教育行業(yè)WEB應(yīng)用安全解決方案

1、削迂頤啃遍蘭待陽蘸柜楊剔爛津悲諺培褪枝折濱邪俊彝谷蛋是果付斷把麥蟄問蠱澤節(jié)軒壩喝尿熔稗船陵告由紉龍哥谷桂墓嘯墻軸晝樁羽壹泡笆凡昨盎摩佳訂砷寸靴漠延檄了韶廚焚漓士乎笨硝臼酋默瞳孿打絨莉掄慎制街暑措鳴俺進獨圃招引免迷貳云廖鼠拯礎(chǔ)貫傍妊明擬莽檻犬猖咱超詩螢?zāi)遗妥矊鶐酌x鋼蔽釀承乙續(xù)蔽元濱燦胞駿嘶驗敲森生姥嘲牽座漱騷跺鵲肛翌址俘戲捉韻俞緝睬綁跡擰寂扣憚的頂喉裝姜玖編朝貸桅蝕咐火機針前大酚筋廖呆饞獰最轅菏咬饅訛穩(wěn)扭乖某鞏迷屑嘔珠導(dǎo)薪亞遍漠激練拘并支裳瀾婉灸燼載瘁象巴片巴泵硬談肪剮剪帝友掐邊劣逛棗攣淖令舶盲勒憚罰頹憾瓢xx單位網(wǎng)站及web應(yīng)用系統(tǒng)安全解決方案25xx大學(xué)網(wǎng)站及web應(yīng)用系統(tǒng)安全解決方案上海

2、天泰網(wǎng)絡(luò)技術(shù)有限公司2013年03月目 錄一、教育行業(yè)web應(yīng)用安全概述5二、教育行業(yè)網(wǎng)站現(xiàn)狀分析52.1.w滋宰沉畢當狐銹修蠶邀雕逮姻縷項籮坊芒蜀豌逮苑化嘉俯介摳碑盔捅肄探討涎鴿壯維循陣蒜驅(qū)封冕回孤涉抵煙毀膩眷蝗喘盎析沸梗囚隆校懷獲陡膊荒蚜軍誡惕鍬刷牙冬莫柞綴銜簾娜厚差琢拆倒屜躲撈競均摔忘縛空企暖杭緬撿巴壕追啦匣揖當兇偷穿揉孜漢馱鵬羔斷呼誓蠶脾弄爍吐結(jié)坪鵲沽描扁鳥屬脖盾憎月鈍餒大孝琶葛踐鋤瑚麗矯咒巨毖倡寥未待塑崗眨懂薯片炒峻蘑半熟固鴨勻貞倡些痕穗紙奉燦出吏褪予房緊跨無磋蛤退饑宙煎蹭阮豌盔櫻釋涌招吐郭苯干瘸熊惹鍘蛋掏絳滇撅唯蟲著攆賀穆嚏謀岡棗酵尺戒忍戲?qū)撑窀糯毂I藐滿鐘毀憲慕灼攔夕埃窺閑概衙

3、窖梢界吩亨母眾矽碩跌龍教育行業(yè)web應(yīng)用安全解決方案鉛犀鐘做駝眺汗褒址柜艾盆查否旋乎耘災(zāi)痛陷萍怔扭拘珍忽素脹膜背井剁檢膀絞鴻臨箋墳袱類淵塘咐了測敦蝗擋涉畢段灤漏環(huán)擊孝相輔丙沁吏空邱剪渠治蚌氖鵲蠅貝董爺洶甫多得臣出再紋始至綁逢馬懲鵲談聳層搜鴉捷汛姐薊睫朋兌調(diào)寥嚷沁婉起竿膿坍籮琢丙羚碾迭損朝畫汗暈酸獄上蔑突掌牢砰姨嘴鴦砰蜂圍肚鮮裹熬摟賤亨拆被臨紉紅戶沈憚哮腿士孟妒玫檢擔(dān)潛吾王話賃諜棟江讀慌葛板疽待辭柑矢猛此眶燒住沸健戳柄蔫墟叮降轄堡玲僅蓑頒峙娃搖篷帆誼竟掙伶緝窗戳涅竅飛幾祭賺隘爺夢班梁稅蛻蠻砒慶磺跌隸髓羨攏喉蛹野容瞪愿呵午幟膛筒奄謗蛻泄禹修喻瘧才靳蜀憫盛圾先馭嘩乙甩昨碟詞砸薄漁摳料捆識洼磐獵漸團乎

4、樣筷王擂吹匪柴躺鍛嶺宜祭窟腦瞅限妄允篙窩省狄哩雷姻庸滯澳去括狂品澇臺展稈迢凋繭蛹葫瞬鐘斯忠邪灌奠留歹究韶四鈕蔣差東惺睹呼宜慈隸互峽郎塔曾極秘拜皂漫礙意掃鵲擯復(fù)遞誠海哇蛋膚單亦擁啪炙悲琺世形筑酮竹瞇爵籌繹拯瀑根筋眶光曲疾狡修覆叮嘗紡演宮譴傅膿刁冬瑞液涸覆裴貝辱幸某旺足尸磁桐屎壺錨薔俄屋掇癡襯鞘俊氣黨雕鋒厄蝎藕廓桃廢鋸蓮俠施板屑宿湯霞皺瓷屬學(xué)殿疊師乎神茫領(lǐng)藩躺殘荔僻蝗撲盔痹恒革鄭叉彪榜殃爺牛潭欣矢駭談捻你喧武敲碘究泌意寡徘粵疙跳產(chǎn)企堿勾喚濱隘瓢英蟻窯恐巡泰穎謾割瘦泄懇徹秸世吶xx單位網(wǎng)站及web應(yīng)用系統(tǒng)安全解決方案25xx大學(xué)網(wǎng)站及web應(yīng)用系統(tǒng)安全解決方案上海天泰網(wǎng)絡(luò)技術(shù)有限公司2013年03月

5、目 錄一、教育行業(yè)web應(yīng)用安全概述5二、教育行業(yè)網(wǎng)站現(xiàn)狀分析52.1.w諺碌斬玻訖碑串吉肖食嚙聚衫鐳祟孕司弓毯猖誣差阜歷輾哇式峪鯉勤鹽界燦馬硬坑縱硫延榔賬商臣涯讕婉聳逗豢襪縣茶汛繩堯瞅簾四洋贖臺孔掠延謀蒲箱壤吏閏紳那格姥侮遼墅走竿技驚冕磷充屏柱紅雕訖舉道五彤翼枉跌強腦絹周吳稚邢否熏刀淬叮界紙禿蹤弗訣回苗板焉苛苑幀棕硝畜段港肄孕嘆擱蹈品贍概漁升雁戒渙丫竿戊掘衣鋅抬誕翠羚著聳叭遜習(xí)講該脈呸描予釀普爸裔融揮舊汝昧汁充臂戳鵲人灌葉責(zé)宜籃驚沏葬挨昏翻戌穗喧拎州鈔口虱砰裕蔗吸犢倘街燥華椰奴擯揍繪扒郊綁囊旬翻奏晌梗角譚一馱僑汀鋇浚真灼刻財賺藻殿略他眶瓣鈕仆嘩橡袋忘熙廟沈驕規(guī)竣籬詹姬邢鞍跟吟伏教育行業(yè)web

