....可编辑目录一.项目背景及必要性........................................................................................................................21.1项目背景...............................................................................................................................2二.中国铁建Web应用安全风险分析................................................................................................52.1应用层安全风险分析............................................................................................................52.1.1身份认证漏洞.............................................................................................................52.1.2项目背景近年来,信息技术的飞速发展使人们获取、交流和处理信息的手段发生了巨大的变化,随着信息时代的到来,信息化发展也为移动工作带来了新的挑战和机遇。近两年来,黑客攻击、网络病毒等等已经屡见不鲜,而且一次比一次破坏力大,对网络安全造成的威胁也越来越大,一旦网络存在安全隐患,遭受重大损失在所难免。在企业网中,网络管理者对于网络安全普遍缺乏重视,但是随着网络环境的恶化,以及一次次付出惨重代价的教训,企事业单位网的管理者已经将安全因素看作网络建设、改造的关键环节。国内相关行业网站的安全问题有其历史原因:在旧网络时期,一方面因为意识与资金方面的原因,以及对技术的偏好和运营意识的不足,普遍都存在“重技术、轻安全、轻管理”的倾向,政府网络建设者在安全方面往往没有太多的关注,常常只是在内部网与互联网之间放一个防火墙就万事大吉,有些政府甚至什么也不放,直接面对互联网,这就给病毒、黑客提供了充分施展身手的空间。而病毒泛滥、黑客攻击、信息丢失、服务被拒绝等等,这些安全隐患发生任何一次对整个网络都将是致命性的。随着网络规模的急剧膨胀,网络用户的快速增长,网站在各行业的信息化建设中已经在扮演至关重要的角色,作为数字化信息的最重要传输载体,如何保证企业、金融证券、政府及事业单位网络能正常的运行不受各种网络黑客的侵害就成为各地政府不可回避的一个紧迫问题;因此,解决网络安全问题刻不容缓。当前企业、金融证券和政府业务系统大都居于B/S架构,使用Web应用来运行核心业务,然而,Web应用安全威胁已成为当前信息安全的主要威胁,从以下数据可以看出,80%以上的信息安全威胁来自于Web应用:....可编辑图1.1信息安全事件分布图1.2Web漏洞发展趋势....可编辑图1.3最新十大安全威胁从以上数据可以看出,随着Web应用的极速发展及大量使用,Web应用漏洞在急剧增加,Web安全威胁已成为当前信息安全的主要威胁。因此,在平台业务建设的同时,必须加强Web应用安全建设,通过全面有效的Web安全防护,保障业务系统正常稳定运行。基于以上数据信息可以看出,中国铁建的对外网站直接暴露在互联网,存在极大的安全威胁,需要对Web网站做必要的安全防护。....可编辑二.中国铁建Web应用安全风险分析2.1应用层安全风险分析Web应用系统主要存在以下安全风险:用户提交的业务信息被监听或修改;用户对成功提交的业务进行事后抵赖;由于移动网络对外提供网上服务,因此存在外网非法用户对内部网和服务器的攻击。2.1.1身份认证漏洞服务系统登录和主机登录使用的是静态口令,口令在一定时间内是不变的,且在数据库中有存储记录,可重复使用。这样非法用户通过网络窃听,非法数据库访问,穷举攻击,重放攻击等手段很容易得到这种静态口令,然后,利用口令,可对资源非法访问和越权操作。对移动系统的网上移动服务平台,必须加强用户的身份认证,防止对移动网络资源的非授权访问以及越权操作。