| 當(dāng)前位置：拓步ERP資訊網(wǎng) >>管理咨詢 >>CIO技術(shù)專欄 >>CIO信息安全

www.guhuozai8.cn拓步ERP|ERP系統(tǒng)|ERP軟件|ERP管理系統(tǒng)軟件|免費(fèi)ERP系統(tǒng)|免費(fèi)ERP軟件|免費(fèi)進(jìn)銷存軟件|免費(fèi)倉庫管理軟件|免費(fèi)下載專業(yè)資訊網(wǎng)-垂直行業(yè)網(wǎng)站安全問題及解決之道一覽

垂直行業(yè)網(wǎng)站安全問題及解決之道一覽

發(fā)布日期：2016-7-18 14:21:39 來源：www.guhuozai8.cn 編輯：拓步ERP資訊網(wǎng) 瀏覽：評論

摘要：隨著信息化的發(fā)展，政府以及大型企業(yè)的對外宣傳及服務(wù)、對內(nèi)辦公逐漸向Web上遷移，從而出現(xiàn)了眾多的門戶網(wǎng)站以及業(yè)務(wù)系統(tǒng)。隨著這些網(wǎng)站及業(yè)務(wù)系統(tǒng)與政府、企業(yè)的形象及業(yè)務(wù)的不斷融合，其重要程度也不斷提升，尤其是在垂直行業(yè)中更為重要。 原標(biāo)題：垂直行業(yè)網(wǎng)站安全問題及解決之道一覽 原作者：2016/7/17 來源：TechTarget中國作者：佚名
關(guān)鍵字：垂直行業(yè) 網(wǎng)站安全監(jiān)控預(yù)警

隨著信息化的發(fā)展，政府以及大型企業(yè)的對外宣傳及服務(wù)、對內(nèi)辦公逐漸向Web上遷移，從而出現(xiàn)了眾多的門戶網(wǎng)站以及業(yè)務(wù)系統(tǒng)。隨著這些網(wǎng)站及業(yè)務(wù)系統(tǒng)與政府、企業(yè)的形象及業(yè)務(wù)的不斷融合，其重要程度也不斷提升，尤其是在垂直行業(yè)中更為重要。因此，網(wǎng)站和業(yè)務(wù)系統(tǒng)也成為黑客的主要攻擊目標(biāo)。本文既是圍繞垂直行業(yè)的門戶網(wǎng)站及業(yè)務(wù)系統(tǒng)的安全建設(shè)展開。為了表達(dá)上的簡潔，后文所提到的網(wǎng)站無特殊說明均是指廣義上的網(wǎng)站——以http/https協(xié)議進(jìn)行通信并使用瀏覽器進(jìn)行訪問的系統(tǒng)，既包含門戶網(wǎng)站及業(yè)務(wù)系統(tǒng)。

垂直行業(yè)的網(wǎng)站有哪些問題？

1.篡改問題：篡改主要集中在門戶網(wǎng)站以及對外提供服務(wù)的業(yè)務(wù)系統(tǒng)，而且一旦發(fā)生篡改，影響范圍較廣，是管理人員普遍關(guān)心的問題。

2.數(shù)據(jù)泄露：數(shù)據(jù)泄露從途徑可以分為兩大類，一種為通過外部攻擊者通過攻擊對外提供服務(wù)的網(wǎng)站非法獲取數(shù)據(jù)，此類途徑泄露的數(shù)據(jù)往往涉及用戶個人信息;第二種則是內(nèi)部業(yè)務(wù)系統(tǒng)的數(shù)據(jù)泄露，而此類數(shù)據(jù)泄露同樣也會引起嚴(yán)重問題。例如某大型公司就出現(xiàn)過此類問題，剛剛上線的新HR系統(tǒng)，第二天全員的工資情況及股權(quán)分配情況則被公布，引起公司“大地震”……

