《WEB应用扫描平台解决方案》由会员分享,可在线阅读,更多相关《WEB应用扫描平台解决方案(4页珍藏版)》请在金锄头文库上搜索。
1、WEB 应用安全扫描平台解决方案1 安全背景与现状在国内,据国家计算机网络应急技术处理协调中心的统计数据显示, 2009 年上半年中国的互联网安全状况仍不容乐观,各种网络安全事件与去年同期相比 都有明显增加、被植入木马的主机数量大幅攀升。攻击者的目标明确、趋利化特 点明显,针对不同网站所采用的攻击手段不同,对于政府类或安全管理相关网站, 攻击者主要采用篡改网页、放置恶意代码等攻击形式,干扰正常业务的开展(如 利用网络钓鱼和网址嫁接等对金融机构、网上交易等站点进行网络仿冒)、蓄意 破坏政府或企业形象,严重的导致网站被迫停止服务。Internet发展到今天,基于WEB和数据库架构的应用系统已经逐渐
2、成为主流, 广泛应用于企业内部和外部的业务系统中。在网络高速公路不断拓展、电子政务、 电子商务和各种基于 WEB 应用的业务模式不断成熟的今天,却有报道称全球电 子商务的发展正在下滑。究其原因,根源在于近两年关于网络钓鱼、SQL注入、 木马和跨站脚本等攻击事件带来的严重后果,影响了人们对 WEB 应用的信心。 根据Gartner的报告,目前网络中常见的攻击已经由传统的系统漏洞攻击逐渐发 展演变为对应用自身弱点的攻击,其中最常见的攻击技术就是针对WEB应用的 SQL注入和跨站攻击。中国移动通信集团公司某省公司作为某省最大的综合信息运营商,某省移动 不仅为客户提供语音业务、短信业务、手机银行、手机
3、证券、移动传真、虚拟专 网、自由呼、秘书服务、手机上网、移动QQ、IP电话等业务,与大众生活息息 相关,被各个行业、各类用户所广泛使用,并且随着时间的推移,用户对服务的 依赖性越来越强。而且随着3G的推出,向社会推出更多贴身的服务。2 安全需求分析移动公司从市场营销、渠道管理、业务受理、业务开通、帐务结算、经营分 析、故障申告、综合查询等各个环节均需要相应的业务系统给予支撑,比如:营 业系统、 CBOSS 系统、 BBOSS 系统、终端管理系统、统一开通系统、结算系统 等,而所有这些业务支撑系统均采用 B/S 架构设计。 B/S 架构的应用一方面企业 客户带来了便利,另一方面使得企业所面临的风
4、险在不断增加,比如网上营业厅、用户通过互联网就可以查询可在在某省移动内部系统的相关数据、订购某省移动 不断推出的新业务。但是,通过互联网直接访问的运营模式,对某省移动内部系 统的安全将是极大的挑战,主要表现为:一是随着 WEB 应用程序的增多,这些 WEB 应用程序所带来的安全漏洞越 来越多;二是随着互联网技术的发展,被用户进行攻击的黑客工具越来越多,黑 客活动越来越猖獗。3 方案设计依据 ISO/IEC 17799 BS7799 ISO13335 ISO27001 GB178591999计算机信息系统安全保护等级划分准则 信息安全等级保护管理办法 互联网安全保护技术措施规范(公安部令第 82
5、 号) OWASP 组织相关建议标准 GA0/AIMD-00-33信息安全风险评估 ISO15408(CC) GB/T178594 解决方案介绍采用明鉴WEB应用弱点扫描器建设某省移动的应用安全扫描平台。安全扫描技术是重要的信息安全技术,与防火墙、入侵检测系统、WEB应 用防火墙互相配合,能够有效提高网络及应用的安全性。如果说防火墙、网络监 控系统是被动的防御手段,那么安全扫描技术就是一种主动的防范措施,可以有 效避免黑客攻击行为,做到防患于未燃。我们认为无论是 WEB 应用的开发人员,还是维护管理人员,由于其缺乏安 全经验、安全知识, WEB 应用的开发与维护过程中难免存在着这样、或那样的
6、安全隐患。如何有效地防范安全事件的发生,其中最积极、有效的方法就是:主 动防御。即对WEB应用进行全面、综合的风险评估,在此基础上实施有针对性 的安全加固。同时考虑到业务发展的持续性、创新性,WEB应用的内容及功能 等等不断的变化,这些变化势必引起相应的WEB应用程序的更新、网络环境的 调整,因此,有必要建设一个WEB应用弱点扫描平台,将WEB应用弱点扫描、 风险评估纳入日常工作流程,定期检查WEB应用本身的安全性和网页上链接的 可靠性。发现风险应立即采取防范措施,减少因WEB应用风险给某省移动带来 的有形资产、无形资产的损失。5客户收益基于国内领先的WEB应用弱点扫描软件,帮助某省移动业务系统安全管理 员全面认识各个业务系统存在的应用安全风险,最大限度地保证某省移动业务系 统的应用安全性,从而确保各项业务的可持续性,提升企业形象。同时,通过WEB应用安全基础、WEB应用攻击技术(SQL注入攻击、跨站攻击、自动化 攻击)、核心防御技术、漏洞发现、常见漏洞分析、服务器攻击详解等方面的技能培训,使 得业务系统源代码的安全性大大提升、维护人员的安全意识及安全防范能力迈进了一步,从 技术和管理两个层面为某省移动应用安全保驾护航。
