返回
教育行业web应用安全解决实施计划方案

教育行业web应用安全解决实施计划方案

ID:28354005

大小:1.42 MB

页数:25页

时间:2018-12-09

教育行业web应用安全解决实施计划方案_第1页
教育行业web应用安全解决实施计划方案_第2页
教育行业web应用安全解决实施计划方案_第3页
教育行业web应用安全解决实施计划方案_第4页
教育行业web应用安全解决实施计划方案_第5页
资源描述:

《教育行业web应用安全解决实施计划方案》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、.XX大学网站及WEB应用系统安全解决方案上海天泰网络技术有限公司2013年03月-..目录一、教育行业WEB应用安全概述5二、教育行业网站现状分析52.1.WEB系统容易受到应用攻击威胁52.2.WEB系统缺乏详尽的审计62.3.WEB系统缺乏有效的访问控制机制62.4.WEB安全事件6三、解决方案7第四章天泰WEB安全防护系统94.1安全防护功能104.1.1策略的覆盖完整度104.1.2策略适应性114.1.3学习引擎与白名单模式、主动防御时代的到来114.1.4基于状态的分析114.1.5与网络层联动的防御技术124.2日志

2、审计与管理124.2.1安全日志124.2.2访问日志134.3性能优化方案134.3.1站点集群技术144.3.2负载均衡144.3.3WEB加速154.4访问控制与SSL加速154.4.1时域、地域锁定服务154.4.2SSL认证服务164.4.3URL认证技术17第五章产品的选型与部署17-..5.1安全产品的设计与选型175.1.1产品设计目标175.1.2产品选型原则175.1.3产品选型参考185.2安全产品的部署与实施215.2.1产品部署分析215.2.2产品部署方式22第六章产品售后服务体系236.1、国内范围的支

3、持236.2、Internet技术支持236.3、电话热线支持236.4、传真技术支持236.5、远程登录支持236.6、定期提供安全通告236.7、保持经常性的联系246.8、响应时间246.9、产品保修24-..版权信息©版权所有2011,上海天泰网络技术有限公司本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属上海天泰网络技术有限公司所有,受国家有关产权及版权法保护。任何个人、机构未经上海天泰网络技术有限公司的书面授权许可,不得以任何方式复制或引用本文档的任何片段。商标信息天泰、TiT

4、an、TiTansec、T2S2、WAF-T3等标识及其组合是上海天泰网络技术有限公司拥有的商标,受商标法和有关国际公约的保护。第三方信息本文档中所涉及到的产品名称和商标,属于各自公司或组织所有。-..一、教育行业WEB应用安全概述教育行业立足于教育信息、资源的有效开发和权威整合,向社会大众提供有关教育政策法规,权威数据查询,招生考试动态,职业技能培训,就业招聘,出国留学,教育大典,教育招标,教育博客等内容。随着教育行业越来越多的应用系统以WEB的方式被部署,也给恶意用户或黑客提供了攻击途径,这些系统的敏感数据被黑客盗窃和篡改的潜在

5、风险也越来越高。回顾当今成功的系统攻击,很多都是利用了WEB应用漏洞。WEB应用的安全防护措施依靠传统的网络防火墙、IPS、IDS等对其进行安全防护并不能有效的保证WEB系统的安全,由于传统的网络安全设备只能解决WEB应用安全的一个方面,而WEB应用系统的安全保障需要一个全面的安全防护和性能保障措施才能使之安全、高效、持续地对外提供服务。Web应用防火墙(WAF)代表了一种新的信息安全技术,WEB应用防火墙位于Web客户端和Web服务器之间,分析应用程序层的通信,从而发现违反预先定义好的安全策略的行为。用于保护Web站点(或者说We

6、b应用程序),使其在受攻击的情况下表现出更强的抵抗力。在抵御Web攻击方面,WAF提供了防火墙和IDS、IPS等常规信息安全产品所不具备的能力。二、教育行业网站现状分析2.1.WEB系统容易受到应用攻击威胁-..WEB技术与应用已经深入到教育行业的各个层面,WEB服务作为教育行业的信息门户和业务平台,以其方便性、易扩展性和低成本快速发展;而WEB系统易受攻击等问题影响了WEB应用的高速发展。大量WEB应用系统被黑客入侵和篡改,甚至被植入木马攻击程序,攻击者利用WEB服务程序的漏洞(如SQL注入漏洞、跨站脚本漏洞等),对WEB系统进行

7、攻击,轻则篡改网页内容,重则窃取机密数据,造成经济损失或者恶劣影响。2.1.WEB系统缺乏详尽的审计日志分析与管理模块作为安全产品与安全管理人员交互最为重要的接口,其日志审计贮存的形式、内容和可提供的建议对安全管理员保持应用系统长期安全运行起到重要作用。日志不仅为管理员提供威胁管理的平台,同时也是安全取证和策略调整的依据。因此要求日志记录的尽可能详细和精确,并可根据审计的要求对特定数据进行筛选和审计。但目前网站缺乏详细的安全审计,无法有效的掌握用户的访问情况。2.2.WEB系统缺乏有效的访问控制机制由于教育行业网站众多,多数院校目前

8、没有一个有效的访问控制机制,如WEB站点的管理后台通常直接暴露在外网,仅依赖于口令强度和简易的验证码进行访问控制。这使得黑客更容易找到网站缺陷,对网站安全是不利的,急需要应用系统需要对访问者身份进行识别和授权,从而保障数据的机密性。2

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。