Web应用安全解决方案.doc

Web应用安全解决方案.doc

ID:52305777

大小:242.50 KB

页数:16页

时间:2020-03-26

Web应用安全解决方案.doc_第1页
Web应用安全解决方案.doc_第2页
Web应用安全解决方案.doc_第3页
Web应用安全解决方案.doc_第4页
Web应用安全解决方案.doc_第5页
资源描述:

《Web应用安全解决方案.doc》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、××Web应用安全解决方案一、应用安全需求1.针对Web的攻击现代的信息系统,无论是建立对外的信息发布和数据交换平台,还是建立内部的业务应用系统,都离不开Web应用。Web应用不仅给用户提供一个方便和易用的交互手段,也给信息和服务提供者构建一个标准技术开发和应用平台。网络的发展历史也可以说是攻击与防护不断交织发展的过程。目前,全球网络用户已近20亿,用户利用互联网进行购物、银行转账支付和各种软件下载,企业用户更是依赖于网络构建他们的核心业务,对此,Web安全性已经提高一个空前的高度。然而,随着黑客们将注意力从以往对网络

2、服务器的攻击逐步转移到了对Web应用的攻击上,他们针对Web网站和应用的攻击愈演愈烈,频频得手。根据Gartner的最新调查,信息安全攻击有75%都是发生在Web应用而非网络层面上。同时,数据也显示,三分之二的Web站点都相当脆弱,易受攻击。另外,据美国计算机安全协会(CSI)/美国联邦调查局(FBI)的研究表明,在接受调查的公司中,2004年有52%的公司的信息系统遭受过外部攻击(包括系统入侵、滥用Web应用系统、网页置换、盗取私人信息及拒绝服务等等),这些攻击给269家受访公司带来的经济损失超过1.41亿美元,但事

3、实上他们之中有98%的公司都装有防火墙。早在2002年,IDC就曾在报告中认为,“网络防火墙对应用层的安全已起不到什么作用了,因为为了确保通信,网络防火墙内的Web端口都必须处于开放状态。”目前,利用网上随处可见的攻击软件,攻击者不需要对网络协议深厚理解,即可完成诸如更换Web网站主页、盗取管理员密码、破坏整个网站数据等等攻击。而这些攻击过程中产生的网络层数据,和正常数据没有什么区别。1.Web安全防范在Web应用的各个层面,都会使用不同的技术来确保安全性,如图示1所示。为了保证用户数据传输到企业Web服务器的传输安全

4、,通信层通常会使用SSL技术加密数据;企业会使用防火墙和IDS/IPS来保证仅允许特定的访问,所有不必要暴露的端口和非法的访问,在这里都会被阻止。防火墙IDS/IPSDoS攻击端口扫描网络层模式攻击已知Web服务器漏洞跨站脚本注入式攻击恶意执行网页篡改Web服务器数据库服务器Web应用应用服务器图示1Web应用的安全防护但是,即便有防火墙和IDS/IPS,企业仍然不得不允许一部分的通讯经过防火墙,毕竟Web应用的目的是为用户提供服务,保护措施可以关闭不必要暴露的端口,但是Web应用必须的80和443端口,是一定要开放的

5、。可以顺利通过的这部分通讯,可能是善意的,也可能是恶意的,很难辨别。而恶意的用户则可以利用这两个端口执行各种恶意的操作,或者偷窃、或者操控、或者破坏Web应用中的重要信息。然而我们看到的现实确是,绝大多数企业将大量的投资花费在网络和服务器的安全上,没有从真正意义上保证Web应用本身的安全,给黑客以可乘之机。如图示3所示,在目前安全投资中,只有10%花在了如何防护应用安全漏洞,而这却是75%的攻击来源。正是这种投资的错位也是造成当前Web站点频频被攻陷的一个重要因素。75%25%10%90%Web应用网络服务器安全风险安

6、全投资图示2安全风险和投资1.Web漏洞Web应用系统有着其固有的开发特点:经常更改、设计和代码编写不彻底、没有经过严格的测试等,这些特点导致Web应用出现了很多的漏洞。另外,管理员对Web服务器的配置不当也会造成很多漏洞。目前常用的针对Web服务器和Web应用漏洞的攻击已经多达几百种,常见的攻击手段包括:注入式攻击、跨站脚本攻击、上传假冒文件、不安全本地存储、非法执行脚本和系统命令、源代码泄漏、URL访问限制失效等。攻击目的包括:非法篡改网页、非法篡改数据库、非法执行命令、跨站提交信息、网站资源盗链、窃取脚本源程序、

7、窃取系统信息、窃取用户信息等。一、产品概况1.iGuard网页防篡改系统iGuard网页防篡改系统采用先进的Web服务器核心内嵌技术,将篡改检测模块(数字水印技术)和应用防护模块(防注入攻击)内嵌于Web服务器内部,并辅助以增强型事件触发检测技术,不仅实现了对静态网页和脚本的实时检测和恢复,更可以保护数据库中的动态内容免受来自于Web的攻击和篡改,彻底解决网页防篡改问题。iGuard的篡改检测模块使用密码技术,为网页对象计算出唯一性的数字水印。公众每次访问网页时,都将网页内容与数字水印进行对比;一旦发现网页被非法修改,

8、即进行自动恢复,保证非法网页内容不被公众浏览。同时,iGuard的应用防护模块也对用户输入的URL地址和提交的表单内容进行检查,任何对数据库的注入式攻击都能够被实时阻断。iGuard以国家863项目技术为基础,全面保护网站的静态网页和动态网页。iGuard支持网页的自动发布、篡改检测、应用保护、警告和自动恢复,保证传输、鉴别、完整

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。