网站系统安全解决方案...docxVIP

营销管理平台门户 WEB 系统 安全解决方案 1建设背景 1.1背景与现状 随着信息化的日益深刻，信息网络技术的应用日益普及，网络安全问题已 经会成为影响网络效能的重要问题。如何使营销管理平台网站不受黑客和病毒 的入侵，如何保障营销管理平台网站核心数据传输的安全性、可靠性，也是建 设平台过程中所必须考虑的重要事情之一。 B2B电子商务网站 -充分以客户为中心建制系统 -支持从SAP自动同步商品、价格、库存信息 -以类似B2C等传统电子商务网站形式展现商品，支持搜索引擎、 热销排行、个性推荐 -支持专卖店B2B客户直接在网站下单 -支持专卖店B2B客户直接在网站在线支付 -实现电子商务网站和SAP产品信息、订单信息、客户信息同步 B2B订单管理 -支持订单前置处理（订单审核、货源管理、价格管理、信用管 理） -支持订单导入SAP -支持订单的状态和SAP状态（拣配、出库）同步 -支持订单收货确认、财务对账 页面被篡改 门户网站一旦被篡改（加入一些敏感的显性内容），常常会引发较大的影 响，严重时甚至会造成政治事件。 另外一种篡改方式是网页挂马：网页内容表面上没有任何异常，却可能被 偷偷的挂上了木马程序。网页挂马虽然未必会给网站带来直接损害，但却会给 浏览网站的用户带来损失。 在线业务被攻击 对企业和个人用户提供在线服务，已经成为门户网站的重要功能。这些服 务一旦受到拒绝服务攻击而瘫痪、终止，对业务的正常运转必然造成极大的影 响，可能会造成经济损失，严重时甚至会影响社会稳定。 机密数据外泄 在线业务系统中，总是需要保存一些企业、公众的相关资料，这些资料往 往涉及到企业秘密和个人隐私，一旦泄露，会造成企业或个人的利益受损，可 能会给单位带来严重的法律纠纷。 1.2安全体系缺少应用防护 综合针对现有长虹网站安全数据维护经验对营销管理平台网站的网络及应 用环境进行了安全分析，分析表明现有的网络架构具备较好的网络安全防御能 力和操作系统安全管理能力，而在 WEB应用层面缺少相关的安全防护措施和 长效机制 Internet应用服务器数据库服务器网络存储路由器防火墙2/3层交换机应用前端 交换机Wet服务器IPS图：网络环境拓扑1.3安全分析 Internet 应用服务器 数据库服务器 网络存储 路由器防火墙 2/3层交换机 应用前端 交换机 Wet服务器 IPS 图：网络环境拓扑 通过杭州安恒科技工程师针在过去一年对长虹信息化网站服务器集群所进 行的多次远程安全评估结果，暴露了诸多应用层安全问题。诸如长虹电子商城 业务逻辑漏洞导致入侵者修改商品价格 1元购机等漏洞。示例如下： ? 漏洞展现: 正常购买商品下订单的同时进行 WEB数据抓包获取金额数值，进行恶意篡改订单支 付金额。 如匸下芟仃屮甘 4 QIX 图正常订单支付金额为 4000元 IU9U |PQ3T * ”I姑 丁￥*3期 町停/l L~ 汁 h..畀』-.5 M临归ch W 氐诂r- hUtss:』i■曲西 chrh^c ” q卫an卜irb斗曲i ^stsesser1. ct^Qidsr： hp口 n(pi intfg厂二知应口片 囚二現,Lani]牡-0t3rrfci=J0CmLkyptEuN ?：wwH5apb:ipJ￥? ■^Tr^r2ALMTKPPFix Lrq.-mT^s jtz—HKim M^LHttpflea jesE i：0bert■ T**■; q*ta*n砒％-v^iM-ferni-udenicbf! ftcspt ^rccCrc ocp. derive )3小*花 mcq 耳so ly.wJfefcc 帼r i.c, 屮 wr 和 mi⑷wq； wrTCLn / mm就巧 mt 产匾 i 山慣臨jisii nnciP i.t w：?j Ho或：十町pviaP1 口口rm LE Krt Lor? ch 1T7 CCiTjriL^iJrr 4jK-|p.AJk^ 「fie加 弼 商■HfFwt.tKnmn I玉FQI276 IM En!ZT|4JHLM|「rtrTl0l”?%厉叶 uh I -let Lil l]lk el：flii]dlr lljilfj ^ei.rf -声叭險丁由」塔》用 dXw 列?眄 feNUPii 埠寸庫■钾旺卄1 上?护為k ■? 5如口 e 福叶；1 上 图进行抓包操作获取金额值 图成功修改订单支付金额 ? 漏洞危害： 攻击者利用该业务逻辑漏洞，通过阻碍正常用户的功能使用，或通过修改 订单支付金额进行恶意拍买，将会客户自身和网上商城的运营造成严重经济损 失或不良影响。 1.4应用层防护的必然性 信息安全正如木桶理论所描术的那样，WEB应用系统的安全程序并不取决 于我们在某一个方面安全投入的巨大，而在于我们是否针对脆弱的防护御