電子商務(wù)安全解決方案

1、電子商務(wù)信息安全解決方案密級(jí) 內(nèi)部文檔編號(hào)V10版本編號(hào)V10.2日期 2013-07-31rounder J5I信息安全技術(shù)有限有限公司2013年7月第一章前言1.1概念電子商務(wù)通常是指是在全球各地廣泛的商業(yè)貿(mào)易活動(dòng)中，在因特網(wǎng)開(kāi)放的網(wǎng) 絡(luò)環(huán)境下，基于瀏覽器/服務(wù)器應(yīng)用方式，買(mǎi)賣(mài)雙方不謀面地進(jìn)行各種商貿(mào)活動(dòng)， 實(shí)現(xiàn)消費(fèi)者的網(wǎng)上購(gòu)物、商戶(hù)之間的網(wǎng)上交易和在線電子支付以及各種商務(wù)活動(dòng)、 交易活動(dòng)、金融活動(dòng)和相關(guān)的綜合服務(wù)活動(dòng)的一種新型的商業(yè)運(yùn)營(yíng)模式。電子商 務(wù)是利用微電腦技術(shù)和網(wǎng)絡(luò)通訊技術(shù)進(jìn)行的商務(wù)活動(dòng)。各國(guó)政府、學(xué)者、企業(yè)界 人士根據(jù)自己所處的地位和對(duì)電子商務(wù)參與的角度和程度的不同，給出了許多

2、不 同的定義。首先將電子商務(wù)劃分為廣義和狹義的電子商務(wù)。廣義的電子商務(wù)定義為，使 用各種電子工具從事商務(wù)或活動(dòng)；狹義電子商務(wù)定義為，主要利用Internet從 事商務(wù)或活動(dòng)。無(wú)論是廣義的還是狹義的電子商務(wù)的概念，電子商務(wù)都涵蓋了兩 個(gè)方面：一是離不開(kāi)互聯(lián)網(wǎng)這個(gè)平臺(tái)，沒(méi)有了網(wǎng)絡(luò)，就稱(chēng)不上為電子商務(wù)；二是 通過(guò)互聯(lián)網(wǎng)完成的是一種商務(wù)活動(dòng)。狹義上講，電子商務(wù)（Electronic Commerce，簡(jiǎn)稱(chēng)EC）是指：通過(guò)使用互聯(lián) 網(wǎng)等電子工具（這些工具包括電報(bào)、電話(huà)、廣播、電視、傳真、計(jì)算機(jī)、計(jì)算機(jī) 網(wǎng)絡(luò)、移動(dòng)通信等）在全球范圍內(nèi)進(jìn)行的商務(wù)貿(mào)易活動(dòng)。是以計(jì)算機(jī)網(wǎng)絡(luò)為基礎(chǔ) 所進(jìn)行的各種商務(wù)活動(dòng)，包括商品

3、和服務(wù)的提供者、廣告商、消費(fèi)者、中介商等 有關(guān)各方行為的總和。人們一般理解的電子商務(wù)是指狹義上的電子商務(wù)。廣義上講，電子商務(wù)一詞源自于Electronic Business，就是通過(guò)電子手段 進(jìn)行的商業(yè)事務(wù)活動(dòng)。通過(guò)使用互聯(lián)網(wǎng)等電子工具，使公司內(nèi)部、供應(yīng)商、客戶(hù) 和合作伙伴之間，利用電子業(yè)務(wù)共享信息，實(shí)現(xiàn)企業(yè)間業(yè)務(wù)流程的電子化，配合 企業(yè)內(nèi)部的電子化生產(chǎn)管理系統(tǒng)，提高企業(yè)的生產(chǎn)、庫(kù)存、流通和資金等各個(gè)環(huán) 節(jié)的效率。聯(lián)合國(guó)國(guó)際貿(mào)易程序簡(jiǎn)化工作組對(duì)電子商務(wù)的定義是：采用電子形式開(kāi)展商 務(wù)活動(dòng)，它包括在供應(yīng)商、客戶(hù)、政府及其他參與方之間通過(guò)任何電子工具，如EDI. Web技術(shù)、電子郵件等共享非結(jié)構(gòu)化

4、商務(wù)信息，并管理和完成在商務(wù)活動(dòng)、 管理活動(dòng)和消費(fèi)活動(dòng)中的各種交易。電子商務(wù)是利用計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)技術(shù)和遠(yuǎn)程通信技術(shù)，實(shí)現(xiàn)電子化、數(shù)字 化和網(wǎng)絡(luò)化，商務(wù)化的整個(gè)商務(wù)過(guò)程。電子商務(wù)是以商務(wù)活動(dòng)為主體，以計(jì)算機(jī)網(wǎng)絡(luò)為基礎(chǔ)，以電子化方式為手段， 在法律許可范圍內(nèi)所進(jìn)行的商務(wù)活動(dòng)交易過(guò)程。電子商務(wù)是運(yùn)用數(shù)字信息技術(shù)，對(duì)企業(yè)的各項(xiàng)活動(dòng)進(jìn)行持續(xù)優(yōu)化的過(guò)程。1.2發(fā)展前景隨著我國(guó)網(wǎng)絡(luò)技術(shù)普及率的日益提高，通過(guò)網(wǎng)絡(luò)進(jìn)行購(gòu)物、交易、支付等的 電子商務(wù)新模式發(fā)展迅速。電子商務(wù)憑借其低成本、高效率的優(yōu)勢(shì)，不但受到普 通消費(fèi)者的青睞，還有效促進(jìn)中小企業(yè)尋找商機(jī)、贏得市場(chǎng)，已成為我國(guó)轉(zhuǎn)變發(fā) 展方式、優(yōu)化產(chǎn)業(yè)結(jié)構(gòu)的重要?jiǎng)?/p>

5、力。根據(jù)前瞻網(wǎng)2013-2017年中國(guó)電子商務(wù)行業(yè)市場(chǎng)前瞻與投資戰(zhàn)略規(guī)劃分析 報(bào)告1數(shù)據(jù)顯示，“十一五”時(shí)期，我國(guó)電子商務(wù)行業(yè)發(fā)展迅猛，產(chǎn)業(yè)規(guī)模迅 速擴(kuò)大，電子商務(wù)信息、交易和技術(shù)等服務(wù)企業(yè)不斷涌現(xiàn)。2010年中國(guó)電子商 務(wù)市場(chǎng)交易額已達(dá)4.5萬(wàn)億元，同比增長(zhǎng)22%。2011年我國(guó)電子商務(wù)交易總額再 創(chuàng)新高，達(dá)到5.88萬(wàn)億元，其中中小企業(yè)電子商務(wù)交易額達(dá)到3.21萬(wàn)億元。2012年第一季度，中國(guó)電子商務(wù)市場(chǎng)整體交易規(guī)模1.76萬(wàn)億，同比增長(zhǎng) 25.8%，環(huán)比下降4.2%。2012年第二季度，我國(guó)電子商務(wù)市場(chǎng)整體交易規(guī)模1.88 萬(wàn)億，同比增長(zhǎng)25.0%，環(huán)比增長(zhǎng)7.3%。2第二章需求分析典型

