网站系统安全系统解决方案设计

网站系统安全系统解决方案设计

ID:34829718

大小:578.81 KB

页数:11页

时间:2019-03-12

网站系统安全系统解决方案设计_第1页
网站系统安全系统解决方案设计_第2页
网站系统安全系统解决方案设计_第3页
网站系统安全系统解决方案设计_第4页
网站系统安全系统解决方案设计_第5页
资源描述:

《网站系统安全系统解决方案设计》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、实用标准营销管理平台门户WEB系统安全解决方案二〇二一年九月文档实用标准1建设背景1.1背景与现状随着信息化的日益深刻,信息网络技术的应用日益普及,网络安全问题已经会成为影响网络效能的重要问题。如何使营销管理平台网站不受黑客和病毒的入侵,如何保障营销管理平台网站核心数据传输的安全性、可靠性,也是建设平台过程中所必须考虑的重要事情之一。nB2B电子商务网站–充分以客户为中心建制系统–支持从SAP自动同步商品、价格、库存信息–以类似B2C等传统电子商务网站形式展现商品,支持搜索引擎、热销排行、个性推荐–支持专卖店B2B客户直接在网站下单–支持专卖店B2B客

2、户直接在网站在线支付–实现电子商务网站和SAP产品信息、订单信息、客户信息同步nB2B订单管理–支持订单前置处理(订单审核、货源管理、价格管理、信用管理)–支持订单导入SAP–支持订单的状态和SAP状态(拣配、出库)同步–支持订单收货确认、财务对账页面被篡改门户网站一旦被篡改(加入一些敏感的显性内容),常常会引发较大的影响,严重时甚至会造成政治事件。另外一种篡改方式是网页挂马:网页内容表面上没有任何异常,却可能被偷偷的挂上了木马程序。网页挂马虽然未必会给网站带来直接损害,但却会给浏览网站的用户带来损失。在线业务被攻击文档实用标准对企业和个人用户提供在线

3、服务,已经成为门户网站的重要功能。这些服务一旦受到拒绝服务攻击而瘫痪、终止,对业务的正常运转必然造成极大的影响,可能会造成经济损失,严重时甚至会影响社会稳定。机密数据外泄在线业务系统中,总是需要保存一些企业、公众的相关资料,这些资料往往涉及到企业秘密和个人隐私,一旦泄露,会造成企业或个人的利益受损,可能会给单位带来严重的法律纠纷。1.1安全体系缺少应用防护综合针对现有长虹网站安全数据维护经验对营销管理平台网站的网络及应用环境进行了安全分析,分析表明现有的网络架构具备较好的网络安全防御能力和操作系统安全管理能力,而在WEB应用层面缺少相关的安全防护措施和

4、长效机制。图:网络环境拓扑1.2安全分析通过杭州安恒科技工程师针在过去一年对长虹信息化网站服务器集群所进行的多次远程安全评估结果,暴露了诸多应用层安全问题。诸如长虹电子商城业务逻辑漏洞导致入侵者修改商品价格1元购机等漏洞。示例如下:文档实用标准Ø漏洞展现:正常购买商品下订单的同时进行WEB数据抓包获取金额数值,进行恶意篡改订单支付金额。图正常订单支付金额为4000元图进行抓包操作获取金额值图成功修改订单支付金额Ø漏洞危害:文档实用标准攻击者利用该业务逻辑漏洞,通过阻碍正常用户的功能使用,或通过修改订单支付金额进行恶意拍买,将会客户自身和网上商城的运营造

5、成严重经济损失或不良影响。1.1应用层防护的必然性信息安全正如木桶理论所描术的那样,WEB应用系统的安全程序并不取决于我们在某一个方面安全投入的巨大,而在于我们是否针对脆弱的防护御点采取了有效的措施。WEB应用系统的防护需要采用专业的针对应用层的防护措施。针对WEB服务系统我们需要进行有效的防止网页被攻击或恶意篡改,杜绝因攻击而带来的恶性事件发生。针对于更为重要的电力数据我们更需要提高安全防护的水平,确保应用系统的数据不被恶意修改,敏感的数据不被非法访问或泄露。具体的需求主要表现为以下几个方面:1.1.1阻断应用攻击攻击防护方面要求专业的WEB应用防护

6、设备进行防护,能通过对输入内容的过滤及请求过滤实现对WEB站点的保护。能有效防止跨站脚本攻击、SQL注入等常见攻击。同时还需要有强大的可定制功能,针对WEB应用系统站点的特性进行定制安全策略,从而最大程序防护WEB站点。1.1.2屏蔽安全隐患为了防止服务端敏感信息泄露需要通过有效的技术手段对现有网站的敏感信息进行屏蔽,如备份文件的下载、敏感数据库下载,管理后台的外网尝试等,另外要求能屏蔽编写程序过程中遗留下的程序注释,对服务出错信息进行有效屏蔽。文档实用标准1.1.1防止网页篡改网页防篡改方面需要一种对服务器性能影响最低,但有实际有效的防护机制。能实时

7、监测网站服务器的相关信息是否给非法更改,一旦发现被改则第一时间通知管理员,并形成详细的日志信息。但对外仍显示篡改前的正常页面,用户可正常访问网站。事后可对原始文件及篡改后的文件进行本地下载比较,查看篡改记录,恢复被篡改的页面。文档实用标准1WEB系统防护解决方案1.1WEB安全需求对Web应用的安全防护主要包括如下需求:部署简便,管理集中,操作简洁,性能影响甚微。包括:n对现有网络拓扑结构无影响。n方便管理,无需进行复杂的配置。n对现有WEB服务器的访问速率不能造成太大的影响。n对正常业务访问不能进行错误的拦截阻断。在需要保护的WEB门户服务器前端透明

8、直连部署一台WEB应用防火墙,对网站实行7X24小时的实时监控,保护WEB站点数据不被攻击,避

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。