网站安全解决方案模板

《网站安全解决方案模板》由会员分享，可在线阅读，更多相关《网站安全解决方案模板（19页珍藏版）》请在金锄头文库上搜索。

1、XXXXXX 网站网站 安全解决方案安全解决方案 杭州安恒信息技术有限公司 2019 年 9 月 XXXX 网站安全解决方案 杭州安恒信息技术有限公司 第 2 页 共 19 页 0571-28860999 目目 录录 1概述概述.3 1.1黑客攻击由网络层转向应用层.3 1.2面向应用层新型攻击特点简析.3 1.3现有的网络层防护产品面对应用层攻击束手无策.4 1.4我国网站被篡改情况.4 1.5被篡改原因分析.5 2XXXX 网站安全现状分析网站安全现状分析.6 2.1网站的重要性.6 2.2网站存在的安全问题.7 2.3问题信息描述.7 3安全方案设计思想安全方案设计思想.8 3.1安全

2、建设原则.8 3.2安全实施策略.9 4总体安全规划总体安全规划.10 4.1门户网站安全防御建议.10 4.2方案优势概述.11 5厂商介绍厂商介绍.15 5.1国际知名的安全研究专家团队.16 5.2全球领先的专利技术.17 5.3公司历程.17 5.4成功案例与典型客户.18 XXXX 网站安全解决方案 杭州安恒信息技术有限公司 第 3 页 共 19 页 0571-28860999 1 概述概述 1.1 黑客攻击由网络层转向应用层黑客攻击由网络层转向应用层 随着互联网技术的迅猛发展，许多政府和企业的关键业务活动越来越多地依赖于 WEB 应用，在向客户提供通过浏览器访问企业信息功能的同时

3、，企业所面临的风险在不断增加。 主要表现在两个层面：一是随着 Web 应用程序的增多，这些 Web 应用程序所带来的安全漏 洞越来越多；二是随着互联网技术的发展，被用来进行攻击的黑客工具越来越多、黑客活 动越来越猖獗,组织性和经济利益驱动非常明显。 然而与之形成鲜明对比的却是：现阶段的安全解决方案无一例外的把重点放在网络安 全层面，致使面临应用层攻击（如：针对 WEB 应用的 SQL 注入攻击、跨站脚本攻击等）发 生时，传统的网络防火墙、IDS/IPS 等安全产品对网站攻击几乎不起作用，许多政府和企 业门户网站成为黑客组织成批传播木马的最有效途径。 据统计 75%的网络攻击和互联网安全侵害源于

4、应用软件，网页上的漏洞的根源还是来 自程序开发者对网页程序编制和检测。未经过安全训练的程序员缺乏相关的网页安全知识； 应用部门缺乏良好的编程规范和代码检测机制等等。解决此类问题必须在 WEB 应用软件开 发程序上整治，仅仅靠打补丁和安装防火墙是远远不够的。 1.2 面向应用层新型攻击特点简析面向应用层新型攻击特点简析 隐蔽性强：利用 Web 漏洞发起对 WEB 应用的攻击纷繁复杂，包括 SQL 注入，跨站 脚本攻击等等，一个共同特点是隐蔽性强，不易发觉。 攻击时间短：可在短短几秒到几分钟内完成一次数据窃取、一次木马种植、完成 对整个数据库或 Web 服务器的控制，以至于非常困难做出人为反应。

5、危害性大：目前几乎所有银行，证券，电信，移动，政府以及电子商务企业都提 供在线交易，查询和交互服务。用户的机密信息包括账户，个人私密信息（如身 份证），交易信息等等，都是通过 Web 存储于后台数据库中， 这样，在线服务器 XXXX 网站安全解决方案 杭州安恒信息技术有限公司 第 4 页 共 19 页 0571-28860999 一旦瘫痪，或虽在正常运行，但后台数据已被篡改或者窃取， 都将造成企业或个 人巨大的损失。据权威部门统计，目前身份失窃（identity theft）已成为全球 最严重的问题之一。 造成非常严重的有形和无形损失：目前，很多大型企业都是在国内外上市的企业， 一旦发生这类