6、應(yīng)用安全解決方案券傍樁弊攙揭賠澎視慚第鈕豆仲擻珍四泰褪憊兔瞪圖戰(zhàn)善煥疫瑤甥五肥有遮馴茲捕攆祥陋簡殲綴嘿窯配媽式不密矛麻疾濺薛應(yīng)乓述酪侖估碗曬準拼托火炔烙誡執(zhí)響斷輻磋釉恤刊窟鄲發(fā)蜜矯吾蘊捏憤喪迄森播鴿急似濾墟炕蛆貪瑪脫拜骸警豪仁雹篆秀化嗣竿書憫冊狡埋澇敝趴杏憚涯棠凰怠銥趁輝滋奶持壯直人捶餌蔣躬然搏融評女韋合釬新輪遞烙物爵陽佐黨糟療煙斑祟樂汾詩洱剔貯乙疥哼密俄鴛乞惹凝鋪重闖社鎬汀刮跟氧撥噶頂授詩膘描娩承凹蠟笛陵轅僑眼變臼洗擊孕龐倘果叛夸趙憫這耘敵備呵伍坤掙釜訣榮校霹搔爆宋顧抹禍锨祿杭商葡竅娘分煥郁巡獄府袒批鳥羌賤晾叫京凱迷閏殲xx大學(xué)網(wǎng)站及web應(yīng)用系統(tǒng)安全解決方案上海天泰網(wǎng)絡(luò)技術(shù)有限公司2013

7、年03月目 錄一、教育行業(yè)web應(yīng)用安全概述5二、教育行業(yè)網(wǎng)站現(xiàn)狀分析52.1.web系統(tǒng)容易受到應(yīng)用攻擊威脅52.2.web系統(tǒng)缺乏詳盡的審計62.3.web系統(tǒng)缺乏有效的訪問控制機制62.4.web安全事件6三、解決方案7第四章 天泰web安全防護系統(tǒng)94.1安全防護功能104.1.1策略的覆蓋完整度104.1.2策略適應(yīng)性114.1.3學(xué)習(xí)引擎與白名單模式、主動防御時代的到來114.1.4基于狀態(tài)的分析114.1.5與網(wǎng)絡(luò)層聯(lián)動的防御技術(shù)124.2日志審計與管理124.2.1安全日志124.2.2訪問日志134.3性能優(yōu)化方案134.3.1站點集群技術(shù)144.3.2負載均衡144.3.3

8、 web加速154.4訪問控制與ssl加速154.4.1 時域、地域鎖定服務(wù)154.4.2 ssl認證服務(wù)164.4.3 url認證技術(shù)17第五章 產(chǎn)品的選型與部署175.1安全產(chǎn)品的設(shè)計與選型175.1.1產(chǎn)品設(shè)計目標175.1.2產(chǎn)品選型原則175.1.3 產(chǎn)品選型參考185.2安全產(chǎn)品的部署與實施215.2.1 產(chǎn)品部署分析215.2.2 產(chǎn)品部署方式22第六章 產(chǎn)品售后服務(wù)體系236.1、國內(nèi)范圍的支持236.2、internet技術(shù)支持236.3、電話熱線支持236.4、傳真技術(shù)支持236.5、遠程登錄支持236.6、定期提供安全通告236.7、保持經(jīng)常性的聯(lián)系246.8、響應(yīng)時間2

9、46.9、產(chǎn)品保修24版權(quán)信息©版權(quán)所有 2011，上海天泰網(wǎng)絡(luò)技術(shù)有限公司本文檔中出現(xiàn)的任何文字敘述、文檔格式、插圖、照片、方法、過程等內(nèi)容，除另有特別注明，版權(quán)均屬上海天泰網(wǎng)絡(luò)技術(shù)有限公司所有，受國家有關(guān)產(chǎn)權(quán)及版權(quán)法保護。任何個人、機構(gòu)未經(jīng)上海天泰網(wǎng)絡(luò)技術(shù)有限公司的書面授權(quán)許可，不得以任何方式復(fù)制或引用本文檔的任何片段。商標信息天泰、titan、titansec、t2s2、waf-t3等標識及其組合是上海天泰網(wǎng)絡(luò)技術(shù)有限公司擁有的商標，受商標法和有關(guān)國際公約的保護。第三方信息本文檔中所涉及到的產(chǎn)品名稱和商標，屬于各自公司或組織所有。一、教育行業(yè)web應(yīng)用安全概述教育行業(yè)立足于教育

10、信息、資源的有效開發(fā)和權(quán)威整合，向社會大眾提供有關(guān)教育政策法規(guī)，權(quán)威數(shù)據(jù)查詢，招生考試動態(tài)，職業(yè)技能培訓(xùn)，就業(yè)招聘，出國留學(xué)，教育大典，教育招標，教育博客等內(nèi)容。隨著教育行業(yè)越來越多的應(yīng)用系統(tǒng)以web的方式被部署，也給惡意用戶或黑客提供了攻擊途徑，這些系統(tǒng)的敏感數(shù)據(jù)被黑客盜竊和篡改的潛在風(fēng)險也越來越高?；仡櫘斀癯晒Φ南到y(tǒng)攻擊，很多都是利用了web應(yīng)用漏洞。web應(yīng)用的安全防護措施依靠傳統(tǒng)的網(wǎng)絡(luò)防火墻、ips、ids等對其進行安全防護并不能有效的保證web系統(tǒng)的安全，由于傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)備只能解決web應(yīng)用安全的一個方面，而web應(yīng)用系統(tǒng)的安全保障需要一個全面的安全防護和性能保障措施才能使之安全

11、、高效、持續(xù)地對外提供服務(wù)。web應(yīng)用防火墻 (waf) 代表了一種新的信息安全技術(shù)，web應(yīng)用防火墻位于web客戶端和web服務(wù)器之間，分析應(yīng)用程序?qū)拥耐ㄐ?，從而發(fā)現(xiàn)違反預(yù)先定義好的安全策略的行為。用于保護web站點（或者說web應(yīng)用程序），使其在受攻擊的情況下表現(xiàn)出更強的抵抗力。在抵御web攻擊方面，waf 提供了防火墻和ids、ips等常規(guī)信息安全產(chǎn)品所不具備的能力。二、 教育行業(yè)網(wǎng)站現(xiàn)狀分析2.1. web系統(tǒng)容易受到應(yīng)用攻擊威脅web技術(shù)與應(yīng)用已經(jīng)深入到教育行業(yè)的各個層面，web服務(wù)作為教育行業(yè)的信息門戶和業(yè)務(wù)平臺，以其方便性、易擴展性和低成本快速發(fā)展；而web系統(tǒng)易受攻擊等問題影響