6、的電子商務(wù)系統(tǒng)擁有三級(jí)架構(gòu)：直接面向交易用戶(hù)的Web服務(wù)器層， 后臺(tái)事務(wù)處理的應(yīng)用服務(wù)器層，后臺(tái)數(shù)據(jù)存儲(chǔ)的數(shù)據(jù)庫(kù)服務(wù)器層。用戶(hù)的交易請(qǐng) 求一定是經(jīng)由Web服務(wù)器一應(yīng)用服務(wù)器一數(shù)據(jù)庫(kù)服務(wù)器的順序來(lái)實(shí)現(xiàn)的。典型的電子商務(wù)數(shù)據(jù)流過(guò)程：交易用戶(hù)通過(guò)Internet瀏覽電子商務(wù)系統(tǒng)的 Web服務(wù)器，在頁(yè)面上點(diǎn)擊發(fā)起交易或查詢(xún)請(qǐng)求；Web服務(wù)器向應(yīng)用服務(wù)器發(fā)起 事務(wù)處理請(qǐng)求，等待應(yīng)用服務(wù)器應(yīng)答；應(yīng)用服務(wù)器將交易或查詢(xún)信息傳遞到數(shù)據(jù) 庫(kù)服務(wù)器，由數(shù)據(jù)庫(kù)服務(wù)器作應(yīng)答；各級(jí)服務(wù)器在收到后臺(tái)應(yīng)答后向前臺(tái)設(shè)備作 響應(yīng)，最終響應(yīng)給交易用戶(hù)，完成一筆交易或查詢(xún)。如何建設(shè)一個(gè)既有先進(jìn)技術(shù)支持，又有過(guò)硬的安全保障的網(wǎng)絡(luò)，成

7、了企業(yè)必 須完成的一項(xiàng)任務(wù)。根據(jù)企業(yè)自身的發(fā)展以及企業(yè)自身的特點(diǎn)，決定建設(shè)一整套 電子商務(wù)平臺(tái)建設(shè)。內(nèi)容如下：建設(shè)一整套高速、高性能、完整的網(wǎng)絡(luò)運(yùn)算平臺(tái)建設(shè)一套高性能的防病毒、防黑客、防間諜系統(tǒng)確保網(wǎng)絡(luò)的安全建設(shè)一整有效的網(wǎng)站防篡改系統(tǒng)，有效的保護(hù)網(wǎng)站不受黑客等的攻擊和篡改建設(shè)一整套服務(wù)器負(fù)載均衡系統(tǒng)，確保運(yùn)算交易系統(tǒng)等的大量服務(wù)器在全國(guó) 范圍內(nèi)大規(guī)模交易用戶(hù)能以最快速度進(jìn)行交易建設(shè)一整套數(shù)據(jù)的存儲(chǔ)和備份和災(zāi)難恢復(fù)系統(tǒng)，對(duì)每天產(chǎn)生的大量的數(shù)據(jù)進(jìn) 行有效的存儲(chǔ)和保護(hù)。以備災(zāi)難發(fā)生時(shí)能及時(shí)有效的進(jìn)行數(shù)據(jù)恢復(fù)建設(shè)一套大規(guī)模網(wǎng)絡(luò)運(yùn)維管理系統(tǒng)，對(duì)建成的網(wǎng)絡(luò)系統(tǒng)進(jìn)行有效的管理和維 護(hù)3第三章方案設(shè)計(jì)3.1

8、方案設(shè)計(jì)原則先進(jìn)性：系統(tǒng)采用的技術(shù)必須是先進(jìn)而成熟的?，F(xiàn)在計(jì)算機(jī)技術(shù)的發(fā)展日新 月異，要保護(hù)客戶(hù)的投資就必須采用先進(jìn)的技術(shù)，并且這種技術(shù)和產(chǎn)品必須被業(yè) 界公認(rèn)為成熟且有發(fā)展前途的。實(shí)用性：建設(shè)系統(tǒng)的目的是要解決企業(yè)數(shù)據(jù)信息的共享、交換和安全，提供 現(xiàn)代化的管理，因此，設(shè)計(jì)方案的出發(fā)點(diǎn)就是要滿(mǎn)足用戶(hù)的信息要求。經(jīng)濟(jì)性：設(shè)計(jì)方案不但要考慮采用技術(shù)的先進(jìn)、可靠，而且還必須考慮用戶(hù) 的經(jīng)濟(jì)負(fù)擔(dān)。因此，設(shè)計(jì)方案必須具備很高的性能價(jià)格比。高可管理性與高可靠性：由于整個(gè)業(yè)務(wù)系統(tǒng)的設(shè)計(jì)采取集中式的管理策略， 所以存儲(chǔ)系統(tǒng)必須具備很高的可管理性。另外，計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的外部環(huán)境是多 變的，設(shè)計(jì)方案必須是強(qiáng)健的，能

9、夠很方便地進(jìn)行調(diào)整，以滿(mǎn)足外部環(huán)境的變化。高可擴(kuò)充性與升級(jí)能力：設(shè)計(jì)方案必須能夠適應(yīng)企業(yè)網(wǎng)絡(luò)系統(tǒng)發(fā)展的需要， 具備高可擴(kuò)充性與升級(jí)能力。存儲(chǔ)系統(tǒng)必須是可以擴(kuò)充的，必須具備較高的擴(kuò)展 能力，而且隨著計(jì)算機(jī)技術(shù)的發(fā)展可以對(duì)系統(tǒng)進(jìn)行升級(jí)。開(kāi)放性與標(biāo)準(zhǔn)化：設(shè)計(jì)方案中所采用的技術(shù)和選用的產(chǎn)品都必須是業(yè)界公認(rèn) 的主流，而且必須滿(mǎn)足開(kāi)放性的要求。3.2數(shù)據(jù)存儲(chǔ)、備份、災(zāi)難恢復(fù)系統(tǒng)方案設(shè)計(jì)FC-SAN存儲(chǔ)系統(tǒng)3.2.1方案描述本地存儲(chǔ)備份系統(tǒng)設(shè)計(jì)了一個(gè)核心主存儲(chǔ)系統(tǒng)，一個(gè)備份系統(tǒng)，備份架構(gòu)采 用了業(yè)界先進(jìn)的D2D2T模式，數(shù)據(jù)集中存放在“存儲(chǔ)中心”的磁盤(pán)設(shè)備上，這 是第一個(gè)“D”，數(shù)據(jù)備份到備份用的磁盤(pán)介質(zhì)上

10、，這是第二個(gè)“D”，磁盤(pán)存 儲(chǔ)和備份及數(shù)據(jù)恢復(fù)都更加快速，以保證用戶(hù)在數(shù)據(jù)或者系統(tǒng)出現(xiàn)故障時(shí)在最短 的時(shí)間內(nèi)使信息系統(tǒng)得到恢復(fù)。最后的“T”是指每三個(gè)月將數(shù)據(jù)歸檔到磁帶介 質(zhì)上，這樣充分利用了磁帶介質(zhì)線型存儲(chǔ)方式的安全和產(chǎn)品價(jià)格的低廉，并且節(jié) 省了磁盤(pán)介質(zhì)的空間。本地存儲(chǔ)備份歸檔系統(tǒng)的完善部屬，一方面可以解決現(xiàn)有數(shù)據(jù)的集中存儲(chǔ)問(wèn) 題和數(shù)據(jù)的備份問(wèn)題。同時(shí)為后面進(jìn)行異地容災(zāi)打下了較好的硬件基礎(chǔ)。目標(biāo)是構(gòu)造一個(gè)以數(shù)據(jù)為中心，功能齊全、運(yùn)行高效、使用靈活、維護(hù)方便、 易于擴(kuò)展、投資省、安全可靠的數(shù)據(jù)存儲(chǔ)備份系統(tǒng)，為了達(dá)到這個(gè)目標(biāo)，必須遵 守以下幾個(gè)設(shè)計(jì)原則：以原有存儲(chǔ)資源的合理利用為基礎(chǔ)，以數(shù)據(jù)為中

