34通用电商网站安全建设方案

XX电商网站安全建设方案■文档编号请输入文档编号■密级限制分发■版本编号■日期©2020XX科技-I-目录一.背景..........................................................................1二.需求分析......................................................................22.1现状分析....................................................................22.2脆弱性分析..................................................................32.2.1未见应用层恶意代码防御手段..............................................42.2.2未见脆弱性管理手段......................................................42.2.3未见抗拒绝服务攻击手段..................................................42.2.4未见数据审计手段........................................................42.2.5未见应用系统实时监控手段................................................42.3风险分析....................................................................42.3.1黑客入侵................................................................52.3.2数据破坏和泄露..........................................................52.3.3网页篡改................................................................52.3.4网页挂马................................................................52.3.5网络蠕虫................................................................52.3.6DDOS攻击...............................................................62.4安全设计体系................................................................62.5需求汇总....................................................................7三.网站安全建设方案..............................................................93.1方案内容....................................................................93.2产品部署....................................................................93.3方案价值...................................................................10四.产品选型及预算...............................................................12附录AXX科技WEB应用防火墙简介................................................13A.1概述.....................................................................13A.2关键能力.................................................................13A.2.1客户资产视角........................................................13A.2.2优化的向导系统.......................................................13A.2.3完整的防护体系.......................................................14A.2.4细致高效的规则体系...................................................15A.2.5主动防护的代理架构...................................................15A.2.6智能补丁应急响应.....................................................16A.3典型部署.................................................................17A.4典型应用.................................................................17A.4.1网站访问控制........................................................17A.4.2网页篡改在线防护.....................................................18A.4.3网页挂马在线防护.....................................................18A.4.4DDoS联合防护..........................................................18A.5资质荣誉.................................................................19附录BXX科技介绍..............................................................21B.1XX科技概述..............................................................21-II-B.2安全研究.................................................................21B.3安全产品.................................................................21B.4重大活动保障.............................................................22B.5客户支持.................................................................22B.6XX科技资质..............................................................23附录C电商及互联网行业部分成功案例.............................................24-1-一.背景随着网络与信息技术的发展，尤其是互联网的广泛普及和应用，网络正逐步改变着人类的生活和工作方式。人们越来越多的生活因为网络的发展而改变。电子政务、电子商务、网上银行、网络办公等，对社会的各行各业产生了巨大深远的影响，也给人们的生活带来了极大的便利。其中，近几年来国内电子商务行业飞速发展，不断成熟，整个行业规模也呈现出井喷式增长。根据中国互联网络信息中心（CNNIC）发布的《2012年中国网络购物市场研究报告》，2012年我国网络购物市场交易金额达到12594亿元，较2011年增长66.5%。2012年网络零售市场交易总额占社会消费品零售总额的6.1%。截至2012年12月底，我国网络购物用户规模达到2.42亿，网民使用网络购物的比例提升至42.9%。与2011年相比，网购用户增长4807万人，增长率为24.8%。在网民增长速度逐步放缓的背景下，网络购物应用依然呈现迅猛的增长势头，2012全年用户绝对增长量超出2011年1463万，增长率高出去年同期4个百分点（2011年增长量为3344万，增长率为20.8%）。当前，居民消费在拉动国民经济发展中的重要性明显提升，而网络零售更是成为促进消费的重要抓手。用户购买力的提升，线上消费习惯固着和移动、社交网购形式的结合不断推动网络零售市场的壮大，电商企业频繁的低利润促销也持续激发用户的使用热情，带动了网络购物用户规模的加速增长。良好的宏观市场环境和企稳的国民经济总体状态是电子商务行业飞速发展的基石。此外，2012年相关部门协同推进电子商务发展的工作机制初步建立，围绕促进发展、电子认证、网络购物、网上交易和支付服务等主题，出台了一系列政策、规章和标准规范，也为构建适合国情和发展规律的电子商务制度环境进行了积极探索。2012年2月，国家发展改革委、财政部、商务部、人民银行、海关总署、税务总局、工商总局、质检总局八部委联合发布《关于促进电子商务健康快速发展有关工作的通知》，重点推动国家电子商务示范城市创建，推动商贸流通领域电子商务应用快速发展，规范电子支付，研究跨境贸易电子商务便利化措施等工作。3月，工信部规划司发布《电子商务“十二五”发展规划》，确定十二五期间电子商务发展的具体目标为交易额翻两番，突破18万亿元。企业间电子商务交易规模超过15万亿元。网络零售交易额突破3万亿元，占社会消费品零售总额的比例超过9%。可以说，从经济环境、政策环境等方面来看，电子商务行业是未来我国国民经济发展中一个极其重要的领域，也必将迎来一个空前的发展繁荣时期。但与此同时，需要注意的是，电子商业依托于互联网和信息技术，近年来不断升温的信息安全问题严重影响着电子商务行业的健康发展。由于电子商务网站包含了大量的客户个人信息、交易记录、银行卡号等敏感信息，具有极高的利用价值。因此利用信息技术进行破坏活动的入侵者越来越多的将电子商务企业纳入攻击目标范围。信息安全威胁日渐成为电子商务企业面临的重要挑战。2013年8月，北美著名游戏厂商及在线电子购物平台RiotGames发布了一个安全公告，要求用户立即更改密码，表示官网被黑客入侵，可能泄露了一些用户的账户信息。泄露的信息包括姓名、-2-用户名、电子邮件地址、加盐的密码HASH及信用卡信息等。经过调查发现，自2011年开始，泄露的信用卡号码已经进行了大约120,000次交易。①2013年7月，大型在线支付平台PayPal被黑客利用MSSQL注入漏洞入侵，用户账户信息疑似泄露。②2013年7月9日，日本KONAMI数字娱乐有限公司宣称，在其入口网站KonamiID上发现了35,252起成功的非法登录。登录者使用从第三方渠道获得的ID号及密码进行登录尝试。用户数据包括姓名、住址、电话及邮箱地