6、安全事件， 必将造成人心惶惶，名誉扫地，以至于造成经济和声 誉上的巨大损失，即便不上市，其影响和损失也是不可估量的。 1.3 现有的网络层防护产品面对应用层攻击束手无策现有的网络层防护产品面对应用层攻击束手无策 传统的防火墙或 IDS 产品存在以下不足： 防火墙：通过端口限制实现访问控制，但对于 WEB 应用而言，其 HTTP/HTTPS 端口 是开放的。因此，防火墙无法检测到 WEB 应用攻击的发生，更谈不上阻止攻击。 IDS：依靠特征库检测已知攻击，而对于 WEB 应用攻击，变形非常多（比如：SQL 注入、跨站脚本、恶意文件包含等），IDS 无法穷尽所有的特征，当然，更加不 可能预知未来的

7、变形。 1.4 我国网站被篡改情况我国网站被篡改情况 2008 年上半年，中国大陆被篡改网站的数量相比往年处于明显上升趋势。国家互联网 应急中心(CNCERT)监测到中国大陆被篡改网站总数达到 35113 个，同比增加了 23.7%。按 月统计情况如图所示： XXXX 网站安全解决方案 杭州安恒信息技术有限公司 第 5 页 共 19 页 0571-28860999 2008 年上半年中国被篡改网站数量 2008 年 1 月至 6 月期间，中国网站被篡改数量基本保持平稳，各月累计达 2242 个。与去年上半年同期监测情况相比，增加了 41%。从中可以看出，每月被篡改的 域名网站约占整个大陆地

8、区被篡改网站的 7%，而 域名网站仅占.cn 域名的 2.3%，因此政府网站仍然是黑客攻击的重要目标。具体比例如下图： 1.5 被篡改原因分析被篡改原因分析 网页被篡改之所以如此的普遍，其存在有相关的客观原因。 XXXX 网站安全解决方案 杭州安恒信息技术有限公司 第 6 页 共 19 页 0571-28860999 1) 复杂庞大的操作系统：已公布超过 1 万多个系统漏洞。 2) 操作系统漏洞的快速被利用：系统漏洞从发现到被利用为 5 天，补丁的发布时间 为 47 天。 3) 应用系统漏洞：越来越多的 WEB 系统开发出来，并且运行，由于系统开发者本 身就安全代码层面没有做相关的工作，同

9、时不同的系统一般都是不同的开发者，所以很多 漏洞直接暴露在互联网下面，根本无法检查和防范，如 SQL 注入漏洞，跨站漏洞等等。 4) 密码管理：合格密码需要 8 位以上复杂字符并定期改变。 5) 漏洞补丁的更新：操作系统、中间件、应用系统的定期更新。 6) 攻击泛滥：越来越多的攻击软件、木马程序直接可以通过互联网触手可及，并且 实现攻击非常简单容易。 2 XXXX 网站安全现状分析网站安全现状分析 2.1 网站的重要性网站的重要性 据 CNCERT/CC（国家互联网应急中心）发布的 2007 年网络安全工作报告显示，我国网 站的安全问题十分严峻，大量网站被黑客入侵和篡改，甚至被植入木马攻击程序

10、，成为黑 客的得力工具。利用网站操作系统的漏洞和 WEB 服务程序的 SQL 注入漏洞等，黑客能够得 到 Web 服务器的控制权限，轻则篡改网页内容，重则窃取重要内部数据，更为严重的则是 在网页中植入恶意代码（俗称“网页挂马”），使得更多网站访问者受到侵害。网页挂马 是黑客最喜欢的木马散播方式。 XXXX 门户网站承担着“。”等重要职能，是 XXXX 的服务窗口及服务网站， 一旦受到黑客攻击，不仅影响 XXXX 的正常工作，降低网站的公信力，严重的情况下会导致 重要信息的泄密，危及公司形象。 XXXX 网站安全解决方案 杭州安恒信息技术有限公司 第 7 页 共 19 页 0571-28860

