◆安全挑戰(zhàn)

隨著我國(guó)國(guó)民經(jīng)濟(jì)和社會(huì)信息化進(jìn)程的全面加快，互聯(lián)網(wǎng)已經(jīng)成為人們工作和生活不可或缺的部分。越來(lái)越多的政府機(jī)關(guān)、銀行、企事業(yè)等單位為了適應(yīng)社會(huì)的發(fā)展，樹(shù)立自身良好的形象，擴(kuò)大社會(huì)影響，提升工作效率，均建立起自己的門(mén)戶(hù)網(wǎng)站。然而，由于網(wǎng)站是處于互聯(lián)網(wǎng)這樣一個(gè)相對(duì)開(kāi)放的環(huán)境中，各類(lèi)網(wǎng)頁(yè)應(yīng)用系統(tǒng)的復(fù)雜性和多樣性導(dǎo)致系統(tǒng)漏洞層出不窮，病毒木馬和惡意代碼網(wǎng)上肆虐，黑客入侵和篡改網(wǎng)站的安全事件時(shí)有發(fā)生，甚至有的篡改網(wǎng)站的事件直接升級(jí)成政治事件，嚴(yán)重危及國(guó)家安全和人民利益。

總體而言，網(wǎng)站安全形勢(shì)與其重要性不相匹配，其安全性問(wèn)題當(dāng)前非常突出，主要面臨以下四大威脅：

■ SQL注入攻擊，導(dǎo)致網(wǎng)頁(yè)被篡改或破壞：通過(guò)利用SQL命令插入到Web表單遞交或輸入域名或頁(yè)面請(qǐng)求的查詢(xún)字符串，最終達(dá)到欺騙服務(wù)器執(zhí)行惡意的SQL命令，獲得系統(tǒng)或數(shù)據(jù)庫(kù)管理員權(quán)限，從而達(dá)到網(wǎng)頁(yè)篡改或破壞網(wǎng)頁(yè)的目的；

■ DOS、DDOS攻擊，導(dǎo)致業(yè)務(wù)癱瘓：攻擊在線(xiàn)業(yè)務(wù)，造成服務(wù)癱瘓，嚴(yán)重影響系統(tǒng)的可用性；

■ 跨站攻擊（XSS攻擊），導(dǎo)致信息被盜：攻擊者利用網(wǎng)站程序?qū)τ脩?hù)輸入過(guò)濾不足，輸入可以顯示在頁(yè)面上對(duì)其他用戶(hù)造成影響的HTML代碼，從而盜取用戶(hù)資料、利用用戶(hù)身份進(jìn)行某種動(dòng)作或者對(duì)訪問(wèn)者進(jìn)行病毒侵害的一種攻擊方式；

■ 網(wǎng)站掛馬，導(dǎo)致用戶(hù)形象被破壞：攻擊者通過(guò)在正常的頁(yè)面中(通常是網(wǎng)站的主頁(yè))插入一段代碼，上網(wǎng)者在打開(kāi)該頁(yè)面的時(shí)候，這段代碼被執(zhí)行，然后下載并運(yùn)行某木馬的服務(wù)器端程序，進(jìn)而控制上網(wǎng)者的主機(jī)。

◆解決方案

針對(duì)上述網(wǎng)站所面臨的安全挑戰(zhàn)，天融信提出了"軟硬兼施，協(xié)調(diào)防范"的WEB安全防護(hù)解決方案，從事前的網(wǎng)站安全掃描、服務(wù)器和數(shù)據(jù)庫(kù)加固，事中的、WEB應(yīng)用安全防護(hù)、網(wǎng)站安全監(jiān)測(cè)，到事后的應(yīng)急響應(yīng)服務(wù)，實(shí)現(xiàn)"全程"的檢測(cè)與控制，真正有效保障用戶(hù)網(wǎng)站安全運(yùn)行。

