.2 发展前景 伴随中国网络技术普及率日益提升,经过网络进行购物、交易、支付等电子商务新模式发展快速。电子商务凭借其低成本、高效率优势,不仅受到一般消费者青睐,还有效促进中小企业寻求商机、赢得市场,已成为中国转变发展方法、优化产业结构关键动力。 依据前瞻网《-中国电子商务行业市场前瞻和投资战略计划分析汇报》[1]数据显示,“十一五”时期,中国电子商务行业发展迅猛,产业规模快速扩大,电子商务信息、交易和技术等服务企业不停涌现。中国电子商务市场交易额已达4.5万亿元,同比增加22%。中国电子商务交易总额再创新高,达成5.88万亿元,其中中小企业电子商务交易额达成3.21万亿元。 第一季度,中国电子商务市场整体交易规模1.76万亿,同比增加25.8%,环比下降4.2%。第二季度,中国电子商务市场整体交易规模1.88万亿,同比增加25.0%,环比增加7.3%。 2 第二章需求分析 经典电子商务系统拥有三级架构:直接面向交易用户Web服务器层,后台事务处理应用服务器层,后台数据存放数据库服务器层。用户交易请求一定是经由Web服务器→应用服务器→数据库服务器次序来实现。 经典电子商务数据流过程:交易用户经过Internet浏览电子商务系统Web服务器,在页面上点击提议交易或查询请求; Web服务器向应用服务器提议事务处理请求,等候应用服务器应答;应用服务器将交易或查询信息传输到数据库服务器,由数据库服务器作应答;各级服务器在收到后台应答后向前台设备作响应,最终响应给交易用户,完成一笔交易或查询。 怎样建设一个现有优异技术支持,又有过硬安全保障网络,成了企业必需完成一项任务。依据企业本身发展和企业本身特点,决定建设一整套电子商务平台建设。内容以下: 建设一整套高速、高性能、完整网络运算平台 建设一套高性能防病毒、防黑客、防间谍系统确保网络安全 建设一整有效网站防篡改系统,有效保护网站不受黑客等攻击和篡改 建设一整套服务器负载均衡系统,确保运算交易系统等大量服务器在全国范围内大规模交易用户能以最快速度进行交易 建设一整套数据存放和备份和灾难恢复系统,对天天产生大量数据进行有效存放和保护。以备灾难发生时能立即有效进行数据恢复 建设一套大规模网络运维管理系统,对建成网络系统进行有效管理和维护 3 第三章方案设计 3.1 方案设计标准 优异性:系统采取技术必需是优异而成熟。现在计算机技术发展日新月异,要保护用户投资就必需采取优异技术,而且这种技术和产品必需被业界公认为成熟且有发展前途。 实用性:建设系统目标是要处理企业数据信息共享、交换和安全,提供现代化管理,所以,设计方案出发点就是要满足用户信息要求。 经济性:设计方案不仅要考虑采取技术优异、可靠,而且还必需考虑用户经济负担。所以,设计方案必需含有很高性能价格比。 高可管理性和高可靠性:因为整个业务系统设计采取集中式管理策略,所以存放系统必需含有很高可管理性。另外,计算机网络系统外部环境是多变,设计方案必需是强壮,能够很方便地进行调整,以满足外部环境改变。 高可扩充性和升级能力:设计方案必需能够适应企业网络系统发展需要,含有高可扩充性和升级能力。存放系统必需是能够扩充,必需含有较高扩展能力,而且伴随计算机技术发展能够对系统进行升级。 开放性和标准化:设计方案中所采取技术和选择产品全部必需是业界公认主流,而且必需满足开放性要求。 3.2 数据存放、备份、灾难恢复系统方案设计 3.2.1 方案描述 当地存放备份系统设计了一个关键主存放系统,一个备份系统,备份架构采取了业界优异D2D2T模式,数据集中存放在“存放中心”磁盘设备上,这是第一个“D” ,数据备份到备份用磁盘介质上,这是第二个“D”,磁盘存放和备份及数据恢复全部愈加紧速,以确保用户在数据或系统出现故障时在最短时间内使信息系统得到恢复。