互联网电商行业解决方案

行业特点和对应方案

 行业特点  对应SecureGrid方案和关键技术
 电商用户都提供对对外公开的门户网站和在线交易系统  通过WAF提供网页应用安全防护
 电商用户对于公司信誉比较看重,因此针对钓鱼网站、网站入侵等安全问题非常关注  通过WAF中的ThreatRadar可以提供信誉保护
 注重网页应用的安全开发  WAF可辅助网页应用安全开发
 客户数据是企业的重要机密数据,这些机密数据会存储在核心数据库中  需要DAM之类的解决方案
 数据库的种类和不同平台的数据库较多  需要独立的DAM产品可以全面支持所有数据库和不同平台,并集中管理
 对外公共网站的发布、以及用户敏感数据的保存和访问需要遵从行业法规,例如 PCI 要求、银监会要求等  WAF、DAM都帮助企业遵从各种法规要求


潜在具体需求
针对上述行业特点,电商用户通常都会有的网页应用防火墙和数据库安全需求如下:
1)WEB应用防火墙需求
WEB交易业务系统是电商行业中重要的业务系统,对其的安全加固也是客户的明确需求
每天面临来自外部的大量从底层到应用层的大量攻击,尤其是“注入式”攻击,要求具备完整的防护功能,提供的攻击防护完整而全面。
电商中的各种业务网站经常性的面对漏洞攻击和扫描,难以跟踪和警告。
网站页面设计复杂,安全管理员很难配置基于网页参数、行为的安全规则。
需要主动的网站安全保护系统主动防护针对网页的渗透攻击和网页篡改
防止敏感信息泄露的问题,包括网站后台服务信息、开发源代码信、后台用户信息等
对外公布网站和网上支付系统合规性的要求
能够及时发现和阻断对网站的上述攻击行为
采用“透明桥”部署方式,对现有业务系统无影响和改动
2)数据库安全需求
能够提供完整的数据库访问的审计:不论在什么时间、以什么方式,只要数据被修改或查看了就需要自动对其进行追踪;
捕捉数据库配置变化:当“数据库表结构、控制数据访问的权限和数据库配置模式”等发生变化时,需要进行自动追踪;
防止敏感信息泄露,监控敏感表的访问、读取、导出等
在可疑行为发生时启用事先设定策略及时阻断并产生告警,防范风险的发生。
提供完整的数据库访问分析视图,可了解数据库访问分布、性能情况等。
灵活的报告生成:临时和周期性地以各种格式输出审计分析结果,用于显示、打印和保存。
 
需求部门
电商的信息科技部、安全处等多个部门都会有相关需求提出
 
实际行业案例:
1)易宝支付:
项目概述:
易宝支付希望对公司的公共业务网站进行全面的安全保护,在WEB业务系统之前部署了SecureGrid WAF的解决方案。
购买产品型号和数量:
Web应用防火墙(WAF)x1台型号:SecureGrid SG2500
WAF方案部署:采用Inline的透明桥部署方案,无需改变网络架构,压毫秒级延迟。
 
 
实施收益:
SecureGrid web防火墙采用透明桥接的方式部署,对现有系统无影响
主动安全保护,防止网页被篡改
专用防注入式攻击手段,防止注入式攻击
防止针对网站的各种内容扫描和木马程序
及时发现并阻断针对网页的攻击行为
部署简单,动态策略建立,一次部署和策略建立后,无需太多的设置工作,不增加管理员的工作负担
2)国美电商
项目概述:
国美电商的核心业务基于WEB应用,WEB应用的安全稳固是正常开展业务的前提。所以迫切需要针对WEB应用安全的解决方案。
项目需求:
WEB交易业务系统是电商行业中重要的业务系统,对其的安全加固也是客户的明确需求
每天面临来自外部的大量从底层到应用层的大量攻击,尤其是“注入式”攻击,要求具备完整的防护功能,提供的攻击防护完整而全面。
电商中的各种业务网站经常性的面对漏洞攻击和扫描,难以跟踪和警告。
需要主动的网站安全保护系统主动防护针对网页的渗透攻击和网页篡改
防止敏感信息泄露的问题,包括网站后台服务信息、开发源代码信、后台用户信息等
能够及时发现和阻断对网站的上述攻击行为
采用“透明桥”部署方式,对现有业务系统无影响和改动
WAF部署方案:
采用Inline的透明桥部署方案,无需改变网络架构,压毫秒级延迟。
实施收益(WAF):
成功发现了针对网站系统的渗透和注入攻击,以及试图获取网站管理权限从而篡改网页的行为。通过WAF的防护这些攻击得到了有效制止。
主动安全保护,防止网页被篡改
专用防注入式攻击手段,防止注入式攻击
防止针对网站的各种内容扫描和木马程序
及时发现并阻断针对网页的攻击行为
成功对业务页面的CC攻击和秒杀攻击进行了防御

了解更多信息

关注官方微信

电话:(8610)8580 4799

传真:(8610)8580 4800

咨询热线:400 610 0319