欢迎来到天天文库
浏览记录
ID:20945526
大小:900.50 KB
页数:30页
时间:2018-10-18
《网站系统安全防护体系建设方案设计》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、网站系统安全防护体系建设方案第29页共30页目录一、需求说明2二、网页防篡改解决方案42.1技术原理42.2部署结构52.3系统组成62.4集群与允余部署82.5方案特点92.5.1篡改检测和恢复92.5.2自动发布和同步9三、WEB应用防护解决方案113.1当前安全风险分析113.2防护计划123.2.1开发流程中加入安全性验证项目123.2.2对网站程序的源代码进行弱点检测133.2.3导入网页应用程序漏洞列表作为审计项目133.2.4部署Web应用防火墙进行防御143.3WEB应用防火墙功能153.3.1集中管控功能153.3.2防护功能153.4预期效益16四、
2、内容分发网络解决方案184.1内容分发网络简介184.2CDN服务功能184.3CDN服务特点20五、负载均衡解决方案215.2广域负载均衡235.3关键功能和特点24六、应急响应服务体系266.1事件分类与分级266.1.1事件分类266.1.2事件分级266.1.3预警服务事件严重等级276.2应急响应服务体系28第29页共30页一、需求说明针对Web应用防护安全需能实现以下功能:一、针对网站主页恶意篡改的监控,防护和快速恢复:(1)支持多种保护模式,防止静态和动态网页内容被非法篡改。(2)能够防止主页防护功能被恶意攻击者非法终止。(3)具备核心内嵌技术,能实现高效
3、快速实现大规模的网页攻击防护。(4)支持实时检测和快速恢复功能。(5)支持多服务器、多站点的主页防护(6)支持对常见的多种网页文件类型的保护。(7)支持网页快照功能,根据需要即时提供快照页面,以满足客户端的访问。二、对Web网站进行多层次检测分析与应用防护:(1)有效保护网站静动态网页以及后台DB信息,实现多方位攻击防护。(2)灵活的策略设置,能够针对各个WEB应用的特点,设置个性化的防护策略。(3)不反射保护网站(或WEB应用)程序代码防止受到各种已知攻击(如SQL注入,跨站脚本,钓鱼攻击等)和未知攻击;并能限制未授权用户透过网站访问数据中心,防止入侵者的通信流程。(
4、4)能够根据操作系统、应用平台及评估渗透工具等特征,形成完备的特征库。综合并发连接、并发请求及流量限制,阻断攻击探测或扫描;同时能够对访问数据流进行协议检查,防止对WEB应用的恶意信息获取和特征收集。三、行为审计:(1)能够记录和有效统计用户对WEB应用资源的访问,包括页面点击率、客户对端地址、客户端类型、访问流量、访问时间及搜索引擎关键字信息;并实现有效的用户行为访问统计分析,如基于区域的访问统计,便于识别WEB应用的访问群体是否符合预期,为应用优化提供依据。(2)对攻击来源和攻击行为支持分类记录探测,数据处理结果形成详细的统计及排序,支持依据威胁的级别生成防护策略。
5、(3)提供多种审计报表,为系统的安全审计提供详细的数据并作为可靠的决策依据。第29页共30页四、支持多种WEB应用加速技术,减轻服务器负载:(1)支持URL级别的流量管理和负载均衡,提供对页面访问的并发连接与速率进行控制,提高应用系统在资源紧张时的可用性。(2)具备访问过载保护能力,缓解WEB服务因访问量过大而造成的拒绝服务攻击,提高系统承受应用层DOS攻击的服务能力。(3)及时发现WEB应用状态异常,迅速反馈应用服务活动状态,并选择最优秀服务连接。(4)支持轮询、最小负载、请求URL及加权等多种均衡策略,满足各种应用环境下的均衡要求。(5)网站主页和WEB应用防护系统
6、,需能分别以独立方式及互备方式部署在不同机房。第29页共30页二、网页防篡改解决方案Web网站和Web应用系统除了采用常见的网络安全设备进行防护外,需要更有效的网页防篡改系统来专门对页面内容进行保护,防止来自外部或内部的非授权人员对页面和内容进行篡改和非法添加。2.1技术原理防篡改体系除了Web服务器外,另外需部署‘发布服务器’:‐发布服务器:位于内网中,本身处在相对安全的环境中,其上部署发布服务器软件。所有网页的合法变更(包括增加、修改、删除、重命名)都在发布服务器上进行。发布服务器上具有与Web服务器上的网页文件完全相同的目录结构,发布服务器上的任何文件/目录的变化
7、都会自动和立即地反映到Web服务器的相应位置上,文件/目录变更的方法可以是任意方式的(例如:FTP、SFTP、RCP、NFS、文件共享等)。网页变更后,“发布服务器软件”将其同步到Web服务器上。‐Web服务器:位于Internet/DMZ中,本身处在不安全的环境中,其上部署Web服务器端防篡改模块及内容同步软件模块。防篡改系统的运行原理:n防篡改第29页共30页对所有网页元素(包括静态页面、动态脚本、图像文件、多媒体文件以及所有能以URL形式访问的实体)在发布时进行128位密钥的HMAC-MD5(RFC2104)计算,生成唯一的、不可逆
此文档下载收益归作者所有