中国铁建Web应用安全解决方案
1


目录TOC\o"1-3"\h\z\u
HYPERLINK\l"_Toc362278477"一.项目背景及必要性	PAGEREF_Toc362278477\h3
HYPERLINK\l"_Toc362278478"1.1项目背景	PAGEREF_Toc362278478\h3
HYPERLINK\l"_Toc362278479"二.中国铁建Web应用安全风险分析	PAGEREF_Toc362278479\h6
HYPERLINK\l"_Toc362278480"2.1应用层安全风险分析	PAGEREF_Toc362278480\h6
HYPERLINK\l"_Toc362278481"2.1.1身份认证漏洞	PAGEREF_Toc362278481\h6
HYPERLINK\l"_Toc362278482"2.1.2www服务漏洞	PAGEREF_Toc362278482\h6
HYPERLINK\l"_Toc362278483"2.1.3Web网站应用漏洞	PAGEREF_Toc362278483\h6
HYPERLINK\l"_Toc362278484"2.2管理层安全风险分析	PAGEREF_Toc362278484\h7
HYPERLINK\l"_Toc362278485"三.中国铁建Web网站安全防护方案	PAGEREF_Toc362278485\h8
HYPERLINK\l"_Toc362278486"3.1产品介绍	PAGEREF_Toc362278486\h9
HYPERLINK\l"_Toc362278487"3.1.1WebGuard网页防篡改保护系统解决方案	PAGEREF_Toc362278487\h9
HYPERLINK\l"_Toc362278488"3.1.2WebGuard-WAF综合应用安全网关	PAGEREF_Toc362278488\h12
HYPERLINK\l"_Toc362278489"3.2系统部署	PAGEREF_Toc362278489\h18
HYPERLINK\l"_Toc362278490"3.2.1详细部署	PAGEREF_Toc362278490\h18
HYPERLINK\l"_Toc362278491"3.2.2部署后的效果	PAGEREF_Toc362278491\h19
HYPERLINK\l"_Toc362278492"四.系统报价	PAGEREF_Toc362278492\h20

项目背景及必要性
项目背景
近年来，信息技术的飞速发展使人们获取、交流和处理信息的手段发生了巨大的变化，随着信息时代的到来，信息化发展也为移动工作带来了新的挑战和机遇。
近两年来，黑客攻击、网络病毒等等已经屡见不鲜，而且一次比一次破坏力大，对网络安全造成的威胁也越来越大，一旦网络存在安全隐患，遭受重大损失在所难免。在企业网中，网络管理者对于网络安全普遍缺乏重视，但是随着网络环境的恶化，以及一次次付出惨重代价的教训，企事业单位网的管理者已经将安全因素看作网络建设、改造的关键环节。
国内相关行业网站的安全问题有其历史原因：在旧网络时期，一方面因为意识与资金方面的原因，以及对技术的偏好和运营意识的不足，普遍都存在“重技术、轻安全、轻管理”的倾向，政府网络建设者在安全方面往往没有太多的关注，常常只是在内部网与互联网之间放一个防火墙就万事大吉，有些政府甚至什么也不放，直接面对互联网，这就给病毒、黑客提供了充分施展身手的空间。而病毒泛滥、黑客攻击、信息丢失、服务被拒绝等等，这些安全隐患发生任何一次对整个网络都将是致命性的。
随着网络规模的急剧膨胀，网络用户的快速增长，网站在各行业的信息化建设中已经在扮演至关重要的角色，作为数字化信息的最重要传输载体，如何保证企业、金融证券、政府及事业单位网络能正常的运行不受各种网络黑客的侵害就成为各地政府不可回避的一个紧迫问题；因此，解决网络安全问题刻不容缓。
当前企业、金融证券和政府业务系统大都居于B/S架构，使用Web应用来运行核心业务，然而，Web应用安全威胁已成为当前信息安全的主要威胁，从以下数据可以看出，80%以上的信息安全威胁来自于Web应用：

图1.1信息安全事件分布


图1.2Web漏洞发展趋势

图1.3最新十大安全威胁
从以上数据可以看出，随着Web应用的极速发展及大量使用，Web应用漏洞在急剧增加，Web安全威胁已成为当前信息安全的主要威胁。因此，在平台业务建设的同时，必须加强Web应用安全建设，通