Web应用安全项目解决方案

目录

一. 项目背景及必要性 (2)

1.1 项目背景 (2)

二.中国铁建Web应用安全风险分析 (5)

2.1 应用层安全风险分析 (5)

2.1.1 身份认证漏洞 (5)

2.1.2 www服务漏洞 (5)

2.1.3 Web网站应用漏洞 (5)

2.2 管理层安全风险分析 (6)

三. 中国铁建Web网站安全防护方案 (7)

3.1 产品介绍 (8)

3.1.1 WebGuard网页防篡改保护系统解决方案 (8)

3.1.2 WebGuard-WAF综合应用安全网关 (11)

3.2 系统部署 (17)

3.2.1 详细部署 (17)

3.2.2 部署后的效果 (18)

四. 系统报价 (19)

一. 项目背景及必要性

1.1 项目背景

近年来，信息技术的飞速发展使人们获取、交流和处理信息的手段发生了巨大的变化，

随着信息时代的到来，信息化发展也为移动工作带来了新的挑战和机遇。

近两年来，黑客攻击、网络病毒等等已经屡见不鲜，而且一次比一次破坏力大，对网络

安全造成的威胁也越来越大，一旦网络存在安全隐患，遭受重大损失在所难免。在企业网中，网络管理者对于网络安全普遍缺乏重视，但是随着网络环境的恶化，以及一次次付出惨重代

价的教训，企事业单位网的管理者已经将安全因素看作网络建设、改造的关键环节。

国内相关行业网站的安全问题有其历史原因：在旧网络时期，一方面因为意识与资金方

面的原因，以及对技术的偏好和运营意识的不足，普遍都存在“重技术、轻安全、轻管理”的倾向，政府网络建设者在安全方面往往没有太多的关注，常常只是在内部网与互联网之间放一

个防火墙就万事大吉，有些政府甚至什么也不放，直接面对互联网，这就给病毒、黑客提供

了充分施展身手的空间。而病毒泛滥、黑客攻击、信息丢失、服务被拒绝等等，这些安全隐

患发生任何一次对整个网络都将是致命性的。

随着网络规模的急剧膨胀，网络用户的快速增长，网站在各行业的信息化建设中已经在

扮演至关重要的角色，作为数字化信息的最重要传输载体，如何保证企业、金融证券、政府

及事业单位网络能正常的运行不受各种网络黑客的侵害就成为各地政府不可回避的一个紧迫

问题；因此，解决网络安全问题刻不容缓。

当前企业、金融证券和政府业务系统大都居于B/S架构，使用Web应用来运行核心业务，然而，Web应用安全威胁已成为当前信息安全的主要威胁，从以下数据可以看出，80%以上的信息安全威胁来自于Web应用：

图1.1 信息安全事件分布图1.2 Web漏洞发展趋势

图1.3 最新十大安全威胁

从以上数据可以看出，随着Web应用的极速发展及大量使用，Web应用漏洞在急剧增加，Web安全威胁已成为当前信息安全的主要威胁。因此，在平台业务建设的同时，必须加强Web 应用安全建设，通过全面有效的Web安全防护，保障业务系统正常稳定运行。

基于以上数据信息可以看出，中国铁建的对外网站直接暴露在互联网，存在极大的安全

威胁，需要对Web网站做必要的安全防护。

二. 中国铁建Web应用安全风险分析

2.1 应用层安全风险分析

Web应用系统主要存在以下安全风险：用户提交的业务信息被监听或修改；用户对成功

提交的业务进行事后抵赖；由于移动网络对外提供网上WWW服务，因此存在外网非法用户

对内部网和服务器的攻击。

2.1.1 身份认证漏洞

服务系统登录和主机登录使用的是静态口令，口令在一定时间内是不变的，且在数据库

中有存储记录，可重复使用。这样非法用户通过网络窃听，非法数据库访问，穷举攻击，重

放攻击等手段很容易得到这种静态口令，然后，利用口令，可对资源非法访问和越权操作。

对移动系统的网上移动服务平台，必须加强用户的身份认证，防止对移动网络资源的非

授权访问以及越权操作。

2.1.2 www服务漏洞

Web Server目前正在成为移动系统对外宣传、开展业务的基地，但公开服务器本身不能保证没有漏洞，不法分子可能利用服务的漏洞修改页面甚至破坏服务器。系统中的BUG，使得黑客可以远程对公开服务器发出指令，从而导致对系统进行修改和损坏，包括无限制地向服

务器发出大量指令，以至于服务器“拒绝服务”，最终引起整个系统的崩溃。这就要求我们必须提高服务器的抗破坏能力，防止拒绝服务（DOS）或分布式拒绝服务（DDOS）之类的恶意攻击，提高服务器备份与恢复、防篡改与自动修复能力。

2.1.3 Web网站应用漏洞

Web网站用于对外提供服务，作为对外展示的窗口，部分网站与用户还有相当部分的数

据交互，Web网站应用在开发过程中，难免会出现一些漏洞，如：SQL注入漏洞、跨站漏洞、敏感信息泄露漏洞等，这些漏洞很容易被黑客检测到并加以利用，达到篡改数据，截取数据

信息等目的，黑客还可以利用漏洞提升权限，达到控制计算机，损坏数据信息等操作，对用

户数据信息造成极大威胁。

2.2 管理层安全风险分析

再安全的网络设备离不开人的管理，再好的安全策略最终要靠人来实现，因此管理是整

个网络安全中最为重要的一环，尤其是对于一个比较庞大和复杂的网络，更是如此。因此我

们有必要认真的分析管理所带来的安全风险，并采取相应的安全措施。

移动系统应按照国家关于计算机和网络的一些安全管理条例，如《计算站场地安全要求》、《中华人民共和国计算机信息系统安全保护条例》等，制订安全管理制度。

责权不明，管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风

险。责权不明，管理混乱，使得一些员工或管理员随便让一些非本地员工甚至外来人员进入

机房重地，或者员工有意无意泄漏他们所知道的一些重要信息，而管理上却没有相应制度来

约束。

当网络出现攻击行为或网络受到其它一些安全威胁时（如内部人员的违规操作等），无法进行实时的检测、监控、报告与预警。同时，当事故发生后，也无法提供黑客攻击行为的追

踪线索及破案依据，即缺乏对网络的可控性与可审查性。这就要求我们必须对站点的访问活

动进行多层次的记录，及时发现非法入侵行为。建立全新网络安全机制，必须深刻理解网络

并能提供直接的解决方案，因此，最可行的做法是管理制度和管理解决方案的结合。