返回
运营商门户网站安全解决方案

运营商门户网站安全解决方案

ID:33860301

大小:1.84 MB

页数:8页

时间:2019-03-01

运营商门户网站安全解决方案_第1页
运营商门户网站安全解决方案_第2页
运营商门户网站安全解决方案_第3页
运营商门户网站安全解决方案_第4页
运营商门户网站安全解决方案_第5页
资源描述:

《运营商门户网站安全解决方案》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、网络与信息安全解决方案运营商门户网站安全解决方案中联绿盟信息技术(北京)有限公司田民1.概述近年来,运营商门户网站所面临的Web安全形势越来越严峻,安全威胁突出地表现出来,极大地困扰着各省公司门户网站的管理者,给我国运营商的信息网络和核心业务造成了严重的破坏。从企业自身层面来看,2009年各大运营商都在主推移动互联网业务,其中很多活动是通过网站发布的,如通过网上营业厅发放3G号码。事实上,在运营商3G号码的发放过程中,就发生过网站被黑客DDoS攻击的安全事件。其他诸如网上营业厅遭到暴力破解的事件更是屡见不鲜。由于运营商的门户每天都有大量的用户访问,一旦网页

2、内容被恶意篡改,就有可能造成非常严重的政治影响。因此,保证运营商门户网站的安全正常工作和运行,首先是关系到企业形象和服务质量的问题,在某种情况下,也是一个至关重要的政治问题。2.运营商门户网站现状(1)门户网站分类运营商的门户网站系统可以分为运营商门户网站、网上营业厅网站、数据/增值业务系统门户网站、运维支撑系统门户网站、企业信息门户(EIP)5大类。上述5类门户网站中,运营商门户、网上营业厅和数据/增值业务门户网站面向广大用户提供基于公众互联网的业务服务,相比之下,运维支撑系统门户网站和企业信息门户主要面对企业内部的员工或合作伙伴。前3类门户网站以提供公

3、众服务为主要目的,后两类门户以面向内部员工接入为主要目的。在本方案中,主要关注面向公众服务的前3类门户网站,提出相应的安全建设思路。(2)门户网站主要威胁从门户网站所面临的安全威胁来看,严格地讲,从物理层到网络层,再到系统层和应用层,每个层面都存在着内在脆弱性和外在的威胁。根据国外相关研究部门统计,2009中国通信业成功解决方案评选获奖方案对于一个网站而言,近60%的漏洞是应用层面的漏洞,同时,这一比例每年持上升的趋势。因此,对于门户网站而言,Web应用的安全威胁逐渐成为防护的重心所在。表1列举了常见的Web应用攻击和相应的风险级别。表1主要的Web

4、应用攻击威胁描述风险级别网页篡改的攻击手段是多种多样的,黑客普遍采用SQL注入、跨站脚本或网页网页篡改高挂马的方式入侵网站,并对网站的网页进行篡改对于黑客而言,信息窃取和网页篡改的信息窃取很多攻击手段是相似的。采取的手段比高如SQL注入、网页挂马等黑客往往利用网站系统的种种漏洞进行非法入侵非法入侵。其中,暴力破解、目录遍历高以及缓冲区溢出是主要的手段DDoS攻击具有易于发动、难于防范、破DDoS攻击坏力强、危害面广、追查困难等特点,高是威胁运营商网站可用性的首要行为从表1我们可以看到,网页篡改、信息窃取、非法入侵和拒绝服务是门户网站面临的最主要最严重的安全

5、威胁,也是保障网站安全正常运行最重要的防范对象。3.威胁分析(1)网站角色及其安全需求分析对于一个门户网站来说,与其相关的角色主要有4类,分别是监管部门、网站服务提供者、基础网络提供者和网站访问者。不同的用户对门户网站的安全需求和目标是不同的。监管部门要求网站服务提供者提供的网站是可用的,内容是真实的、完整的以及合法的,同时要求网站访问者提交的信息也是真实和合法的。在此基础上,监管部门会对网站服务提供者和网站访问者进行监控和检查,追查网站发布和访问中出现的违反国家法律法规的行为,网站服务提供者要求其运营的网站系统随时提供给网站访问者正常、完整以及安全的网站

6、服务,发现网网络与信息安全解决方案站入侵/非法行为并进行有效防护/阻止,确保网站安全高效地运行;基础网络提供者要求其基础网络满足网站服务者与网站访问者正常通信的需求,快速地完成数据路由和交换;最后,网站访问者要求存储在网站服务提供者网站系统中的数据保密性得到保证。(2)攻击价值的衡量站在安全角度上,门户网站对于不同的角色有着不同的价值体现,或者说,体现了不同的安全价值。对于一个网站的攻击者或者入侵者而言,作为特殊的门户网站访问者,存在着不同于其他角色的安全价值。网站入侵者的目的就是对网站系统以及其他角色安全价值的破坏,破坏的力度通过攻击价值来衡量,而

7、攻击价值则通过攻击路径加权体现。攻击路径越多,系统面临的威胁越高,对于入侵者而言,攻击的价值也就越大。不管攻击者的目标是运营商网站的本身,还是间接的其他正常访问者,其最终的目的是攻击价值最大化,即最大程度上破坏其他角色的安全价值。(3)运营商价值的破坏在几类角色中,运营商(包括网站服务提供者和基础网络提供者)是最直接的受害者。攻击者对于运营商价值的破坏可以体现在名誉受损、公信力下降、个人信息窃取、可用性破坏、控制权丧失等5个方面。总的来说,黑客对于运营商网站的入侵和恶意攻击可能导致网站服务质量的下降,用户个人信息的丢失,甚至成为非法信息的载体,由此带来的后

8、果包括用户资源流失、公众形象和公信力受损等。4.门户网站Web安全

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。