电子商务平台安全方案

《电子商务平台安全方案》由会员分享，可在线阅读，更多相关《电子商务平台安全方案（36页珍藏版）》请在装配图网上搜索。

1、电子商务平台网络平台系统暨信息安全建设整体解决方案建议书2012年5月目录目录I1. 概述12. 需求分析23. 方案设计33.1. 方案设计特点33.2. 网络平台方案设计33.3. 数据存储、备份、灾难恢复系统方案设计53.3.1. 方案描述53.3.2. 存储备份系统部署63.3.3. 备份策略设置：73.4. 防病毒、防黑客、防间谍系统方案设计83.4.1. 防病毒系统83.4.1.1. 概述83.4.1.2. 病毒威胁分析83.4.1.3. 解决方案建议93.4.2. 防黑客攻击123.4.2.1. 黑客攻击方式123.4.2.2. 解决方案建议133.4.2.2.1. 网络边界安全

2、隔离133.4.2.2.2. 漏洞扫描系统133.4.2.2.3. 入侵检测系统143.4.3. 操作系统与数据库安全163.5. 网站防篡改系统方案设计163.5.1. 产品组成173.5.2. 硬件部署173.5.3. 逻辑组成183.5.3.1. 页面保护子系统193.5.3.2. 自动发布子系统193.5.3.3. 监控管理子系统203.5.4. 平台支持203.5.4.1. Web服务器端203.5.4.2. 发布服务器端203.5.5. 冗余部署213.5.5.1. 概况213.5.5.2. Web服务器集群223.5.5.3. 发布服务器双机233.6. 链路负载均衡系统方案设计

3、233.7. 服务器负载均衡系统方案设计253.7.1. 本地负载均衡253.7.2. 全局负载均衡253.7.3. 功能介绍263.8. 大规模网络安全运维管理系统方案设计293.8.1. 运维管理体系293.8.2. 实现方式293.8.3. 桌面安全管理功能293.8.4. 统一运行监控功能314. 结语33II电子商务平台安全解决方案 领先，不只是技术1. 概述以Internet为代表的全球性信息化浪潮日益深刻，信息网络技术的应用正日益普及和广泛，应用层次正在深入，应用领域从传统的、小型业务系统逐渐向大型、关键业务系统扩展，典型的如行政部门业务系统、金融业务系统、企业商务系统等。伴随网

4、络的普及，安全日益成为影响网络效能的重要问题，而Internet所具有的开放性、国际性和自由性在增加应用自由度的同时，对安全提出了更高的要求。如何使信息网络系统不受黑客和工业间谍的入侵，已成为政府机构、企事业单位信息化健康发展所要考虑的重要事情之一。考虑到电子商务的特殊性和及时性，电子商务企业在信息化发展到一定程度或者在销售规模达到一定程度后，都必须考虑如何让电子商务能技术有效的服务。来自各方面的威胁不断增加：病毒、误操作、电力故障、设备硬件故障等等，这些故障只要其一就可以使电子商务限于停滞或者完全瘫痪状态，小则影响企业的正常业务应用，大则完全可以把企业推向失败的边缘。据有关数据显示：在全球电

5、子商务企业中，有将近67%的企业完成了应用系统容灾的建设，在前100名大型电子商务企业中有，90%以上的企业选择了异地容灾或者多地容灾。在电子商务企业故障切换时间中，全球大型电子商务企业的可以做到在1分钟中完成应用系统切换。在电子商务企业中，时间就是金钱，在线服务更是不能停顿，据调查，在全球大型电子商务企业中，停顿1分钟，企业将损失45万元美元。而这个数字还在不断扩大。我国电子商务企业起步较晚，在安全建设方面还在不断完善之中，但我们相信我国的电子商务企业会紧跟国际发展潮流，会慢慢缩短与国际大型电子商务企业之间的差距。2. 需求分析典型的电子商务系统拥有三级架构：直接面向交易用户的Web服务器层

6、，后台事务处理的应用服务器层，后台数据存储的数据库服务器层。用户的交易请求一定是经由Web服务器应用服务器数据库服务器的顺序来实现的。典型的电子商务数据流过程：交易用户通过Internet浏览电子商务系统的Web服务器，在页面上点击发起交易或查询请求； Web服务器向应用服务器发起事务处理请求，等待应用服务器应答；应用服务器将交易或查询信息传递到数据库服务器，由数据库服务器作应答；各级服务器在收到后台应答后向前台设备作响应，最终响应给交易用户，完成一笔交易或查询。如何建设一个既有先进技术支持，又有过硬的安全保障的网络，成了企业必须完成的一项任务。根据企业自身的发展以及企业自身的特点，决定建设一

7、整套电子商务平台建设。内容如下： 建设一整套高速、高性能、完整的网络运算平台 建设一套高性能的防病毒、防黑客、防间谍系统确保网络的安全 建设一整有效的网站防篡改系统，有效的保护网站不受黑客等的攻击和篡改 建设一套琏路负载均衡系统，有效的将各种接入琏路进行有效的均衡 建设一整套服务器负载均衡系统，确保运算交易系统等的大量服务器在全国范围内大规模交易用户能以最快速度进行交易 建设一整套数据的存储和备份和灾难恢复系统，对每天产生的大量的数据进行有效的存储和保护。以备灾难发生时能及时有效的进行数据恢复 建设一套大规模网络运维管理系统，对建成的网络系统进行有效的管理和维护3. 方案设计3.1. 方案设计

8、特点 先进性：系统采用的技术必须是先进而成熟的。现在计算机技术的发展日新月异，要保护客户的投资就必须采用先进的技术，并且这种技术和产品必须被业界公认为成熟且有发展前途的。 实用性：建设系统的目的是要解决企业数据信息的共享、交换和安全，提供现代化的管理，因此，设计方案的出发点就是要满足用户的信息要求。 经济性：设计方案不但要考虑采用技术的先进、可靠，而且还必须考虑用户的经济负担。因此，设计方案必须具备很高的性能价格比。 高可管理性与高可靠性：由于整个业务系统的设计采取集中式的管理策略，所以存储系统必须具备很高的可管理性。另外，计算机网络系统的外部环境是多变的，设计方案必须是强健的，能够很方便地进

