网站系统安全解决方案

技术解决方案营销管理平台门户WEB系统安全解决方案DATE\@"EEEE年O月"二〇二三年六月建设背景背景与现状随着信息化的日益深刻，信息网络技术的应用日益普及，网络安全问题已经会成为影响网络效能的重要问题。如何使营销管理平台网站不受黑客和病毒的入侵，如何保障营销管理平台网站核心数据传输的安全性、可靠性，也是建设平台过程中所必须考虑的重要事情之一。B2B电子商务网站充分以客户为中心建制系统支持从SAP自动同步商品、价格、库存信息以类似B2C等传统电子商务网站形式展现商品，支持搜索引擎、热销排行、个性推荐支持专卖店B2B客户直接在网站下单支持专卖店B2B客户直接在网站在线支付实现电子商务网站和SAP产品信息、订单信息、客户信息同步B2B订单管理支持订单前置处理（订单审核、货源管理、价格管理、信用管理）支持订单导入SAP支持订单的状态和SAP状态（拣配、出库）同步支持订单收货确认、财务对账图进行抓包操作获取金额值图成功修改订单支付金额漏洞危害：攻击者利用该业务逻辑漏洞，通过阻碍正常用户的功能使用，或通过修改订单支付金额进行恶意拍买，将会客户自身和网上商城的运营造成严重经济损失或不良影响。应用层防护的必然性信息安全正如木桶理论所描术的那样，WEB应用系统的安全程序并不取决于我们在某一个方面安全投入的巨大，而在于我们是否针对脆弱的防护御点采取了有效的措施。WEB应用系统的防护需要采用专业的针对应用层的防护措施。针对WEB服务系统我们需要进行有效的防止网页被攻击或恶意篡改，杜绝因攻击而带来的恶性事件发生。针对于更为重要的电力数据我们更需要提高安全防护的水平，确保应用系统的数据不被恶意修改，敏感的数据不被非法访问或泄露。具体的需求主要表现为以下几个方面：阻断应用攻击攻击防护方面要求专业的WEB应用防护设备进行防护，能通过对输入内容的过滤及请求过滤实现对WEB站点的保护。能有效防止跨站脚本攻击、SQL注入等常见攻击。同时还需要有强大的可定制功能，针对WEB应用系统站点的特性进行定制安全策略，从而最大程序防护WEB站点。屏蔽安全隐患为了防止服务端敏感信息泄露需要通过有效的技术手段对现有网站的敏感信息进行屏蔽，如备份文件的下载、敏感数据库下载，管理后台的外网尝试等，另外要求能屏蔽编写程序过程中遗留下的程序注释，对服务出错信息进行有效屏蔽。防止网页篡改网页防篡改方面需要一种对服务器性能影响最低，但有实际有效的防护机制。能实时监测网站服务器的相关信息是否给非法更改，一旦发现被改则第一时间通知管理员，并形成详细的日志信息。但对外仍显示篡改前的正常页面，用户可正常访问网站。事后可对原始文件及篡改后的文件进行本地下载比较，查看篡改记录，恢复被篡改的页面。WEB系统防护解决方案WEB安全需求对Web应用的安全防护主要包括如下需求：部署简便，管理集中，操作简洁，性能影响甚微。包括：对现有网络拓扑结构无影响。方便管理，无需进行复杂的配置。对现有WEB服务器的访问速率不能造成太大的影响。对正常业务访问不能进行错误的拦截阻断。在需要保护的WEB门户服务器前端透明直连部署一台WEB应用防火墙，对网站实行7X24小时的实时监控，保护WEB站点数据不被攻击，避免网页篡改给网站带来的形象损害，避免信息内容不合规等；WEB安全评估网站安全保障是一项系统工程。网站的安全保障当前最为薄弱的环节就在于缺少对WEB防护层面的整体考虑。针对网站的安全评估，需要使用安全扫描、渗透测试、安全监测三个方面的技术手段进行实施评估工作。

图2安全评估手段

安全扫描安全扫描采用模拟入侵者的手法，对网站进行模拟攻击。可迅速发现大多数常见的网站安全漏洞，如常见的SQL注入、跨站脚本、目录浏览、应用错误等漏洞。便于指导后期的安全分析和加固工作。安全扫描器技术先进的同时也存在一些无法解决的问题，如网页内容中的恶意代码难识别、程序中的逻辑漏洞等需要人工判断的内容无法实现自动化。安全监测建立网站安全监测平台实现对网站内容的安全监测，主要用于对网页木马监测、网站可用性、关键字监测。通过该平台，可以实现网页木马监测，因为网页木马不同于常规的网站漏洞，具有一定的潜伏性和隐蔽性，常规模拟入侵者的攻击无法发现木马，而需要模拟成一个有漏洞的操作系统去访问这些网页，监测有漏洞的操作系统是否会被网站植入木马。渗透测试渗透测试借助安全专家多年安全测试的经验，使用大量安全工具、安全方法和安全理论相结合，从攻击、防御多个角度出发去识别网站存在的安全风险。相比于工具型扫描渗透测试更多侧重于逻辑类型的安全问题识别、需要人工辅助类型的安全问题检测，从而可以将网站的安全水平提升到一个新的高度。例如检测出网站存某处敏感信息泄露，可能报告的是低危险级别的安全事件。然后辅助人工则可利用这个敏感信息可能进一步获取网站的管理员账户和密码信息，最终实现完全控制网站的目的。WEB安全防御安全防御是实践安全预警、分析、防御、加固的系统措施的过程，而非部署某一款安全产品这样简单。建议营销管理平台网站安全的防御应至少做到如下三个方面。安全分析安全分析是安全防御的基础，安全分析的重心是安全评估的报告和安全设备的日志汇总信息。通过安全分析可以清晰的认识到当前存在的主要问题以及所面临的安全威胁。安全分析是一个跨部门协调的工作，通常由用户职能部门牵头安全服务商负责整体安全分析的内容纲要，由安全服务商、软件开发商、系统运维人员、业务使用代表等共同参与以最终确定安全防御的目标。安全防护当网站检测出有特定安全问题时将提出相应的安全应对措施。除通用的防护策略之外还提供相关的安全加固对象，满足安全加固策略的实施。安全加固网站安全加固是一个不断改进的过程，随着业务的变更、安全研究的深入等均会促进安全加固工作的展开。安全加固建议：采用硬件WEB应用防火墙加固的同时硬件厂商为用户方提供详细的安全加固建议，便于程序开发商修复存在的安全缺陷。WEB安全建议定期进行专业的安全评估，包括黑盒测试-远程深度安全评估以及白盒测试-本地代码安全评估。针对安全评估结果进行专业安全整改和加固。建立和完善一套有效的安全管理制度，对长虹集团的日常维护和使用进行规范。建立起一套完善有效的应急响应预案和流程，并定期进行应急演练，一旦发现发生任何异常状况可及时进行处理和恢复，有效避免网站业务中断带来损失。定期对相关管理人员和技术人员进行安全培训，提高安全技术能力和实际操作能力。完善的事件处理防护体系结构图事前检查针对营销管理平台各WEB应用系统及部分未上线的应用系统，采用WEB应用扫描器进行一次WEB系统全面的OWASPTOP10检测，可以帮助用户充分了解WEB应用存在的安全隐患，建立安全