网站系统安全防护体系建设方案

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

网站系统安全防护体系建设方案

目录

一、需求说明 (2)

二、网页防篡改解决方案 (4)

2.1 技术原理 (4)

2.2 部署结构 (5)

2.3 系统组成 (6)

2.4 集群与允余部署 (8)

2.5 方案特点 (9)

2.5.1 篡改检测和恢复 (9)

2.5.2 自动发布和同步 (9)

三、WEB应用防护解决方案 (11)

3.1 当前安全风险分析 (11)

3.2 防护计划 (12)

3.2.1 开发流程中加入安全性验证项目 (12)

3.2.2 对网站程序的源代码进行弱点检测 (13)

3.2.3 导入网页应用程序漏洞列表作为审计项目 (13)

3.2.4 部署Web应用防火墙进行防御 (14)

3.3 WEB应用防火墙功能 (15)

3.3.1 集中管控功能 (15)

3.3.2 防护功能 (15)

3.4 预期效益 (16)

四、内容分发网络解决方案 (18)

4.1 内容分发网络简介 (18)

4.2 CDN服务功能 (18)

4.3 CDN服务特点 (20)

五、负载均衡解决方案 (21)

5.2 广域负载均衡 (23)

5.3 关键功能和特点 (24)

六、应急响应服务体系 (26)

6.1 事件分类与分级 (26)

6.1.1 事件分类 (26)

6.1.2 事件分级 (26)

6.1.3 预警服务事件严重等级 (27)

6.2 应急响应服务体系 (28)

一、需求说明

针对Web应用防护安全需能实现以下功能:

一、针对网站主页恶意篡改的监控,防护和快速恢复:

(1)支持多种保护模式,防止静态和动态网页内容被非法篡改。

(2)能够防止主页防护功能被恶意攻击者非法终止。

(3)具备核心内嵌技术,能实现高效快速实现大规模的网页攻击防护。

(4)支持实时检测和快速恢复功能。

(5)支持多服务器、多站点的主页防护

(6)支持对常见的多种网页文件类型的保护。

(7)支持网页快照功能,根据需要即时提供快照页面,以满足客户端的访问。

二、对Web网站进行多层次检测分析与应用防护:

(1)有效保护网站静动态网页以及后台DB信息,实现多方位攻击防护。

(2)灵活的策略设置,能够针对各个WEB应用的特点,设置个性化的防护策略。

(3)不反射保护网站(或WEB应用)程序代码防止受到各种已知攻击(如SQL 注入,跨站脚本,钓鱼攻击等)和未知攻击;并能限制未授权用户透过网

站访问数据中心,防止入侵者的通信流程。

(4)能够根据操作系统、应用平台及评估渗透工具等特征,形成完备的特征库。综合并发连接、并发请求及流量限制,阻断攻击探测或扫描;同时

能够对访问数据流进行协议检查,防止对WEB应用的恶意信息获取和特征

收集。

三、行为审计:

(1)能够记录和有效统计用户对WEB应用资源的访问,包括页面点击率、客户对端地址、客户端类型、访问流量、访问时间及搜索引擎关键字信息;并

实现有效的用户行为访问统计分析,如基于区域的访问统计,便于识别

WEB应用的访问群体是否符合预期,为应用优化提供依据。

(2)对攻击来源和攻击行为支持分类记录探测,数据处理结果形成详细的统计及排序,支持依据威胁的级别生成防护策略。

(3)提供多种审计报表,为系统的安全审计提供详细的数据并作为可靠的决策依据。

四、支持多种WEB 应用加速技术,减轻服务器负载:

(1)支持URL 级别的流量管理和负载均衡,提供对页面访问的并发连接与速率进行控制,提高应用系统在资源紧张时的可用性。

(2)具备访问过载保护能力,缓解WEB 服务因访问量过大而造成的拒绝服务攻击,提高系统承受应用层DOS攻击的服务能力。

(3)及时发现WEB 应用状态异常,迅速反馈应用服务活动状态,并选择最优秀服务连接。

(4)支持轮询、最小负载、请求URL 及加权等多种均衡策略,满足各种应用环境下的均衡要求。

(5)网站主页和WEB应用防护系统,需能分别以独立方式及互备方式部署在不同机房。

二、网页防篡改解决方案

Web网站和Web应用系统除了采用常见的网络安全设备进行防护外,需要更有效的网页防篡改系统来专门对页面内容进行保护,防止来自外部或内部的非授权人员对页

面和内容进行篡改和非法添加。

2.1 技术原理

防篡改体系除了Web服务器外,另外需部署‘发布服务器’:

‐发布服务器:

位于内网中,本身处在相对安全的环境中,其上部署发布服务器软件。所有

网页的合法变更(包括增加、修改、删除、重命名)都在发布服务器上进

行。发布服务器上具有与Web服务器上的网页文件完全相同的目录结构,发

布服务器上的任何文件/目录的变化都会自动和立即地反映到Web服务器的相

应位置上,文件/目录变更的方法可以是任意方式的(例如:FTP、SFTP、

RCP、NFS、文件共享等)。网页变更后,“发布服务器软件”将其同步到Web

服务器上。

‐Web服务器:

位于Internet/DMZ中,本身处在不安全的环境中,其上部署Web服务器端防

篡改模块及内容同步软件模块。

防篡改系统的运行原理:

防篡改

对所有网页元素(包括静态页面、动态脚本、图像文件、多媒体文件以及所有

能以URL形式访问的实体)在发布时进行128位密钥的HMAC-MD5

相关文档
最新文档