9、行调整，以满足外部环境的变化。 高可扩充性与升级能力：设计方案必须能够适应企业网络系统发展的需要，具备高可扩充性与升级能力。存储系统必须是可以扩充的，必须具备较高的扩展能力，而且随着计算机技术的发展可以对系统进行升级。 开放性与标准化：设计方案中所采用的技术和选用的产品都必须是业界公认的主流，而且必须满足开放性的要求。3.2. 网络平台方案设计现代电子商务网站的建设，广域网联接部分大多考虑如下三种方式：中国电信的宽带接入，中国网通的宽带接入，其它方式还有：中国教育网（CERNET）等。考虑到电子商务企业的生产特点是大规模的用户远程访问、调用，将产生大量的数据和高带宽，如何确保如此大规模的访问用

10、户能及时有效的、高速的访问所需数据？这就必须要建设一套高速的、高带宽的网络运算平台。到目前为止，速度最快，带宽最大的技术莫过于FDDI技术。选用FDDI技术来作为网络平台建设的主要技术，是因为它的特点：高速度、大容量、高可靠、安全保密等特点。设计拓扑结构图如下：3.3. 数据存储、备份、灾难恢复系统方案设计 数据集中存储备份系统拓扑结构图3.3.1. 方案描述本地存储备份系统设计了一个核心主存储系统，一个备份系统，备份架构采用了业界先进的D2D2T模式，数据集中存放在“存储中心”的磁盘设备上，这是第一个“D” ，数据备份到备份用的磁盘介质上，这是第二个“D”，磁盘存储和备份及数据恢复都更加快速

11、，以保证用户在数据或者系统出现故障时在最短的时间内使信息系统得到恢复。最后的“T”是指每三个月将数据归档到磁带介质上，这样充分利用了磁带介质线型存储方式的安全和产品价格的低廉，并且节省了磁盘介质的空间。本地存储备份归档系统的完善部属，一方面可以解决现有数据的集中存储问题和数据的备份问题。同时为后面进行异地容灾打下了较好的硬件基础。目标是构造一个以数据为中心，功能齐全、运行高效、使用灵活、维护方便、易于扩展、投资省、安全可靠的数据存储备份系统，为了达到这个目标，必须遵守以下几个设计原则： 以原有存储资源的合理利用为基础，以数据为中心，构架一个全新的数据备份模式 存储备份系统应以目前的Window

12、s平台为主，同时还要考虑到将来关键业务系统与其它Unix、LINUX平台兼容 提供较好的可扩展性能，保护贵单位投资 提供完备的、易操作的备份管理功能。包括：在高峰期不占用过多网络资源前提下，实现高效快速的数据备份与恢复；具有较高的数据读写速度和稳定性；具有完备的备份策略，如全备份、增量备份、差分备份、按需备份 功能完备易于操作的备份管理系统。3.3.2. 存储备份系统部署1 备份服务器备份服务器的作用相当于备份系统的“大脑”，管理制定整个备份系统 (包括全部需要备份的服务器和存储设备、磁带归档设备)的备份策略和跟踪客户端的备份。服务器是集中管理的核心。系统数据在备份控制服务器的统一控制和管理下

13、，实现增量备份、差分备份，当数据量为海量数据，无法实现每天的完全备份时，可以把备份策略制定成增量，差分和全备份相结合的方式。（每周/每月做一次全备份，其它时间每天作增量或差分备份），减少备份时间，提高备份速度。同时减少磁带的使用量。2 备份系统的控制备份控制服务器对整个备份系统通过统一的管理控制软件进行控制，备份系统的备份策略的定义可以随时由备份控制服务器灵活修改，在任何一台需要备份的服务器上，可以通过设制备份策略在相应的时间对用户的数据库、操作系统、客户端系统及数据进行备份。高级磁盘备份和恢复通过基于磁盘的高级备份和恢复，包括合成备份、脱机备份，可以实现更快的备份和恢复，进行零影响的备份。合

14、成备份可以缩短备份时间，减少网络带宽需求，而且不会影响原始客户端。此外，合成备份使用户能够从一个备份映像进行快速的客户端恢复，而无需从多盘磁带和增量备份进行恢复（即：我们经常说的D2D2T）。建立多级恢复系统，以磁盘阵列为一级恢复设备，磁带设备作为二级恢复设备。上述数据备份系统的功能实现能够充分满足备份系统的要求，同时，由于其备份层次的灵活性，可以根据数据量和应用繁忙程度的不同而灵活实施备份。备份任务采用了上述灵活的备份管理功能，具有很多完善的备份系统控制和管理方法。3.3.3. 备份策略设置：我们初步制定的备份策略为：每天做应用数据（数据库、群件等）和用户数据的备份，尽量在中午或夜间进行。每

15、三个月做系统的（包括操作系统、数据库、群件、用户数据等）全备份和数据归档，备份归档完后将磁带取出另存。每日的数据备份按一定备份策略执行，保留一段时间的数据（如一个星期），过了该段时间后数据被覆写。由于备份设备采用高容量、高性能的磁盘设备，归档采用成熟安全的磁带存储技术，所有备份作业都能自动进行，无须人为干预。每三个月的系统全备份采用每日备份策略外的磁带，定义不同的备份策略，与每日的备份互不干扰，独立进行。3.4. 防病毒、防黑客、防间谍系统方案设计3.4.1. 防病毒系统3.4.1.1. 概述病毒伴随着计算机系统一起发展了十几年，目前其形态和入侵途径已发生了巨大的变化。目前几乎每天都有新的病毒