11、心，構(gòu)架一個(gè)全新的數(shù)據(jù)備 份模式存儲(chǔ)備份系統(tǒng)應(yīng)以目前的Windows平臺(tái)為主，同時(shí)還要考慮到將來(lái)關(guān)鍵業(yè)務(wù) 系統(tǒng)與其它Unix、LINUX平臺(tái)兼容提供較好的可擴(kuò)展性能，保護(hù)貴單位投資提供完備的、易操作的備份管理功能。包括：在高峰期不占用過(guò)多網(wǎng)絡(luò)資源 前提下，實(shí)現(xiàn)高效快速的數(shù)據(jù)備份與恢復(fù)；具有較高的數(shù)據(jù)讀寫(xiě)速度和穩(wěn)定性； 具有完備的備份策略，如全備份、增量備份、差分備份、按需備份功能完備易于操作的備份管理系統(tǒng)。3.2.2存儲(chǔ)備份系統(tǒng)部署1.備份服務(wù)器備份服務(wù)器的作用相當(dāng)于備份系統(tǒng)的“大腦”，管理制定整個(gè)備份系統(tǒng)（包 括全部需要備份的服務(wù)器和存儲(chǔ)設(shè)備、磁帶歸檔設(shè)備）的備份策略和跟蹤客戶(hù)端 的備份。服

12、務(wù)器是集中管理的核心。系統(tǒng)數(shù)據(jù)在備份控制服務(wù)器的統(tǒng)一控制和管理下，實(shí)現(xiàn)增量備份、差分備份， 當(dāng)數(shù)據(jù)量為海量數(shù)據(jù)，無(wú)法實(shí)現(xiàn)每天的完全備份時(shí)，可以把備份策略制定成增量， 差分和全備份相結(jié)合的方式。（每周/每月做一次全備份，其它時(shí)間每天作增量 或差分備份），減少備份時(shí)間，提高備份速度。同時(shí)減少磁帶的使用量。2.備份系統(tǒng)的控制備份控制服務(wù)器對(duì)整個(gè)備份系統(tǒng)通過(guò)統(tǒng)一的管理控制軟件進(jìn)行控制，備份系 統(tǒng)的備份策略的定義可以隨時(shí)由備份控制服務(wù)器靈活修改，在任何一臺(tái)需要備份 的服務(wù)器上，可以通過(guò)設(shè)制備份策略在相應(yīng)的時(shí)間對(duì)用戶(hù)的數(shù)據(jù)庫(kù)、操作系統(tǒng)、 客戶(hù)端系統(tǒng)及數(shù)據(jù)進(jìn)行備份。高級(jí)磁盤(pán)備份和恢復(fù)通過(guò)基于磁盤(pán)的高級(jí)備份和

13、恢復(fù)，包括合成備份、脫機(jī)備份，可以實(shí)現(xiàn)更快 的備份和恢復(fù)，進(jìn)行零影響的備份。合成備份可以縮短備份時(shí)間，減少網(wǎng)絡(luò)帶寬 需求，而且不會(huì)影響原始客戶(hù)端。此外，合成備份使用戶(hù)能夠從一個(gè)備份映像進(jìn) 行快速的客戶(hù)端恢復(fù)，而無(wú)需從多盤(pán)磁帶和增量備份進(jìn)行恢復(fù)（即：我們經(jīng)常說(shuō) 的D2D2T）。建立多級(jí)恢復(fù)系統(tǒng)，以磁盤(pán)陣列為一級(jí)恢復(fù)設(shè)備，磁帶設(shè)備作為 二級(jí)恢復(fù)設(shè)備。上述數(shù)據(jù)備份系統(tǒng)的功能實(shí)現(xiàn)能夠充分滿(mǎn)足備份系統(tǒng)的要求，同時(shí)，由于其 備份層次的靈活性，可以根據(jù)數(shù)據(jù)量和應(yīng)用繁忙程度的不同而靈活實(shí)施備份。備 份任務(wù)采用了上述靈活的備份管理功能，具有很多完善的備份系統(tǒng)控制和管理方 法。3.2.3備份策略設(shè)置:我們初步制定

14、的備份策略為：每天做應(yīng)用數(shù)據(jù)（數(shù)據(jù)庫(kù)、群件等）和用戶(hù)數(shù)據(jù)的備份，盡量在中午或夜間 進(jìn)行。每三個(gè)月做系統(tǒng)的（包括操作系統(tǒng)、數(shù)據(jù)庫(kù)、群件、用戶(hù)數(shù)據(jù)等）全備份和 數(shù)據(jù)歸檔，備份歸檔完后將磁帶取出另存。每日的數(shù)據(jù)備份按一定備份策略執(zhí)行，保留一段時(shí)間的數(shù)據(jù)（如一個(gè)星期）， 過(guò)了該段時(shí)間后數(shù)據(jù)被覆寫(xiě)。由于備份設(shè)備采用高容量、高性能的磁盤(pán)設(shè)備，歸 檔采用成熟安全的磁帶存儲(chǔ)技術(shù)，所有備份作業(yè)都能自動(dòng)進(jìn)行，無(wú)須人為干預(yù)。每三個(gè)月的系統(tǒng)全備份采用每日備份策略外的磁帶，定義不同的備份策略， 與每日的備份互不干擾，獨(dú)立進(jìn)行。3.3防病毒、防黑客、防間諜系統(tǒng)方案設(shè)計(jì)3.3.1防病毒系統(tǒng) 概述病毒伴隨著計(jì)算機(jī)系統(tǒng)一起發(fā)展

15、了十幾年，目前其形態(tài)和入侵途徑已發(fā)生了巨大的變化。 目前幾乎每天都有新的病毒出現(xiàn)在Internet上，并且由于其借助Internet上的信息往來(lái)，所 以傳播速度極快。隨著計(jì)算機(jī)技術(shù)的不斷發(fā)展，病毒也變得越來(lái)越復(fù)雜和高級(jí)。據(jù)2006年 新華網(wǎng)調(diào)查結(jié)果顯示，計(jì)算機(jī)病毒發(fā)作造成損失的比例為62%。瀏覽器配置被修改、數(shù)據(jù)受 損或丟失、系統(tǒng)使用受限、網(wǎng)絡(luò)無(wú)法使用、密碼被盜是計(jì)算機(jī)病毒造成的主要破壞后果?；谝陨线@些情況，為了企業(yè)的財(cái)產(chǎn)免受損失，大多數(shù)企業(yè)都需要選擇多層 的病毒防衛(wèi)體系，所謂多層病毒防衛(wèi)體系，是指在企業(yè)的每個(gè)臺(tái)式機(jī)上要安裝臺(tái) 式機(jī)的反病毒軟件，在服務(wù)器上要安裝基于服務(wù)器的反病毒軟件，在IN

