网站系统安全解决专项方案.docVIP

营销管理平台门户WEB系统

安全处理方案

DATE\@EEEE年O月二〇一三年一月

建设背景

背景和现实状况

伴随信息化日益深刻，信息网络技术应用日益普及，网络安全问题已经会成为影响网络效能关键问题。怎样使营销管理平台网站不受黑客和病毒入侵，怎样保障营销管理平台网站关键数据传输安全性、可靠性，也是建设平台过程中所必需考虑关键事情之一。

B2B电子商务网站

充足以用户为中心建制系统

支持从SAP自动同时商品、价格、库存信息

以类似B2C等传统电子商务网站形式展现商品，支持搜索引擎、热销排行、个性推荐

支持专卖店B2B用户直接在网站下单

支持专卖店B2B用户直接在网站在线支付

实现电子商务网站和SAP产品信息、订单信息、用户信息同时

B2B订单管理

支持订单前置处理（订单审核、货源管理、价格管理、信用管理）

支持订单导入SAP

支持订单状态和SAP状态（拣配、出库）同时

支持订单收货确定、财务对账

页面被篡改

门户网站一旦被篡改（加入部分敏感显性内容），常常会引发较大影响，严重时甚至会造成政治事件。

另外一个篡改方法是网页挂马：网页内容表面上没有任何异常，却可能被偷偷挂上了木马程序。网页挂马即使未必会给网站带来直接损害，但却会给浏览网站用户带来损失。

在线业务被攻击

对企业和个人用户提供在线服务，已经成为门户网站关键功效。这些服务一旦受到拒绝服务攻击而瘫痪、终止，对业务正常运转肯定造成极大影响，可能会造成经济损失，严重时甚至会影响社会稳定。

机密数据外泄

在线业务系统中，总是需要保留部分企业、公众相关资料，这些资料往往包含到企业秘密和个人隐私，一旦泄露，会造成企业或个人利益受损，可能会给单位带来严重法律纠纷。

安全体系缺乏应用防护

综合针对现有长虹网站安全数据维护经验对营销管理平台网站网络及应用环境进行了安全分析，分析表明现有网络架构含有很好网络安全防御能力和操作系统安全管理能力，而在WEB应用层面缺乏相关安全防护方法和长久有效机制。

图：网络环境拓扑

安全分析

经过杭州安恒科技工程师针在过去十二个月对长虹信息化网站服务器集群所进行数次远程安全评定结果，暴露了很多应用层安全问题。诸如长虹电子商城业务逻辑漏洞造成入侵者修改商品价格1元购机等漏洞。示例以下：

漏洞展现：

正常购置商品下订单同时进行WEB数据抓包获取金额数值，进行恶意篡改订单支付金额。

图正常订单支付金额为4000元

图进行抓包操作获取金额值

图成功修改订单支付金额

漏洞危害：

攻击者利用该业务逻辑漏洞，经过阻碍正常见户功效使用，或经过修改订单支付金额进行恶意拍买，将会用户本身和网上商城运行造成严重经济损失或不良影响。

应用层防护肯定性

信息安全正如木桶理论所描术那样，WEB应用系统安全程序并不取决于我们在某一个方面安全投入巨大，而在于我们是否针对脆弱防护御点采取了有效方法。

WEB应用系统防护需要采取专业针对应用层防护方法。针对WEB服务系统我们需要进行有效预防网页被攻击或恶意篡改，杜绝因攻击而带来恶性事件发生。针对于更为关键电力数据我们更需要提升安全防护水平，确保应用系统数据不被恶意修改，敏感数据不被非法访问或泄露。

具体需求关键表现为以下多个方面：

阻断应用攻击

攻击防护方面要求专业WEB应用防护设备进行防护，能经过对输入内容过滤及请求过滤实现对WEB站点保护。能有效预防跨站脚本攻击、SQL注入等常见攻击。同时还需要有强大可定制功效，针对WEB应用系统站点特征进行定制安全策略，从而最大程序防护WEB站点。

屏蔽安全隐患

为了预防服务端敏感信息泄露需要经过有效技术手段对现有网站敏感信息进行屏蔽，如备份文件下载、敏感数据库下载，管理后台外网尝试等，另外要求能屏蔽编写程序过程中遗留下程序注释，对服务犯错信息进行有效屏蔽。

预防网页篡改

网页防篡改方面需要一个对服务器性能影响最低，但有实际有效防护机制。能实时监测网站服务器相关信息是否给非法更改，一旦发觉被改则第一时间通知管理员，并形成具体日志信息。但对外仍显示篡改前正常页面，用户可正常访问网站。事后可对原始文件及篡改后文件进行当地下载比较，查看篡改统计，恢复被篡改页面。

WEB系统防护处理方案

WEB安全需求

对Web应用安全防护关键包含以下需求：布署简便，管理集中，操作简练，性能影响甚微。包含：

对现有网络拓扑结构无影响。

方便管理，无需进行复杂配置。

对现有WEB服务器访问速率不能造成太大影响。

对正常业务访问不能进行错误拦截阻断。

在需要保护WEB门户服务器前端透明直连布署一台WEB应用防火墙，对网站实施7X二十四小时实时监控，保护WEB站点数据不被攻击，避免网页篡改给网站带来形象损害，避免信息内容不合规等；

WEB安全评定

网站安全保障是一项系统工程。网站安全保障目