3.其他問題：除了篡改、數(shù)據(jù)泄露外，網(wǎng)站還面臨許多問題，比如釣魚、掛馬、暗鏈、敏感詞等等。而這些攻擊往往也具備某些行業(yè)特征，例如釣魚就可能在金融類行業(yè)比較嚴(yán)重;又例如在每年的7月份，招生類網(wǎng)站的釣魚情況會大幅升高。政府網(wǎng)站的暗鏈情況較其他行業(yè)更為嚴(yán)重等。

造成這些問題的原因有哪些？

1.配置不當(dāng)

對于在垂直行業(yè)內(nèi)有多年運(yùn)維經(jīng)驗(yàn)的管理人員來說，配置核查的重要性不言而喻。而配置核查的目的就是為了達(dá)到安全基線。簡單來說所謂安全基線規(guī)范，是為了確保通信網(wǎng)絡(luò)上的相關(guān)設(shè)備達(dá)到最基本的防護(hù)能力要求而制定的一系列達(dá)標(biāo)基準(zhǔn)，是一套統(tǒng)一的安全設(shè)置指標(biāo)。類比于木桶原理，安全基線就相當(dāng)于木桶的最短板，是最基本的安全要求。而這最基本的要求在實(shí)現(xiàn)上卻問題重重。

2.漏洞缺乏管理

從計算機(jī)誕生開始漏洞就一直是安全的天敵，絕大多數(shù)的網(wǎng)絡(luò)攻擊是利用漏洞發(fā)起的。而漏洞缺乏管理是一個統(tǒng)稱，其包含兩大方面：漏洞數(shù)量眾多且頻發(fā)更新，管理人員很難及時發(fā)現(xiàn);由于技術(shù)或安全意識不足，導(dǎo)致發(fā)現(xiàn)后未能及時修復(fù)

3.弱口令

弱口令往往是管理員的一個噩夢，有些是管理員自身的疏忽，比如圖例中某省的人口流動管理系統(tǒng)，可利用用戶名：ldrk，密碼：ldrk，登錄查看多市的流動人口情況。而更多的則是垂直行業(yè)內(nèi)部用戶的弱口令，123456、000000等均是常用口令。其他的并不一一列舉。

4.安全“外剛內(nèi)柔”

據(jù)統(tǒng)計80%的網(wǎng)絡(luò)攻擊來源自內(nèi)部，這種“內(nèi)部”攻擊分為兩種情況，一種是內(nèi)部人員由于操作不當(dāng)，個人電腦被黑客控制，從而被動地成為黑客攻擊的跳板。第二種則是內(nèi)部人員的有意為之，垂直行業(yè)內(nèi)部用戶眾多，此類情況更容易發(fā)生。而實(shí)際上，大量的防御設(shè)備均部署在邊界，內(nèi)部疏于防范。從而導(dǎo)致一旦邊界失守，或內(nèi)部發(fā)起攻擊，服務(wù)器往往輕易淪陷。

對于垂直行業(yè)網(wǎng)站國家的政策要求

國家對網(wǎng)站安全提出過多個文件，其中最應(yīng)該關(guān)注的應(yīng)該是去年9月30日四部委聯(lián)合發(fā)布的“網(wǎng)站安全專項(xiàng)政治行動方案”，該方案除了對“黨政機(jī)關(guān)、事業(yè)單位和國有企業(yè)”提出了行動要求外，其實(shí)還包括了很多具體的安全建議。核心內(nèi)容如下：

圖1 四部委文件核心解讀

其中的“網(wǎng)站統(tǒng)一管理、統(tǒng)一防護(hù)、統(tǒng)一監(jiān)測”，”查找網(wǎng)站安全隱患并及時整改”等內(nèi)容，都體現(xiàn)了國家相關(guān)安全部門對于網(wǎng)站安全的思考。