16、TERNET 網(wǎng)關(guān)上要安裝基于INTERNET同關(guān)的反病毒軟件，因?yàn)閷?duì)企業(yè)來(lái)說(shuō)，防止病毒 的攻擊并不是某一個(gè)管理員的責(zé)任，而是每一個(gè)員工的責(zé)任，每一個(gè)員工都要做 到個(gè)人使用的臺(tái)式機(jī)上不受病毒的感染，從而保證整個(gè)企業(yè)網(wǎng)不受病毒的感染。病毒威脅分析目前絕大多數(shù)病毒傳播的途徑是網(wǎng)絡(luò)。對(duì)于一個(gè)網(wǎng)絡(luò)系統(tǒng)而言，針對(duì)病毒的 入侵渠道和病毒集散地進(jìn)行防護(hù)是最有效的防治策略。因此，對(duì)于每一個(gè)病毒可 能的入口，部署相應(yīng)的防病毒軟件，實(shí)時(shí)檢測(cè)其中是否有病毒，是構(gòu)建一個(gè)完整 有效防病毒體系的關(guān)鍵。來(lái)自系統(tǒng)外部（Internet或外網(wǎng)）的病毒入侵：這是目前病毒進(jìn)入最多的途 徑.因此在與外部連接的網(wǎng)關(guān)處進(jìn)行病毒攔截是效率

17、最高，耗費(fèi)資源最少的措施。 可以使進(jìn)入內(nèi)部系統(tǒng)的病毒數(shù)量大為減少。但很明顯，它只能阻擋進(jìn)出內(nèi)部系統(tǒng) 病毒的入侵。網(wǎng)絡(luò)郵件/群件系統(tǒng)：如果網(wǎng)絡(luò)內(nèi)采用了自己的郵件/群件系統(tǒng)實(shí)施辦公和信 息自動(dòng)化，那么一旦有某個(gè)用戶(hù)感染了病毒，通過(guò)郵件方式該病毒將以幾何級(jí)數(shù) 在網(wǎng)絡(luò)內(nèi)迅速傳播，并且很容易導(dǎo)致郵件系統(tǒng)負(fù)荷過(guò)大而癱瘓。因此在郵件系統(tǒng) 上部署防病毒也顯得尤為重要。文件服務(wù)器：文件資源共享是網(wǎng)絡(luò)提供的基本功能。文件服務(wù)器大大提高了 資源的重復(fù)利用率，并且能對(duì)信息進(jìn)行長(zhǎng)期有效的存儲(chǔ)和保護(hù)。但是一旦服務(wù)器 本身感染了病毒，就會(huì)對(duì)所有的訪問(wèn)者構(gòu)成威脅。因此文件服務(wù)器也需要設(shè)置防 病毒保護(hù)。最終用戶(hù)：病毒最后的入侵

18、途徑就是最終的桌面用戶(hù)。由于網(wǎng)絡(luò)共享的便利 性，某個(gè)感染病毒的桌面機(jī)可能隨時(shí)會(huì)感染其它的機(jī)器，或是被種上了黑客程序 而向外傳送機(jī)密文件。因此在網(wǎng)絡(luò)內(nèi)對(duì)所有的客戶(hù)機(jī)進(jìn)行防毒控制也是非常重要 的。解決方案建議方正熊貓防毒我們建議采用業(yè)界和行業(yè)認(rèn)可技術(shù)性能優(yōu)異的方正熊貓防病毒體系部署解決。 方正熊貓產(chǎn)品，獲得所有世界頂級(jí)權(quán)威認(rèn)證。該系統(tǒng)的部署可滿(mǎn)足系統(tǒng)安全以下主要需求：簡(jiǎn)易的安裝和配置操作Internet訪問(wèn)的穩(wěn)定性、安全性十分重要。防毒產(chǎn)品的安裝和設(shè)置應(yīng)盡量 簡(jiǎn)易，充分考慮系統(tǒng)數(shù)據(jù)、文件的安全可靠性，所選產(chǎn)品與現(xiàn)系統(tǒng)具有良好的一 致性和兼容性，以及最低的系統(tǒng)資源占用，保證不對(duì)現(xiàn)有系統(tǒng)運(yùn)行產(chǎn)生不良影

19、響。 可管理性企業(yè)日益重視其IT環(huán)境的總體擁有成本(TCO)。在有限的人力資源情況下， IT管理員的工作是非常復(fù)雜和繁忙的，要管理好防病毒系統(tǒng)的安裝、升級(jí)、配 置和工作報(bào)告是一個(gè)非常繁瑣的事，因此產(chǎn)品本身應(yīng)帶有集成的、易用的管理工 具，管理員可以從一個(gè)集中管理控制臺(tái)對(duì)整個(gè)防毒系統(tǒng)進(jìn)行監(jiān)控管理和維護(hù)。軟件的可升級(jí)性可升級(jí)能力是衡量防病毒系統(tǒng)是否具有生命力的重要指標(biāo)。防毒軟件的特點(diǎn) 是隨著各類(lèi)新病毒的出現(xiàn)而必須盡快進(jìn)行更新和升級(jí)，其中包括病毒定義、產(chǎn)品 組件的更新。系統(tǒng)的可擴(kuò)展性在信息時(shí)代，企業(yè)的信息系統(tǒng)都處于飛速膨脹的過(guò)程之中。防病毒系統(tǒng)也應(yīng) 適應(yīng)企業(yè)的發(fā)展趨勢(shì)，自身具有較大的可擴(kuò)展能力。充分保

20、護(hù)用戶(hù)的現(xiàn)有投資， 適應(yīng)計(jì)算機(jī)系統(tǒng)發(fā)展的需要。降低系統(tǒng)總體成本在讓客戶(hù)在獲得優(yōu)質(zhì)的防病毒服務(wù)的同時(shí)，能夠盡量減少所需增加的費(fèi)用支 出。強(qiáng)大的病毒清除能力如果選用的防病毒軟件病毒清除能力較弱，在病毒爆發(fā)的情況下，管理員會(huì) 為了徹底清除網(wǎng)絡(luò)中的病毒而疲于奔命，即使采用病毒專(zhuān)用清除工具，這樣在較 長(zhǎng)時(shí)間內(nèi)網(wǎng)羅中病毒會(huì)一直存在。采用世界最先進(jìn)的清除病毒能力較強(qiáng)的防毒產(chǎn) 品，可確保計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)具有最佳的病毒、黑客軟件防護(hù)能力。同時(shí)也降低了 管理人員的工作量和防病毒產(chǎn)品的維護(hù)成本。優(yōu)秀的產(chǎn)品性能選用產(chǎn)品應(yīng)具備對(duì)多種文件格式、多層壓縮文件的病毒檢測(cè)。對(duì)包括各種宏 病毒、變體病毒和黑客程序等已知病毒具有最佳