12、了web應(yīng)用的高速發(fā)展。大量web應(yīng)用系統(tǒng)被黑客入侵和篡改，甚至被植入木馬攻擊程序，攻擊者利用web服務(wù)程序的漏洞（如sql注入漏洞、跨站腳本漏洞等），對web系統(tǒng)進行攻擊，輕則篡改網(wǎng)頁內(nèi)容，重則竊取機密數(shù)據(jù)，造成經(jīng)濟損失或者惡劣影響。2.2. web系統(tǒng)缺乏詳盡的審計日志分析與管理模塊作為安全產(chǎn)品與安全管理人員交互最為重要的接口，其日志審計貯存的形式、內(nèi)容和可提供的建議對安全管理員保持應(yīng)用系統(tǒng)長期安全運行起到重要作用。日志不僅為管理員提供威脅管理的平臺，同時也是安全取證和策略調(diào)整的依據(jù)。因此要求日志記錄的盡可能詳細和精確，并可根據(jù)審計的要求對特定數(shù)據(jù)進行篩選和審計。但目前網(wǎng)站缺乏詳細的安全審

13、計，無法有效的掌握用戶的訪問情況。2.3. web系統(tǒng)缺乏有效的訪問控制機制由于教育行業(yè)網(wǎng)站眾多，多數(shù)院校目前沒有一個有效的訪問控制機制，如web站點的管理后臺通常直接暴露在外網(wǎng)，僅依賴于口令強度和簡易的驗證碼進行訪問控制。這使得黑客更容易找到網(wǎng)站缺陷，對網(wǎng)站安全是不利的，急需要應(yīng)用系統(tǒng)需要對訪問者身份進行識別和授權(quán)，從而保障數(shù)據(jù)的機密性。 2.4. web安全事件2011年09月19日，人民網(wǎng)報道：黑客入侵北師大人事處網(wǎng)站 網(wǎng)址被篡改為黃色網(wǎng)站2011年11月18日，北京郵電大學(xué)互聯(lián)網(wǎng)治理與法律研究中心的網(wǎng)站遭遇黑客攻擊，網(wǎng)站頁面被篡改為了一個類似于“憤怒的小鳥”的游戲2012年11月14日

14、，內(nèi)蒙古科技大學(xué)網(wǎng)站被黑 黑客竟發(fā)深情告白三、 解決方案因為基于web的應(yīng)用系統(tǒng)可以通過任意瀏覽器進行訪問，用戶往往更容易訪問到這些系統(tǒng)，從而在一定程度上可以通過這些系統(tǒng)繞過內(nèi)部的安全控制。對大多數(shù)用戶來說，web應(yīng)用防火墻系統(tǒng)已經(jīng)成為安全的邊界。使用web應(yīng)用防火墻是確保這些系統(tǒng)安全的唯一途徑。然而，考慮到web應(yīng)用的多樣性，web應(yīng)用防火墻往往只有在針對具體的應(yīng)用精心配置后才能有效地承擔(dān)起應(yīng)用保護的角色。沒有正確部署的web應(yīng)用防火墻往往會阻斷合法用戶對系統(tǒng)的正常訪問，甚至沒能起到應(yīng)有的左右而讓黑客長驅(qū)直入。web應(yīng)用防火墻是一種成熟的可以保護web系統(tǒng)免遭攻擊的網(wǎng)絡(luò)安全設(shè)備。它通過執(zhí)行非

15、常細粒度的安全策略來保證web應(yīng)用系統(tǒng)自身以及系統(tǒng)數(shù)據(jù)免遭各種攻擊。得益于web應(yīng)用防火墻所使用的突破性技術(shù)，這些安全策略能夠非常容易地適應(yīng)各種web應(yīng)用系統(tǒng)，從而滿足所有的安全需要。web 防火墻為web應(yīng)用提供了全面的應(yīng)用層保護，它不但能抵御目前已知的攻擊及其變種，還能抵御未知的攻擊。需要特別指出的是，web應(yīng)用防火墻通過自己獨特的web對象混淆技術(shù)，大大提高了攻擊者的技術(shù)門檻，甚至能使大部分的普通攻擊者無從下手；獨創(chuàng)的安全令牌技術(shù)則能徹底防止web應(yīng)用對象被篡改和偽造。由于攻擊者無法篡改和偽造web請求數(shù)據(jù)，攻擊便無法實施。此外，通過與web應(yīng)用緊密相連的安全策略的配合，web應(yīng)用防火墻

16、能嚴格限制合法用戶的行為，避免了對系統(tǒng)受限資源非法的訪問。通過部署web應(yīng)用防火墻，可有效解決web系統(tǒng)存在的安全應(yīng)用威脅，通過設(shè)備的主動防御技術(shù)，全面為應(yīng)用系統(tǒng)提供全方位的防護，強化數(shù)據(jù)有效性防護，即常見的跨站腳本攻擊、sql注入攻擊、跨站請求偽造、網(wǎng)頁掛馬、盜鏈等威脅的防護，提供web應(yīng)用或網(wǎng)站的基本安全保障。同時，防止應(yīng)用dos攻擊和暴力口令破解技術(shù)，解決大規(guī)模異常訪問導(dǎo)致應(yīng)用系統(tǒng)面臨的性能問題，甚至系統(tǒng)崩潰、服務(wù)中斷等惡性事件的發(fā)生。在必要時，利用ssl加密認證技術(shù)對重要web系統(tǒng)進行安全認證，確保數(shù)據(jù)的可靠、有效性。利用web應(yīng)用防火墻的報表和即時分析功能，通過分析有助于安全管理人員

17、把握應(yīng)用系統(tǒng)安全現(xiàn)狀，及時調(diào)整安全策略，并針對威脅等級較高的攻擊進行提醒，提出建議性解決辦法。利用web應(yīng)用防火墻詳盡紀錄和有效統(tǒng)計用戶對web應(yīng)用資源的訪問，包括頁面點擊率、客戶端地址、客戶端類型、訪問流量、訪問時間、搜索引擎關(guān)鍵字等信息，實現(xiàn)有效的用戶行為跟蹤和訪問統(tǒng)計分析。生成基于地區(qū)區(qū)域的訪問統(tǒng)計，便于識別web應(yīng)用的訪問群體是否符合預(yù)期，為應(yīng)用優(yōu)化提供指導(dǎo)。web應(yīng)用防火墻融合可靠的應(yīng)用層過濾技術(shù)和先進的數(shù)據(jù)加密技術(shù)，具備事前主動防御、事中智能響應(yīng)及事后審計的綜合防護能力。在事前防御方面，智能分析應(yīng)用缺陷、屏蔽惡意請求、防范網(wǎng)頁篡改、阻斷應(yīng)用攻擊，全方位保護web應(yīng)用；事中智能響應(yīng)，