講過了垂直行業(yè)網(wǎng)站安全目前的問題、造成問題的原因以及國家的相應(yīng)政策，下面將要講一講在垂直行業(yè)被廣泛接受的監(jiān)控預(yù)警與態(tài)勢感知平臺的應(yīng)用。但需要明確的是，沒有絕對的安全，安全的本質(zhì)還是(至少目前還是)增加攻擊的成本。本文也是在一定限度上，利用一些安全圈比較熱門的技術(shù)理念來解決垂直行業(yè)的網(wǎng)站在運(yùn)行時遇到的某幾類問題。

解決之道：監(jiān)控預(yù)警與態(tài)勢感知平臺的應(yīng)用

習(xí)大大在“網(wǎng)絡(luò)安全和信息化工作座談會”上說過——“維護(hù)網(wǎng)絡(luò)安全，首先要知道風(fēng)險在哪里，是什么樣的風(fēng)險，什么時候發(fā)生風(fēng)險，正所謂‘聰者聽于無聲，明者見于未形’。感知網(wǎng)絡(luò)安全態(tài)勢是最基本最基礎(chǔ)的工作”。

習(xí)大大在“419”會議上提出的內(nèi)容，擁有豐富的理論基礎(chǔ)。而這個理論基礎(chǔ)則是安全正從傳統(tǒng)的以防護(hù)為核心朝兩個方向發(fā)展——風(fēng)險控制與態(tài)勢感知。

基于這個理論，也引出了相應(yīng)的應(yīng)對策略，即垂直行業(yè)網(wǎng)站的監(jiān)控預(yù)警與態(tài)勢感知方案。

圖2 典型的拓?fù)?/div>

在安全管理區(qū)部署監(jiān)控預(yù)警與態(tài)勢感知總控中心，作為大數(shù)據(jù)匯總分析、統(tǒng)一呈現(xiàn)以及策略下發(fā)平臺;并在各含有服務(wù)器的安全域以分布式方式部署探針，作為檢測引擎進(jìn)行數(shù)據(jù)采集;在服務(wù)器區(qū)前部署Web防護(hù)設(shè)備以及邊界部署抗D等設(shè)備，進(jìn)行攻擊防御的同時將攻擊情況發(fā)送給總控中心。

各分支機(jī)構(gòu)通常只承擔(dān)建設(shè)各自門戶網(wǎng)站，對于分支機(jī)構(gòu)的網(wǎng)站有兩種監(jiān)控方式：1.總部增加引擎數(shù)量，批量導(dǎo)入分支域名或IP，實(shí)現(xiàn)無感知遠(yuǎn)程監(jiān)測。2.各分支部署探針，在監(jiān)測的同時進(jìn)行防御。

方案核心能力

本方案包含四大核心能力，分別為資產(chǎn)發(fā)現(xiàn)及管理能力、監(jiān)控能力、安全基線配置核查能力、攻擊防護(hù)能力。

資產(chǎn)發(fā)現(xiàn)通過在網(wǎng)絡(luò)總出口或各安全域旁路部署的探針，通過流量學(xué)習(xí)自動發(fā)現(xiàn)內(nèi)部網(wǎng)站，并能進(jìn)行被動的Webshell檢測。從而發(fā)現(xiàn)內(nèi)部私搭濫建網(wǎng)站以及網(wǎng)站后門。

日常的監(jiān)控包括三大類——合規(guī)性檢查、風(fēng)險控制、以及態(tài)勢感知。其中態(tài)勢感知中的攻擊監(jiān)測需要與防御設(shè)備聯(lián)動。通過監(jiān)控能力，及時發(fā)現(xiàn)篡改、弱口令、釣魚、木馬、后門、可用性等網(wǎng)站常見問題。

安全基線核查部分通過各安全域部署的探針引擎或者單獨(dú)的可移動檢測設(shè)備均可實(shí)現(xiàn)。安全基線方面，主要以合作方OWASP的各類安全基線為主，同時支持定制本行業(yè)的安全基線。

攻擊防護(hù)主要以各安全域及邊界部署的防御設(shè)備與管控中心聯(lián)動，實(shí)現(xiàn)以管控中心為大腦來控制手和腳(防御設(shè)備)的統(tǒng)一協(xié)作能力。實(shí)現(xiàn)對于外部以及內(nèi)部攻擊的防御。