21、的病毒檢測(cè)率，對(duì)未知病毒亦有 良好的檢測(cè)能力。在提高病毒檢測(cè)力的同時(shí)，對(duì)檢測(cè)出的病毒也有很高的清除能 力，依靠程序本身就可徹底清除感染文件的病毒，減輕管理人員對(duì)中毒事件的介 入，把更多的精力放在構(gòu)建完整的病毒防護(hù)體系和管理工作上。新病毒的快速響應(yīng)在全球范圍內(nèi)每周產(chǎn)生大約2000只以上新病毒的情況下，每周的病毒庫(kù)更 新使用戶(hù)在病毒出現(xiàn)后和下次更新前，會(huì)存在感染病毒而防病毒軟件根本無(wú)法識(shí) 別的風(fēng)險(xiǎn)。而每天兩次病毒數(shù)據(jù)庫(kù)的更新，緊急情況下45分鐘的全球用戶(hù)更新， 確保在任何新病毒出現(xiàn)的情況下通過(guò)快速高效的防病毒更新機(jī)制，使所有用戶(hù)得 到最大程度的防病毒保護(hù)。因此對(duì)于整個(gè)網(wǎng)絡(luò)而言，需要采取綜合的防護(hù)措

22、施，構(gòu)筑全方位的安全保 護(hù)系統(tǒng)，才能得到真正有效的防病毒安全。方正熊貓安全網(wǎng)關(guān)：熊貓安全網(wǎng)關(guān)能夠針對(duì)HTTP、HTTPS、FTP、SMTP、POP3等協(xié)議流量進(jìn)行雙向的過(guò)濾掃描， 來(lái)達(dá)到對(duì)企業(yè)內(nèi)網(wǎng)用戶(hù)和服務(wù)器的保護(hù)，并防止內(nèi)網(wǎng)已感染病毒的客戶(hù)端和服務(wù)器對(duì)外擴(kuò)散 病毒。在云的Internet應(yīng)用協(xié)議流量中通常HTTP流量所占的比重最大，因此HTTP協(xié)議 的檢測(cè)性能是網(wǎng)關(guān)防病毒的關(guān)鍵性能指標(biāo)。為了實(shí)現(xiàn)防病毒安全網(wǎng)關(guān)系統(tǒng)超強(qiáng)的應(yīng)用防護(hù)功能，自主開(kāi)發(fā)了操作系統(tǒng) SecOS。SecOS支持多核、多引擎并行處理，且優(yōu)化重寫(xiě)了 TCP協(xié)議棧，具有模 塊化的應(yīng)用處理架構(gòu)，能夠根據(jù)Internet應(yīng)用安全的需要

23、將多種功能集成到一 起，為設(shè)備功能的擴(kuò)展鑒定了良好的基礎(chǔ)，并且能夠?qū)崿F(xiàn)多引擎的并行處理。如 下圖所示。3.3.2防黑客攻擊黑客攻擊方式黑客能夠?qū)W(wǎng)絡(luò)進(jìn)行攻擊的主要原因是網(wǎng)絡(luò)系統(tǒng)的缺陷與漏洞。黑客常用的 攻擊方式有：網(wǎng)絡(luò)監(jiān)聽(tīng)，網(wǎng)絡(luò)監(jiān)聽(tīng)的關(guān)鍵是將網(wǎng)卡設(shè)置為混雜模式的狀態(tài)。常用的監(jiān) 聽(tīng)工具有Sniffit、Windump，防范監(jiān)聽(tīng)的辦法之一是加密端口掃描，利用常用的掃描工具如SATAN、NSS、Strobe、Superscan和 Ping命令、Tracert命令等人工方式對(duì)系統(tǒng)開(kāi)放的端口進(jìn)行掃描口令破解，一般的口令破解方式是從存放許多常用的口令的數(shù)據(jù)庫(kù)中， 逐一地取出口令進(jìn)行嘗試；另一種做法是設(shè)法偷

24、走系統(tǒng)的口令文件，如 E-mail欺騙，然后用口令破解工具破譯這些經(jīng)過(guò)加密的口令I(lǐng)P欺騙，通常是用編寫(xiě)的程序?qū)崿F(xiàn)偽造某臺(tái)主機(jī)的IP地址，被偽造的 主機(jī)往往具有某種特權(quán)或者被另外的主機(jī)所信任拒絕服務(wù)攻擊簡(jiǎn)稱(chēng)DoS。這種攻擊行動(dòng)使網(wǎng)站服務(wù)器充斥大量要求回復(fù) 的信息，消耗網(wǎng)絡(luò)帶寬或系統(tǒng)資源，導(dǎo)致網(wǎng)絡(luò)或系統(tǒng)不勝負(fù)荷以至癱瘓 而停止提供正常的網(wǎng)絡(luò)服務(wù)緩沖區(qū)溢出（又稱(chēng)堆棧溢出）攻擊是最常用的黑客技術(shù)之一。這主要是因 為C語(yǔ)言不檢查緩沖區(qū)的邊界。在某些情況下，如果用戶(hù)輸入的數(shù)據(jù)長(zhǎng) 度超過(guò)應(yīng)用程序給定的緩沖區(qū)，就會(huì)覆蓋其他數(shù)據(jù)區(qū)。就是通常說(shuō)的“堆 棧溢出或緩沖溢出拒絕服務(wù)攻擊”3322解決方案建議3.3.22

25、1網(wǎng)絡(luò)邊界安全隔離我們對(duì)XXXX公司電子商務(wù)平臺(tái)網(wǎng)絡(luò)劃分為企業(yè)網(wǎng)與互聯(lián)網(wǎng)之間的邊界和 服務(wù)器區(qū)與局域網(wǎng)之間的邊界，利用網(wǎng)絡(luò)隔離設(shè)備如防火墻或安全網(wǎng)關(guān)設(shè)備分別 進(jìn)行隔離保護(hù)，提供可控的過(guò)濾網(wǎng)絡(luò)通信，只允許授權(quán)的通信。配置策略建議：公網(wǎng)接口：配置ACL訪問(wèn)控制、ASPF （基于應(yīng)用層的報(bào)文過(guò)濾）、深度 業(yè)務(wù)監(jiān)控等多種功能。本策略?xún)H允許從園區(qū)網(wǎng)內(nèi)部主動(dòng)發(fā)起的TCP連接， 即如果報(bào)文是內(nèi)部網(wǎng)絡(luò)用戶(hù)發(fā)起的TCP連接的返回報(bào)文，則允許其通過(guò)防 火墻進(jìn)入內(nèi)部網(wǎng)絡(luò)，其他報(bào)文被禁止；園區(qū)內(nèi)部通過(guò)NAT訪問(wèn)Internet：首先需要確認(rèn)訪問(wèn)Internet的流量，然 后對(duì)這些流量的地址進(jìn)行NAT轉(zhuǎn)換，其次要設(shè)置地

26、址池，即申請(qǐng)到的公網(wǎng) 地址。本策略保證內(nèi)部網(wǎng)絡(luò)安全的訪問(wèn)Internet；Internet用戶(hù)訪問(wèn)園區(qū)內(nèi)部公共服務(wù)器：在園區(qū)出口配置NAT Server， 將一個(gè)公網(wǎng)的地址與內(nèi)部服務(wù)器地址關(guān)聯(lián)起來(lái).Internet用戶(hù)向公網(wǎng)地 址發(fā)起連接，在防火墻的公網(wǎng)接口上將該報(bào)文IP目的地轉(zhuǎn)換為內(nèi)部服務(wù) 器地址，即可以到達(dá)內(nèi)部公共服務(wù)器的訪問(wèn)目的。在公網(wǎng)接口上啟用nat server，提供 WWW/MAIL 等服務(wù)；設(shè)備流量鏡像配置：將防火墻內(nèi)網(wǎng)接口上的進(jìn)出流量在交換機(jī)上鏡像到 接有流量監(jiān)控軟件PC的內(nèi)部端口上進(jìn)行流量查看、統(tǒng)計(jì)和管理控制。本 策略是為了有限的帶寬被合理的利用，保證服務(wù)器能正常的為外部客戶(hù)