16、出现在Internet上，并且由于其借助Internet上的信息往来，所以传播速度极快。随着计算机技术的不断发展，病毒也变得越来越复杂和高级。据2006年新华网调查结果显示，计算机病毒发作造成损失的比例为62%。浏览器配置被修改、数据受损或丢失、系统使用受限、网络无法使用、密码被盗是计算机病毒造成的主要破坏后果。基于以上这些情况，为了企业的财产免受损失，大多数企业都需要选择多层的病毒防卫体系，所谓多层病毒防卫体系，是指在企业的每个台式机上要安装台式机的反病毒软件，在服务器上要安装基于服务器的反病毒软件，在INTERNET网关上要安装基于INTERNET同关的反病毒软件，因为对企业来说，防止病毒

17、的攻击并不是某一个管理员的责任，而是每一个员工的责任，每一个员工都要做到个人使用的台式机上不受病毒的感染，从而保证整个企业网不受病毒的感染。3.4.1.2. 病毒威胁分析目前绝大多数病毒传播的途径是网络。对于一个网络系统而言，针对病毒的入侵渠道和病毒集散地进行防护是最有效的防治策略。因此，对于每一个病毒可能的入口，部署相应的防病毒软件，实时检测其中是否有病毒，是构建一个完整有效防病毒体系的关键。l 来自系统外部（Internet或外网）的病毒入侵：这是目前病毒进入最多的途径.因此在与外部连接的网关处进行病毒拦截是效率最高，耗费资源最少的措施。可以使进入内部系统的病毒数量大为减少。但很明显，它只

18、能阻挡进出内部系统病毒的入侵。l 网络邮件/群件系统：如果网络内采用了自己的邮件/群件系统实施办公和信息自动化，那么一旦有某个用户感染了病毒，通过邮件方式该病毒将以几何级数在网络内迅速传播，并且很容易导致邮件系统负荷过大而瘫痪。因此在邮件系统上部署防病毒也显得尤为重要。l 文件服务器：文件资源共享是网络提供的基本功能。文件服务器大大提高了资源的重复利用率，并且能对信息进行长期有效的存储和保护。但是一旦服务器本身感染了病毒，就会对所有的访问者构成威胁。因此文件服务器也需要设置防病毒保护。l 最终用户：病毒最后的入侵途径就是最终的桌面用户。由于网络共享的便利性，某个感染病毒的桌面机可能随时会感染其

19、它的机器，或是被种上了黑客程序而向外传送机密文件。因此在网络内对所有的客户机进行防毒控制也是非常重要的。3.4.1.3. 解决方案建议我们建议采用业界和行业认可技术性能优异的卡巴斯基网络防病毒体系部署解决。巴斯基为俄罗斯产品，获得所有世界顶级权威认证。是微软的金牌认证伙伴。其内核被许多国内外软件开发商使用，如：Microworld、Deerfield、Borderware世界上第一例计算机病毒就是被卡巴斯基发现的，相应的第一个杀毒引擎也是卡巴斯 基开发的。独有全球顶尖的扫描引擎技术。卡巴斯基采用的引擎是：“第二代启发式扫描 器”，是最先进的扫描引擎。之所以称为“启发式”，是因为它可以在不更新病

20、毒库 的前提下，发现未知病毒，例证：爱虫、Mydoom.a、Bagle 恶意木马程序等。 该系统的部署可满足系统安全以下主要需求： 简易的安装和配置操作Internet访问的稳定性、安全性十分重要。防毒产品的安装和设置应尽量简易，充分考虑系统数据、文件的安全可靠性，所选产品与现系统具有良好的一致性和兼容性，以及最低的系统资源占用，保证不对现有系统运行产生不良影响。 可管理性企业日益重视其IT环境的总体拥有成本（TCO）。在有限的人力资源情况下，IT管理员的工作是非常复杂和繁忙的，要管理好防病毒系统的安装、升级、配置和工作报告是一个非常繁琐的事，因此产品本身应带有集成的、易用的管理工具，管理员可

21、以从一个集中管理控制台对整个防毒系统进行监控管理和维护。 软件的可升级性可升级能力是衡量防病毒系统是否具有生命力的重要指标。防毒软件的特点是随着各类新病毒的出现而必须尽快进行更新和升级，其中包括病毒定义、产品组件的更新。 系统的可扩展性在信息时代，企业的信息系统都处于飞速膨胀的过程之中。防病毒系统也应适应企业的发展趋势，自身具有较大的可扩展能力。充分保护用户的现有投资，适应计算机系统发展的需要。 降低系统总体成本在让客户在获得优质的防病毒服务的同时，能够尽量减少所需增加的费用支出。 强大的病毒清除能力如果选用的防病毒软件病毒清除能力较弱，在病毒爆发的情况下，管理员会为了彻底清除网络中的病毒而疲

22、于奔命，即使采用病毒专用清除工具，这样在较长时间内网罗中病毒会一直存在。采用世界最先进的清除病毒能力较强的防毒产品，可确保计算机网络系统具有最佳的病毒、黑客软件防护能力。同时也降低了管理人员的工作量和防病毒产品的维护成本。 优秀的产品性能选用产品应具备对多种文件格式、多层压缩文件的病毒检测。对包括各种宏病毒、变体病毒和黑客程序等已知病毒具有最佳的病毒检测率，对未知病毒亦有良好的检测能力。在提高病毒检测力的同时，对检测出的病毒也有很高的清除能力，依靠程序本身就可彻底清除感染文件的病毒，减轻管理人员对中毒事件的介入，把更多的精力放在构建完整的病毒防护体系和管理工作上。 新病毒的快速响应在全球范围内

