Web业务安全解决方案.PDFVIP

一站式Web 安全解决方案 文档密级：公开 Web 业务安全解决方案 一、Web 安全的挑战 互联网技术的高速发展，使得Web 业务成为当前互联网应用最为广泛的业务。大量的 在线应用业务都依托于Web 服务进行，Web 业务不断更新，大量web 应用快速上线。而由 于资金、进度、意识方面的影响，这些Web 应用系统没有进行充分的安全评估从而产生大 量可利用漏洞。根据 Gartner 的调查，安全攻击有 75% 都是发生在 Web 应用层，2/3 的 Web 系统都十分脆弱，易受攻击。根据2011 年7 月CNCERT 数据显示：境内被篡改网站数 量为2613 个，其中被篡改政府网站数量为182 个，Web 安全形势不容乐观！如常见的web 业务系统： 在线交易系统：存储了用户的机密信息包括账户，身份证，交易信息等等，一旦瘫痪， 或后台数据已被窃取，将造成企业或个人巨大的损失。 门户网站：门户网站承担着“宣传经济发展、对外交流、公开信息”等重要功能，是服 务于和谐社会的窗口。一旦受到黑客攻击，不仅影响网站的正常工作，同时还降低网站的公 信力，严重的情况下会导致重要信息的泄密，危及政府和企业形象。 二、Web 安全的问题 针对Web 的攻击往往隐藏在正常访问业务行为中，导致传统防火墙、入侵防御系统无 法发现和阻止这些攻击。Web 业务系统面临的安全问题是不是单方面的，概括起来主要有 以下四个方面： 1）开发时期遗留问题 由于Web 应用程序的编写人员，在编程的过程中没有考虑到安全的因素，使得黑客能 够利用这些漏洞发起对网站的攻击，比如SQL 注入、跨站脚本攻击等。 2 ）系统底层漏洞问题 Web 系统包括底层的操作系统和Web 业务常用的发布系统 （如 IIS、Apache ），这些系 统本身存在诸多的安全漏洞，利用好这些漏洞，可以给入侵者可乘之机。 3 ）运维管理中的问题 业务系统中由于管理的问题也存在诸多安全隐患，如弱口令、管理员界面等等，导致黑 客、病毒可以利用这些缺陷对网站进行攻击。 4 ）破坏手段多样问题 Web 系统所处的环境的网络安全状况也影响着Web 系统的安全，比如网络中存在的DoS 攻击，或者存在感染病毒木马的终端，给黑客提供可利用的跳板等，这些内网自身的安全问 题同样会影响到Web 系统的稳定运行。 三、NGAF 解决之道 深信服 NGAF 提供对Web 业务系统的三维立体防护解决方案，深入分析黑客攻击的时 机和动机。从事件周期、攻击过程、防护对象三个维度出发，提供全面的安全防护手段， 保护web 业务系统不受来自各方的侵害。 基于事件周期的设计 咨询电话：400-806-6868 深信服科技作为国内规模最大、创新能力最强的前沿网络设备供应商，旨在提供快速、智能 服务电话：400-630-6430 的应用交付网络解决方案，帮助商业用户提升带宽价值。 一站式Web 安全解决方案 文档密级：公开 攻击的防护不可能实现百分百的安全。Web 系统的安全建设必须贯穿到整个Web 安全 事件周期中，设立事前、事中、事后三道安全防线分阶段进行防护。 NGAF 提供事前策略自检、事中攻击防护、事后防止篡改的整体安全防护。 ? 事前策略自检*：在配置完安全策略后，NGAF 可以自动进行扫描和探测，查看系统还 存在哪些安全策略漏洞和隐患； ? 事中