27、 提供服務(wù)3.3.222漏洞掃描系統(tǒng)除利用防火墻控制對(duì)網(wǎng)絡(luò)的入侵外，還需要針對(duì)主機(jī)系統(tǒng)的漏洞采取檢查和 發(fā)現(xiàn)措施。目前常用的方法是配置漏洞掃描設(shè)備。主機(jī)漏洞掃描可以主動(dòng)發(fā)現(xiàn)主 機(jī)系統(tǒng)中存在的系統(tǒng)缺陷和可能的安全漏洞，并提醒系統(tǒng)管理員對(duì)該缺陷和漏洞 進(jìn)行修補(bǔ)或堵塞。對(duì)于漏洞掃描的結(jié)果，一般可以按掃描提示信息和建議，屬外購(gòu)標(biāo)準(zhǔn)產(chǎn)品問(wèn) 題的，應(yīng)及時(shí)升級(jí)換代或安裝補(bǔ)丁程序；屬委托開(kāi)發(fā)的產(chǎn)品問(wèn)題的，應(yīng)與開(kāi)發(fā)商 協(xié)商修改程序或安裝補(bǔ)丁程序；屬于系統(tǒng)配置出現(xiàn)的問(wèn)題，應(yīng)建議系統(tǒng)管理員修 改配置參數(shù)，或視情況關(guān)閉或卸載引發(fā)安全漏洞的程序模塊或功能模塊。漏洞掃描功能是協(xié)助安全管理、掌握網(wǎng)絡(luò)安全態(tài)勢(shì)的必要輔助手段，

28、對(duì)使用 這一工具的安全管理員或系統(tǒng)管理員有較高的技術(shù)素質(zhì)要求?？紤]到漏洞掃描能檢測(cè)出防火墻策略配置中的問(wèn)題，能與入侵檢測(cè)形成很好 的互補(bǔ)關(guān)系：漏洞掃描與評(píng)估系統(tǒng)使系統(tǒng)管理員在事前掌握主動(dòng)地位，在攻擊事 件發(fā)生前找出并關(guān)閉安全漏洞；而入侵檢測(cè)系統(tǒng)則對(duì)系統(tǒng)進(jìn)行監(jiān)測(cè)以期在系統(tǒng)被 破壞之前阻止攻擊得逞。因此，漏洞掃描與入侵檢測(cè)在安全保護(hù)方面不但有共同 的安全目標(biāo)，而且關(guān)系密切。本方案建議的漏洞掃描系統(tǒng)必須既能掃描路由器、 交換機(jī)、防火墻等網(wǎng)絡(luò)設(shè)備，也可掃描Windows、常用Unix和Linux操作系統(tǒng)， 以及應(yīng)用系統(tǒng)主機(jī)、對(duì)外服務(wù)主機(jī)（WEB、E-MAIL）等。3.32.23入侵檢測(cè)系統(tǒng)入侵檢測(cè)技術(shù)

29、是一種利用入侵者留下的痕跡，如試圖登錄的失敗記錄等信息 來(lái)有效地發(fā)現(xiàn)來(lái)自外部或內(nèi)部的非法入侵的技術(shù)。它以探測(cè)與控制為技術(shù)本質(zhì)， 起著主動(dòng)防御的作用，是網(wǎng)絡(luò)安全中極其重要的部分。入侵檢測(cè)功能是防火墻的合理補(bǔ)充，幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管 理員的安全管理能力（包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng)），提高了信息安 全基礎(chǔ)結(jié)構(gòu)的完整性。它從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，并分析這 些信息，查看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測(cè)被 認(rèn)為是防火墻之后的第二道安全閘門(mén)，在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行 監(jiān)測(cè)，從而提供對(duì)整個(gè)網(wǎng)絡(luò)系統(tǒng)的實(shí)時(shí)保護(hù)。通過(guò)入侵檢測(cè)系統(tǒng)的實(shí)施，可實(shí)

30、現(xiàn)如下安全防護(hù):（1）檢測(cè)黑客入侵的方法和手段從網(wǎng)絡(luò)中搜集到網(wǎng)絡(luò)行為的信息后，通過(guò)分析其中的各種攻擊特征，可以全 面快速地識(shí)別各種網(wǎng)絡(luò)攻擊，如：掃描探測(cè)攻擊、口令猜測(cè)攻擊、緩沖區(qū)溢出攻 擊、郵件炸彈攻擊、拒絕服務(wù)攻擊、瀏覽器攻擊等，并對(duì)攻擊行為采取相應(yīng)的防 范措施。（2）監(jiān)控內(nèi)部人員的誤操作、資源濫用和惡意行為網(wǎng)絡(luò)IDS記錄網(wǎng)絡(luò)行為的屬性、特征、來(lái)源和目標(biāo)，并能在控制臺(tái)的監(jiān)控視 圖上顯示實(shí)時(shí)活動(dòng)的TCP連接和正在訪問(wèn)的URL。網(wǎng)絡(luò)IDS會(huì)對(duì)網(wǎng)絡(luò)中不正常的 通信連接做出反應(yīng)，從而保證所有網(wǎng)絡(luò)通信的合法性；任何不符合網(wǎng)絡(luò)安全策略 的網(wǎng)絡(luò)數(shù)據(jù)都會(huì)被網(wǎng)絡(luò)IDS探測(cè)到并報(bào)警。網(wǎng)絡(luò)IDS可以根據(jù)用戶(hù)需要定

31、義各種 需檢測(cè)的安全事件，例如對(duì)特定目標(biāo)主機(jī)的訪問(wèn)的檢測(cè)、對(duì)數(shù)據(jù)傳輸中包含的特 定內(nèi)容的檢測(cè)。這樣可以及時(shí)發(fā)現(xiàn)違反安全規(guī)定的誤操作、資源濫用和惡意行為。 網(wǎng)絡(luò)IDS可以監(jiān)控的誤操作、資源濫用和惡意行為有：對(duì)重要服務(wù)器的過(guò)于頻繁的訪問(wèn)，致使系統(tǒng)效率下降；非授權(quán)用戶(hù)對(duì)重要服務(wù)器的多次登錄請(qǐng)求；對(duì)重要文件的拷貝、刪除和移動(dòng)；上網(wǎng)聊天、網(wǎng)絡(luò)游戲和上下載大型文件；瀏覽非法網(wǎng)站和不健康網(wǎng)站；利用FTP、Telnet、Web、聊天、電子郵件等泄露商業(yè)、技術(shù)機(jī)密。（3）檢查系統(tǒng)漏洞及后門(mén)網(wǎng)絡(luò)IDS帶有目前已知的系統(tǒng)漏洞及后門(mén)的詳細(xì)信息，這些信息包括事件 名稱(chēng)、事件描述、發(fā)布日期、更新日期、解決方案和受影響的系