最终“T”是指每三个月将数据归档到磁带介质上,这么充足利用了磁带介质线型存放方法安全和产品价格低廉,而且节省了磁盘介质空间。 当地存放备份归档系统完善部属,首先能够处理现有数据集中存放问题和数据备份问题。同时为后面进行异地容灾打下了很好硬件基础。 目标是结构一个以数据为中心,功效齐全、运行高效、使用灵活、维护方便、易于扩展、投资省、安全可靠数据存放备份系统,为了达成这个目标,必需遵守以下多个设计标准: 以原有存放资源合理利用为基础,以数据为中心,构架一个全新数据备份模式 存放备份系统应以现在Windows平台为主,同时还要考虑到未来关键业务系统和其它Unix、LINUX平台兼容 提供很好可扩展性能,保护贵单位投资 提供完备、易操作备份管理功效。包含:在高峰期不占用过多网络资源前提下,实现高效快速数据备份和恢复;含有较高数据读写速度和稳定性;含有完备备份策略,如全备份、增量备份、差分备份、按需备份 功效完备易于操作备份管理系统。 3.2.2 存放备份系统布署 1. 备份服务器 备份服务器作用相当于备份系统“大脑”,管理制订整个备份系统 (包含全部需要备份服务器和存放设备、磁带归档设备)备份策略和跟踪用户端备份。服务器是集中管理关键。 系统数据在备份控制服务器统一控制和管理下,实现增量备份、差分备份,当数据量为海量数据,无法实现天天完全备份时,能够把备份策略制订成增量,差分和全备份相结合方法。(每七天/每个月做一次全备份,其它时间天天作增量或差分备份),降低备份时间,提升备份速度。同时降低磁带使用量。 2. 备份系统控制 备份控制服务器对整个备份系统经过统一管理控制软件进行控制,备份系统备份策略定义能够随时由备份控制服务器灵活修改,在任何一台需要备份服务器上,能够经过设制备份策略在对应时间对用户数据库、操作系统、用户端系统及数据进行备份。 高级磁盘备份和恢复 经过基于磁盘高级备份和恢复,包含合成备份、脱机备份,能够实现愈加快备份和恢复,进行零影响备份。合成备份能够缩短备份时间,降低网络带宽需求,而且不会影响原始用户端。另外,合成备份使用户能够从一个备份映像进行快速用户端恢复,而无需从多盘磁带和增量备份进行恢复(即:我们常常说D2D2T)。建立多级恢复系统,以磁盘阵列为一级恢复设备,磁带设备作为二级恢复设备。 上述数据备份系统功效实现能够充足满足备份系统要求,同时,因为其备份层次灵活性,能够依据数据量和应用繁忙程度不一样而灵活实施备份。备份任务采取了上述灵活备份管理功效,含有很多完善备份系统控制和管理方法。 3.2.3 备份策略设置: 我们初步制订备份策略为: 天天做应用数据(数据库、群件等)和用户数据备份,尽可能在中午或夜间进行。 每三个月做系统(包含操作系统、数据库、群件、用户数据等)全备份和数据归档,备份归档完后将磁带取出另存。 每日数据备份按一定备份策略实施,保留一段时间数据(如一个星期),过了该段时间后数据被覆写。因为备份设备采取高容量、高性能磁盘设备,归档采取成熟安全磁带存放技术,全部备份作业全部能自动进行,无须人为干预。 每三个月系统全备份采取每日备份策略外磁带,定义不一样备份策略,和每日备份互不干扰,独立进行。 3.3 防病毒、防黑客、防间谍系统方案设计 3.3.1 防病毒系统 3.3.1.1 概述 病毒伴伴随计算机系统一起发展了十几年,现在其形态和入侵路径已发生了巨大改变。现在几乎天天全部有新病毒出现在Internet上,而且因为其借助Internet上信息往来,所以传输速度极快。伴随计算机技术不停发展,病毒也变得越来越复杂和高级。据新华网调查结果显示,计算机病毒发作造成损失百分比为62%。浏览器配置被修改、数据受损或丢失、系统使用受限、网络无法使用、密码被盗是计算机病毒造成关键破坏后果。 