天融信WEB安全防護(hù)解決方案，由以下幾部分組成：

■ WEB安全掃描、服務(wù)器和數(shù)據(jù)庫(kù)安全加固

在對(duì)網(wǎng)站實(shí)施保護(hù)之前，天融信安全服務(wù)人員采用天融信專(zhuān)業(yè)的安全檢查工具進(jìn)行WEB掃描、主機(jī)操作系統(tǒng)和數(shù)據(jù)庫(kù)掃描等，根據(jù)掃描和評(píng)估的結(jié)果，對(duì)網(wǎng)站相關(guān)的主機(jī)操作系統(tǒng)、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等進(jìn)行加固，確保網(wǎng)站處在安全基線(xiàn)之上；

■ WEB應(yīng)用安全防護(hù)、網(wǎng)站安全監(jiān)控

通過(guò)事前的評(píng)估與分析，我們明確的對(duì)網(wǎng)站防護(hù)的重點(diǎn)，在網(wǎng)站運(yùn)行過(guò)程中的安全防護(hù)如下：

1) 在用戶(hù)網(wǎng)絡(luò)接入邊界利用天融信防火墻在網(wǎng)絡(luò)層進(jìn)行相應(yīng)的安全訪問(wèn)控制；

2) 在WEB服務(wù)區(qū)邊界，利用天融信WEB應(yīng)用防火墻（WAF）的檢測(cè)引擎進(jìn)行協(xié)議分析、模式識(shí)別、URL過(guò)濾技術(shù)、統(tǒng)計(jì)閥值和流量異常監(jiān)視等綜合技術(shù)手段來(lái)判斷入侵行為，可以準(zhǔn)確地發(fā)現(xiàn)并阻斷各種網(wǎng)絡(luò)惡意攻擊，從而實(shí)現(xiàn)防SQL注入、防跨站攻擊的安全防護(hù)；

3) 在WEB服務(wù)器上安裝惡意代碼主動(dòng)防御子系統(tǒng)，通過(guò)利用信任鏈機(jī)制，對(duì)系統(tǒng)中所有裝載的可執(zhí)行文件代碼（例如EXE、DLL、COM等）進(jìn)行控制，所有可執(zhí)行文件代碼在加載運(yùn)行之間都需要先經(jīng)過(guò)檢驗(yàn)，只有通過(guò)驗(yàn)證的代碼才可以加載，從而有效地阻止惡意代碼的運(yùn)行。

4) 在WEB服務(wù)器上安裝網(wǎng)頁(yè)防篡改子系統(tǒng)，采用對(duì)象相關(guān)（Object-Specific）保護(hù)方式來(lái)保護(hù)網(wǎng)頁(yè)不被篡改。即網(wǎng)站管理員可以自行選擇需要保護(hù)的網(wǎng)頁(yè)文件設(shè)定為受控對(duì)象，對(duì)于每一個(gè)受保護(hù)的對(duì)象，管理員為其設(shè)定一個(gè)對(duì)象相關(guān)授權(quán)碼，進(jìn)行實(shí)時(shí)安全防護(hù)；

5) 通過(guò)天融信安全管理平臺(tái)TopAnalyzer或購(gòu)買(mǎi)天融信的遠(yuǎn)程監(jiān)測(cè)服務(wù)，進(jìn)行全局監(jiān)控與分析，實(shí)現(xiàn)集中、統(tǒng)一管理。如：網(wǎng)站安全掛馬監(jiān)控、網(wǎng)站安全漏洞監(jiān)控、網(wǎng)站安全內(nèi)容監(jiān)、網(wǎng)站安全狀態(tài)監(jiān)控、輿情分析等。

■ 應(yīng)急響應(yīng)與恢復(fù)

信息安全具有動(dòng)態(tài)性，安全的風(fēng)險(xiǎn)不斷在變化，也就是說(shuō)沒(méi)有100%的安全，如何去根據(jù)業(yè)務(wù)需求去保護(hù)我們的WEB安全，在基礎(chǔ)安全建設(shè)同時(shí)，我們更要重視對(duì)可能發(fā)生的事件要具有相應(yīng)的應(yīng)急相應(yīng)計(jì)劃。從另一個(gè)角度提高網(wǎng)站的安全性，并確保能夠及時(shí)發(fā)現(xiàn)并處理安全事件，不斷地降低網(wǎng)站安全風(fēng)險(xiǎn)。