23、每周产生大约2000只以上新病毒的情况下，每周的病毒库更新使用户在病毒出现后和下次更新前，会存在感染病毒而防病毒软件根本无法识别的风险。而每天两次病毒数据库的更新，紧急情况下45分钟的全球用户更新，确保在任何新病毒出现的情况下通过快速高效的防病毒更新机制，使所有用户得到最大程度的防病毒保护。因此对于整个网络而言，需要采取综合的防护措施，构筑全方位的安全保护系统，才能得到真正有效的防病毒安全。3.4.2. 防黑客攻击3.4.2.1. 黑客攻击方式黑客能够对网络进行攻击的主要原因是网络系统的缺陷与漏洞。黑客常用的攻击方式有： 网络监听，网络监听的关键是将网卡设置为混杂模式的状态。常用的监听工具有S

24、niffit、Windump ，防范监听的办法之一是加密 端口扫描，利用常用的扫描工具如SATAN、NSS、Strobe、Superscan和Ping命令、Tracert命令等人工方式对系统开放的端口进行扫描 口令破解，一般的口令破解方式是从存放许多常用的口令的数据库中，逐一地取出口令进行尝试；另一种做法是设法偷走系统的口令文件，如E-mail欺骗，然后用口令破解工具破译这些经过加密的口令 IP欺骗，通常是用编写的程序实现伪造某台主机的IP地址，被伪造的主机往往具有某种特权或者被另外的主机所信任 拒绝服务攻击简称DoS。这种攻击行动使网站服务器充斥大量要求回复的信息，消耗网络带宽或系统资源，导

25、致网络或系统不胜负荷以至瘫痪而停止提供正常的网络服务 缓冲区溢出(又称堆栈溢出)攻击是最常用的黑客技术之一。这主要是因为C语言不检查缓冲区的边界。在某些情况下，如果用户输入的数据长度超过应用程序给定的缓冲区，就会覆盖其他数据区。就是通常说的“堆栈溢出或缓冲溢出拒绝服务攻击”3.4.2.2. 解决方案建议3.4.2.2.1. 网络边界安全隔离我们对XXXX公司电子商务平台网络划分为企业网与互联网之间的边界和服务器区与局域网之间的边界，利用网络隔离设备如防火墙或安全网关设备分别进行隔离保护，提供可控的过滤网络通信，只允许授权的通信。配置策略建议： 公网接口：配置ACL访问控制、ASPF （基于应用

26、层的报文过滤）、深度业务监控等多种功能。本策略仅允许从园区网内部主动发起的TCP连接，即如果报文是内部网络用户发起的TCP连接的返回报文，则允许其通过防火墙进入内部网络，其他报文被禁止； 园区内部通过NAT访问Internet：首先需要确认访问Internet的流量，然后对这些流量的地址进行NAT转换，其次要设置地址池，即申请到的公网地址。本策略保证内部网络安全的访问Internet； Internet用户访问园区内部公共服务器：在园区出口配置NAT Server，将一个公网的地址与内部服务器地址关联起来。Internet用户向公网地址发起连接，在防火墙的公网接口上将该报文IP目的地转换为内部

27、服务器地址，即可以到达内部公共服务器的访问目的。在公网接口上启用nat server，提供WWW/MAIL等服务； 设备流量镜像配置：将防火墙内网接口上的进出流量在交换机上镜像到接有流量监控软件PC的内部端口上进行流量查看、统计和管理控制。本策略是为了有限的带宽被合理的利用，保证服务器能正常的为外部客户提供服务3.4.2.2.2. 漏洞扫描系统除利用防火墙控制对网络的入侵外，还需要针对主机系统的漏洞采取检查和发现措施。目前常用的方法是配置漏洞扫描设备。主机漏洞扫描可以主动发现主机系统中存在的系统缺陷和可能的安全漏洞，并提醒系统管理员对该缺陷和漏洞进行修补或堵塞。对于漏洞扫描的结果，一般可以按扫

28、描提示信息和建议，属外购标准产品问题的，应及时升级换代或安装补丁程序；属委托开发的产品问题的，应与开发商协商修改程序或安装补丁程序；属于系统配置出现的问题，应建议系统管理员修改配置参数，或视情况关闭或卸载引发安全漏洞的程序模块或功能模块。漏洞扫描功能是协助安全管理、掌握网络安全态势的必要辅助手段，对使用这一工具的安全管理员或系统管理员有较高的技术素质要求。考虑到漏洞扫描能检测出防火墙策略配置中的问题，能与入侵检测形成很好的互补关系：漏洞扫描与评估系统使系统管理员在事前掌握主动地位，在攻击事件发生前找出并关闭安全漏洞；而入侵检测系统则对系统进行监测以期在系统被破坏之前阻止攻击得逞。因此，漏洞扫描

29、与入侵检测在安全保护方面不但有共同的安全目标，而且关系密切。本方案建议的漏洞扫描系统必须既能扫描路由器、交换机、防火墙等网络设备，也可扫描Windows、常用Unix和Linux操作系统，以及应用系统主机、对外服务主机（WEB、E-MAIL）等。3.4.2.2.3. 入侵检测系统入侵检测技术是一种利用入侵者留下的痕迹，如试图登录的失败记录等信息来有效地发现来自外部或内部的非法入侵的技术。它以探测与控制为技术本质，起着主动防御的作用，是网络安全中极其重要的部分。入侵检测功能是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安

30、全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，查看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对整个网络系统的实时保护。通过入侵检测系统的实施，可实现如下安全防护：（1）检测黑客入侵的方法和手段从网络中搜集到网络行为的信息后，通过分析其中的各种攻击特征，可以全面快速地识别各种网络攻击，如：扫描探测攻击、口令猜测攻击、缓冲区溢出攻击、邮件炸弹攻击、拒绝服务攻击、浏览器攻击等，并对攻击行为采取相应的防范措施。（2）监控内部人员的误操作、资源滥用和恶意行为网络IDS记录网

