论文部分内容阅读
近年来,随着电子商务的蓬勃发展,安全问题日益显得重要。虽然传统的防火墙、抗DDoS、流量控制等系统实现了大部分的安全功能,但是随着黑客和攻击方式的变化,针对Web服务器网页的应用层入侵大量出现,例如:SQL注入、跨站攻击、Cookie篡改等等。互联网支付企业的Web站点不同程度的具有这方面被攻击的弱点,因此,对Web安全的防护也是刻不容缓的。随着互联网安全技术的不断发展,Web应用安全防护技术引起了人们的广泛关注。Web应用安全防护系统具备对HTTP协议进行完整解析的功能,能有效防止WEB应用漏洞所引起的安全攻击行为,极大地提高了WEB应用的安全性,同时满足用户对信息实时防护、方便使用的需要,所以受互联网支付企业用户的欢迎。本文以上海某互联网支付企业为案例,在调研了企业的现有网络和安全架构的基础上,分析了企业对WEB应用安全的具体需求,包括WEB内容安全防护、实时性、兼容性、扩展性等方面需求,给出了WEB应用安全防护方面的测试方案,选取了不同的WEB应用安全防护系统进行了具体的测试,并对其进行了比对分析研究,为企业选取了合适的WEB应用安全防护系统产品。同时,根据互联网支付企业的实际生产环境特点,设计了WEB应用安全防护系统实施规划,并针对验证性测试中发现的具体的现有生产环境兼容性问题,重新设计了部署方案。经验证测试通过后,根据制定的上线实施步骤,将WEB应用安全防护系统成功部署到了生产环境中,并对整体方案改造前后做了实施效果的分析。本文的主要研究成果及创新内容如下:1、分析了WEB应用安全防护技术,说明了新型WEB应用安全防火墙技术与传统安全防御产品技术的不同点及其优势所在,得出新型WEB应用安全防火墙技术符合今后用户发展需要,将会得到越来越广泛的应用;2、研究了WEB应用安全漏洞,对WEB漏洞进行了分类,并对WEB漏洞的影响进行了分析;3、以上海某互联网支付企业为研究对象,在调研了企业的现有网络和安全架构的基础上,分析了企业对WEB应用安全的具体需求,设计了整体测试方案,方案充分利用公司现有的软件和硬件资源,充分发挥了WEB应用安全防护系统的技术优势;4、根据测试方案,组织了WEB应用安全防护系统的测试工作。测试内容充分反映了WEB应用安全防护系统在功能、性能上的真实情况及存在的差异。根据测试结果,从部署方式、WEB应用安全防护能力、设备性能与自身安全等多个角度,对WEB应用安全防护系统进行了比对研究,为企业选取了合适WEB应用安全防护系统产品。5、根据互联网支付企业的实际生产环境特点,设计了WEB应用安全防护系统实施规划,并针对验证性测试中发现的具体的现有生产环境兼容性问题,重新设计了部署方案。经验证测试通过后,根据制定的上线实施步骤,将WEB应用安全防护系统成功部署到了生产环境中,并对整体方案改造前后做了实施效果的分析。