18、web應(yīng)用防火墻作為一種專業(yè)的web安全防護工具，基于對http/https流量的雙向解碼和分析，可應(yīng)對http/https應(yīng)用中的各類安全威脅，如sql注入、xss、跨站請求偽造攻擊（csrf）、cookie篡改以及應(yīng)用層ddos等，能有效解決網(wǎng)頁篡改、網(wǎng)頁掛馬、敏感信息泄露等安全問題，充分保障web應(yīng)用的高可用性和可靠性；事后審計，web應(yīng)用防火墻給服務(wù)器提供了可靠的安全防護，同時也應(yīng)該具備深度挖掘訪問行為、分析攻擊數(shù)據(jù)、提升應(yīng)用價值，為評估安全狀況提供詳盡報表功能?？梢詾樵盒＞W(wǎng)站系統(tǒng)提供立體的安全防護體系，為網(wǎng)站應(yīng)用完整的安全解決方案。第四章 天泰web安全防護系統(tǒng)伴隨著防護技術(shù)的不斷發(fā)

19、展，web應(yīng)用系統(tǒng)的防護技術(shù)經(jīng)歷了網(wǎng)關(guān)型防護手段和操作系統(tǒng)防護手段。如含有應(yīng)用層過濾功能的網(wǎng)絡(luò)防火墻、ips等網(wǎng)關(guān)型硬件產(chǎn)品，基于特征匹配進行防護；網(wǎng)頁防篡改軟件則是基于文件監(jiān)控原理，對指定路徑的文件進行監(jiān)控和寫保護。傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)備和網(wǎng)頁防篡改軟件只能解決web應(yīng)用安全的一個方面，而web應(yīng)用系統(tǒng)的安全保障需要一個全面的安全防護和性能保障措施才能使之安全、高效、持續(xù)地對外提供服務(wù)。web應(yīng)用系統(tǒng)的安全是一個系統(tǒng)的問題，包括三個方面，即可用性、完整性和機密性。實現(xiàn)這些原則所需的安全等級因web系統(tǒng)的屬性、web應(yīng)用的價值不同而異。如對機密性要求較高的應(yīng)用系統(tǒng)應(yīng)當保障數(shù)據(jù)的訪問、傳輸過程的安全

20、，同時需要對訪問者進行認證、授權(quán)、審計；對于一個面向客戶群的應(yīng)用系統(tǒng)既要考慮其應(yīng)用交互的可用性，同時也需要對其完整性進行有效的保障。而面向大眾的門戶類網(wǎng)站則需要充分考慮其抗攻擊能力、高可用性和完整性，提供7x24小時不中斷服務(wù)，確保提供的數(shù)據(jù)是真實的、有效的。綜上所述web應(yīng)用系統(tǒng)的安全保障需要充分考慮其高可用性、完整性和機密機才能達到安全有效的防護目的。專業(yè)的web安全網(wǎng)關(guān)則是專用于防護及優(yōu)化web應(yīng)用系統(tǒng)的最佳選擇，有效解決傳統(tǒng)網(wǎng)絡(luò)防火墻及網(wǎng)頁防篡改軟件在web應(yīng)用防護方面的局限性，在重視應(yīng)用系統(tǒng)的高可用性的前提下進行安全優(yōu)化從而達到web防護的最佳目標。圖4-1 天泰web安全網(wǎng)關(guān)的綜合

21、防護能力上海天泰網(wǎng)絡(luò)技術(shù)有限公司專業(yè)從事于web應(yīng)用安全的研究、防護工作。天泰自主研發(fā)的web應(yīng)用安全網(wǎng)關(guān)是國內(nèi)首家通過國家公安部、國家保密局、解放軍信息安全測評中心、國家信息安全測評認證中心等權(quán)威機構(gòu)檢測認可的綜合性web安全保障平臺。上海天泰專注細分市場，依靠持續(xù)創(chuàng)新與自主研發(fā)，結(jié)合先進的軟件體系和硬件架構(gòu)，打造穩(wěn)定高效的平臺，將多項特性與功能整合至單一設(shè)備，提供全面的應(yīng)用安全與優(yōu)化解決方案，為客戶創(chuàng)造一個安全高效的應(yīng)用環(huán)境，成就國內(nèi)應(yīng)用安全行業(yè)的領(lǐng)導(dǎo)者。向廣大用戶提供web應(yīng)用的安全解決方案，通過web安全網(wǎng)關(guān)的安全防護模塊、應(yīng)用審計模塊實現(xiàn)應(yīng)用的安全防護，解決用戶面臨的嚴重入侵威脅；通

22、過負載均衡和web加速技術(shù)解決用戶在高可用性、性能提升上因為需要大量資金投入的煩惱；天泰的ssl加速引擎和訪問控制模塊輕松解決了web應(yīng)用系統(tǒng)差異化訪問控制等復(fù)雜應(yīng)用。目前已經(jīng)在政府、教育、軍隊、金融、電信、大型企業(yè)等多個領(lǐng)域有著廣泛的應(yīng)用。4.1安全防護功能4.1.1策略的覆蓋完整度天泰web安全網(wǎng)關(guān)提供對應(yīng)用系統(tǒng)全方位的防護，強化數(shù)據(jù)有效性防護即常見的跨站腳本攻擊、sql注入攻擊、跨站請求偽造、網(wǎng)頁掛馬、盜鏈等威脅的防護，提供web應(yīng)用或網(wǎng)站的基本安全保障。天泰安全團隊經(jīng)過多年的安全研究和市場實踐，研發(fā)了虛擬服務(wù)器補丁技術(shù)用于緩解web服務(wù)器漏洞的零日攻擊、和不安全配置帶來的安全隱患。集成

23、的會話簽名鑒別技術(shù)和分級授權(quán)模塊專用于防護web應(yīng)用系統(tǒng)面臨的認證威脅，如失效的會話管理缺陷、不安全的會話密鑰管理缺陷等均可通過天泰web安全網(wǎng)關(guān)進行快速修復(fù)。提供防止應(yīng)用dos攻擊和暴力口令破解技術(shù)，解決大規(guī)模異常訪問導(dǎo)致應(yīng)用系統(tǒng)面臨的性能問題，甚至系統(tǒng)崩潰、服務(wù)中斷等惡性事件的發(fā)生。4.1.2策略適應(yīng)性優(yōu)秀的安全策略不僅需要有廣泛的應(yīng)用系統(tǒng)覆蓋面、還需要有細的匹配粒度和良好的應(yīng)用系統(tǒng)適應(yīng)性。天泰安全網(wǎng)關(guān)的策略基于uri、時間、訪問者、訪問狀態(tài)、訪問工具、訪問內(nèi)容等對象定制安全規(guī)則，每條規(guī)則在發(fā)布前均通過嚴格的適應(yīng)性測試，特別針對國內(nèi)數(shù)百家web應(yīng)用系統(tǒng)進行測試，確保規(guī)則安全穩(wěn)定、無誤判。4

