圖 網(wǎng)站安全防護(hù)示意圖
其中,網(wǎng)頁(yè)防篡改系統(tǒng)��,對(duì)基于OS(Windows����、Linux、Unix)的WEB服務(wù)器����、數(shù)據(jù)庫(kù)支持系統(tǒng)和特定的中間件處理服務(wù)器進(jìn)行底層加固、上層過濾����,控制系統(tǒng)中進(jìn)程的運(yùn)行類別以及權(quán)限,對(duì)進(jìn)程啟動(dòng)所需要的exe����、dll、sys等文件進(jìn)行完整性度量�����。如符合策略標(biāo)準(zhǔn),則允許其正常啟動(dòng),否則阻止該程序的啟動(dòng)。
當(dāng)應(yīng)用程序請(qǐng)求訪問某些文件時(shí)����,需要通過度量模塊進(jìn)行度量��,判斷是否滿足訪問權(quán)限�����。這樣在權(quán)限控制合理的前提下��,應(yīng)用程序只擁有最小權(quán)限,即使其被攻擊者利用��,對(duì)系統(tǒng)的威脅也是有限的����。
同時(shí),網(wǎng)頁(yè)防篡改系統(tǒng)會(huì)限制WWW服務(wù)����、FTP服務(wù)等訪問與WEB無關(guān)的其他任何目錄及文件,有效的實(shí)現(xiàn)了WWW服務(wù)和系統(tǒng)中其他應(yīng)用的邏輯隔離�����,從而降低WWW服務(wù)受攻擊的概率。當(dāng)終端用戶的HTTP請(qǐng)求被WWW服務(wù)解析之前����,過濾引擎首先將其捕獲,并與策略規(guī)則庫(kù)中進(jìn)行特征匹配���,如果確定該請(qǐng)求有攻擊性質(zhì)����,則丟棄�。這樣就可以有效防御諸如SQL注入、跨站腳本漏洞�、CGI等流行攻擊,利用文件過濾驅(qū)動(dòng)技術(shù)保護(hù)網(wǎng)頁(yè)和動(dòng)態(tài)腳本不被非法纂改�,從而從源頭上杜絕各類非法篡改行為。
硬件方面���,WEB防護(hù)網(wǎng)關(guān)借助過濾引擎�����,實(shí)現(xiàn)對(duì)基于WEB服務(wù)訪問攻擊的阻擋��,從而形成立體防御���。
總體來說���,本解決方案可以實(shí)現(xiàn)以下功能:
1、對(duì)未知病毒具備免疫能力
針對(duì)市場(chǎng)上傳統(tǒng)反病毒產(chǎn)品無法滿足機(jī)構(gòu)用戶業(yè)務(wù)安全需求現(xiàn)狀�,天融信網(wǎng)站防護(hù)系統(tǒng)提供了更加積極主動(dòng)的安全防御措施,不僅可以防范已知的病毒���、木馬等威脅�����,而且對(duì)未知惡意代碼同樣具備有效的防范能力�。
2�、牢固的動(dòng)態(tài)網(wǎng)頁(yè)防護(hù)
天融信網(wǎng)站防護(hù)系統(tǒng)通過文件過濾驅(qū)動(dòng)技術(shù)對(duì)腳本進(jìn)行檢測(cè)���,從而避免網(wǎng)頁(yè)和網(wǎng)站結(jié)構(gòu)被篡改����。另外還可以對(duì)SQL注入和跨站攻擊進(jìn)行有效防護(hù)��,防止動(dòng)態(tài)網(wǎng)站的數(shù)據(jù)庫(kù)被黑客篡改。
3����、更有效的網(wǎng)頁(yè)防篡改技術(shù)
不同于市場(chǎng)上常見的網(wǎng)頁(yè)防篡改技術(shù)(外掛輪詢技術(shù)、核心內(nèi)嵌技術(shù)���、事件觸發(fā)技術(shù))��,天融信網(wǎng)站防護(hù)系統(tǒng)���,不再完全依托備份服務(wù)器,不僅讓安全性能得到提升��,同時(shí)可以更有效禁止任何非法的網(wǎng)頁(yè)修改行為���。
4����、采用內(nèi)核性能優(yōu)化和安全加固技術(shù)
天融信網(wǎng)站防護(hù)系統(tǒng)特有的與上層應(yīng)用程序無關(guān)的安全設(shè)計(jì)��,除了為文件資源提供強(qiáng)制型存取控制���、以及特權(quán)管理外���,還能防止關(guān)鍵應(yīng)用程序被篡改并且能為關(guān)鍵應(yīng)用程序定制靈活的保護(hù)策略�,做到"量體裁衣"����。針對(duì)網(wǎng)站防護(hù)系統(tǒng)中的服務(wù)模塊,采用多種內(nèi)核性能優(yōu)化技術(shù)���,大大提高了網(wǎng)站防護(hù)系統(tǒng)的工作效率以及系統(tǒng)本身的健壯性����。
5�����、更簡(jiǎn)便的布署與管理過程
目前常見的防止SQL注入的方式�����,多為在網(wǎng)頁(yè)代碼中加入過濾語(yǔ)句�����,這樣做不僅需要針對(duì)不同的網(wǎng)頁(yè)作不同處理��,而且通用性差�����。為此��,天融信網(wǎng)站防護(hù)系統(tǒng)采用網(wǎng)絡(luò)中間層驅(qū)動(dòng)(NDIS)進(jìn)行過濾���,可以支持所有的網(wǎng)站服務(wù)�。
毫無疑問���,今天的WEB已經(jīng)成為政府和企事業(yè)用戶所面臨的最嚴(yán)重的安全威脅之一�����,在復(fù)雜的攻擊形態(tài)以及層出不窮的新安全威脅面前��,傳統(tǒng)的安全防護(hù)手段已顯得捉襟見肘���。作為國(guó)內(nèi)信息安全領(lǐng)域的領(lǐng)導(dǎo)廠商,天融信網(wǎng)站防護(hù)系統(tǒng)不僅集惡意代碼主動(dòng)防御���、網(wǎng)頁(yè)文件過濾驅(qū)動(dòng)保護(hù)�、跨站攻擊防護(hù)、防SQL注入�、抗網(wǎng)絡(luò)攻擊等多個(gè)安全功能于一身,而且全面兼顧服務(wù)器終端與網(wǎng)絡(luò)流量的深度檢測(cè)�����,實(shí)現(xiàn)了用戶WEB業(yè)務(wù)的 "雙重保護(hù)��、立體防御"�。
