資源描述:
《網(wǎng)站系統(tǒng)安全防護體系建設方案》由會員上傳分享,免費在線閱讀��,更多相關內(nèi)容在教育資源-天天文庫���。
1��、網(wǎng)站系統(tǒng)安全防護體系建設方案第29頁共30頁目錄一���、需求說明2二、網(wǎng)頁防篡改解決方案42.1技術原理42.2部署結構52.3系統(tǒng)組成62.4集群與允余部署82.5方案特點92.5.1篡改檢測和恢復92.5.2自動發(fā)布和同步9三�����、WEB應用防護解決方案113.1當前安全風險分析113.2防護計劃123.2.1開發(fā)流程中加入安全性驗證項目123.2.2對網(wǎng)站程序的源代碼進行弱點檢測133.2.3導入網(wǎng)頁應用程序漏洞列表作為審計項目133.2.4部署Web應用防火墻進行防御143.3WEB應用防火墻功能153.3.
2�、1集中管控功能153.3.2防護功能153.4預期效益16四、內(nèi)容分發(fā)網(wǎng)絡解決方案184.1內(nèi)容分發(fā)網(wǎng)絡簡介184.2CDN服務功能184.3CDN服務特點20五��、負載均衡解決方案215.2廣域負載均衡235.3關鍵功能和特點24六�、應急響應服務體系266.1事件分類與分級266.1.1事件分類266.1.2事件分級266.1.3預警服務事件嚴重等級276.2應急響應服務體系28第29頁共30頁一、需求說明針對Web應用防護安全需能實現(xiàn)以下功能:一���、針對網(wǎng)站主頁惡意篡改的監(jiān)控�����,防護和快速恢復:(1)支持多種保
3����、護模式,防止靜態(tài)和動態(tài)網(wǎng)頁內(nèi)容被非法篡改���。(2)能夠防止主頁防護功能被惡意攻擊者非法終止�����。(3)具備核心內(nèi)嵌技術�,能實現(xiàn)高效快速實現(xiàn)大規(guī)模的網(wǎng)頁攻擊防護����。(4)支持實時檢測和快速恢復功能。(5)支持多服務器����、多站點的主頁防護(6)支持對常見的多種網(wǎng)頁文件類型的保護。(7)支持網(wǎng)頁快照功能�,根據(jù)需要即時提供快照頁面,以滿足客戶端的訪問�。二、對Web網(wǎng)站進行多層次檢測分析與應用防護:(1)有效保護網(wǎng)站靜動態(tài)網(wǎng)頁以及后臺DB信息��,實現(xiàn)多方位攻擊防護����。(2)靈活的策略設置,能夠針對各個WEB應用的特點����,設置個性化的防
4、護策略����。(3)不反射保護網(wǎng)站(或WEB應用)程序代碼防止受到各種已知攻擊(如SQL注入����,跨站腳本,釣魚攻擊等)和未知攻擊�����;并能限制未授權用戶透過網(wǎng)站訪問數(shù)據(jù)中心���,防止入侵者的通信流程�。(4)能夠根據(jù)操作系統(tǒng)����、應用平臺及評估滲透工具等特征�����,形成完備的特征庫����。綜合并發(fā)連接�����、并發(fā)請求及流量限制�,阻斷攻擊探測或掃描;同時能夠對訪問數(shù)據(jù)流進行協(xié)議檢查�����,防止對WEB應用的惡意信息獲取和特征收集����。三�、行為審計:(1)能夠記錄和有效統(tǒng)計用戶對WEB應用資源的訪問,包括頁面點擊率�����、客戶對端地址���、客戶端類型、訪問流量�、訪問時間及
5��、搜索引擎關鍵字信息�����;并實現(xiàn)有效的用戶行為訪問統(tǒng)計分析��,如基于區(qū)域的訪問統(tǒng)計�����,便于識別WEB應用的訪問群體是否符合預期�,為應用優(yōu)化提供依據(jù)�����。(2)對攻擊來源和攻擊行為支持分類記錄探測,數(shù)據(jù)處理結果形成詳細的統(tǒng)計及排序�,支持依據(jù)威脅的級別生成防護策略。(3)提供多種審計報表�����,為系統(tǒng)的安全審計提供詳細的數(shù)據(jù)并作為可靠的決策依據(jù)��。第29頁共30頁四、支持多種WEB應用加速技術����,減輕服務器負載:(1)支持URL級別的流量管理和負載均衡�,提供對頁面訪問的并發(fā)連接與速率進行控制���,提高應用系統(tǒng)在資源緊張時的可用性。(2)具備
6�、訪問過載保護能力,緩解WEB服務因訪問量過大而造成的拒絕服務攻擊����,提高系統(tǒng)承受應用層DOS攻擊的服務能力�。(3)及時發(fā)現(xiàn)WEB應用狀態(tài)異常�,迅速反饋應用服務活動狀態(tài),并選擇最優(yōu)秀服務連接���。(4)支持輪詢、最小負載�����、請求URL及加權等多種均衡策略����,滿足各種應用環(huán)境下的均衡要求�。(5)網(wǎng)站主頁和WEB應用防護系統(tǒng),需能分別以獨立方式及互備方式部署在不同機房�。第29頁共30頁二、網(wǎng)頁防篡改解決方案Web網(wǎng)站和Web應用系統(tǒng)除了采用常見的網(wǎng)絡安全設備進行防護外����,需要更有效的網(wǎng)頁防篡改系統(tǒng)來專門對頁面內(nèi)容進行保護,防止
7�、來自外部或內(nèi)部的非授權人員對頁面和內(nèi)容進行篡改和非法添加�。2.1技術原理防篡改體系除了Web服務器外�����,另外需部署‘發(fā)布服務器’:‐發(fā)布服務器:位于內(nèi)網(wǎng)中��,本身處在相對安全的環(huán)境中����,其上部署發(fā)布服務器軟件。所有網(wǎng)頁的合法變更(包括增加�����、修改�����、刪除����、重命名)都在發(fā)布服務器上進行。發(fā)布服務器上具有與Web服務器上的網(wǎng)頁文件完全相同的目錄結構��,發(fā)布服務器上的任何文件/目錄的變化都會自動和立即地反映到Web服務器的相應位置上�����,文件/目錄變更的方法可以是任意方式的(例如:FTP、SFTP��、RCP��、NFS���、文件共享等)���。網(wǎng)
8、頁變更后���,“發(fā)布服務器軟件”將其同步到Web服務器上。‐Web服務器:位于Internet/DMZ中����,本身處在不安全的環(huán)境中,其上部署Web服務器端防篡改模塊及內(nèi)容同步軟件模塊�。防篡改系統(tǒng)的運行原理:n防篡改第29頁共30頁對所有網(wǎng)頁元素(包括靜態(tài)頁面、動態(tài)腳本��、圖像文件���、多媒體文件以及所有能以URL形式訪問的實體)在發(fā)布時進行128位密鑰的HMAC-MD5(RFC2104)計算����,生成唯一的、不可逆