31、络行为的属性、特征、来源和目标，并能在控制台的监控视图上显示实时活动的TCP连接和正在访问的URL。网络IDS会对网络中不正常的通信连接做出反应，从而保证所有网络通信的合法性；任何不符合网络安全策略的网络数据都会被网络IDS探测到并报警。网络IDS可以根据用户需要定义各种需检测的安全事件，例如对特定目标主机的访问的检测、对数据传输中包含的特定内容的检测。这样可以及时发现违反安全规定的误操作、资源滥用和恶意行为。网络IDS可以监控的误操作、资源滥用和恶意行为有：l 对重要服务器的过于频繁的访问，致使系统效率下降；l 非授权用户对重要服务器的多次登录请求；l 对重要文件的拷贝、删除和移动；l 上网

32、聊天、网络游戏和上下载大型文件；l 浏览非法网站和不健康网站；l 利用FTP、Telnet、Web、聊天、电子邮件等泄露商业、技术机密。（3）检查系统漏洞及后门网络IDS带有目前已知的系统漏洞及后门的详细信息，这些信息包括事件名称、事件描述、发布日期、更新日期、解决方案和受影响的系统平台等。通过对网络会话的连接方式、连接端口以及连接中的特定内容等特征的分析，可以有效地发现网络中利用系统漏洞所进行的非法行为。网络IDS提供的详细信息可以帮助系统管理员及时有效地修补系统存在的漏洞。（4）实时报警和响应网络IDS在检测到入侵行为后，可以根据用户预先定义的事件响应规则进行实时的报警。为了便于系统管理员

33、对网络进行安全管理，网络IDS提供了多种报警手段。报警信息可以通过发送系统消息（Pop-UpMessage）、电子邮件、手机短信息、寻呼等多种方式通知系统管理员；并且所有的报警信息都将记录到日志文件中，以备核查。为了加强网络系统的入侵防御能力，网络IDS还能够针对恶意攻击进行实时响应，响应的手段有：中断TCP会话、伪造ICMP应答、根据黑名单断开、阻塞HTTP请求、模拟SYN/ACK和执行用户自定义程序等。（5）加强网络的安全管理借助网络IDS系统，网络管理人员可以随时了解人们正在进行的网络访问。这样，当有人试图偷窥或盗取敏感数据时网络管理人员可以及时察觉。而且，能够同时监控内部和外部网络行为

34、的入侵检测系统可以使安全策略更臻于完善。借助于对网络内部误用模式的监控，系统管理员能够及时觉察网络攻击及其它非法行为，并能够追溯这些非法行为的来龙去脉3.4.3. 操作系统与数据库安全操作系统是计算机和用户之间的接口，是管理资源的核心系统，是系统的灵魂。但由于我国尚无可供办公和业务应用的自主知识版权的操作系统，因此大多数采用Unix、Windows系列操作系统。根据国家保密局技术要求，对于操作系统安全的解决方案，应尽可能采用安全操作系统，或者对其操作系统采取安全加固措施，如：使用正版软件，及时发现漏洞并打补丁，利用监控和审计系统加强对操作系统可能引发的安全问题予以监视、审计和告警。另外，系统内

35、应尽可能选用经国家相关主管部门批准使用的安全数据库，或者采用技术措施（如，安全中间件）对数据库在数据存储与访问的机密性、完整性和可用性方面进行安全增强改造。3.5. 网站防篡改系统方案设计电子商务企业的主要生产模块是通过网络进行，网站的运行正常与否，直接关系到电子商务企业的生产经营正常与否，甚至会直接影响到电子商务企业的生存。在这里我们选用了中国最优秀的网站防篡改系统，为企业的网站正常运行打下坚实的基础。3.5.1. 产品组成3.5.2. 硬件部署系统部署在两台机器上：Web服务器和发布服务器。n 发布服务器：位于内网中，有着较高的安全防护级别，其上运行自动发布程序和管理子系统。n Web服务

36、器：位于公网/DMZ中，容易受到篡改攻击，其上运行防篡改模块和同步服务器程序。发布服务器（系统自动同步）Web服务器（系统篡改检测）内容管理系统（第三方软件）图表 31 系统硬件部署为一个已有的Web站点部署系统时，Web服务器和内容管理系统(CMS)都沿用原来的机器，而需要在其间增加一台发布服务器。系统的自动同步机制完全与内容管理系统无关的，适合与所有的内容管理系统协同工作，而内容管理系统本身无须作任何变动。发布服务器上具有与Web服务器上的网站文件完全相同的目录结构，任何文件/目录的变化都会自动映射到Web服务器的相应位置上。网页的合法变更（包括增加、修改、删除、重命名）都在发布服务器上进

37、行，变更的手段可以是任意方式的（例如：FTP、SFTP、RCP、NFS、文件共享等）。网页变更后，由自动发布子系统将其同步到Web服务器上。无论什么情况下，不允许直接变更Web服务器上的页面文件。系统一般情况下与内容管理系统分开部署，当然它也可以与内容管理系统部署在一台机器上，在这种情形下，系统还可以提供接口，与内容管理系统进行互相的功能调用，以实现整合性更强的功能。3.5.3. 逻辑组成从逻辑上，系统由三个子系统组成，包括：Web服务器Web服务器软件（第三方软件）系统页面保护子系统（防篡改模块）系统自动发布子系统（同步服务器）发布服务器系统自动发布子系统（自动发布程序）系统管理子系统网页发

38、布系统（第三方软件）浏览器图表 32 系统部件示意图3.5.3.1. 页面保护子系统页面保护子系统是系统的核心，内嵌在Web服务器软件里。子系统依据不同的Web服务器使用不同的内嵌技术实现，例如：ISAPI、Apache-Module、NSAPI、JAVA-class等。页面内容保护子系统对每个发送的网页进行即时的完整性检查：如果网页正常则对外发送；如果被篡改则阻断对外发送，并依照一定策略进行报警和恢复。对于Windows/Linux系统，页面保护子系统还包括一个增强型事件触发式检测模块，该模块驻留于操作系统内核，使得大部分常规篡改手段失效。3.5.3.2. 自动发布子系统自动发布子系统负责页