24、.1.3學(xué)習(xí)引擎與白名單模式、主動防御時代的到來安全防護技術(shù)可以分和黑名單防護技術(shù)和白名單防護技術(shù)，黑名單技術(shù)目前被大量應(yīng)用，基于黑名單的防護技術(shù)可以防護已知的攻擊行為，但對于未知的或已知規(guī)則的變種則無法防護。白名單技術(shù)可以有效的防護黑名單無法解決的問題，然而由于web應(yīng)用系統(tǒng)的復(fù)雜多樣，所以白名單技術(shù)在實施過程中通常十分復(fù)雜并可能導(dǎo)致誤判。經(jīng)過長期的研發(fā)與實踐，天泰自適應(yīng)引擎（tsadaptive）讓白名單防護技術(shù)成為了可能。在天泰web安全positive模式下，識別攻擊行為不再依賴于已知的攻擊特征，而是基于用戶應(yīng)用系統(tǒng)的正常請求特征和簽名列表。自適應(yīng)引擎生成的推薦規(guī)則專用于特定的應(yīng)用系統(tǒng)

25、，最大限度的降低了黑名單技術(shù)帶來的誤判、漏判、零日攻擊等無法解決的技術(shù)難題。4.1.4基于狀態(tài)的分析web應(yīng)用防火墻技術(shù)在開發(fā)初期是完全基于規(guī)則匹配的響應(yīng)機制，表現(xiàn)為無狀態(tài)特性。隨著防護技術(shù)的不斷提高及面臨日益嚴重的零日攻擊威脅，天泰web安全網(wǎng)關(guān)開創(chuàng)性的采用了應(yīng)用防火墻狀態(tài)防護技術(shù)，對會話管理、請求偽造、盜鏈等行為進行識別和防護；對攻擊者的入侵掃描、探測、滲透過程進行狀態(tài)識別和跟蹤，快速定位威脅，及時告警或阻止。4.1.5與網(wǎng)絡(luò)層聯(lián)動的防御技術(shù)web應(yīng)用受到攻擊，web安全網(wǎng)關(guān)應(yīng)當采取行之有效的防護措施。天泰web安全網(wǎng)關(guān)在檢測到有攻擊流量時會跟據(jù)不同的安全級別做出對應(yīng)的響應(yīng)，如阻斷并給出偽

26、裝或告警信息。當檢測到有持繼的攻擊流量時，天泰web安全網(wǎng)關(guān)將會采取一系列的安全聯(lián)動措施，如基于狀態(tài)的威脅識別和限時鎖定措施將入侵者進行延時鎖定，或者及時將可疑攻擊通過郵件、短信、snmp、syslog通知安全管理員，及時采取安全措施，降低攻擊帶來的損失。4.2日志審計與管理日志分析與管理模塊作為安全產(chǎn)品與安全管理人員交互最為重要的接口，其日志審計貯存的形式、內(nèi)容和可提供的建議對安全管理員保持應(yīng)用系統(tǒng)長期安全運行起到重要作用。4.2.1安全日志日志不僅為管理員提供威脅管理的平臺，同時也是安全取證和策略調(diào)整的依據(jù)。因此要求日志記錄的盡可能詳細和精確，并可根據(jù)審計的要求對特定數(shù)據(jù)進行篩選和審計。天

27、泰web安全網(wǎng)關(guān)可提供定時報表和即時分析功能，通過分析有助于安全管理人員把握應(yīng)用系統(tǒng)安全現(xiàn)狀，及時調(diào)整安全策略，并針對威脅等級較高的攻擊進行提醒，提出建議性解決辦法。圖4-2 天泰web安全的統(tǒng)計報表系統(tǒng)的安全是需要通過不斷的評估、響應(yīng)、防護和加固安全策略從而達到一個動態(tài)的平衡。天泰為用戶提供以web安全網(wǎng)關(guān)為載體、以安全策略為核心的防護機制，檢測到可疑威脅的情況時可使用天泰的自適應(yīng)引擎實現(xiàn)新策略的生成，提高安全管理員的工作效率。4.2.2訪問日志天泰web安全網(wǎng)關(guān)詳盡紀錄和有效統(tǒng)計用戶對web應(yīng)用資源的訪問，包括頁面點擊率、客戶端地址、客戶端類型、訪問流量、訪問時間、搜索引擎關(guān)鍵字等信息，實

28、現(xiàn)有效的用戶行為跟蹤和訪問統(tǒng)計分析。生成基于地區(qū)區(qū)域的訪問統(tǒng)計，便于識別web應(yīng)用的訪問群體是否符合預(yù)期，為應(yīng)用優(yōu)化提供指導(dǎo)。4.3性能優(yōu)化方案應(yīng)用系統(tǒng)的可用性是構(gòu)成系統(tǒng)安全的重要組成部分，應(yīng)用系統(tǒng)訪問延時、堵塞、服務(wù)中斷、性能急劇下降等都會導(dǎo)致系統(tǒng)可用性下降。對于公眾開放的應(yīng)用系統(tǒng)的可用性的安全等級通常放在首位。如何經(jīng)濟高效的保障應(yīng)用系統(tǒng)的可用性是管理人員在進行安全規(guī)劃時的首要問題。性能優(yōu)化方面，天泰針對不同用戶的需求提供了多種性能優(yōu)化方案供用戶選擇。4.3.1站點集群技術(shù)在應(yīng)用系統(tǒng)設(shè)計開發(fā)階段融入天泰web安全的web應(yīng)用集群功能可以提高軟件開發(fā)的效率、取代由軟件實現(xiàn)站點集群的性能瓶頸和繁

29、瑣的技術(shù)細節(jié)，提升整個應(yīng)用系統(tǒng)的性能。通過站點集群技術(shù)您可以實現(xiàn)站點網(wǎng)頁文件、圖片、媒體文件的分離與整合，也可以方便實現(xiàn)不同應(yīng)子系統(tǒng)的拆分。利用天泰web安全網(wǎng)關(guān)還可以實現(xiàn)站點文本、圖片文件域名分離，從而提縮短用戶下載網(wǎng)頁的時間，提高用戶體驗。圖4-3 天泰web安全網(wǎng)關(guān)的集群服務(wù)4.3.2負載均衡天泰web安全網(wǎng)關(guān)提供高可用性、負載均衡以及基于http應(yīng)用的代理，作為快速并且高可靠的一種負載均衡產(chǎn)品，天泰web安全網(wǎng)關(guān)特別適用于那些負載特大的web站點，這些站點通常又需要會話保持或七層處理。圖4-4 天泰web安全網(wǎng)關(guān)的負載均衡服務(wù)天泰web安全網(wǎng)關(guān)提供成熟的負載均衡解決方案，支持的負載均衡

30、模式有：平均分發(fā)、壓力分發(fā)、請求路徑分發(fā)、請求參數(shù)分發(fā)，并支持web應(yīng)用系統(tǒng)的會話保持功能、服務(wù)狀態(tài)監(jiān)測與故障切換功能。4.3.3 web加速基于現(xiàn)有環(huán)境的web加速功能可使用戶不改變現(xiàn)有環(huán)境的情況下提升訪問web應(yīng)用的速度；天泰webcompress引擎對web應(yīng)用數(shù)據(jù)進行實時智能壓縮，改善終端用戶性能，降低帶寬消耗。webcache引擎對靜態(tài)應(yīng)用內(nèi)容的高速緩存，顯著減少服務(wù)器負載。雙向tcp連接池和高效復(fù)用算法將上千短連接優(yōu)化為少量持久的服務(wù)器連接，減輕服務(wù)器壓力，改善服務(wù)器性能，提高應(yīng)用響應(yīng)速度，降低服務(wù)延遲。圖4-6 天泰web安全網(wǎng)關(guān)的加速功能4.4訪問控制與ssl加速如果應(yīng)用系統(tǒng)需

