資源描述:
《商行銀行網(wǎng)站加固方案》由會員上傳分享��,免費在線閱讀��,更多相關內(nèi)容在工程資料-天天文庫����。
1����、商業(yè)銀行網(wǎng)站加固方案一����、產(chǎn)品概況1.iGuard網(wǎng)頁防篡改系統(tǒng)iGuard網(wǎng)頁防篡改系統(tǒng)是完全保護Web網(wǎng)站不發(fā)送被篡改內(nèi)容并進行自動恢復的Web頁面保護軟件。iGuard網(wǎng)頁防篡改系統(tǒng)(以下簡稱iGuard)采用先進的Web服務器核心內(nèi)嵌技術����,將篡改檢測模塊(數(shù)字水印技術)和應用防護模塊(防注入攻擊)內(nèi)嵌于Web服務器內(nèi)部,并輔助以增強型事件觸發(fā)檢測技術�����,不僅實現(xiàn)了對靜態(tài)網(wǎng)頁和腳本的實時檢測和恢復��,更可以保護數(shù)據(jù)庫中的動態(tài)內(nèi)容免受來自于Web的攻擊和篡改��,徹底解決網(wǎng)頁防篡改問題�����。iGuard的篡改檢測模塊使用密碼技術���,為網(wǎng)頁對象計算出唯一性的數(shù)字水印���。公眾每次
2、訪問網(wǎng)頁時�����,都將網(wǎng)頁內(nèi)容與數(shù)字水印進行對比�;一旦發(fā)現(xiàn)網(wǎng)頁被非法修改,即進行自動恢復��,保證非法網(wǎng)頁內(nèi)容不被公眾瀏覽�����。同時���,iGuard的應用防護模塊也對用戶輸入的URL地址和提交的表單內(nèi)容進行檢查��,任何對數(shù)據(jù)庫的注入式攻擊都能夠被實時阻斷�����。iGuard以國家863項目技術為基礎���,全面保護網(wǎng)站的靜態(tài)網(wǎng)頁和動態(tài)網(wǎng)頁��。iGuard支持網(wǎng)頁的自動發(fā)布����、篡改檢測�����、應用保護����、警告和自動恢復,保證傳輸�、鑒別、完整性檢查���、地址訪問�����、表單提交��、審計等各個環(huán)節(jié)的安全�,完全實時地杜絕篡改后的網(wǎng)頁被訪問的可能性,也杜絕任何使用Web方式對后臺數(shù)據(jù)庫的篡改�����。iGuard支持所有主流的操作系
3�����、統(tǒng)��,包括:Windows���、Linux、FreeBSD���、Unix(Solaris�����、HP-UX�����、AIX)���;支持常用的Web服務器軟件�,包括:IIS�����、Apache�、SunONE、Weblogic�、WebSphere、Tomcat等��;保護所有常用的數(shù)據(jù)庫系統(tǒng)����,包括:SQLServer、Oracle����、MySQL、Access等�����。商業(yè)銀行網(wǎng)站加固方案5/51.iWall應用防火墻iWall應用防火墻(Web應用防護系統(tǒng))是一款保護Web站點和應用免受來自于應用層攻擊的Web防護系統(tǒng)。iWall應用防火墻實現(xiàn)了對Web站點特別是Web應用的保護�����。它內(nèi)置于Web服務器軟件中�����,通
4���、過分析應用層的用戶請求數(shù)據(jù)(如URL、參數(shù)�、鏈接、Cookie等)����,區(qū)分正常用戶訪問Web和攻擊者的惡意行為,對攻擊行為進行實時阻斷和報警����。這些攻擊包括利用特殊字符修改數(shù)據(jù)的數(shù)據(jù)攻擊、設法執(zhí)行程序或腳本的命令攻擊等����,黑客通過這些攻擊手段可以達到篡改數(shù)據(jù)庫和網(wǎng)頁、繞過身份認證和假冒用戶��、竊取用戶和系統(tǒng)信息等嚴重危害網(wǎng)站內(nèi)容安全的目的。iWall應用防火墻對常見的注入式攻擊��、跨站攻擊��、上傳假冒文件��、不安全本地存儲��、非法執(zhí)行腳本�����、非法執(zhí)行系統(tǒng)命令��、資源盜鏈���、源代碼泄漏��、URL訪問限制失效等攻擊手段都著有效的防護效果�。iWall應用防火墻為軟件實現(xiàn)���,適用于所有的操作系統(tǒng)
5����、和Web服務器軟件,并且完全對Web應用系統(tǒng)透明�����。應用防火墻是現(xiàn)代網(wǎng)絡安全架構的一個重要組成部分����,它著重進行應用層的內(nèi)容檢查和安全防御,與傳統(tǒng)安全設備共同構成全面和有效的安全防護體系���。二、商業(yè)銀行網(wǎng)站加固方案5/5網(wǎng)站部署方案1.系統(tǒng)現(xiàn)狀1)要點n商業(yè)銀行門戶分別由《門戶應用》和《網(wǎng)上銀行應用》構成���?��!堕T戶應用》的web是構架在windows系統(tǒng)上的動態(tài)應用?���!毒W(wǎng)上銀行應用》的web是架構在IBM的AIX小型機系統(tǒng)上的動態(tài)應用。n《門戶應用》和《網(wǎng)上銀行應用》的動態(tài)腳本發(fā)布方式為:網(wǎng)站編輯直接將制作好的腳本文件FTP發(fā)到Web服務器上�。2)安全隱患目前這個系統(tǒng)在
6、Web應用安全方面存在如下安全隱患:nWeb服務器的網(wǎng)頁篡改:沒有網(wǎng)頁防篡改機制,網(wǎng)頁和應用腳本一旦被黑客篡改�����,沒有檢查���、報警和自動恢復機制�。nWeb服務器的應用防護:沒有應用防護機制���,無論是Web系統(tǒng)還是應用系統(tǒng)的漏洞�,都很容易給黑客以包括注入式攻擊���、跨站攻擊等各種Web層面攻擊的機會���。2.部署Web應用安全產(chǎn)品1)拓撲圖網(wǎng)站部署天存Web應用安全產(chǎn)品的網(wǎng)絡拓撲圖如圖示2所示。商業(yè)銀行網(wǎng)站加固方案5/5門戶WindowsFTPiGuard發(fā)布服務器網(wǎng)站腳本文件更新圖例:向站點服務器的文件正常發(fā)布網(wǎng)銀UnixWeb服務器iGuardWeb端軟件Web服務器iGu
7�、ardWeb端軟件iWallWeb端軟件圖示1天存web應用安全產(chǎn)品部署拓撲圖1)要點n增加(硬件):新增一臺PC服務器,其上部署iGuard發(fā)布服務器軟件���。對《門戶應用》和《網(wǎng)上銀行應用》上的靜態(tài)文件�、動態(tài)腳本文件等提供發(fā)布和篡改恢復服務���。n增加(軟件):在《門戶應用》和《網(wǎng)上銀行應用》的Web服務器上分別部署iGuard網(wǎng)頁防篡改系統(tǒng)標準版的Web端軟件���,即同步服務器���、防篡改模塊。iWall應用防火墻的應用防護模塊�����。n變更:《門戶應用》和《網(wǎng)上銀行應用》的文件目標發(fā)布地址由原Web服務器改為iGuard的發(fā)布服務器�����。n刪除:關閉Web服務器上FTP等不安全的
8�����、端口�����。商業(yè)銀行網(wǎng)站加固方
