返回
web应用安全解决方案与对策

web应用安全解决方案与对策

ID:27567618

大小:372.71 KB

页数:19页

时间:2018-12-04

web应用安全解决方案与对策_第1页
web应用安全解决方案与对策_第2页
web应用安全解决方案与对策_第3页
web应用安全解决方案与对策_第4页
web应用安全解决方案与对策_第5页
资源描述:

《web应用安全解决方案与对策》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、目录一.项目背景及必要性31.1项目背景3二.中国铁建Web应用安全风险分析62.1应用层安全风险分析62.1.1身份认证漏洞62.1.2www服务漏洞62.1.3Web网站应用漏洞62.2管理层安全风险分析7三.中国铁建Web网站安全防护方案83.1产品介绍93.1.1WebGuard网页防篡改保护系统解决方案93.1.2WebGuard-WAF综合应用安全网关123.2系统部署183.2.1详细部署183.2.2部署后的效果19四.系统报价20资料项目背景及必要性1.1项目背景近年来,信息技术的飞速发展使人们获取、交流和处理信息的手段发生了巨大的变化,随着信息

2、时代的到来,信息化发展也为移动工作带来了新的挑战和机遇。近两年来,黑客攻击、网络病毒等等已经屡见不鲜,而且一次比一次破坏力大,对网络安全造成的威胁也越来越大,一旦网络存在安全隐患,遭受重大损失在所难免。在企业网中,网络管理者对于网络安全普遍缺乏重视,但是随着网络环境的恶化,以及一次次付出惨重代价的教训,企事业单位网的管理者已经将安全因素看作网络建设、改造的关键环节。国内相关行业网站的安全问题有其历史原因:在旧网络时期,一方面因为意识与资金方面的原因,以及对技术的偏好和运营意识的不足,普遍都存在“重技术、轻安全、轻管理”的倾向,政府网络建设者在安全方面往往没有太多的

3、关注,常常只是在内部网与互联网之间放一个防火墙就万事大吉,有些政府甚至什么也不放,直接面对互联网,这就给病毒、黑客提供了充分施展身手的空间。而病毒泛滥、黑客攻击、信息丢失、服务被拒绝等等,这些安全隐患发生任何一次对整个网络都将是致命性的。随着网络规模的急剧膨胀,网络用户的快速增长,网站在各行业的信息化建设中已经在扮演至关重要的角色,作为数字化信息的最重要传输载体,如何保证企业、金融证券、政府及事业单位网络能正常的运行不受各种网络黑客的侵害就成为各地政府不可回避的一个紧迫问题;因此,解决网络安全问题刻不容缓。当前企业、金融证券和政府业务系统大都居于B/S架构,使用W

4、eb应用来运行核心业务,然而,Web应用安全威胁已成为当前信息安全的主要威胁,从以下数据可以看出,80%以上的信息安全威胁来自于Web应用:资料图1.1信息安全事件分布图1.2Web漏洞发展趋势资料图1.3最新十大安全威胁从以上数据可以看出,随着Web应用的极速发展及大量使用,Web应用漏洞在急剧增加,Web安全威胁已成为当前信息安全的主要威胁。因此,在平台业务建设的同时,必须加强Web应用安全建设,通过全面有效的Web安全防护,保障业务系统正常稳定运行。基于以上数据信息可以看出,中国铁建的对外网站直接暴露在互联网,存在极大的安全威胁,需要对Web网站做必要的安全

5、防护。资料一.中国铁建Web应用安全风险分析1.1应用层安全风险分析Web应用系统主要存在以下安全风险:用户提交的业务信息被监听或修改;用户对成功提交的业务进行事后抵赖;由于移动网络对外提供网上WWW服务,因此存在外网非法用户对内部网和服务器的攻击。1.1.1身份认证漏洞服务系统登录和主机登录使用的是静态口令,口令在一定时间内是不变的,且在数据库中有存储记录,可重复使用。这样非法用户通过网络窃听,非法数据库访问,穷举攻击,重放攻击等手段很容易得到这种静态口令,然后,利用口令,可对资源非法访问和越权操作。对移动系统的网上移动服务平台,必须加强用户的身份认证,防止对移

6、动网络资源的非授权访问以及越权操作。1.1.2www服务漏洞WebServer目前正在成为移动系统对外宣传、开展业务的基地,但公开服务器本身不能保证没有漏洞,不法分子可能利用服务的漏洞修改页面甚至破坏服务器。系统中的BUG,使得黑客可以远程对公开服务器发出指令,从而导致对系统进行修改和损坏,包括无限制地向服务器发出大量指令,以至于服务器“拒绝服务”,最终引起整个系统的崩溃。这就要求我们必须提高服务器的抗破坏能力,防止拒绝服务(DOS)或分布式拒绝服务(DDOS)之类的恶意攻击,提高服务器备份与恢复、防篡改与自动修复能力。1.1.3Web网站应用漏洞Web网站用于对

7、外提供服务,作为对外展示的窗口,部分网站与用户还有相当部分的数据交互,Web网站应用在开发过程中,难免会出现一些漏洞,如:SQL注入漏洞、跨站漏洞、资料敏感信息泄露漏洞等,这些漏洞很容易被黑客检测到并加以利用,达到篡改数据,截取数据信息等目的,黑客还可以利用漏洞提升权限,达到控制计算机,损坏数据信息等操作,对用户数据信息造成极大威胁。1.1管理层安全风险分析 再安全的网络设备离不开人的管理,再好的安全策略最终要靠人来实现,因此管理是整个网络安全中最为重要的一环,尤其是对于一个比较庞大和复杂的网络,更是如此。因此我们有必要认真的分析管理所带来的安全风险,并采取相应的

8、安全措施。

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。