39、面的自动发布，由发送端和接收端组成：发送端位于发布服务器上，称之为自动发布程序，它监测到文件系统变化即进行计算该文件水印，并进行SSL发送；接收端位于Web服务器上，称之为同步服务器，它接收到网页和水印后，将网页存放在文件系统中，将水印存放在安全数据库里。所有合法网页的增加、修改和删除都通过自动发布子系统进行。注意：基础版不支持自动发布子系统。3.5.3.3. 监控管理子系统负责篡改后自动恢复，也提供系统管理员的使用界面。其功能包括：手工上传、查看警告、检测系统运行情况、修改配置、查看和处理日志等。3.5.4. 平台支持3.5.4.1. Web服务器端支持以下操作系统：n Microsoft/

40、Windows NT/2000/XP/2003n Linuxn Sun/Solarisn HP/HP-UXn IBM/AIX支持以下Web服务器：n IISn Apachen iPlanetn SunONEn Weblogicn WebSpheren resinn tomcatn HP-AS3.5.4.2. 发布服务器端需要如下软硬件：n CPU：Intel PIII或以上n 内存：256M或以上n 硬盘：整个网站容量 + 5Gn 操作系统：Windows 2000 / Linux 3.5.5. 冗余部署3.5.5.1. 概况Web站点运行的稳定性是最关键的。系统支持所有部件的多机工作和热备：

41、可以有多台安装了系统防篡改模块和同步服务软件的Web服务器，也可以有两台安装了系统发布服务软件的发布服务器。它实现了2Xn的同步机制（2为发布服务器，n为Web服务器），当2或n的单点失效完全不影响系统的正常运行，且在修复后自动工作。Web服务器1Web服务器n-1SSL安全通信系统发布服务器(备)系统同步服务器防篡改模块Web服务器2Web服务器n主备通信CMS内容管理系统Socket/NFSiGuard发布服务器(主)DMZIntranet图表 33 冗余部署示意图3.5.5.2. Web服务器集群系统发布服务器支持对多台Web服务器的内容同步，严格保证多台Web服务器内容相同。当单台We

42、b服务器失效时，由于Web服务器集群前端通常有负载均衡设备，因此，它并不影响公众访问网站。同时，它的失效也不影响系统发布服务器向其他正常工作的Web服务器提供内容同步。在失效期间，系统发布服务器会尝试连接这台Web服务器，一旦它修复后重新工作，即可自动进行连接，并自动进行内容同步。因此，Web服务器的单点失效不影响系统的完整性，并且在系统恢复时不需要对其余机器作任何手工操作。注意：标准的发布服务器版本已支持Web服务器集群。3.5.5.3. 发布服务器双机系统支持发布服务器双机协同工作，即一台主发布服务器和一台热备发布服务器。在这种部署情形下，内容管理系统（CMS）需要将内容同时发布到两台系统

43、服务器上。在正常状态下，系统主发布服务器工作，由它对所有Web服务器进行内容同步。显然，热备发布服务器失效不影响系统运作，一旦在它修复后可以从主发布服务器恢复数据，进入正常热备状态。主发布服务器如果失效（即不发心跳信号），热备发布服务器会接管工作，由它对所有Web服务器进行内容同步。当主发布服务器修复后，两机同时工作，经过一段时间的数据交接时间，热备发布服务器重新进入热备状态。因此，系统发布服务器的单点失效也不影响系统的完整性，并且在系统恢复时不需要对其余机器作任何手工操作。注意：标准的发布服务器版本中不包含此功能，发布服务器双机是独立的扩展模块。3.6. 链路负载均衡系统方案设计当用户采用的

44、2条以上的ISP接入链路时，我们可以按照下图所示的结构，将设备安装在ISP的接入路由器和内部网络之间。为了避免单点故障，采用两台设备配置为冗余结构。设备负责Inbound和Outbound流量的IP地址处理，按照用户制定的方式将流量动态的分配在各条ISP链路上。应实现如下功能：流量管理：设备通过使用智能网络地址转换（Smart NAT）和自动流量路由实现了完备的地址配置处理，从而可提供透明的多宿主管理。链路监控：为了提供连续的在线服务可用性，设备会不间断地监视服务提供商提供的链路，以检测任何故障。设备具有链路健康检查专用模块，提供丰富的27层的健康检查方式，并且具有独有的“与”“或”检查结果绑

45、定动能，使用户能够完全按照自己的意愿检查和判断链路的健康。性能优化 ：为了优化每个会话的双向性能，设备利用 Radware 独特的就近性和内容路由算法来为特定目的地选择性能最快的链路。 基于用户针对前往目的地的跳数和测得的延迟所定义的均衡点，设备可确保每个会话实现最快的 Internet 服务响应时间。 优化对链路的使用：设备 在所有可用的 ISP 连接之间做出对进、出站流量的负载均衡决定时考虑了大量与链路有关的参数，提供丰富的负载均衡方法对 VPN 会话进行多站点多链路负载均衡：通过转悠协议在 Radware 多宿主企业解决方案中，当公司总部部署了高性能的 设备，而其分支机构使用 LinkP

46、roof Branch 时，所有站点都可以对入站或出站 VPN 流量进行负载均衡。 冗余配置：设备具有灵活的冗余配置能力，支持标准VRRP冗余配置方式。带宽管理：设备的SynApps 带宽管理允许用户基于用户、服务、应用和内容的任意组合来定义和实施自己的带宽管理策略。确保在定义策略的前提下，每一类用户或应用都能获得最佳的服务水平。入侵防护：面对日益严峻的网络安全形势，Radware借助其在内容交换领域的技术优势，实现了基于高速交换机的入侵防范解决方案。设备的SynApps应用安全模块能够实时侦测和阻止1300多种的黑客恶意攻击和常见的恶性病毒，确保网络资源的安全，并支持用户自定义和实时更新的能