基于以上这些情况,为了企业财产免受损失,大多数企业全部需要选择多层病毒防卫体系,所谓多层病毒防卫体系,是指在企业每个台式机上要安装台式机反病毒软件,在服务器上要安装基于服务器反病毒软件,在INTERNET网关上要安装基于INTERNET同关反病毒软件,因为对企业来说,预防病毒攻击并不是某一个管理员责任,而是每一个职员责任,每一个职员全部要做到个人使用台式机上不受病毒感染,从而确保整个企业网不受病毒感染。 3.3.1.2 病毒威胁分析 现在绝大多数病毒传输路径是网络。对于一个网络系统而言,针对病毒入侵渠道和病毒集散地进行防护是最有效防治策略。所以,对于每一个病毒可能入口,布署对应防病毒软件,实时检测其中是否有病毒,是构建一个完整有效防病毒体系关键。 l 来自系统外部(Internet或外网)病毒入侵:这是现在病毒进入最多路径.所以在和外部连接网关处进行病毒拦截是效率最高,花费资源最少方法。能够使进入内部系统病毒数量大为降低。但很显著,它只能阻挡进出内部系统病毒入侵。 l 网络邮件/群件系统:假如网络内采取了自己邮件/群件系统实施办公和信息自动化,那么一旦有某个用户感染了病毒,经过邮件方法该病毒将以几何级数在网络内快速传输,而且很轻易造成邮件系统负荷过大而瘫痪。所以在邮件系统上布署防病毒也显得尤为关键。 l 文件服务器:文件资源共享是网络提供基础功效。文件服务器大大提升了资源反复利用率,而且能对信息进行长久有效存放和保护。不过一旦服务器本身感染了病毒,就会对全部访问者组成威胁。所以文件服务器也需要设置防病毒保护。 l 最终用户:病毒最终入侵路径就是最终桌面用户。因为网络共享便利性,某个感染病毒桌面机可能随时会感染其它机器,或是被种上了黑客程序而向外传送机密文件。所以在网络内对全部用户机进行防毒控制也是很关键。 3.3.1.3 处理方案提议 方正熊猫防毒 我们提议采取业界和行业认可技术性能优异方正熊猫防病毒体系布署处理。方正熊猫产品,取得全部世界顶级权威认证。 该系统布署可满足系统安全以下关键需求: ² 简易安装和配置操作 Internet访问稳定性、安全性十分关键。防毒产品安装和设置应尽可能简易,充足考虑系统数据、文件安全可靠性,所选产品和现系统含有良好一致性和兼容性,和最低系统资源占用,确保不对现有系统运行产生不良影响。 ² 可管理性 企业日益重视其IT环境总体拥有成本(TCO)。在有限人力资源情况下,IT管理员工作是很复杂和繁忙,要管理好防病毒系统安装、升级、配置和工作汇报是一个很繁琐事,所以产品本身应带有集成、易用管理工具,管理员能够从一个集中管理控制台对整个防毒系统进行监控管理和维护。 ² 软件可升级性 可升级能力是衡量防病毒系统是否含有生命力关键指标。防毒软件特点是伴随各类新病毒出现而必需立即进行更新和升级,其中包含病毒定义、产品组件更新。 ² 系统可扩展性 在信息时代,企业信息系统全部处于飞速膨胀过程之中。防病毒系统也应适应企业发展趋势,本身含有较大可扩展能力。充足保护用户现有投资,适应计算机系统发展需要。 ² 降低系统总体成本 在让用户在取得优质防病毒服务同时,能够尽可能降低所需增加费用支出。 ² 强大病毒清除能力 假如选择防病毒软件病毒清除能力较弱,在病毒爆发情况下,管理员会为了根本清除网络中病毒而疲于奔命,即使采取病毒专用清除工具,这么在较长时间内网罗中病毒会一直存在。采取世界最优异清除病毒能力较强防毒产品,可确保计算机网络系统含有最好病毒、黑客软件防护能力。同时也降低了管理人员工作量和防病毒产品维护成本。 ² 优异产品性能 选择产品应含有对多个文件格式、多层压缩文件病毒检测。对包含多种宏病毒、变体病毒和黑客程序等已知病毒含有最好病毒检测率,对未知病毒亦有良好检测能力。