企业WEB应用安全现状及防护.pdf

企业WEB应用安全现状及防护.pdf

ID:52343871

大小:315.71 KB

页数:4页

时间:2020-03-26

企业WEB应用安全现状及防护.pdf_第1页
企业WEB应用安全现状及防护.pdf_第2页
企业WEB应用安全现状及防护.pdf_第3页
企业WEB应用安全现状及防护.pdf_第4页
资源描述:

《企业WEB应用安全现状及防护.pdf》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、专论与综述齐QIL鲁U石P油ET化RO工CH,2EM0I1C1A,L39T(E1C)H:N8OlLO一G8Y4企业WEB应用安全现状及防护李明鲁(中国石化齐鲁分公司信息技术部,山东淄博,255400)摘要企业的WEB应用系统存在大量安全隐患,为保障基于WEB应用业务的可用性、持续性,需要在系统规划、实施、运行等各个环节采取相应的安全防护措施,建立多层次、有针对性的安全防护体系。关键词WEB应用安全扫描漏洞访问控制中图分类号:T~93.08文献标识码:C文章编号:1009—9859(2011)Ol一0081一o4企业信息化建设发展到如今,OA、ERP、财务控制的功能;通过状态防火

2、墙保证内部网络不会系统、企业门户等信息化应用,都是基于WEB和被外部网络非法接入。所有的处理都在网络层,数据库系统构架的,现已广泛应用于生产、经营和而应用层攻击的特征在网络层次上无法检测出管理的各个领域,WEB应用已成为企业主流的业来。如果说传统的“大而全”安全防护产品能抵务系统载体。但随之引发的WEB应用安全问题御大多数由工具产生的攻击行为,那么对于应用也Et趋严重,近两年关于网络钓鱼、SQL注人和跨层有针对性的攻击行为则无计可施。站脚本等带来的攻击事件频发,造成应用中断、网企业内部的各种WEB应用,从设计、实施和络瘫痪、数据丢失等严重后果,特别是一些恶意人运维等方面都存在大

3、量的安全问题。其中最为突员进行的数据篡改以及恶意挂马等行为,严重危出的是WEB应用系统规划缺乏统一性,不同的害信息化应用的安全。应用往往是不同的人员来开发,由于没有统一的目前75%的WEB安全问题转移到了应用脚本安全规范,一些单位由于应用漏洞造成的主层,对WEB应用的攻击也逐渐由传统的系统漏页篡改、应用中断的现象已经显现,这不仅影响了洞攻击变为针对应用自身弱点的攻击,而原有的企业的正常生产经营,甚至带来不良的社会影响。传统安全设备已经不能满足企业对此类攻击的防中国石化集团公司的局域网十分庞大,终端御。WEB应用系统安全性越来越引起人们的高数目众多,各单位的广播域之间没有明细的访

4、问度关注,这就要求IrI'部门在推进WEB应用技术控制策略。如中国石化齐鲁分公司的局域网就是积极发展的同时,要为其提供强有力的安全保障。集团广域网中的一个IP子网,可以说其内部很多WEB应用是开放在集团广域网几十万终端之下1企业内部WEB应用安全现状的。来自系统内部人员的攻击是很难防范的,网中国石化集团公司各单位近年来通过部署各上流传的WEB漏洞扫描和攻击工具让攻击者的种安全设备,构建起企业信息系统安全体系,但多门槛降低,使很多攻击带有盲目和随机性。内部限于网络边界、骨干路由和数据中心等位置。很工作人员本身在某个系统上有着一定的权限,并多企业认为,在网络中部署多层的防火墙、入侵

5、检且相对熟悉应用系统结构,一次试探性的攻击演测系统([DS)、入侵防御系统(IPS)等设备,可保练都可能造成应用瘫痪的影响,而石化企业大多障网络的安全性,能全面立体的防护WEB应用。还没建立有针对性的防范和管理制度。其实不然,根本的原因在于传统的网络安全设备,收稿日期:201l—O1—06;修回日期:2011—02—14。对于应用层的攻击防范作用十分有限。目前的大作者简介:李明鲁,1994年毕业于山东科技大学计算机应用多防火墙都是工作在网络层,通过对网络层的数专业,现在中国石化齐鲁分公司信息技术部从事企业网络管据过滤(基于TCP/IP报文头部的ACL)实现访问理和信息安全工作。

6、电话:0533—7588172。齐鲁石油化工·82·QILUPETROCHEMICALTECHNOLOGY2011年第39卷2企业WEll应用安全的评估最必要和便捷的手段。目前有很多WEB应用扫针对WEB应用安全漏洞的攻击目前已成为描工具,如Appscan、WEBRavor等,其主要功能就主要的攻击方式。利用企业网站操作系统的漏洞是对WEB网站进行智能检索,自动收集安全弱和WEB服务程序的SQL注入漏洞等,黑客能够点信息和相关数据证据,分析网站架构及脚本语得到WEB服务器的控制权限,从而轻易地篡改言,以此来确定WEB网站是否已正确地设置各网页内容或窃取重要数据,甚至在网页中植入

7、恶种参数。根据扫描结果可以自定义检测的规则,意代码,而石化企业中众多的WEB业务应用,以提升检测的速度和准确度。如:f1P、OA甚至财务自有系统,都有可能会变(3)风险识别与分析:针对扫描结果,反复跟成网站访问者的陷阱。踪和调试,定位安全风险的来源并对有共性的问有效防范石化企业内WEB安全事件发生的题进行分类。首要任务是对WEB应用进行安全评估。即对(4)渗透测试:渗透测试过程中尽可能的完WEB应用进行全面、综合的风险评估,并在此基整模拟现实环境的攻击手段,对目标WEB应用础上实施有针对性的

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。