32、統(tǒng)平臺(tái)等。通過(guò) 對(duì)網(wǎng)絡(luò)會(huì)話(huà)的連接方式、連接端口以及連接中的特定內(nèi)容等特征的分析，可以有 效地發(fā)現(xiàn)網(wǎng)絡(luò)中利用系統(tǒng)漏洞所進(jìn)行的非法行為。網(wǎng)絡(luò)IDS提供的詳細(xì)信息可以 幫助系統(tǒng)管理員及時(shí)有效地修補(bǔ)系統(tǒng)存在的漏洞。實(shí)時(shí)報(bào)警和響應(yīng)網(wǎng)絡(luò)IDS在檢測(cè)到入侵行為后，可以根據(jù)用戶(hù)預(yù)先定義的事件響應(yīng)規(guī)則進(jìn) 行實(shí)時(shí)的報(bào)警。為了便于系統(tǒng)管理員對(duì)網(wǎng)絡(luò)進(jìn)行安全管理，網(wǎng)絡(luò)IDS提供了多種 報(bào)警手段。報(bào)警信息可以通過(guò)發(fā)送系統(tǒng)消息(Pop-UpMessage)、電子郵件、手機(jī) 短信息、尋呼等多種方式通知系統(tǒng)管理員；并且所有的報(bào)警信息都將記錄到日志 文件中，以備核查。為了加強(qiáng)網(wǎng)絡(luò)系統(tǒng)的入侵防御能力，網(wǎng)絡(luò)IDS還能夠針對(duì)惡意攻擊進(jìn)

33、行實(shí)時(shí)響應(yīng)， 響應(yīng)的手段有：中斷TCP會(huì)話(huà)、偽造ICMP應(yīng)答、根據(jù)黑名單斷開(kāi)、阻塞HTTP 請(qǐng)求、模擬SYN/ACK和執(zhí)行用戶(hù)自定義程序等。加強(qiáng)網(wǎng)絡(luò)的安全管理借助網(wǎng)絡(luò)IDS系統(tǒng)，網(wǎng)絡(luò)管理人員可以隨時(shí)了解人們正在進(jìn)行的網(wǎng)絡(luò)訪問(wèn)。 這樣，當(dāng)有人試圖偷窺或盜取敏感數(shù)據(jù)時(shí)網(wǎng)絡(luò)管理人員可以及時(shí)察覺(jué)。而且，能 夠同時(shí)監(jiān)控內(nèi)部和外部網(wǎng)絡(luò)行為的入侵檢測(cè)系統(tǒng)可以使安全策略更臻于完善。借 助于對(duì)網(wǎng)絡(luò)內(nèi)部誤用模式的監(jiān)控，系統(tǒng)管理員能夠及時(shí)覺(jué)察網(wǎng)絡(luò)攻擊及其它非法 行為，并能夠追溯這些非法行為的來(lái)龍去脈。3.3.23 Web防火墻設(shè)計(jì)方案電子商務(wù)企業(yè)的主要生產(chǎn)模塊是通過(guò)網(wǎng)絡(luò)進(jìn)行，網(wǎng)站的運(yùn)行正常與否，直接 關(guān)系到電子商務(wù)

34、企業(yè)的生產(chǎn)經(jīng)營(yíng)正常與否，甚至?xí)苯佑绊懙诫娮由虅?wù)企業(yè)的生 存。從安全角度考慮，需要針對(duì)目前泛濫的SQL注入、跨站腳本、應(yīng)用層DD.o.S 等Web應(yīng)用攻擊，提供有效檢測(cè)、防護(hù)，降低攻擊的影響，從而確保業(yè)務(wù)系統(tǒng)的 連續(xù)性和可用性。另一方面，還需要對(duì)投入成本進(jìn)行考慮?！俺杀尽辈粌H僅意味 著購(gòu)買(mǎi)安全產(chǎn)品/服務(wù)產(chǎn)生的直接支出，還需要考慮是否影響組織的正常業(yè)務(wù)、 是否給維護(hù)人員帶來(lái)較大的管理開(kāi)銷(xiāo)。最為理想情況，解決根本問(wèn)題是對(duì)Web應(yīng)用代碼進(jìn)行整改，嚴(yán)格遵循安全編 碼，確保網(wǎng)站安全。但通常，我們會(huì)發(fā)現(xiàn)為此付出的代價(jià)過(guò)大，對(duì)正常業(yè)務(wù)開(kāi)展 有很大影響。Web應(yīng)用防火墻（Web Application Fir

35、ewall,）代表了一類(lèi)新興的信息安 全技術(shù)，用以解決諸如防火墻一類(lèi)傳統(tǒng)設(shè)備束手無(wú)策的Web應(yīng)用安全問(wèn)題。與傳 統(tǒng)防火墻不同，web應(yīng)用防火墻工作在應(yīng)用層，因此對(duì)Web應(yīng)用防護(hù)具有先天 的技術(shù)優(yōu)勢(shì)?；趯?duì)Web應(yīng)用業(yè)務(wù)和邏輯的深刻理解，web應(yīng)用防火墻對(duì)來(lái)自 Web應(yīng)用程序客戶(hù)端的各類(lèi)請(qǐng)求進(jìn)行內(nèi)容檢測(cè)和驗(yàn)證，確保其安全性與合法性， 對(duì)非法的請(qǐng)求予以實(shí)時(shí)阻斷，從而對(duì)各類(lèi)網(wǎng)站站點(diǎn)進(jìn)行有效防護(hù)。web應(yīng)用防火墻系統(tǒng)特性應(yīng)用多維防護(hù)體系，有效應(yīng)對(duì)SQL注入、跨站腳本及其變形攻擊，提供 細(xì)粒度應(yīng)用層DD.o.S攻擊防護(hù)網(wǎng)頁(yè)防篡改系統(tǒng)支持-Linux、Windows、BSD系統(tǒng)Web加速支持實(shí)時(shí)檢測(cè)網(wǎng)頁(yè)篡

36、改，降低網(wǎng)站安全風(fēng)險(xiǎn)提供掛馬主動(dòng)診斷功能，維護(hù)網(wǎng)站公信度敏感信息掃描和過(guò)濾透明安全檢測(cè)，不用改變網(wǎng)絡(luò)拓?fù)涮峁┒喾N負(fù)載均衡算法支持虛擬主機(jī)部署，適合IDC環(huán)境支持WebMai l的安全檢測(cè)攻擊、特征庫(kù)在線平滑升級(jí)提供High Availability（HA），有效避免網(wǎng)絡(luò)單點(diǎn)故障網(wǎng)頁(yè)篡改防護(hù)針對(duì)目前猖獗的網(wǎng)頁(yè)篡改問(wèn)題，方正web應(yīng)用防火墻提供完整的解決方案。方正web應(yīng)用防火墻產(chǎn)品優(yōu)勢(shì)：立體式Web防護(hù)網(wǎng)絡(luò)。通過(guò)WAF、端點(diǎn)的網(wǎng)頁(yè)防篡改系統(tǒng)支持，提供完 整的Web安全解決方案?；谖募A驅(qū)動(dòng)級(jí)保護(hù)技術(shù)，事件觸發(fā)機(jī)制，確保系統(tǒng)資源不被浪費(fèi)。不 同于一些文件輪詢(xún)掃描式或外掛式的頁(yè)面防篡改軟件，頁(yè)面防