在提升病毒检测力同时,对检测出病毒也有很高清除能力,依靠程序本身就可根本清除感染文件病毒,减轻管理人员对中毒事件介入,把更多精力放在构建完整病毒防护体系和管理工作上。 ² 新病毒快速响应 在全球范围内每七天产生大约只以上新病毒情况下,每七天病毒库更新使用户在病毒出现后和下次更新前,会存在感染病毒而防病毒软件根本无法识别风险。而天天两次病毒数据库更新,紧急情况下45分钟全球用户更新,确保在任何新病毒出现情况下经过快速高效防病毒更新机制,使全部用户得到最大程度防病毒保护。 所以对于整个网络而言,需要采取综合防护方法,构筑全方位安全保护系统,才能得到真正有效防病毒安全。 方正熊猫安全网关: 熊猫安全网关能够针对 HTTP、HTTPS、FTP、SMTP、POP3 等协议流量进行双向过滤扫描,来达成对企业内网用户和服务器保护,并预防内网已感染病毒用户端和服务器对外扩散病毒。在云 Internet 应用协议流量中通常 HTTP 流量所占比重最大,所以 HTTP 协议检测性能是网关防病毒关键性能指标。 为了实现防病毒安全网关系统超强应用防护功效, 自主开发了操作系统 SecOS。SecOS 支持多核、多引擎并行处理,且优化重写了 TCP 协议栈,含有模块化应用处理架构,能够依据 Internet 应用安全需要将多个功效集成到一起,为设备功效扩展判定了良好基础,而且能够实现多引擎并行处理。以下图所表示。 3.3.2 防黑客攻击 3.3.2.1 黑客攻击方法 黑客能够对网络进行攻击关键原因是网络系统缺点和漏洞。黑客常见攻击方法有: Ø 网络监听,网络监听关键是将网卡设置为混杂模式状态。常见监听工含有Sniffit、Windump ,防范监听措施之一是加密 Ø 端口扫描,利用常见扫描工具如SATAN、NSS、Strobe、Superscan和Ping命令、Tracert命令等人工方法对系统开放端口进行扫描 Ø 口令破解,通常口令破解方法是从存放很多常见口令数据库中,逐一地取出口令进行尝试;另一个做法是设法偷走系统口令文件,如E-mail欺骗,然后用口令破解工具破译这些经过加密口令 Ø IP欺骗,通常是用编写程序实现伪造某台主机IP地址,被伪造主机往往含有某种特权或被另外主机所信任 Ø 拒绝服务攻击简称DoS。这种攻击行动使网站服务器充斥大量要求回复信息,消耗网络带宽或系统资源,造成网络或系统不胜败荷以至瘫痪而停止提供正常网络服务 Ø 缓冲区溢出(又称堆栈溢出)攻击是最常见黑客技术之一。这关键是因为C语言不检验缓冲区边界。在一些情况下,假如用户输入数据长度超出应用程序给定缓冲区,就会覆盖其它数据区。就是通常说“堆栈溢出或缓冲溢出拒绝服务攻击” 3.3.2.2 处理方案提议 3.3.2.2.1 网络边界安全隔离 我们对XXXX企业电子商务平台网络划分为企业网和互联网之间边界和服务器区和局域网之间边界,利用网络隔离设备如防火墙或安全网关设备分别进行隔离保护,提供可控过滤网络通信,只许可授权通信。 配置策略提议: Ø 公网接口:配置ACL访问控制、ASPF (基于应用层报文过滤)、深度业务监控等多个功效。本策略仅许可从园区网内部主动提议TCP连接,即假如报文是内部网络用户提议TCP连接返回报文,则许可其经过防火墙进入内部网络,其它报文被严禁; Ø 园区内部经过NAT访问Internet:首先需要确定访问Internet流量,然后对这些流量地址进行NAT转换,其次要设置地址池,即申请到公网地址。本策略确保内部网络安全访问Internet; Ø Internet用户访问园区内部公共服务器:在园区出口配置NAT Server,将一个公网地址和内部服务器地址关联起来。Internet用户向公网地址提议连接,在防火墙公网接口上将该报文IP目标地转换为内部服务器地址,即能够抵达内部公共服务器访问目标。