下一代防火墙

电子商务平台网站安全解决方案

一、应用背景


随着计算机网络的全面普及,基于internet的电子商务在近年来取得空前的发展,已经成为一种全新的商务模式。作为一种新型的商务模式,电子商务在全球范围内以惊人的速度快速发展。但由于它是基于internet开展商务活动,大量的重要信息需要在网上传递,尤其涉及到资金流动的问题。因此如何保障电子商务各个过程的安全是影响电子商务发展的一个至关重要的问题。


二、需求分析


近年来,网络安全事件不断攀升,电子商务、金融成为了主要目标,国家互联网应急中心(CNCERT/CC)《2011年我国互联网网络安全态势综述》显示“网站安全类事件占到61.7%;境内被篡改网站数量为36612个,较2010年增加5.1%;4月-12月被植入网站后门的境内网站为12513个。CNVD接受的漏洞中,涉及网站相关的漏洞占22.7%,较2010年大幅上升,排名由第三位上升至第二位。网站安全问题进一步引发网站用户信息和数据的安全问题。2011年底,CSDN、天涯等网站发生用户泄露事件引起社会广泛关注,被公开的疑似泄露数据库26个,涉及账号、密码信息2.78亿条,严重威胁互联网用户的合法权益和互联网安全。”而电子商务业务网站涉及到直接的资金周转及经济利益,成为非法攻击者最为关注的对象。目前电子商务类业务面临的主要安全问题如下:


1、网页篡改问题

网页篡改是指攻击者利用web应用程序漏洞将正常的电子商务网页替换为攻击者提供的网页/文字/图片等内容。一般来说网页的篡改对计算机系统本身不会产生直接的影响,但对于电子商务等需要与用户通过网站进行沟通的应用而言,就意味着电子商务业务将被迫停止服务,对经济利益、企业形象及信誉会造成严重的损害。


2、网页挂马问题

网页挂马也是利用web攻击造成的一种网页篡改的安全问题,相对而言这种问题会比较隐蔽,但本质上这种方式也破坏了网页的完整性。网页挂马会导致电子商务网站的最终用户成为受害者,成为攻击者的帮凶或者造成自身的经济损失。这种问题出现在电子商务业务中也严重影响电子商务的正常运作并影响到公司的公信度。


3、敏感信息泄漏问题

这类安全问题主要web攻击、系统漏洞攻击等攻击手段操作后台数据库,导致数据库中储存的用户资料、身份证信息、账户信息、信用卡信息、联系方式等敏感信息被攻击者获取。这对于电子商务而言是致命的打击,可产生巨大的经济损失。


4、无法响应正常服务的问题

黑客通过DOS/DDOS拒绝服务攻击使电子商务网站无法响应正常请求。这种攻击行为使得网站服务器充斥大量要求回复的信息,严重消耗网络系统资源,导致电子商务网站无法响应正常的服务请求。对于时间就是金钱的电子商务业务而言是巨大的威胁。


三、深信服解决之道


深信服提供针对电子商务业务网站完整的安全解决方案,通过在线部署一台深信服下一代防火墙NGAF,从攻击源头上帮助用户防护导致电子商务网站各类网络/应用层安全威胁;同时深信服下一代防火墙NGAF提供的双向内容检测的技术帮助用户解决攻击被绕过后产生的网页篡改、敏感信息泄露的问题,实现防攻击、防篡改、防泄密的效果。


3.1 OWASP十大 web攻击防护

深信服下一代防火墙NGAF有效结合了web攻击的静态规则及基于黑客攻击过程的动态防御机制,实现双向的内容检测,提供OWASP定义的十大安全威胁的攻击防护能力,有效防止常见的web攻击。(如,SQL注入、XSS跨站脚本、CSRF跨站请求伪造)从而保护网站免受网站篡改、网页挂马、隐私侵犯、身份窃取、经济损失、名誉损失等问题。


3.2 系统及应用程序漏洞攻击防护

深信服下一代防火墙NGAF提供基于操作系统漏洞的漏洞攻击防护,防止攻击者利用操作系统(如,win7/XP/、windows sever2003/2007、linux、unix)及发布软件漏洞(如,IIS、Apache等)对电子商务平台网站进行系统提权、系统破坏、信息窃取等攻击。通过深信服攻防团队自主漏洞研究、成为微软“Mapp”计划会员、加入CVE漏洞共享平台等方式及时更新漏洞特征库保证电子商务网站不受漏洞攻击,防止“0day”漏洞攻击的产生。


3.3 风险评估及智能策略联动

深信服下一代防火墙NGAF基于时间周期的安全防护提供事前风险评估及策略联动的功能。通过端口、服务、应用扫描帮助用户及时发现端口、服务及漏洞风险,并通过模块间的智能策略联动及时更新对应的安全风险的安全防护策略。帮助用户快速诊断电子商务平台中各个节点的安全漏洞问题,并做出有针对性的防护策略。


3.4 网关型网页防篡改

深信服下一代防火墙NGAF提供基于时间周期的安全防护,事前评估、事中防护以及事后篡改响应的双向内容安全解决方案。事中,实时过滤连接请求中导致网页被篡改的攻击流量如SQL注入、跨站脚本、webshell上传等。事后篡改响应,通过网关型的网页防篡改(对服务器“0”影响),第一时间拦截网页篡改的信息并通知管理员确认,同时对外提供篡改前得正常界面或又好界面,保证用户仍可正常访问网站。


3.5 可定义的敏感信息防泄漏

深信服下一代防火墙NGAF提供可定义的敏感信息防泄漏功能,根据储存的数据内容可根据其特征清晰定义,通过短信、邮件报警及连接请求阻断的方式防止大量的敏感信息被窃取。深信服敏感信息防泄漏解决方案可以自定义多种敏感信息内容进行有效识别、报警并阻断,防止大量敏感信息被非法泄露。(如:用户信息/邮箱账户信息/MD5加密密码/银行卡号/身份证号码/社保账号/信用卡号/手机号码……)


3.6 智能的DOS/DDOS攻击防护

深信服下一代防火墙NGAF提供自主研发的DOS攻击算法,可防护基于数据包的DOS攻击、IP协议报文的DOS攻击、TCP协议报文的DOS攻击、基于HTTP协议的DOS攻击等,实现对网络层、应用层的各类资源耗尽的拒绝服务攻击的防护,确保了电子商务平台的可用性及连续性。


四、总结


深信服电子商务平台网络安全解决方案是针对电子商务网站面向互联网、第三方网络发布过程中潜在的各类安全问题专门开发的一套解决方案。该方案有效的弥补了传统安全解决方案在电子商务网站安全防护能力的不足:事前,快速的进行风险扫描,帮助用户快速定位安全风险并智能更新防护策略;事中,有效防止了引起网页篡改问题、网页挂马问题、敏感信息泄漏问题、无法响应正常服务问题及“拖库”、“暴库”问题的web攻击、漏洞攻击、系统扫描等攻击;事后,对服务器外发内容进行安全检测,防止攻击绕过安全防护体系,对电子商务网站产生的网站篡改、数据泄漏问题。该方案从简化组网、方便运维、最优投资的用户角度出发,提供电子商务平台“一站式”的网络安全建设,适合各类电子商务平台,有效保证电子商务平台高效、稳定、安全的运营。

  • 网络安全故事:小密码大安全