資源描述:
《商行銀行網(wǎng)站加固方案》由會(huì)員上傳分享,免費(fèi)在線閱讀�����,更多相關(guān)內(nèi)容在工程資料-天天文庫�����。
1��、商業(yè)銀行網(wǎng)站加固方案一����、產(chǎn)品概況1.iGuard網(wǎng)頁防篡改系統(tǒng)iGuard網(wǎng)頁防篡改系統(tǒng)是完全保護(hù)Web網(wǎng)站不發(fā)送被篡改內(nèi)容并進(jìn)行自動(dòng)恢復(fù)的Web頁面保護(hù)軟件���。iGuard網(wǎng)頁防篡改系統(tǒng)(以下簡(jiǎn)稱iGuard)采用先進(jìn)的Web服務(wù)器核心內(nèi)嵌技術(shù)���,將篡改檢測(cè)模塊(數(shù)字水印技術(shù))和應(yīng)用防護(hù)模塊(防注入攻擊)內(nèi)嵌于Web服務(wù)器內(nèi)部,并輔助以增強(qiáng)型事件觸發(fā)檢測(cè)技術(shù)��,不僅實(shí)現(xiàn)了對(duì)靜態(tài)網(wǎng)頁和腳本的實(shí)時(shí)檢測(cè)和恢復(fù)�,更可以保護(hù)數(shù)據(jù)庫中的動(dòng)態(tài)內(nèi)容免受來自于Web的攻擊和篡改,徹底解決網(wǎng)頁防篡改問題�����。iGuard的篡改檢測(cè)模塊使用密碼技術(shù)����,為網(wǎng)頁對(duì)象計(jì)算出唯一性的數(shù)字水印�����。公眾每次
2��、訪問網(wǎng)頁時(shí)�,都將網(wǎng)頁內(nèi)容與數(shù)字水印進(jìn)行對(duì)比�����;一旦發(fā)現(xiàn)網(wǎng)頁被非法修改����,即進(jìn)行自動(dòng)恢復(fù),保證非法網(wǎng)頁內(nèi)容不被公眾瀏覽�����。同時(shí)��,iGuard的應(yīng)用防護(hù)模塊也對(duì)用戶輸入的URL地址和提交的表單內(nèi)容進(jìn)行檢查���,任何對(duì)數(shù)據(jù)庫的注入式攻擊都能夠被實(shí)時(shí)阻斷��。iGuard以國(guó)家863項(xiàng)目技術(shù)為基礎(chǔ)���,全面保護(hù)網(wǎng)站的靜態(tài)網(wǎng)頁和動(dòng)態(tài)網(wǎng)頁���。iGuard支持網(wǎng)頁的自動(dòng)發(fā)布�����、篡改檢測(cè)�、應(yīng)用保護(hù)、警告和自動(dòng)恢復(fù)�,保證傳輸、鑒別�、完整性檢查、地址訪問��、表單提交�����、審計(jì)等各個(gè)環(huán)節(jié)的安全��,完全實(shí)時(shí)地杜絕篡改后的網(wǎng)頁被訪問的可能性����,也杜絕任何使用Web方式對(duì)后臺(tái)數(shù)據(jù)庫的篡改����。iGuard支持所有主流的操作系
3��、統(tǒng)�,包括:Windows、Linux���、FreeBSD��、Unix(Solaris�����、HP-UX����、AIX)���;支持常用的Web服務(wù)器軟件����,包括:IIS、Apache�、SunONE、Weblogic����、WebSphere、Tomcat等��;保護(hù)所有常用的數(shù)據(jù)庫系統(tǒng)�����,包括:SQLServer��、Oracle��、MySQL��、Access等��。商業(yè)銀行網(wǎng)站加固方案5/51.iWall應(yīng)用防火墻iWall應(yīng)用防火墻(Web應(yīng)用防護(hù)系統(tǒng))是一款保護(hù)Web站點(diǎn)和應(yīng)用免受來自于應(yīng)用層攻擊的Web防護(hù)系統(tǒng)���。iWall應(yīng)用防火墻實(shí)現(xiàn)了對(duì)Web站點(diǎn)特別是Web應(yīng)用的保護(hù)。它內(nèi)置于Web服務(wù)器軟件中�����,通