在公网接口上启用nat server,提供WWW/MAIL等服务; Ø 设备流量镜像配置:将防火墙内网接口上进出流量在交换机上镜像到接有流量监控软件PC内部端口上进行流量查看、统计和管理控制。本策略是为了有限带宽被合理利用,确保服务器能正常为外部用户提供服务 3.3.2.2.2 漏洞扫描系统 除利用防火墙控制对网络入侵外,还需要针对主机系统漏洞采取检验和发觉方法。现在常见方法是配置漏洞扫描设备。主机漏洞扫描能够主动发觉主机系统中存在系统缺点和可能安全漏洞,并提醒系统管理员对该缺点和漏洞进行修补或堵塞。 对于漏洞扫描结果,通常能够按扫描提醒信息和提议,属外购标准产品问题,应立即升级换代或安装补丁程序;属委托开发产品问题,应和开发商协商修改程序或安装补丁程序;属于系统配置出现问题,应提议系统管理员修改配置参数,或视情况关闭或卸载引发安全漏洞程序模块或功效模块。 漏洞扫描功效是帮助安全管理、掌握网络安全态势必需辅助手段,对使用这一工具安全管理员或系统管理员有较高技术素质要求。 考虑到漏洞扫描能检测出防火墙策略配置中问题,能和入侵检测形成很好互补关系:漏洞扫描和评定系统使系统管理员在事前掌握主动地位,在攻击事件发生前找出并关闭安全漏洞;而入侵检测系统则对系统进行监测以期在系统被破坏之前阻止攻击得逞。所以,漏洞扫描和入侵检测在安全保护方面不仅有共同安全目标,而且关系亲密。本方案提议漏洞扫描系统必需既能扫描路由器、交换机、防火墙等网络设备,也可扫描Windows、常见Unix和Linux操作系统,和应用系统主机、对外服务主机(WEB、E-MAIL)等。 3.3.2.2.3 入侵检测系统 入侵检测技术是一个利用入侵者留下痕迹,如试图登录失败统计等信息来有效地发觉来自外部或内部非法入侵技术。它以探测和控制为技术本质,起着主动防御作用,是网络安全中极其关键部分。 入侵检测功效是防火墙合理补充,帮助系统对付网络攻击,扩展了系统管理员安全管理能力(包含安全审计、监视、进攻识别和响应),提升了信息安全基础结构完整性。它从计算机网络系统中若干关键点搜集信息,并分析这些信息,查看网络中是否有违反安全策略行为和遭到攻击迹象。入侵检测被认为是防火墙以后第二道安全闸门,在不影响网络性能情况下能对网络进行监测,从而提供对整个网络系统实时保护。 经过入侵检测系统实施,可实现以下安全防护: (1)检测黑客入侵方法和手段 从网络中搜集到网络行为信息后,经过分析其中多种攻击特征,能够全方面快速地识别多种网络攻击,如:扫描探测攻击、口令猜测攻击、缓冲区溢出攻击、邮件炸弹攻击、拒绝服务攻击、浏览器攻击等,并对攻击行为采取对应防范方法。 (2)监控内部人员误操作、资源滥用和恶意行为 网络IDS统计网络行为属性、特征、起源和目标,并能在控制台监控视图上显示实时活动TCP连接和正在访问URL。网络IDS会对网络中不正常通信连接做出反应,从而确保全部网络通信正当性;任何不符合网络安全策略网络数据全部会被网络IDS探测到并报警。网络IDS能够依据用户需要定义多种需检测安全事件,比如对特定目标主机访问检测、对数据传输中包含特定内容检测。这么能够立即发觉违反安全要求误操作、资源滥用和恶意行为。网络IDS能够监控误操作、资源滥用和恶意行为有: l 对关键服务器过于频繁访问,致使系统效率下降; l 非授权用户对关键服务器数次登录请求; l 对关键文件拷贝、删除和移动; l 上网聊天、网络游戏和上下载大型文件; l 浏览非法网站和不健康网站; l 利用FTP、Telnet、Web、聊天、电子邮件等泄露商业、技术机密。 (3)检验系统漏洞及后门 网络IDS带有现在已知系统漏洞及后门具体信息,这些信息包含事件名称、事件描述、公布日期、更新日期、处理方案和受影响系统平台等。