AF_方案模板_企业_电子商务平台网站安全解决方案V1.0.docxVIP

深信服电子商务平台网站安全解决方案 PAGE 2 深信服科技版权所有 深信服电子商务平台网站安全解决方案 深信服科技股份有限公司 20XX年XX月XX日  目录 TOC \o 1-3 \h \z \u 深信服电子商务平台网站安全解决方案 1 一、应用背景 3 二、需求分析 3 三、深信服解决之道 4 3.1 OWASP十大 web攻击防护 4 3.2系统及应用程序漏洞攻击防护 4 3.3风险评估及智能策略联动 5 3.4网关型网页防篡改 5 3.5可定义的敏感信息防泄漏 5 3.6智能的DOS/DDOS攻击防护 5 四、总结 6  一、应用背景 随着计算机网络的全面普及，基于internet的电子商务在近年来取得空前的发展，已经成为一种全新的商务模式。作为一种新型的商务模式，电子商务在全球范围内以惊人的速度快速发展。但由于它是基于internet开展商务活动，大量的重要信息需要在网上传递，尤其涉及到资金流动的问题。因此如何保障电子商务各个过程的安全是影响电子商务发展的一个至关重要的问题。 二、需求分析 近年来，网络安全事件不断攀升，电子商务、金融成为了主要目标，国家互联网应急中心（CNCERT/CC）《2011年我国互联网网络安全态势综述》显示“网站安全类事件占到61.7%；境内被篡改网站数量为36612个，较2010年增加5.1%；4月-12月被植入网站后门的境内网站为12513个。CNVD接受的漏洞中，涉及网站相关的漏洞占22.7%，较2010年大幅上升，排名由第三位上升至第二位。网站安全问题进一步引发网站用户信息和数据的安全问题。2011年底，CSDN、天涯等网站发生用户泄露事件引起社会广泛关注，被公开的疑似泄露数据库26个，涉及账号、密码信息2.78亿条，严重威胁互联网用户的合法权益和互联网安全。” 而电子商务业务网站涉及到直接的资金周转及经济利益，成为非法攻击者最为关注的对象。目前电子商务类业务面临的主要安全问题如下： 1、网页篡改问题 网页篡改是指攻击者利用web应用程序漏洞将正常的电子商务网页替换为攻击者提供的网页/文字/图片等内容。一般来说网页的篡改对计算机系统本身不会产生直接的影响，但对于电子商务等需要与用户通过网站进行沟通的应用而言，就意味着电子商务业务将被迫停止服务，对经济利益、企业形象及信誉会造成严重的损害。 2、网页挂马问题 网页挂马也是利用web攻击造成的一种网页篡改的安全问题，相对而言这种问题会比较隐蔽，但本质上这种方式也破坏了网页的完整性。网页挂马会导致电子商务网站的最终用户成为受害者，成为攻击者的帮凶或者造成自身的经济损失。这种问题出现在电子商务业务中也严重影响电子商务的正常运作并影响到公司的公信度。 3、敏感信息泄漏问题 这类安全问题主要web攻击、系统漏洞攻击等攻击手段操作后台数据库，导致数据库中储存的用户资料、身份证信息、账户信息、信用卡信息、联系方式等敏感信息被攻击者获取。这对于电子商务而言是致命的打击，可产生巨大的经济损失。 4、无法响应正常服务的问题 黑客通过DOS/DDOS拒绝服务攻击使电子商务网站无法响应正常请求。这种攻击行为使得网站服务器充斥大量要求回复的信息，严重消耗网络系统资源，导致电子商务网站无法响应正常的服务请求。对于时间就是金钱的电子商务业务而言是巨大的威胁。 三、深信服解决之道 深信服提供针对电子商务业务网站完整的安全解决方案，通过在线部署一台深信服下一代防火墙NGAF，从攻击源头上帮助用户防护导致电子商务网站各类网络/应用层安全威胁；同时深信服下一代防火墙NGAF提供的双向内容检测的技术帮助用户解决攻击被绕过后产生的网页篡改、敏感信息泄露的问题，实现防攻击、防篡改、防泄密的效果。 3.1 OWASP十大 web攻击防护 深信服下一代防火墙NGAF有效结合了web攻击的静态规则及基于黑客攻击过程的动态防御机制，实现双向的内容检测，提供OWASP定义的十大安全威胁的攻击防护能力，有效防止常见的web攻击。（如，SQL注入、XSS跨站脚本、CSRF跨站请求伪造）从而保护网站免受网站篡改、网页挂马、隐私侵犯、身份窃取、经济损失、名誉损失等问题。 3.2系统及应用程序漏洞攻击防护 深信服下一代防火墙NGAF提供基于操作系统漏洞的漏洞攻击防护，防止攻击者利用操作系统（如，win7/XP/、windows sever2003/2007、linux、unix）及发布软件漏洞（如，IIS、Apache等）对电子商务平台网站进行系统提权、系统破坏、信息窃取等