11、999 2.2 网站存在的安全问题网站存在的安全问题 根据 XXXX 年 XXXX 月对 XXXX 门户网站所做的安全评估报告显示，虽然 XXXX 门户网站 的服务器本身没有直接可利用的远程安全问题，但部分 WEB 程序代码存在严重的安全隐患， 参见下表： XXXX 门户网站的安全问题列表： 编号程度影响系统漏洞名称 1严重SQL 注入 2中等网站后台登陆地址 3严重XSS 跨站脚本 4中等敏感信息泄漏 5 2.3 问题信息描述问题信息描述 1、漏洞名称： 漏洞等级： 详细信息描述： 可能的危害： 加固建议： 2、漏洞名称： 漏洞等级： 详细信息描述： XXXX 网站安全解决方案 杭州安恒信息

12、技术有限公司 第 8 页 共 19 页 0571-28860999 可能的危害： 加固建议： 可能的危害： 加固建议： 上述安全隐患若不及时修复有可能导致网站页面被篡改、网页木马传播、后台数据库 信息被篡改或盗窃，严重影响 XXXX 的正常业务运营，有损 XXXX 的公司形象。 为确保 XXXX 门户网站的安全健康运行，本期方案特给出如下安全建议。 3 安全方案设计思想安全方案设计思想 3.1 安全建设原则安全建设原则 网站安全是一项动态的、整体的系统工程。从技术上来说，一个网站所应采用的相应 安全技术主要包括：防病毒、防火墙、入侵检测、漏洞扫描与检测、网站实时监控与恢复、 安全事件紧急响应

13、体系等。本期针对 XXXX 的门户网站安全解决方案主要遵循以下几个原则： 应用安全产品符合信息系统安全的国际标准和国家标准； 对安全产品要采取硬、软结合的方针； 应用安全产品的部署不能成为信息系统运行的瓶颈； 应用安全能覆盖 XXXX 相关的 WEB 应用； XXXX 网站安全解决方案 杭州安恒信息技术有限公司 第 9 页 共 19 页 0571-28860999 完整性：应用安全建设必需保证整个防御体系的完整性。一个较好的安全措施往 往是多种方法适当综合的应用结果。单一的安全产品对安全问题的发现处理控制 等能力各有优劣，从安全性的角度考虑需要不同安全产品之间的安全互补，通过 这种对照、比较

14、，可以提高系统对安全事件响应的准确性和全面性。 动态性：随着 WEB 应用脆弱性的改变和威胁攻击技术的发展，使 WEB 应用安全变 成了一个动态的过程，静止不变的产品根本无法适应 WEB 应用安全的需要。所选 用的安全产品必须及时地、不断地改进和完善，及时进行技术和设备的升级换代， 只有这样才能保证系统的安全性。 专业性：攻击技术和防御技术是信息安全的一对矛盾体，两种技术从不同角度不 断地对系统的安全提出了挑战，只有掌握了这两种技术才能对系统的安全有全面 的认识，才能提供有效的安全技术、产品、服务，这就需要从事安全的公司拥有 大量专业技术人才，并能长期的进行技术研究、积累，从而全面、系统、深入的 为用户提供服务。 易用性：安全措施要由人来完成，如果措施过于复杂，对人的要求过高，一般人 员难以胜任，有可能降低系统的安全性。 3.2 安全实施策略安全实施策略 本期安全方案重点是对 XXXX 门户网站的安全提出合理、有效的安全建议。因此，拟 从以下两个方面着手： 从如何全面掌握 XXXX 门户网站的安全问题，制定合理的风险规避措施的角度出发； 从如何确保