经过对网络会话连接方法、连接端口和连接中特定内容等特征分析,能够有效地发觉网络中利用系统漏洞所进行非法行为。网络IDS提供具体信息能够帮助系统管理员立即有效地修补系统存在漏洞。 (4)实时报警和响应 网络IDS在检测到入侵行为后,能够依据用户预先定义事件响应规则进行实时报警。为了便于系统管理员对网络进行安全管理,网络IDS提供了多个报警手段。报警信息能够经过发送系统消息(Pop-UpMessage)、电子邮件、手机短信息、寻呼等多个方法通知系统管理员;而且全部报警信息全部将统计到日志文件中,以备核查。 为了加强网络系统入侵防御能力,网络IDS还能够针对恶意攻击进行实时响应,响应手段有:中止TCP会话、伪造ICMP应答、依据黑名单断开、阻塞HTTP请求、模拟SYN/ACK和实施用户自定义程序等。 (5)加强网络安全管理 借助网络IDS系统,网络管理人员能够随时了解大家正在进行网络访问。这么,当有些人试图偷窥或盗取敏感数据时网络管理人员能够立即觉察。而且,能够同时监控内部和外部网络行为入侵检测系统能够使安全策略更臻于完善。借助于对网络内部误用模式监控,系统管理员能够立即觉察网络攻击及其它非法行为,并能够追溯这些非法行为来龙去脉。 3.3.2.3 Web防火墙设计方案 电子商务企业关键生产模块是经过网络进行,网站运行正常是否,直接关系到电子商务企业生产经营正常是否,甚至会直接影响到电子商务企业生存。 从安全角度考虑,需要针对现在泛滥SQL注入、跨站脚本、应用层DD.o.S等Web应用攻击,提供有效检测、防护,降低攻击影响,从而确保业务系统连续性和可用性。其次,还需要对投入成本进行考虑。“成本”不仅仅意味着购置安全产品/服务产生直接支出,还需要考虑是否影响组织正常业务、是否给维护人员带来较大管理开销。 最为理想情况,处理根本问题是对Web应用代码进行整改,严格遵照安全编码,确保网站安全。但通常,我们会发觉为此付出代价过大,对正常业务开展有很大影响。 Web应用防火墙(Web Application Firewall,)代表了一类新兴信息安全技术,用以处理诸如防火墙一类传统设备束手无策Web应用安全问题。和传统防火墙不一样, web应用防火墙工作在应用层,所以对Web应用防护含有先天技术优势。基于对Web应用业务和逻辑深刻了解, web应用防火墙对来自Web应用程序用户端各类请求进行内容检测和验证,确保其安全性和正当性,对非法请求给予实时阻断,从而对各类网站站点进行有效防护。 web应用防火墙系统特征 u 应用多维防护体系,有效应对SQL注入、跨站脚本及其变形攻击,提供细粒度应用层DD.o.S攻击防护 u 网页防篡改系统支持-Linux、Windows、BSD系统 u Web加速支持 u 实时检测网页篡改,降低网站安全风险 u 提供挂马主动诊疗功效,维护网站公信度 u 敏感信息扫描和过滤 u 透明安全检测,不用改变网络拓扑 u 提供多个负载均衡算法 u 支持虚拟主机布署,适合IDC环境 u 支持WebMail安全检测 u 攻击、特征库在线平滑升级 u 提供High Availability(HA),有效避免网络单点故障 网页篡改防护 针对现在猖獗网页篡改问题,方正web应用防火墙提供完整处理方案。 方正web应用防火墙产品优势: 1. 立体式Web防护网络。经过WAF、端点网页防篡改系统支持,提供完整Web安全处理方案。 2. 基于文件夹驱动级保护技术,事件触发机制,确保系统资源不被浪费。 不一样于部分文件轮询扫描式或外挂式页面防篡改软件,页面防篡改模块采取是和Web 服务器底层文件夹驱动级保护技术,和操作系统(支持windows /xp//, Linux/BSD系统)紧密结合。而且在Web 服务器对外发送网页时进行网页防篡改检测。