37、篡改模塊 采用的是與Web服務(wù)器底層文件夾驅(qū)動(dòng)級(jí)保護(hù)技術(shù)，與操作系統(tǒng)（支持 windows 2000/xp/2003/2008, Linux/BSD 系統(tǒng)）緊密結(jié)合的。而且在 Web 服務(wù)器對(duì)外發(fā)送網(wǎng)頁(yè)時(shí)進(jìn)行網(wǎng)頁(yè)防篡改檢測(cè)。這樣做不僅完全杜絕了輪 詢(xún)掃描式頁(yè)面防篡改軟件的掃描間隔中被篡改內(nèi)容被用戶(hù)訪問(wèn)的可能， 其所消耗的內(nèi)存和CPU占用率也遠(yuǎn)遠(yuǎn)低于文件輪詢(xún)掃描式或外掛式的 同類(lèi)軟件。采用網(wǎng)絡(luò)串聯(lián)方式對(duì)頁(yè)面進(jìn)行實(shí)時(shí)防護(hù)；支持對(duì)動(dòng)態(tài)、靜態(tài) 網(wǎng)頁(yè)的檢測(cè)和防護(hù)；采用文件級(jí)驅(qū)動(dòng)保護(hù)技術(shù)后，用戶(hù)每次訪問(wèn)每個(gè)受保護(hù)網(wǎng)頁(yè)時(shí)，Web月艮 務(wù)器在發(fā)送之前都進(jìn)行完整性檢查，保證網(wǎng)頁(yè)的真實(shí)性，可以徹底杜絕 篡改后的網(wǎng)

38、頁(yè)被訪問(wèn)的可能性，全面和實(shí)時(shí)地保護(hù)網(wǎng)站的所有網(wǎng)頁(yè)文件。， 提供完整網(wǎng)頁(yè)防篡改解決方案。WAF聯(lián)動(dòng)。網(wǎng)頁(yè)防篡改與WAF聯(lián)動(dòng)，阻斷Web威脅。3.4操作系統(tǒng)與數(shù)據(jù)庫(kù)安全操作系統(tǒng)是計(jì)算機(jī)和用戶(hù)之間的接口，是管理資源的核心系統(tǒng)，是系統(tǒng)的靈 魂。但由于我國(guó)尚無(wú)可供辦公和業(yè)務(wù)應(yīng)用的自主知識(shí)版權(quán)的操作系統(tǒng)，因此大多 數(shù)采用Unix、Windows系列操作系統(tǒng)。根據(jù)國(guó)家保密局技術(shù)要求，對(duì)于操作系統(tǒng) 安全的解決方案，應(yīng)盡可能采用安全操作系統(tǒng)，或者對(duì)其操作系統(tǒng)采取安全加固 措施，如：使用正版軟件，及時(shí)發(fā)現(xiàn)漏洞并打補(bǔ)丁，利用監(jiān)控和審計(jì)系統(tǒng)加強(qiáng)對(duì) 操作系統(tǒng)可能引發(fā)的安全問(wèn)題予以監(jiān)視、審計(jì)和告警。另外，系統(tǒng)內(nèi)應(yīng)盡可能選

39、用經(jīng)國(guó)家相關(guān)主管部門(mén)批準(zhǔn)使用的安全數(shù)據(jù)庫(kù)，或 者采用技術(shù)措施（如，安全中間件）對(duì)數(shù)據(jù)庫(kù)在數(shù)據(jù)存儲(chǔ)與訪問(wèn)的機(jī)密性、完整 性和可用性方面進(jìn)行安全增強(qiáng)改造。3.5大規(guī)模網(wǎng)絡(luò)安全運(yùn)維管理系統(tǒng)方案設(shè)計(jì)3.5.1運(yùn)維管理體系運(yùn)維管理體系柩架密鑰管理安全醵略與藤蘇培訓(xùn) 佃旗管理體兼狀京入倍蜀溺監(jiān)控市計(jì)技木儺理安全瞭務(wù)安塵機(jī)制安全技術(shù)技術(shù)休系物理安全系纜安全運(yùn)行環(huán)壕及案舞農(nóng)全技術(shù)技術(shù)機(jī)制法鼠構(gòu)肉物人醇蛆織體系3.5.2實(shí)現(xiàn)方式我們建議技術(shù)上采用大型企業(yè)安全運(yùn)維管理系統(tǒng)為企業(yè)解決支撐關(guān)鍵業(yè)務(wù) 的網(wǎng)絡(luò)、主機(jī)、應(yīng)用系統(tǒng)運(yùn)行監(jiān)控和內(nèi)部網(wǎng)絡(luò)桌面pc安全管理，在設(shè)計(jì)上遵循 國(guó)際IT服務(wù)管理標(biāo)準(zhǔn)一一ITIL標(biāo)準(zhǔn)和IT安全管

40、理標(biāo)準(zhǔn)一一ISO17799標(biāo)準(zhǔn)。采 用統(tǒng)一的WEB管理門(mén)戶(hù)，以WEB方式展現(xiàn)整個(gè)IT系統(tǒng)的運(yùn)行狀況，包括桌面PC 的資產(chǎn)信息、安全信息，網(wǎng)絡(luò)、服務(wù)器、數(shù)據(jù)庫(kù)、應(yīng)用系統(tǒng)的故障和性能信息。 通過(guò)WEB門(mén)戶(hù)，對(duì)桌面PC、網(wǎng)絡(luò)、服務(wù)器進(jìn)行集中維護(hù)，統(tǒng)一設(shè)置安全策略。3.5.3桌面安全管理功能具體來(lái)說(shuō)，桌面安全管理采用集中式管理方式，提供了以下幾個(gè)方面的管理 功能：/網(wǎng)絡(luò)準(zhǔn)入控制，防止非法電腦接入支持基于802.1X的網(wǎng)絡(luò)準(zhǔn)入控制； 在非802.1X的環(huán)境下，也可以實(shí)現(xiàn)接入控制;用戶(hù)可以自行定義多種準(zhǔn)入控制策略；防止有安全隱患的電腦或者非法電腦直接訪問(wèn)內(nèi)部網(wǎng)絡(luò)。設(shè)備自動(dòng)發(fā)現(xiàn)與資產(chǎn)管理自動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)上的所有接入設(shè)備；可依據(jù)IP/MAC/主機(jī)名以及資產(chǎn)的配置對(duì)接入設(shè)備快速定位；自動(dòng)發(fā)現(xiàn)組織內(nèi)所有PC機(jī)的軟硬件配置信息、PC機(jī)網(wǎng)絡(luò)連接信息和運(yùn) 行狀態(tài)信息，建立資產(chǎn)基線；支持配置變更自動(dòng)發(fā)現(xiàn)與報(bào)警；自動(dòng)維護(hù)軟硬件配置變更歷史信息。桌面安全主動(dòng)評(píng)估，發(fā)現(xiàn)安全隱患自動(dòng)發(fā)現(xiàn)存在安全隱患的PC機(jī)，并提示系統(tǒng)管理員和用戶(hù)要采取的彌補(bǔ) 措施；桌面電腦網(wǎng)絡(luò)流量異常評(píng)估，及時(shí)發(fā)現(xiàn)異常流量桌面PC；桌面電腦安全配置評(píng)估，及時(shí)發(fā)現(xiàn)安全設(shè)置不完善的桌面PC；可