用户需求
用户概况
U.S.cellular公司是美国第八大无线服务运营商,总部位于芝加哥,在美国25州开展无线电话和数据运营服务;拥有500个营业网点和1800个销售代理商。
该公司的门户网站为用户及其代理商提供产品信息、产品支持、在线服务等功能;其中用户及代理商的在线服务需要连接到网站后台的数据中心,因此数据中心运行的安全性、可用性非常突出。
为了确保网站安全,U.S.cellular公司首先采取了传统的安全解决方法:如采用防火墙保护网络、加密所有交易保护隐私、使用口令验证控制应用交互,记录访问日志并加强审计;然而U.S.cellular安全团队对于Web应用安全进行深入研究后发现其传统的安全措施无法消除网站安全风险:
1、针对大型在线网站的黑客攻击增加,数据窃取事件频发;而新的法律界定了信息防护的责任;一旦U.S.cellular网站被攻击,客户信息被泄露,损失无法估量。
2、在对网站进行应用漏洞测试发现了较多的安全漏洞,如果采用源代码安全修订防护,需要昂贵的费用,估算将超过1000000美元。并且需要长达12-18个月的时间,最为关键的是无法确保源代码完全被修复。
因此U.S.cellular决定必须采用新的安全防护设备。
U.S.cellular的需求
1、新的设备必须保障应用,Web应用安全威胁的根源在于应用程序代码,而不是服务器和网络,因此新的设备不是更过的网络层工作设备,必须能检查Web应用流量并能对HTTP进行深度检测。
2、必须确保数据中心的可靠性和安全性。必须能够阻止透过Web应用对数据库的攻击。设备必须具备冗余和failover功能。
3、需要具备SSL卸载能力以减轻服务器负荷
4、需要具备用户认证功能以加强访问安全。
5、解决方案必须易于管理和使用,U.S.cellular公司不希望新的设备需要大量人员培训和复杂维护时间,新的设备必须类似于目前数据中心设备。
网友评论