4、過分析應(yīng)用層的用戶請(qǐng)求數(shù)據(jù)(如URL�����、參數(shù)���、鏈接����、Cookie等)��,區(qū)分正常用戶訪問Web和攻擊者的惡意行為�����,對(duì)攻擊行為進(jìn)行實(shí)時(shí)阻斷和報(bào)警����。這些攻擊包括利用特殊字符修改數(shù)據(jù)的數(shù)據(jù)攻擊、設(shè)法執(zhí)行程序或腳本的命令攻擊等���,黑客通過這些攻擊手段可以達(dá)到篡改數(shù)據(jù)庫和網(wǎng)頁�、繞過身份認(rèn)證和假冒用戶、竊取用戶和系統(tǒng)信息等嚴(yán)重危害網(wǎng)站內(nèi)容安全的目的���。iWall應(yīng)用防火墻對(duì)常見的注入式攻擊���、跨站攻擊、上傳假冒文件�、不安全本地存儲(chǔ)、非法執(zhí)行腳本�、非法執(zhí)行系統(tǒng)命令、資源盜鏈�、源代碼泄漏、URL訪問限制失效等攻擊手段都著有效的防護(hù)效果��。iWall應(yīng)用防火墻為軟件實(shí)現(xiàn)���,適用于所有的操作系統(tǒng)
5、和Web服務(wù)器軟件���,并且完全對(duì)Web應(yīng)用系統(tǒng)透明���。應(yīng)用防火墻是現(xiàn)代網(wǎng)絡(luò)安全架構(gòu)的一個(gè)重要組成部分,它著重進(jìn)行應(yīng)用層的內(nèi)容檢查和安全防御����,與傳統(tǒng)安全設(shè)備共同構(gòu)成全面和有效的安全防護(hù)體系����。二�、商業(yè)銀行網(wǎng)站加固方案5/5網(wǎng)站部署方案1.系統(tǒng)現(xiàn)狀1)要點(diǎn)n商業(yè)銀行門戶分別由《門戶應(yīng)用》和《網(wǎng)上銀行應(yīng)用》構(gòu)成?!堕T戶應(yīng)用》的web是構(gòu)架在windows系統(tǒng)上的動(dòng)態(tài)應(yīng)用?��!毒W(wǎng)上銀行應(yīng)用》的web是架構(gòu)在IBM的AIX小型機(jī)系統(tǒng)上的動(dòng)態(tài)應(yīng)用����。n《門戶應(yīng)用》和《網(wǎng)上銀行應(yīng)用》的動(dòng)態(tài)腳本發(fā)布方式為:網(wǎng)站編輯直接將制作好的腳本文件FTP發(fā)到Web服務(wù)器上����。2)安全隱患目前這個(gè)系統(tǒng)在
6、Web應(yīng)用安全方面存在如下安全隱患:nWeb服務(wù)器的網(wǎng)頁篡改:沒有網(wǎng)頁防篡改機(jī)制���,網(wǎng)頁和應(yīng)用腳本一旦被黑客篡改��,沒有檢查��、報(bào)警和自動(dòng)恢復(fù)機(jī)制��。nWeb服務(wù)器的應(yīng)用防護(hù):沒有應(yīng)用防護(hù)機(jī)制�����,無論是Web系統(tǒng)還是應(yīng)用系統(tǒng)的漏洞���,都很容易給黑客以包括注入式攻擊�����、跨站攻擊等各種Web層面攻擊的機(jī)會(huì)����。2.部署Web應(yīng)用安全產(chǎn)品1)拓?fù)鋱D網(wǎng)站部署天存Web應(yīng)用安全產(chǎn)品的網(wǎng)絡(luò)拓?fù)鋱D如圖示2所示��。商業(yè)銀行網(wǎng)站加固方案5/5門戶WindowsFTPiGuard發(fā)布服務(wù)器網(wǎng)站腳本文件更新圖例:向站點(diǎn)服務(wù)器的文件正常發(fā)布網(wǎng)銀UnixWeb服務(wù)器iGuardWeb端軟件Web服務(wù)器iGu
7����、ardWeb端軟件iWallWeb端軟件圖示1天存web應(yīng)用安全產(chǎn)品部署拓?fù)鋱D1)要點(diǎn)n增加(硬件):新增一臺(tái)PC服務(wù)器���,其上部署iGuard發(fā)布服務(wù)器軟件��。對(duì)《門戶應(yīng)用》和《網(wǎng)上銀行應(yīng)用》上的靜態(tài)文件�����、動(dòng)態(tài)腳本文件等提供發(fā)布和篡改恢復(fù)服務(wù)�����。n增加(軟件):在《門戶應(yīng)用》和《網(wǎng)上銀行應(yīng)用》的Web服務(wù)器上分別部署iGuard網(wǎng)頁防篡改系統(tǒng)標(biāo)準(zhǔn)版的Web端軟件���,即同步服務(wù)器���、防篡改模塊。iWall應(yīng)用防火墻的應(yīng)用防護(hù)模塊����。n變更:《門戶應(yīng)用》和《網(wǎng)上銀行應(yīng)用》的文件目標(biāo)發(fā)布地址由原Web服務(wù)器改為iGuard的發(fā)布服務(wù)器。n刪除:關(guān)閉Web服務(wù)器上FTP等不安全的
8�、端口。商業(yè)銀行網(wǎng)站加固方