47、力。3.7. 服务器负载均衡系统方案设计3.7.1. 本地负载均衡本地负载均衡中，位于服务器和路由器之间，用户的访问中止到WSD，其标准的冗余结构如下图所示：3.7.2. 全局负载均衡全局负载均衡中，各个不同的地点都使用WSD，WSD根据各个地点的距用户的就近性（Proximity）进行访问的重定向，其标准的拓扑结构如下图所示：3.7.3. 功能介绍1健康状况检查WSD 可靠的健康状况检查可以保证用户获得最佳的服务。WSD 可以监视服务器在IP、TCP、UDP、应用和内容等所有协议层上的工作状态。如果发现故障，用户即被透明地重定向到正常工作的服务器上。这可以保证用户始终能够获得他们所期望的信息

48、。2交易完整性的可靠保证为了确保服务正常运行，WSD 监控从 Web 服务器、中间件服务器到后端数据库服务器的整个路径上工作状态，确保整个数据路径上的服务器都处于正常状态。如果存在一个故障服务器，WSD 则不会将用户分配到这个发生故障路径的服务器，从而保证为用户提供透明的数据完整性保障。3完全的容错与冗余WSD 的配置提供设备间的完全容错，以确保网络最大的可用性。两个设备通过网络相互检查各自的工作状态，为其所管理的应用保障完全的网络可用性。它们可工作于“主用-备用”模式或“主用-主用”模式，在“主用-主用”模式下，因为两个设备都处于工作状态，从而最大限度地保护了投资。并且所有的信息都可在设备间

49、进行镜像，从而提供透明的冗余和完全的容错，确保在任何时候用户都可以获得从点击到内容的最佳服务。4通过正常退出服务保证稳定运行当需要进行服务器升级或系统维护时，WSD 保证稳定的服务器退出服务以避免服务中断。当选定某台服务器要从服务器退出服务后，WSD 将不会将任何新的用户分配到该服务器。但是，它可以要退出服务的服务器上完成对当前用户的服务。从而保证了无中断的优质服务，以及服务器组的简易管理能力。5智能的服务器服务恢复将重新启动的服务器应用到服务中时，避免新服务器因突然出现的流量冲击导致系统故障是非常重要的。所以，在将新服务器引入服务器组时，WSD将逐渐地增加分配到该服务器的流量，直至达到其完全

50、的处理能力。从而不仅保证用户在服务器退出服务时，同时还保证服务器在启动期间以及应用程序开始时，均能获得不间断服务。6通过负载均衡优化服务器资源WSD 执行复杂的负载均衡算法，在多个本地和远程服务器间动态分配负载。这些算法包括循环、最少用户数、最小流量、Native Windows NT 以及定制代理支持。除了这些算法，WSD 还可以为每个服务器分配一个可以配置的性能加权，从而提高服务器组的性能。7应用交换WSD 根据 IP 地址、应用类型和内容类决定流量分配。这样，管理员就可以为不同类型的应用程序分配不同的服务器资源。应用交换支持不同协议上的各种应用，包括 TCP、UDP、IP、Telnet、

51、Rshell、TFTP、流、被动 FTP、HTTP、e-mail、DNS、VOIP 等等。Radware 还为运行于动态端口并要求同步的应用设计了特殊支持功能。8Web 交换WSD 完全支持 URL 交换，根据 URL 和 HTTP 信息分配流量。每个 URL 都可以重定向到某服务器，或在多个服务器之间进行负载均衡，从而提供优化的 Web 交换性能。根据 URL 文本中包含的信息，WSD 可以保持客户持续性，从而保证内容的个性化。9内容交换内容交换使管理员可以根据交易的内容来分配服务器资源。例如，CGI 脚本可以位于一个单独的服务器组，当发生对该内容的请求时，会话就被重定向到其中某个服务器。W

52、SD 的内容交换能力可以广泛支持 SSL ID 和 Session ID， 保持客户持续性，保证最佳流量管理和应用内容个性化。10先进的多个全局流量分配方法一旦选定了最佳可用站点，用户就被透明地使用三种方法之一进行重定向：HTTP重定向、RTSP重定向、Radware 专利的Triangulation 方法重定向与DNS重定向。用户还可以选择这些方法的组合用于多阶段流量分配。重定向选项可以保证用户从最佳站点透明、稳定地获得服务。11完全的冗余与容错通过提供多级冗余，WSD在服务器、WSD设备和站点之间三个层次提供冗余和容错。可以在不同站点上安装许多 WSD 设备，从而提供完全的站点冗余。如果整

53、个站点发生故障，则备用站点将自动提供服务，确保整个服务可用。这样用户总能获得优质服务，您也可以高枕无忧了。12无限的可扩展性WSD 的全局流量管理解决方案提供无限的可扩展性和投资保护。您可以灵活地扩大服务器组和数据中心数目，而且可以用于本地服务器组流量管理的 WSD 升级为WSD-DS或WSD-NP以提供全局解决方案，这样就可以确保您当前网络的所有投资都可以在未来得到最大限度的利用。13完全集成的解决方案一个设备可以同时提供全局和本地的流量管理解决方案WSD 系列产品提供完整的集成解决方案，可以在一个设备中提供全局负载均衡的所有需要。不用两个单独的设备，WSD 在一个设备中就可以提供经济的高性

54、能的解决方案。每个设备都可以从本地解决方案升级为全局解决方案。14管理策略WSD的SynApps 带宽管理允许用户基于用户、服务、应用和内容的任意组合来定义和实施自己的带宽管理策略。确保在定义策略的前提下，每一类用户或应用都能获得最佳的服务水平。 3.8. 大规模网络安全运维管理系统方案设计3.8.1. 运维管理体系3.8.2. 实现方式我们建议技术上采用大型企业安全运维管理系统为企业解决支撑关键业务的网络、主机、应用系统运行监控和内部网络桌面PC安全管理，在设计上遵循国际IT服务管理标准ITIL标准和IT安全管理标准ISO17799标准。采用统一的WEB管理门户，以WEB方式展现整个IT系统