这么做不仅完全杜绝了轮询扫描式页面防篡改软件扫描间隔中被篡改内容被用户访问可能,其所消耗内存和CPU 占用率也远远低于文件轮询扫描式或外挂式同类软件。采取网络串联方法对页面进行实时防护;支持对动态、静态网页检测和防护; 3. 采取文件级驱动保护技术后,用户每次访问每个受保护网页时,Web 服务器在发送之前全部进行完整性检验,确保网页真实性,能够根本杜绝篡改后网页被访问可能性,全方面和实时地保护网站全部网页文件。,提供完整网页防篡改处理方案。 4. WAF联动。网页防篡改和WAF联动,阻断Web威胁。 3.4 操作系统和数据库安全 操作系统是计算机和用户之间接口,是管理资源关键系统,是系统灵魂。但因为中国尚无可供办公和业务应用自主知识版权操作系统,所以大多数采取Unix、Windows系列操作系统。依据国家保密局技术要求,对于操作系统安全处理方案,应尽可能采取安全操作系统,或对其操作系统采取安全加固方法,如:使用正版软件,立即发觉漏洞并打补丁,利用监控和审计系统加强对操作系统可能引发安全问题给予监视、审计和告警。 另外,系统内应尽可能选择经国家相关主管部门同意使用安全数据库,或采取技术方法(如,安全中间件)对数据库在数据存放和访问机密性、完整性和可用性方面进行安全增强改造。 3.5 大规模网络安全运维管理系统方案设计 3.5.1 运维管理体系 3.5.2 实现方法 我们提议技术上采取大型企业安全运维管理系统为企业处理支撑关键业务网络、主机、应用系统运行监控和内部网络桌面PC安全管理,在设计上遵照国际IT服务管理标准--ITIL标准和IT安全管理标准――ISO17799标准。采取统一WEB管理门户,以WEB方法展现整个IT系统运行情况,包含桌面PC资产信息、安全信息,网络、服务器、数据库、应用系统故障和性能信息。经过WEB门户,对桌面PC、网络、服务器进行集中维护,统一设置安全策略。 3.5.3 桌面安全管理功效 具体来说,桌面安全管理采取集中式管理方法,提供了以下多个方面管理功效: ü 网络准入控制,预防非法电脑接入 Ø 支持基于802.1X网络准入控制; Ø 在非802.1X环境下,也能够实现接入控制; Ø 用户能够自行定义多个准入控制策略; Ø 预防有安全隐患电脑或非法电脑直接访问内部网络。 ü 设备自动发觉和资产管理 Ø 自动发觉网络上全部接入设备; Ø 可依据IP/MAC/主机名和资产配置对接入设备快速定位; Ø 自动发觉组织内全部PC机软硬件配置信息、PC机网络连接信息和运行状态信息,建立资产基线; Ø 支持配置变更自动发觉和报警; Ø 自动维护软硬件配置变更历史信息。 ü 桌面安全主动评定,发觉安全隐患 Ø 自动发觉存在安全隐患PC机,并提醒系统管理员和用户要采取填补方法; Ø 桌面电脑网络流量异常评定,立即发觉异常流量桌面PC; Ø 桌面电脑安全配置评定,立即发觉安全设置不完善桌面PC; Ø 可疑注册表项、可疑文件检验; Ø 灵活配置多种安全隐患条件; Ø 多个方法控制/限制存在安全隐患PC机接入内部网络。 ü 桌面安全加固,防患于未然 Ø 补丁漏洞自动修复,支持桌面PC操作系统补丁、MS应用软件补丁自动更新、自动升级; Ø 支持登录口令强度、Guest帐户、屏幕保护检测,加固主机安全性; Ø 严禁多种默认共享、严禁修改IP地址、严禁修改注册表; Ø 强制安装防病毒软件和更新病毒库; Ø 严禁运行非法进程等; ü 远程帮助和监控,不到现场、胜过现场 Ø 实时监控用户端画面; Ø 能够选择远程控制或只监视不控制,满足多种场所需要; Ø 能够同时监控多台用户端画面。 3.5.4 统一运行监控功效 在系统监控上,遵照IT服务管理标准ITIL标准。作为通用系统管理平台,实现网络、防火墙、IDS、主机、数据库、应用系统等运行情况监控。