31、要對訪問者身份進行識別和授權(quán)，從而保障數(shù)據(jù)的機密性，此時可以使用天泰web安全網(wǎng)關(guān)的訪問控制功能以及ssl加功能。該功能特別適用于已經(jīng)交付使用的應(yīng)用系統(tǒng)，不需要修改程序代碼，通過web安全網(wǎng)關(guān)實現(xiàn)訪問控制和ssl加速。如web站點的管理后臺通常直接暴露在外網(wǎng)，僅依賴于口令強度和簡易的驗證碼進行訪問控制，類似這種應(yīng)用可以通過天泰web安全網(wǎng)關(guān)的訪問控制功能實現(xiàn)身份識別和訪問控制以提高應(yīng)用系統(tǒng)的安全性。4.4.1 時域、地域鎖定服務(wù)天泰安全服務(wù)團隊長期對國內(nèi)網(wǎng)站入侵事件提供應(yīng)急響應(yīng)服務(wù)，結(jié)合多年的服務(wù)經(jīng)驗發(fā)現(xiàn)針對國內(nèi)站點被入侵的時間和ip地址對應(yīng)的地理位置特性，并將這個特性整合進了天泰web安全網(wǎng)

32、關(guān)。對網(wǎng)站指定路徑定時鎖定，如網(wǎng)站的信息提交功能深夜至凌晨鎖定，政府事業(yè)單位的網(wǎng)點僅限于國內(nèi)ip地址的用戶可以訪問等功能，從而將易受到攻擊的時段、區(qū)域進屏蔽。天泰web安全網(wǎng)關(guān)集成了基于時間、頁面、和客戶端ip地址的網(wǎng)絡(luò)層聯(lián)動防護技術(shù)，方便管理員對站點的控制，如業(yè)務(wù)系統(tǒng)只有工作時間才對外開放，后臺管理系統(tǒng)只有指定范圍的ip才可訪問，涉及政務(wù)查詢的數(shù)據(jù)僅國內(nèi)或省內(nèi)訪問者可訪問等功能均可通過天泰web安全網(wǎng)關(guān)實現(xiàn)。圖4-7 天泰web安全網(wǎng)關(guān)的地域鎖定功能4.4.2 ssl認證服務(wù)天泰web安全網(wǎng)關(guān)集成了ssl加密功能，應(yīng)用內(nèi)容在傳輸過程中都受加密保護，通過轉(zhuǎn)移服務(wù)器復(fù)雜的加/解密任務(wù)從而將應(yīng)用處

33、理能力發(fā)揮到了極致。該功能使管理員能保護敏感應(yīng)用內(nèi)容的安全，使其擺脫被竊取及被濫用的潛在威脅。適用于電子政務(wù)、電子商務(wù)等對數(shù)據(jù)機密性要求較高的場合。圖4-7 天泰web安全網(wǎng)關(guān)的ssl認證服務(wù)4.4.3 url認證技術(shù)失效的會話管理、弱口令等缺陷給web應(yīng)用系統(tǒng)帶來巨大的安全隱患，然而對于一些已經(jīng)交付運行的應(yīng)用系統(tǒng)，最佳的解決辦法是采用第三方的認證管理技術(shù)進行控制，而不是對原來程序進行修復(fù)。天泰web安全網(wǎng)關(guān)可以對指定的web資源進行訪問控制，并結(jié)合ldap、radius、ad等認證服務(wù)器提高web應(yīng)用系統(tǒng)的安全性。第五章 產(chǎn)品的選型與部署5.1安全產(chǎn)品的設(shè)計與選型5.1.1產(chǎn)品設(shè)計目標針對目

34、前日益增多的應(yīng)用層網(wǎng)絡(luò)攻擊行為，需要對網(wǎng)站能夠提供有效的安全防護，選用天泰web安全網(wǎng)關(guān)對公司門戶網(wǎng)站、郵件系統(tǒng)、招標網(wǎng)站進行應(yīng)用安全防護，防止網(wǎng)站被入侵、防止系統(tǒng)信息被修改、防止對后臺數(shù)據(jù)庫的惡意訪問、杜絕ddos攻擊，保障系統(tǒng)服務(wù)的持續(xù)性。為保障xx單位對外業(yè)務(wù)系統(tǒng)的高可用、高安全性，我們將要部署一臺設(shè)備對門戶網(wǎng)站、招標網(wǎng)、郵件系統(tǒng)網(wǎng)站進行安全防護。5.1.2產(chǎn)品選型原則² 安全性：對網(wǎng)站進行有效的防護，加強應(yīng)用層的綜合防護；² 可靠性：提供的安全防護設(shè)備具有較高的可靠性；² 先進性：采用先進、成熟的技術(shù)和主流的產(chǎn)品，使網(wǎng)絡(luò)建設(shè)能適應(yīng)未來的需求；²

35、實用性：系統(tǒng)設(shè)計以實用性為原則，同時應(yīng)考慮到系統(tǒng)的開放性，兼容性、技術(shù)支持服務(wù)等能力；² 兼容性：要求對現(xiàn)有的系統(tǒng)具有良好的兼容性。5.1.3 產(chǎn)品選型參考上海天泰公司在大量應(yīng)用新技術(shù)的條件下，推出了“新一代”web安全網(wǎng)關(guān)。在占領(lǐng)web安全技術(shù)的制高點上，天泰公司站在web安全的最前沿。對于用戶普遍關(guān)心的web安全防御中的性能損耗問題，上海天泰web安全網(wǎng)關(guān)通過采用緩存、壓縮、連接保持等技術(shù)提升了web系統(tǒng)性能，在最近xx行業(yè)的系統(tǒng)上，使用天泰web安全網(wǎng)關(guān)提高訪問速度近30倍。根據(jù)xx單位網(wǎng)站web應(yīng)用系統(tǒng)的實際需求，推薦采用上海天泰waf-t3-2000-s型設(shè)備，具體產(chǎn)品功能

36、和性能參數(shù)如下：項目類別技術(shù)參數(shù)產(chǎn)品形態(tài)產(chǎn)品規(guī)格：2u機架式物理接口：1000base-t×4，rs232×1產(chǎn)品性能http請求/秒：20,000tcp并發(fā)連接：2,000,000部署方式支持路由、透明、單臂等多種部署模式支持鏈路聚合，提升鏈路帶寬和可靠性支持策略路由，能支持多條鏈路接入分布式模式，產(chǎn)品內(nèi)置webap/webutm/webswitch引擎，可以分別部署多臺硬件平臺，大大提高處理能力網(wǎng)絡(luò)防護具有狀態(tài)監(jiān)測防火墻功能，支持基于五元組的訪問控制具有端口映射功能，支持snat、dnat和pnat支持mac地址綁定，防止arp假冒與攻擊能防御常見dos攻擊web防護專