如下圖示：

圖表 11 天融信網(wǎng)站安全防護(hù)解決方案示意圖#p#

◆方案優(yōu)勢(shì)

■ 事前、事中、事后全方位防護(hù)

網(wǎng)站掛馬的防護(hù)是個(gè)系統(tǒng)性的工程，必須從全生命周期的角度來(lái)有效防范，天融信提出的解決方案也正是從事前、事中和事后三個(gè)角度，通過(guò)軟硬件結(jié)合、綜合管理的方式，對(duì)網(wǎng)站進(jìn)行了全程化的監(jiān)控與響應(yīng)，保障網(wǎng)站的安全。

■ 專(zhuān)業(yè)的團(tuán)隊(duì)和先進(jìn)的技術(shù)

天融信公司專(zhuān)業(yè)攻防實(shí)驗(yàn)室通過(guò)與廠商和國(guó)家權(quán)威機(jī)構(gòu)的合作，不斷跟蹤、挖掘和分析新出現(xiàn)的各種漏洞信息，并將研究成果直接應(yīng)用于產(chǎn)品，保障了網(wǎng)站防護(hù)系統(tǒng)檢測(cè)的全面、準(zhǔn)確和及時(shí)有效，并且WEB應(yīng)用防火墻基于先進(jìn)的新一代并行處理技術(shù)架構(gòu)，內(nèi)置處理器動(dòng)態(tài)負(fù)載均衡專(zhuān)利技術(shù)，實(shí)現(xiàn)了對(duì)網(wǎng)絡(luò)數(shù)據(jù)流的高性能實(shí)時(shí)檢測(cè)和防御。WEB應(yīng)用防火墻采用基于目標(biāo)主機(jī)的流檢測(cè)引擎，可即時(shí)處理IP分片和TCP流重組，有效阻斷各種逃逸檢測(cè)的攻擊手段。

■ 四大利器加實(shí)時(shí)監(jiān)測(cè)

在具體操作上，天融信網(wǎng)站防護(hù)系統(tǒng)的四大利器（惡意代碼主動(dòng)防御子系統(tǒng)、網(wǎng)頁(yè)防篡改子系統(tǒng)、防火墻子系統(tǒng)、運(yùn)維與監(jiān)控），解決了網(wǎng)站的SQL注入、DDOS攻擊、掛馬、跨站攻擊等四大威脅，充分為網(wǎng)站提供完善防護(hù)。針對(duì)當(dāng)用戶(hù)網(wǎng)站面臨的主要安全威脅和合規(guī)需求，我們提供監(jiān)測(cè)服務(wù)，利用天融信網(wǎng)站安全監(jiān)控平臺(tái)，來(lái)不斷提高網(wǎng)站的安全性，并確保能夠及時(shí)發(fā)現(xiàn)安全事件，不斷地降低網(wǎng)站安全風(fēng)險(xiǎn)。

◆應(yīng)用領(lǐng)域

天融信WEB安全解決方案適用于政府、金融、企事業(yè)單位的網(wǎng)站防護(hù)，從基礎(chǔ)防護(hù)到遠(yuǎn)程安全監(jiān)控運(yùn)維，均為用戶(hù)提供貼身及定制服務(wù)，滿(mǎn)足用戶(hù)的安全防護(hù)需求，如下：

政府：解決政府網(wǎng)站被全改問(wèn)題，保障政府網(wǎng)站發(fā)布信息所特有的權(quán)威性。如天融信協(xié)助某省經(jīng)信委在電子政務(wù)外網(wǎng)建立WEB安全監(jiān)控平臺(tái)，對(duì)外網(wǎng)中網(wǎng)篡改、網(wǎng)站內(nèi)容、網(wǎng)絡(luò)輿情等進(jìn)行監(jiān)測(cè)。

金融：解決金融網(wǎng)站SQL注入、DDOS攻擊問(wèn)題，保護(hù)金融網(wǎng)站的高可用性和數(shù)據(jù)的完整性；

企業(yè)：解決企業(yè)被掛馬問(wèn)題，保護(hù)企業(yè)形象。