- 1、本文档共19页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
目录一. 项目背景及必要性31.1项目背景3二. 中国铁建Web应用安全风险分析62.1应用层安全风险分析62.1.1身份认证漏洞62.1.2 www服务漏洞62.1.3 Web网站应用漏洞62.2管理层安全风险分析7三. 中国铁建Web网站安全防护方案83.1产品介绍93.1.1 WebGuard网页防篡改保护系统解决方案93.1.2 WebGuard-WAF综合应用安全网关123.2系统部署183.2.1详细部署183.2.2部署后的效果19四. 系统报价20项目背景及必要性项目背景近年来,信息技术的飞速发展使人们获取、交流和处理信息的手段发生了巨大的变化,随着信息时代的到来,信息化发展也为移动工作带来了新的挑战和机遇。近两年来,黑客攻击、网络病毒等等已经屡见不鲜,而且一次比一次破坏力大,对网络安全造成的威胁也越来越大,一旦网络存在安全隐患,遭受重大损失在所难免。在企业网中,网络管理者对于网络安全普遍缺乏重视,但是随着网络环境的恶化,以及一次次付出惨重代价的教训,企事业单位网的管理者已经将安全因素看作网络建设、改造的关键环节。国内相关行业网站的安全问题有其历史原因:在旧网络时期,一方面因为意识与资金方面的原因,以及对技术的偏好和运营意识的不足,普遍都存在“重技术、轻安全、轻管理”的倾向,政府网络建设者在安全方面往往没有太多的关注,常常只是在内部网与互联网之间放一个防火墙就万事大吉,有些政府甚至什么也不放,直接面对互联网,这就给病毒、黑客提供了充分施展身手的空间。而病毒泛滥、黑客攻击、信息丢失、服务被拒绝等等,这些安全隐患发生任何一次对整个网络都将是致命性的。随着网络规模的急剧膨胀,网络用户的快速增长,网站在各行业的信息化建设中已经在扮演至关重要的角色,作为数字化信息的最重要传输载体,如何保证企业、金融证券、政府及事业单位网络能正常的运行不受各种网络黑客的侵害就成为各地政府不可回避的一个紧迫问题;因此,解决网络安全问题刻不容缓。当前企业、金融证券和政府业务系统大都居于B/S架构,使用Web应用来运行核心业务,然而,Web应用安全威胁已成为当前信息安全的主要威胁,从以下数据可以看出,80%以上的信息安全威胁来自于Web应用:图1.1 信息安全事件分布图1.2 Web漏洞发展趋势图1.3 必威体育精装版十大安全威胁从以上数据可以看出,随着Web应用的极速发展及大量使用,Web应用漏洞在急剧增加,Web安全威胁已成为当前信息安全的主要威胁。因此,在平台业务建设的同时,必须加强Web应用安全建设,通过全面有效的Web安全防护,保障业务系统正常稳定运行。基于以上数据信息可以看出,中国铁建的对外网站直接暴露在互联网,存在极大的安全威胁,需要对Web网站做必要的安全防护。中国铁建Web应用安全风险分析应用层安全风险分析Web应用系统主要存在以下安全风险:用户提交的业务信息被监听或修改;用户对成功提交的业务进行事后抵赖;由于移动网络对外提供网上WWW服务,因此存在外网非法用户对内部网和服务器的攻击。身份认证漏洞服务系统登录和主机登录使用的是静态口令,口令在一定时间内是不变的,且在数据库中有存储记录,可重复使用。这样非法用户通过网络窃听,非法数据库访问,穷举攻击,重放攻击等手段很容易得到这种静态口令,然后,利用口令,可对资源非法访问和越权操作。对移动系统的网上移动服务平台,必须加强用户的身份认证,防止对移动网络资源的非授权访问以及越权操作。www服务漏洞Web Server目前正在成为移动系统对外宣传、开展业务的基地,但公开服务器本身不能保证没有漏洞,不法分子可能利用服务的漏洞修改页面甚至破坏服务器。系统中的BUG,使得黑客可以远程对公开服务器发出指令,从而导致对系统进行修改和损坏,包括无限制地向服务器发出大量指令,以至于服务器“拒绝服务”,最终引起整个系统的崩溃。这就要求我们必须提高服务器的抗破坏能力,防止拒绝服务(DOS)或分布式拒绝服务(DDOS)之类的恶意攻击,提高服务器备份与恢复、防篡改与自动修复能力。Web网站应用漏洞Web网站用于对外提供服务,作为对外展示的窗口,部分网站与用户还有相当部分的数据交互,Web网站应用在开发过程中,难免会出现一些漏洞,如:SQL注入漏洞、跨站漏洞、敏感信息泄露漏洞等,这些漏洞很容易被黑客检测到并加以利用,达到篡改数据,截取数据信息等目的,黑客还可以利用漏洞提升权限,达到控制计算机,损坏数据信息等操作,对用户数据信息造成极大威胁。管理层安全风险分析?再安全的网络设备离不开人的管理,再好的安全策略最终要靠人来实现,因此管理是整个网络安全中最为重要的一环,尤其是对于一个比较庞大和复杂的网络,更是如此。因此我们有必要认真的分析管理所带来的安全风险,并采取相应的安全措施。?移动系统应按照国家关于计算机和网络的一些安全管
文档评论(0)