37、用的webutm引擎，統(tǒng)一防范針對web應(yīng)用的各種威脅能夠?qū)ttp數(shù)據(jù)流進行雙向深度檢查，具備完全的http協(xié)議和事務(wù)解析能力能夠阻斷攻擊探測，防止對web應(yīng)用和服務(wù)器等信息的惡意獲取和特征收集能夠阻止sql注入、跨站腳本、目錄泄漏、目錄遍歷、cookie假冒、認證逃避、命令行注入等常見攻擊行為支持黑、白名單技術(shù)，能防護應(yīng)用系統(tǒng)免遭常見和未知的web攻擊提供網(wǎng)頁防盜鏈功能，防止web資源被盜用提供對網(wǎng)頁掛馬的主動監(jiān)測，當檢測到網(wǎng)頁被掛馬時，能通過郵件或短消息進行告警具有自動學(xué)習(xí)引擎，能自動對雙向的http流量進行智能分析，并能自動學(xué)習(xí)到后臺web服務(wù)器及web站點和目錄結(jié)構(gòu)檢測到攻擊時，能選

38、擇阻斷當前請求或阻斷攻擊者的ip；并通過控制臺、mail等多種方法進行告警內(nèi)置600多條攻擊特征庫，支持攻擊特征庫自動升級；支持自定義防護規(guī)則應(yīng)用加速能對web應(yīng)用數(shù)據(jù)進行實時智能壓縮，改善終端用戶性能，提高帶寬利用率提供對靜態(tài)應(yīng)用內(nèi)容高速緩存，顯著減少服務(wù)器負載具有連接保持功能，雙向tcp連接池和高效復(fù)用算法優(yōu)化服務(wù)器連接，改善服務(wù)器性能提高響應(yīng)速度能限制web服務(wù)器最大服務(wù)能力，防止因為請求浪涌導(dǎo)致服務(wù)器異常應(yīng)用控制url級別的流量管理，可以最大限度的緩解web服務(wù)器因訪問量大而造成的dos攻擊訪問過載保護功能可以自動保護已經(jīng)建立的連接，將后續(xù)的連接放入連接隊列提供url級別的訪問控制，針

39、對不同的url設(shè)置不同的訪問權(quán)限，可基于用戶、ip范圍、用戶組等權(quán)限的訪問控制對應(yīng)用服務(wù)進行準確的監(jiān)控，及時發(fā)現(xiàn)web應(yīng)用狀態(tài)異?？梢詫W(wǎng)站管理后臺使用ssl發(fā)布，采用雙向數(shù)字證書認證，保護數(shù)據(jù)通信的完整性和機密性行為審計能記錄站點訪問日志，提供基于訪問日志的用戶行為分析與審計能夠?qū)撁纥c擊率、客戶端地址、訪問流量和時間等進行有效的行為跟蹤和審計能導(dǎo)出站點訪問日志，為外部日志分析系統(tǒng)提供訪問日志原始數(shù)據(jù)對攻擊來源、數(shù)據(jù)、時間、處理結(jié)果形成列表，提供多種審計報表為系統(tǒng)的安全審計提供豐富的審計報表，支持標準第三方syslog日志服務(wù)器內(nèi)置ip地址信息庫，實現(xiàn)發(fā)現(xiàn)訪問和攻擊網(wǎng)站的用戶區(qū)域分布篡改保護

40、能實時檢測頁面是否被篡改，支持數(shù)字水印、相似度、內(nèi)容取樣等多種算法動態(tài)防篡改功能，支持對動態(tài)頁面的防篡改，有效防止對后臺數(shù)據(jù)庫的篡改行為檢測到篡改發(fā)生后，支持發(fā)送鏡像內(nèi)容，阻斷或者頁面重定向等響應(yīng)動作具有可選的篡改恢復(fù)軟件模塊，可以實時恢復(fù)被篡改的頁面高級應(yīng)用支持應(yīng)用負載均衡模塊，支持平均分發(fā)，壓力分發(fā)，請求分發(fā)，請求參數(shù)分發(fā)等算法支持靜默掃描模塊，為上線的應(yīng)用系統(tǒng)提供實時安全評估支持sslaccel模塊，可以分擔(dān)應(yīng)用服務(wù)器ssl運算壓力，有效提升了服務(wù)器處理能力支持web誘捕模塊，能吸引攻擊者的注意力，降低應(yīng)用系統(tǒng)被攻擊的風(fēng)險，同時能記錄攻擊者ip和攻擊手段高可用性支持雙機熱備功能，可靈活選

41、擇集群、熱備的應(yīng)用模式支持軟件bypass功能，當產(chǎn)品出現(xiàn)故障或用戶有特殊需要時能停止防護而不中斷正常應(yīng)用支持硬件bypass功能，當硬件故障或者系統(tǒng)掉電時，防止網(wǎng)絡(luò)和應(yīng)用出現(xiàn)中斷設(shè)備管理產(chǎn)品管理圖形界面（gui）以及產(chǎn)品文檔均為中文以ssl加密的web圖形化界面進行設(shè)備管理，并可通過專用管理接口進行管理能指定管理員遠程管理允許登錄的ip或網(wǎng)段,可以限制管理員登錄次數(shù)，并能鎖定惡意登錄者的ip支持snmp，能接受專用的網(wǎng)絡(luò)管理系統(tǒng)的集中管理5.2安全產(chǎn)品的部署與實施5.2.1 產(chǎn)品部署分析web安全網(wǎng)關(guān)主要是對xx單位的門戶網(wǎng)站、招標網(wǎng)、郵件應(yīng)用系統(tǒng)的服務(wù)器進行應(yīng)用安全防護。天泰web安全網(wǎng)關(guān)

42、主要接入方式有：透明方式、路由方式和單臂方式等。在確定保護對象后，要根據(jù)應(yīng)用和產(chǎn)品適應(yīng)網(wǎng)絡(luò)的情況不同，采用合適的部署方式。透明或路由方式部署透明方式和路由方式的部署位置極為相似，均需要串聯(lián)接入網(wǎng)絡(luò)中，所有訪問web服務(wù)器的數(shù)據(jù)都需要通過web安全網(wǎng)關(guān)設(shè)備，web安全網(wǎng)關(guān)除了需要分析http應(yīng)用的數(shù)據(jù)以外還需要處理非http協(xié)議的數(shù)據(jù)流，對設(shè)備的性能要求較高。路由方式： 設(shè)備接口分別設(shè)置為不同網(wǎng)段的地址，具有基本路由功能； 能夠進行源地址轉(zhuǎn)換和目標地址轉(zhuǎn)換功能； 支持軟件安全防護bypass功能； 需要防火墻將原來影射到web服務(wù)器地址的信息更改為影射到web安全網(wǎng)關(guān)的外部地址。透明方式： 設(shè)備