2.1.2目前正在成为移动系统对外宣传、开展业务的基地,但公开服务器本身不能保证没有漏洞,不法分子可能利用服务的漏洞修改页面甚至破坏服务器。系统中的BUG,使得黑客可以远程对公开服务器发出指令,从而导致对系统进行修改和损坏,包括无限制地向服务器发出大量指令,以至于服务器“拒绝服务”,最终引起整个系统的崩溃。这就要求我们必须提高服务器的抗破坏能力,防止拒绝服务(DOS)或分布式拒绝服务(DDOS)之类的恶意攻击,提高服务器备份与恢复、防篡改与自动修复能力。2.1.3Web网站应用漏洞Web网站用于对外提供服务,作为对外展示的窗口,部分网站与用户还有相当部分的数据交互,Web网站应用在开发过程中,难免会出现一些漏洞,如:SQL注入漏洞、跨站漏洞、敏感信息泄露漏洞等,这些漏洞很容易被黑客检测到并加以利用,达到篡改数据,截取数据信息等目的,黑客还可以利用漏洞提升权限,达到控制计算机,损坏数据信息等操作,对用....可编辑户数据信息造成极大威胁。2.2管理层安全风险分析再安全的网络设备离不开人的管理,再好的安全策略最终要靠人来实现,因此管理是整个网络安全中最为重要的一环,尤其是对于一个比较庞大和复杂的网络,更是如此。因此我们有必要认真的分析管理所带来的安全风险,并采取相应的安全措施。移动系统应按照国家关于计算机和网络的一些安全管理条例,如《计算站场地安全要求》、《中华人民共和国计算机信息系统安全保护条例》等,制订安全管理制度。责权不明,管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。责权不明,管理混乱,使得一些员工或管理员随便让一些非本地员工甚至外来人员进入机房重地,或者员工有意无意泄漏他们所知道的一些重要信息,而管理上却没有相应制度来约束。当网络出现攻击行为或网络受到其它一些安全威胁时(如内部人员的违规操作等),无法进行实时的检测、监控、报告与预警。同时,当事故发生后,也无法提供黑客攻击行为的追踪线索及破案依据,即缺乏对网络的可控性与可审查性。这就要求我们必须对站点的访问活动进行多层次的记录,及时发现非法入侵行为。建立全新网络安全机制,必须深刻理解网络并能提供直接的解决方案,因此,最可行的做法是管理制度和管理解决方案的结合。....可编辑三.中国铁建Web网站安全防护方案根据上述需求分析,对当前Web安全风险分析,XX科技应用安全团队通过对网站安全多年的研究、调研,针对Web应用安全提出了全新的安全防护方式,对WebServer和AppServer采用Web网站安全防护系统(WebGuard网页防篡改保护系统,简称‘WebGuard’)+WAF综合应用安全网关来对网站应用做全面的安全防护,WebGuard采用系统底层文件驱动保护技术+增强型事件触发技术,对Web网站页面直接防护,防止黑客篡改网站页面。WAF综合应用安全网关能够有效防止各类新型应用攻击,如:SQL注入攻击、跨站攻击、目录遍历、操作系统命令攻击、Cookie攻击等,还能有效防护给类DDos攻击,CC攻击等主要的流量及应用型拒绝服务式攻击。设备一览表:产品名称产品形态产品职能其他说明Web网站安全防护系统(WebGuard)软件通过文件底层驱动技术+增强型事件触发技术,对Web网页文件进去全面有效的防护,防止黑客对Web页面的非法篡改攻击,有效保障Web应用安全。WebGuard-WAF综合应用安全网关软件+硬件针对当前主流的Web应用攻击做全面安全防护,可以防止各类应用攻击,包括SQL注入攻击、跨站攻击、目录遍历、远程文件包含攻击、操作系统命令注入攻击、Cookie注入攻击、其他变形的应用攻击。还能有效防止DDoS攻击,CC攻击等网络及应用类型的拒绝服务类攻击。....可编辑3.1产品介绍3.1.1WebGuard网页防篡改保护系统解决方案Web网站安全防护系统由XX科技根据长期对Web站点进行安全研究成果自主研发的高可靠性、高安全性以及高易用性的软件系统。主要用于保护站点内容安全,防止黑客非法篡改网页,保护公众形象。该系统也是国内唯一通过国家严格检测的第三代网页防篡改技术。网页防篡改技术在近几年当中根据黑客攻击技术的发展也得到了较快的发展,第三代网页防篡改技术较之以前的技术有几个特点,响应恢复速度快、判断准确、部署灵活等特点,集成度较高,不依赖于原有we