商行银行网站加固方案.doc

商业银行网站加固方案 产品概况 iGuard网页防篡改系统 iGuard网页防篡改系统是完全保护Web网站不发送被篡改内容并进行自动恢复的Web页面保护软件。 iGuard网页防篡改系统（以下简称iGuard）采用先进的Web服务器核心内嵌技术，将篡改检测模块（数字水印技术）和应用防护模块（防注入攻击）内嵌于Web服务器内部，并辅助以增强型事件触发检测技术，不仅实现了对静态网页和脚本的实时检测和恢复，更可以保护数据库中的动态内容免受来自于Web的攻击和篡改，彻底解决网页防篡改问题。 iGuard的篡改检测模块使用密码技术，为网页对象计算出唯一性的数字水印。公众每次访问网页时，都将网页内容与数字水印进行对比；一旦发现网页被非法修改，即进行自动恢复，保证非法网页内容不被公众浏览。同时，iGuard的应用防护模块也对用户输入的URL地址和提交的表单内容进行检查，任何对数据库的注入式攻击都能够被实时阻断。 iGuard以国家863项目技术为基础，全面保护网站的静态网页和动态网页。iGuard支持网页的自动发布、篡改检测、应用保护、警告和自动恢复，保证传输、鉴别、完整性检查、地址访问、表单提交、审计等各个环节的安全，完全实时地杜绝篡改后的网页被访问的可能性，也杜绝任何使用Web方式对后台数据库的篡改。 iGuard支持所有主流的操作系统，包括：Windows、Linux、FreeBSD、Unix（Solaris、HP-UX、AIX）；支持常用的Web服务器软件，包括：IIS、Apache、SunONE、Weblogic、WebSphere、Tomcat等；保护所有常用的数据库系统，包括：SQL Server、Oracle、MySQL、Access等。 iWall应用防火墙 iWall应用防火墙（Web应用防护系统）是一款保护Web站点和应用免受来自于应用层攻击的Web防护系统。 iWall应用防火墙实现了对Web站点特别是Web应用的保护。它内置于Web服务器软件中，通过分析应用层的用户请求数据（如URL、参数、链接、Cookie等），区分正常用户访问Web和攻击者的恶意行为，对攻击行为进行实时阻断和报警。 这些攻击包括利用特殊字符修改数据的数据攻击、设法执行程序或脚本的命令攻击等，黑客通过这些攻击手段可以达到篡改数据库和网页、绕过身份认证和假冒用户、窃取用户和系统信息等严重危害网站内容安全的目的。 iWall应用防火墙对常见的注入式攻击、跨站攻击、上传假冒文件、不安全本地存储、非法执行脚本、非法执行系统命令、资源盗链、源代码泄漏、URL访问限制失效等攻击手段都着有效的防护效果。 iWall应用防火墙为软件实现，适用于所有的操作系统和Web服务器软件，并且完全对Web应用系统透明。 应用防火墙是现代网络安全架构的一个重要组成部分，它着重进行应用层的内容检查和安全防御，与传统安全设备共同构成全面和有效的安全防护体系。 网站部署方案 系统现状 要点 商业银行门户分别由《门户应用》和《网上银行应用》构成。《门户应用》的web是构架在windows系统上的动态应用。《网上银行应用》的web是架构在IBM的AIX小型机系统上的动态应用。 《门户应用》和《网上银行应用》的动态脚本发布方式为：网站编辑直接将制作好的脚本文件FTP发到Web服务器上。 安全隐患 目前这个系统在Web应用安全方面存在如下安全隐患： Web服务器的网页篡改：没有网页防篡改机制，网页和应用脚本一旦被黑客篡改，没有检查、报警和自动恢复机制。 Web服务器的应用防护：没有应用防护机制，无论是Web系统还是应用系统的漏洞，都很容易给黑客以包括注入式攻击、跨站攻击等各种Web层面攻击的机会。 部署Web应用安全产品 拓扑图 网站部署天存Web应用安全产品的网络拓扑图如图示2所示。 图示 2 天存web应用安全产品部署拓扑图 要点 增加（硬件）：新增一台PC服务器，其上部署iGuard发布服务器软件。对《门户应用》和《网上银行应用》上的静态文件、动态脚本文件等提供发布和篡改恢复服务。 增加（软件）：在《门户应用》和《网上银行应用》的Web服务器上分别部署iGuard网页防篡改系统标准版的Web端软件，即同步服务器、防篡改模块。iWall应用防火墙的应用防护模块。 变更：《门户应用》和《网上银行应用》的文件目标发布地址由原Web服务器改为iGuard的发布服务器。 删除：关闭Web服务器上FTP等不安全的端口。 网页发布流程（下述详细技术资料请参见iGuard和iWall白皮书） 网站内容编辑将编辑后的脚本文件发布到iGuard发布服务器上。 iGuard发布服务器检测到文件变化，生成数字水印，将这些文件和数字水印发布到相应的Web服务器上。 Web服务器接收到这些文件，并将水印存放在