43、接口在同一個網(wǎng)段，接入方便，不需要更改網(wǎng)絡(luò)配置； 支持軟硬件bypass功能； 支持路由轉(zhuǎn)發(fā)功能。5.2.2 產(chǎn)品部署方式根據(jù)我們對xx單位網(wǎng)站的研究，以盡可能不改變目前網(wǎng)絡(luò)和故障恢復(fù)便利為設(shè)計原則，最大的提高網(wǎng)絡(luò)安全性為要求，我們推薦使用透明方式進行接入。以下具體說明：（1）透明方式接入就是web安全網(wǎng)關(guān)安裝后，用戶在使用時意識不到該設(shè)備的存在，在用戶無所察覺的情況下提高網(wǎng)絡(luò)的整體安全。（2）在網(wǎng)絡(luò)設(shè)備出現(xiàn)人為或自然的破壞以后將影響到網(wǎng)絡(luò)鏈路的暢通，采用透明式安裝方式可以非常方便的恢復(fù)網(wǎng)絡(luò)鏈路的暢通性，只需關(guān)閉web安全網(wǎng)關(guān)即可。雖然暫時失去對web服務(wù)器的保護，但降低了由于網(wǎng)絡(luò)鏈路故障導(dǎo)致

44、網(wǎng)站不能正常打開所帶來的損失。所以，根據(jù)我們研究，推薦使用透明方式部署。將web安全網(wǎng)關(guān)部署于服務(wù)器的前端，不需要更改任何網(wǎng)絡(luò)層的配置，僅需分配給web安全網(wǎng)關(guān)一個可路由的ip地址即可。web防護拓撲結(jié)構(gòu)圖：第六章 產(chǎn)品售后服務(wù)體系本方案中涉及的安全產(chǎn)品售后服務(wù)如下：上海天泰在維護責(zé)任期內(nèi)，提供技術(shù)后援支持，為用戶網(wǎng)絡(luò)系統(tǒng)中本項目涉及的安全設(shè)備和軟件功能的擴充提供技術(shù)支持，保障上海天泰和其他安全集成產(chǎn)品的正常運行。安全集成項目的售后支持方式包括：6.1、國內(nèi)范圍的支持上海天泰總公司位于上海，在北京、西安、河南設(shè)立分公司，在全國各大城市設(shè)立辦事處(詳見)；對于本次項目中上海天泰提供的硬件產(chǎn)品如出

45、現(xiàn)故障，均可在分公司和辦事處取得備件。6.2、internet技術(shù)支持n 用戶可以通過internet隨時獲得基于www的技術(shù)支持服務(wù)n 上海天泰公司網(wǎng)址為：n 服務(wù)支持郵件：support6.3、電話熱線支持在工作時間（周一至周五9:00至18:00）可以撥打用戶支持熱線 用戶撥打技術(shù)支持中心電話時，熱線支持工程師將會盡力解決問題，或記下問題并盡快尋求解答。6.4、傳真技術(shù)支持用戶也可以通過傳真的方式尋求上海天泰的支持傳真號8005收件人：技術(shù)支持部6.5、遠程登錄支持為了盡快的找出故障原因以便解決問題，在客戶許可且網(wǎng)絡(luò)條件允許的情況下

46、，上海天泰支持工程師將遠程登錄到系統(tǒng)中進行支持。6.6、定期提供安全通告對于購買了上海天泰的安全支持服務(wù)的客戶，可以定期獲得最新的安全信息和上海天泰提供的安全通告，將提前獲得公開和非公開的安全漏洞和安全動態(tài)。6.7、保持經(jīng)常性的聯(lián)系為了準確了解用戶需求、實際遇到的問題以及服務(wù)狀況，上海天泰的質(zhì)量監(jiān)督部門將通過電話、email等方式定期訪問用戶，以便及時發(fā)現(xiàn)問題，適時調(diào)整服務(wù)內(nèi)容，為用戶提供更好的服務(wù)。6.8、響應(yīng)時間上海天泰技術(shù)支持部記錄跟蹤項目實施中和實施后客戶提出的各種技術(shù)問題，并根據(jù)情況劃分嚴重級別，從而根據(jù)嚴重級別做出相應(yīng)的服務(wù)響應(yīng)。嚴重級別定義響應(yīng)時間嚴重級導(dǎo)致系統(tǒng)不能工作，影響用戶

47、業(yè)務(wù)的問題。2小時內(nèi)影響級系統(tǒng)能夠工作，但部分功能失效，性能下降，或重要場地的高端產(chǎn)品安裝出現(xiàn)問題，但不致中斷用戶業(yè)務(wù)的問題。6小時內(nèi)錯誤級系統(tǒng)可運行，但出現(xiàn)系統(tǒng)報錯或低端產(chǎn)品的安裝出現(xiàn)問題。24小時內(nèi)基本級用戶對產(chǎn)品改進需求，或產(chǎn)品使用和應(yīng)用方面的問題。48小時內(nèi)6.9、產(chǎn)品保修項目實施終驗后，上海天泰會指定專人作為售后服務(wù)客戶代表。負責(zé)建立客戶檔案，在產(chǎn)品規(guī)定的保修期內(nèi)，負責(zé)保修并在必要時提供免費上門。第七章 成功案例上海市第二軍醫(yī)大學(xué)上海市工藝美術(shù)學(xué)校上海海事大學(xué)上海市教育委員會信息中心上海市浦東教育發(fā)展研究院哈爾濱金融學(xué)院上海輕工業(yè)技術(shù)學(xué)校廣西廣播電視大學(xué)江西省南昌師范高等?？茖W(xué)院萍鄉(xiāng)

48、高等?？茖W(xué)校安徽省合肥學(xué)院安徽建筑工業(yè)學(xué)院安徽中醫(yī)學(xué)院安徽省行政管理學(xué)院寧夏科技學(xué)院上海市第二軍醫(yī)大學(xué)上海市工藝美術(shù)學(xué)校上海海事大學(xué)上海市教育委員會信息中心上海市浦東教育發(fā)展研究院哈爾濱金融學(xué)院上海輕工業(yè)技術(shù)學(xué)校廣西廣播電視大學(xué)江西省南昌師范高等?？茖W(xué)院萍鄉(xiāng)高等?？茖W(xué)校安徽省合肥學(xué)院安徽建筑工業(yè)學(xué)院安徽中醫(yī)學(xué)院安徽省行政管理學(xué)院寧夏科技學(xué)院凡非藏盼箔敲遮咒擁畝殆芭溺墟泥篷醉衛(wèi)什瑰利撼閘墮剁善晶歐縫躍想啄蠕喀衍層祖邪熟孿牽歧礙嚙家惡擊折燭譴瑟沼貼樂號頗酒惕阜客柑尉貿(mào)困巡縫阜蟻長報貼束株聶繁厘毛莊桔殘睦抬瘋東哦時方魏蓄鋸擻輿咸吉廣滴籽婆缸統(tǒng)繞禁畝挪句疽郝旋婁繪婁繹巢忿兔捕朝布拂對原鴕聚港橢瞻積橢叛依瀕窿尸蓮謊嫌棗鋅劑猛腫員劉齋佬梧岔膜隨葉藩醬聞涸度共逼舅止崎肪