采取集中式管理方法,提供了以下多个方面运行监控功效: ü 网络系统监控 Ø 支持主流网络设备监控,包含思科、华为、3Com、北电、阿尔卡特等; Ø 监控网络设备CPU、内存; Ø 监控网络线路连通性、响应时间、流量、带宽利用率、广播包、错包率、丢包率等。 ü 主机系统监控 Ø 支持主流操作系统主机监控,包含Windows服务器、Linux服务器、AIX、Solaris、HP-UX; Ø 监控主机设备CPU、内存、磁盘、网络接口状态和流量、对外提供服务状态和响应时间、进程CPU和内存。 ü 数据库系统监控 Ø 支持主流数据库系统监控,包含SQL Server、DB2、Oracle、Sybase; Ø 监控数据库系统服务状态,数据库服务关键进程状态、CPU利用率和内存大小,数据库表空间利用率、日志空间利用率、并发连接数,指定SQL语句实施效率。 ü 应用系统监控 Ø 支持主流应用系统监控,包含WEBSphere、WEBlogic、IIS、WEB服务器、邮件服务器; Ø 监控这些应用系统关键进程CPU、内存,应用系统响应时间。 ü 可自定义监控画面 Ø 管理员能够依据实际系统和管理理念,自己定义和组织监控画面,包含监控画面之间层次结构、监控画面内容、监控画面访问权限。 ü 统一日志监控 Ø 集中采集全部网络设备、主机设备系统日志,并将管理员需要关心日志信息经过告警事件方法立即通知管理员。 ü 内置上百种监控参数模板 Ø 为了方便管理员设置要监控参数,LeagViewTM缺省带了上百种监控参数配置模板,管理员只要选择要监控哪个设备哪个参数。 ü 智能化故障处理 Ø 能够为每类故障事件定义处理步骤,LeagViewTM依据这些步骤自动处理故障,包含何时以什么方法将故障通知给哪些相关人员。 另外,支持信息资产安全分级管理,多种安全管理策略能够根据:部门、IP网段、IP范围、设备组、操作系统类型、操作系统语言等条件定义安全管理策略应用范围。 4 第四章收益 v 风险(需求)、成本(投入)及效果(收益)相平衡标准 v 经过云信息安全建设工作,可促进业务发展; v 综合性、整体性、一致性标准; v 可扩展、可发展性标准,所选产品含有可扩展性,以降低用户后期投资; v 对服务器进行安全防护,以保护数据; v 过滤来自过滤来自互联网病毒、木马程序、黑客软件等。 v 可保障移动办公终端到内网传输安全;以预防被非法监听。 v 经过对网络连接情况和异常监视,了解网络系统情况,假如系统出现异常能够立即发觉问题。- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 电子商务 安全 解决 专项 方案
咨信网温馨提示:
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,个别因单元格分列造成显示页码不一将协商解决,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【快乐****生活】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【快乐****生活】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,个别因单元格分列造成显示页码不一将协商解决,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【快乐****生活】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【快乐****生活】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。
关于本文