通過該方案的建設(shè)，來幫助垂直行業(yè)的信息中心建立起一套針對其網(wǎng)站的監(jiān)控預(yù)警與態(tài)勢感知系統(tǒng)。從而實(shí)現(xiàn)2562號文件中所提及的“網(wǎng)站統(tǒng)一管理、統(tǒng)一防護(hù)、統(tǒng)一檢測”、“滿足等保要求”、“安全事件通報”。并解決基線核查、內(nèi)部攻擊、篡改、數(shù)據(jù)泄露等問題。

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.guhuozai8.cn/

本文標(biāo)題：垂直行業(yè)網(wǎng)站安全問題及解決之道一覽

本文網(wǎng)址：http://www.guhuozai8.cn/html/consultation/10839519662.html

關(guān)鍵詞標(biāo)簽： 垂直行業(yè)網(wǎng)站安全問題及解決之道一覽,垂直行業(yè) 網(wǎng)站安全監(jiān)控預(yù)警,ERP,ERP系統(tǒng),ERP軟件,ERP系統(tǒng)軟件,ERP管理系統(tǒng),ERP管理軟件,進(jìn)銷存軟件,財務(wù)軟件,倉庫管理軟件,生產(chǎn)管理軟件,企業(yè)管理軟件,拓步,拓步ERP,拓步軟件,免費(fèi)ERP,免費(fèi)ERP軟件,免費(fèi)ERP系統(tǒng),ERP軟件免費(fèi)下載,ERP系統(tǒng)免費(fèi)下載,免費(fèi)ERP軟件下載,免費(fèi)進(jìn)銷存軟件,免費(fèi)進(jìn)銷存,免費(fèi)財務(wù)軟件,免費(fèi)倉庫管理軟件,免費(fèi)下載,

本文轉(zhuǎn)自：e-works制造業(yè)信息化門戶網(wǎng)

本文來源于互聯(lián)網(wǎng)，拓步ERP資訊網(wǎng)本著傳播知識、有益學(xué)習(xí)和研究的目的進(jìn)行的轉(zhuǎn)載，為網(wǎng)友免費(fèi)提供，并盡力標(biāo)明作者與出處，如有著作權(quán)人或出版方提出異議，本站將立即刪除。如果您對文章轉(zhuǎn)載有任何疑問請告之我們，以便我們及時糾正。聯(lián)系方式：QQ：10877846 Tel：0755-26405298。

上一篇：沒有了！

下一篇：從寶鋼商密建設(shè)，看集團(tuán)型企業(yè)如何建設(shè)信息安全保密體系？

相關(guān)文章

管理咨詢

拓步ERP系統(tǒng)軟件平臺11.5專業(yè)版v10.1.2...

拓步ERP系統(tǒng)軟件平臺11.5標(biāo)..

金蝶KIS財務(wù)軟件標(biāo)準(zhǔn)版V8.1..

金蝶KIS財務(wù)軟件迷你版V8.1..

金蝶KIS工業(yè)貿(mào)易專業(yè)版V12...

SQL2000 4in1 ISO..

MSDE2000 SP4 簡體中..

金蝶KIS商貿(mào)高級版V4.0|破..

金蝶KIS財務(wù)軟件行政事業(yè)版V9..

金蝶KIS零售版V4.1|破解版..

拓步ERP倉庫管理軟件財務(wù)管理軟件進(jìn)銷存管理軟件免費(fèi)下載免費(fèi)使用

熱門培訓(xùn)視頻

拓步ERP系統(tǒng)平臺庫存管理系統(tǒng)培訓(xùn)視頻教材

拓步ERP系統(tǒng)平臺客戶端安裝培訓(xùn)..

拓步ERP財務(wù)管理系統(tǒng)培訓(xùn)視頻

拓步ERP系統(tǒng)平臺數(shù)據(jù)庫安裝培訓(xùn)..

拓步ERP系統(tǒng)平臺通用操作培訓(xùn)視..