55、的运行状况，包括桌面PC的资产信息、安全信息，网络、服务器、数据库、应用系统的故障和性能信息。通过WEB门户，对桌面PC、网络、服务器进行集中维护，统一设置安全策略。3.8.3. 桌面安全管理功能具体来说，桌面安全管理采用集中式管理方式，提供了以下几个方面的管理功能： 网络准入控制，防止非法电脑接入 支持基于802.1X的网络准入控制； 在非802.1X的环境下，也可以实现接入控制； 用户可以自行定义多种准入控制策略； 防止有安全隐患的电脑或者非法电脑直接访问内部网络。 设备自动发现与资产管理 自动发现网络上的所有接入设备； 可依据IP/MAC/主机名以及资产的配置对接入设备快速定位； 自动发

56、现组织内所有PC机的软硬件配置信息、PC机网络连接信息和运行状态信息，建立资产基线； 支持配置变更自动发现与报警； 自动维护软硬件配置变更历史信息。 桌面安全主动评估，发现安全隐患 自动发现存在安全隐患的PC机，并提示系统管理员和用户要采取的弥补措施； 桌面电脑网络流量异常评估，及时发现异常流量桌面PC； 桌面电脑安全配置评估，及时发现安全设置不完善的桌面PC； 可疑注册表项、可疑文件检查； 灵活配置各种安全隐患条件； 多种方式控制/限制存在安全隐患的PC机接入内部网络。 桌面安全加固，防患于未然 补丁漏洞自动修复，支持桌面PC操作系统补丁、MS应用软件补丁自动更新、自动升级； 支持登录口令强

57、度、Guest帐户、屏幕保护检测，加固主机安全性； 禁止各种默认共享、禁止修改IP地址、禁止修改注册表； 强制安装防病毒软件与更新病毒库； 禁止运行非法进程等； 内置桌面PC个人防火墙，既可限制外部网络直接访问桌面PC，又可以限制桌面PC去访问一些不允许的网络服务； 非法操作监管，让管理规定令行禁止 检查桌面PC是否安装了非法软件； 支持对USB硬盘、Modem拨号、无线通讯、红外、蓝牙、同时使用内外网卡等非法操作的监控、审计和禁止使用； 支持对网上聊天、BT下载的监控、审计和禁止； 支持对HTTP访问、Email、网络文件拷贝等行为进行审计，或禁止； 支持离线管理，可以支持电脑在离开网络之后

58、策略仍然有效； 软件分发，功能强大、快速分发 在不对客户端用户造成负担的前提下确保安全和病毒补丁的技术正常发放和安装； 支持大规模客户机、大软件的快速分发，支持MultiCast分发、断点续传、多文件服务器等技术； 支持自动安装、手段安装，可以支持多种打包工具和打包格式，如：Wise、MSI打包。 可以方便灵活地安装网段、部门、IP、操作系统类型等条件选择软件分发目标。 远程协助与监控，不到现场、胜过现场 实时监控客户端画面； 可以选择远程控制或者只监视不控制，满足各种场合的需要； 可以同时监控多台客户端画面。3.8.4. 统一运行监控功能在系统监控上，遵循IT服务管理标准ITIL标准。作为通

59、用系统管理平台，实现网络、防火墙、IDS、主机、数据库、应用系统等的运行状况监控。采用集中式管理方式，提供了以下多个方面的运行监控功能： 网络系统监控 支持主流网络设备监控，包括思科、华为、3Com、北电、阿尔卡特等； 监控网络设备CPU、内存； 监控网络线路的连通性、响应时间、流量、带宽利用率、广播包、错包率、丢包率等。 主机系统监控 支持主流操作系统的主机监控，包括Windows服务器、Linux服务器、AIX、Solaris、HP-UX； 监控主机设备的CPU、内存、磁盘、网络接口状态和流量、对外提供的服务状态和响应时间、进程的CPU和内存。 数据库系统监控 支持主流数据库系统的监控，包

60、括SQL Server、DB2、Oracle、Sybase； 监控数据库系统的服务状态，数据库服务主要进程的状态、CPU利用率和内存大小，数据库表空间利用率、日志空间利用率、并发连接数，指定SQL语句的执行效率。 应用系统监控 支持主流应用系统的监控，包括WEBSphere、WEBlogic、IIS、WEB服务器、邮件服务器； 监控这些应用系统的主要进程CPU、内存，应用系统的响应时间。 可自定义的监控画面 管理员可以根据实际系统和管理理念，自己定义和组织监控画面，包括监控画面之间的层次结构、监控画面内容、监控画面的访问权限。 统一日志监控 集中采集所有网络设备、主机设备的系统日志，并将管理员

61、需要关心的日志信息通过告警事件方式及时通知管理员。 内置上百种监控参数模板 为了方便管理员设置要监控的参数，LeagViewTM缺省带了上百种监控参数的配置模板，管理员只要选择要监控哪个设备的哪个参数。 智能化的故障处理 可以为每类故障事件定义处理流程，LeagViewTM根据这些流程自动处理故障，包括何时以什么方式将故障通知给哪些相关人员。此外，支持信息资产安全分级管理，各种安全管理策略可以按照：部门、IP网段、IP范围、设备组、操作系统类型、操作系统语言等条件定义安全管理策略的应用范围。4. 结语在对XXXX公司的平台运行、网络状况等需求详细了解之前，本方案采用当前最新的技术按典型的电子商务运行平台提出了一套整体解决方案建议，作为一个电子商务运行平台，应建立起基于SET协议的电子支付、数字签名和CA认证体系，我们不对这部分进行安全评估和设计，重点提出对系统运行过程中的网络及通信、信息数据保护和管理维护等方面的安全框架建议。在下一步对XXXX公司的电子商务平台建设的详细需求和目标明确后，将给出一个更有针对性、更全面的详细设计方案。 32