拓步ERP系統(tǒng)平臺采購管理系統(tǒng)培..

拓步ERP系統(tǒng)平臺考勤管理系統(tǒng)培..

拓步ERP系統(tǒng)平臺財務(wù)報表系統(tǒng)培..

拓步ERP系統(tǒng)平臺財務(wù)總帳系統(tǒng)培..

拓步ERP系統(tǒng)平臺應(yīng)收帳款系統(tǒng)培..

熱門電子圖書

拓步ERP財務(wù)管理系統(tǒng)電子圖書

熱門管理軟件

拓步ERP系統(tǒng)管理軟件介紹

拓步ERP平臺系列旗艦版

拓步ERP生產(chǎn)系列標(biāo)準(zhǔn)版（進(jìn)銷存..

拓步ERP業(yè)務(wù)系列倉存版（倉庫管..

拓步ERP平臺系列標(biāo)準(zhǔn)版

拓步ERP財務(wù)系列迷你版（財務(wù)管..

拓步ERP條碼系列業(yè)務(wù)標(biāo)準(zhǔn)版（條..

拓步ERP平臺系列企業(yè)版

拓步ERP平臺系列專業(yè)版

拓步ERP行業(yè)系列電子行業(yè)版


	ERP新聞動態(tài) 拓步新聞行業(yè)新聞關(guān)注產(chǎn)品觀點(diǎn)縱橫企業(yè)管理企業(yè)應(yīng)用

	ERP解決方案按ERP應(yīng)用行業(yè)分類按ERP企業(yè)規(guī)模分類按ERP管理領(lǐng)域分類按ERP軟件功能分類按ERP系統(tǒng)特性分類用友ERP解決方案金蝶ERP解決方案易飛ERP解決方案速達(dá)ERP解決方案其他ERP解決方案

	ERP顧問咨詢 ERP管理咨詢 ERP戰(zhàn)略診斷 ERP流程分析 ERP流程優(yōu)化 ERP風(fēng)險分析 ERP可行性研究 ERP整體規(guī)劃 ERP選型招標(biāo) ERP實(shí)施監(jiān)理 ERP評審驗(yàn)收 ERP績效評價 ERP基礎(chǔ)知識 ERP課程培訓(xùn) ERP培訓(xùn)教育 ERP視頻教材

	CIO技術(shù)專欄 CIO企業(yè)應(yīng)用 CIO網(wǎng)絡(luò)通信 CIO信息安全 CIO基礎(chǔ)設(shè)施 CIO云計算

	ERP技術(shù)支持技術(shù)支持知識庫常見問題資料庫在線學(xué)習(xí)資料庫日常辦公資料庫企業(yè)管理知識庫

	ERP系統(tǒng)價格拓步ERP系統(tǒng)價格體系拓步EIS軟件價格體系合作品牌ERP價格體系技術(shù)支持服務(wù)價格體系

	合作品牌用友UFIDA 金蝶KingDee 神州數(shù)碼Digital 速達(dá)SuperData 拓步ERP系統(tǒng)成功案例

	代理加盟合作聯(lián)盟策略代理合作指南代理聯(lián)盟前景聯(lián)盟技術(shù)支持快速搜索ERP軟件資訊

	關(guān)于拓步公司介紹公司愿景企業(yè)文化誠聘英才聯(lián)系我們在線留言在線訂購意向下載體驗(yàn)登記

日本高清色本免费现在观看-日本高清色图-日本高清色视频在线观看免费-日本高清免费一本视频在线观看-国产精品电影久久-国产精品对白刺激久久久

ERP顧問咨詢

ERP原理知識

ERP實(shí)施培訓(xùn)

CIO技術(shù)專欄

CIO企業(yè)應(yīng)用

CIO網(wǎng)絡(luò)通信

CIO信息安全

CIO基礎(chǔ)設(shè)施

CIO云計算

即時聯(lián)系

服務(wù)熱線

快捷互動

猜您喜歡