《金电网安网站防护系统》由会员分享,可在线阅读,更多相关《金电网安网站防护系统(43页珍藏版)》请在金锄头文库上搜索。
1、网站防护系统内 容 目 录风险分析三网站防护系统四.网站安全现状二.应用部署及案例五.公司介绍一.u成立于2000年11月u是专业从事信息安全的高科技公司u集科研、产品开发与生产、安全集成、专业服务为一体u从事安全专业的博士,硕士等高级人才在公司占很大比例公司背景u 承担了多项国家863、973计划重大攻关课题u 是国家认定的软件企业和高新技术企业u 国家信息安全成果产业化基地(东部)的首批入驻企业u 与清华、交大、浙大、解放军信息工程大学等著名高校和科研院所紧密关联u 中软博士后流动工作站上海分站u 与上海交大成立了信息与网络安全体系结构实验室 资质与合作内 容 目 录风险分析三网站防护系统
2、四.网站安全现状二.应用部署及案例五.公司介绍一.网站安全现状数据来源数据来源:CNCERT:CNCERT网站安全现状数据来源数据来源:CNCERT:CNCERT网站安全现状网站安全的误区网站使用了防火墙 网站使用了IDS 网站使用了防病毒软件 所以很安全?所以很安全? 网站使用了SSL加密 内 容 目 录风险分析三网站防护系统四.网站安全现状二.应用部署方案五.公司介绍一.受威胁的目标金融教育政府企业黑客事件回放2008年8月28日,一名黑客捏造了一篇清华大学校长顾秉林接受采访的新闻报道,批评现行教育制度。 事件回放2009年2月24日,云南晋宁县政府网站遭黑客恶意修改破坏。风险来源利用系统
3、漏洞,获取系统权限内部人员的非法操作利用病毒、木马、间谍软件等恶意代码DOS拒绝服务攻击WebWeb服务器服务器利用网页漏洞进行SQL注入产生的后果发布内容被篡改泄密服务异常终止政治层面影响组织形象受损经济利益受损数据受损网站安全需求小结v 应用方面:防范SQL注入、跨站脚本攻击v 网络方面:防范DOS、DDOS、网络扫描v 系统方面:杜绝病毒、木马等恶意代码威胁v 文件方面:严格控制页面文件、配置文件读写权限v 管理方面:加强内部人员操作管理,细分权限与职责内 容 目 录风险分析三网站防护系统四.网站安全现状二.应用部署及案例五.公司介绍一.功能结构恶意代码主动防御WAF静态网页防篡改软 件
4、 安 装 控 制装载模块一致性校验系统部件一致性校验软 件 运 行 控 制宏 执 行 控 制脚 本 运 行 控 制网 页 代 码 控 制静 态 网 页 写 保 护 控 制静 态 网 页 管 理配 置 文 件 写 保 护 控 制防 S Q L 注 入防 跨 站 脚 本 攻 击抗 网 络 攻 击双 机 热 备网 站 防 护 系 统恶意代码主动防御以可信计算为理论基础,以等级保护为指导思想,对系统中所有装载的可执行文件代码(例如,EXE、DLL、COM等)进行控制,所有可执行文件代码在加载运行之间都需要先经过检验,只有通过验证的代码才可以加载,可以有效的控制病毒、木马等程序的爆发。恶意代码主动防御0
5、层 1层 2层 3层4层 5层 6层加电BIOS自检主引导区OS装载器OS内核Init进程可信应用 可信验证模块可信 验证可信 验证可信 验证可信 验证主动 防御 模块 加载Init 进程可信 验证信任链传递Createprocess() Loadlibrary()计算加载文件的 HASH值Createprocess() Loadlibrary()判断:该HASH值在TSL中是否有匹配?记录结果Y N恶意代码主动防御恶意代码主动防御对可信程序进行Hash算法,并以白名单方式进行策略添加,从而保证整个系统执行程序的可靠性。恶意代码主动防御非可信的进程在执行时,会被拒绝执行,并记录下来。可由管理员
6、选择添加为可信程序。恶意代码主动防御对于可信软件,可通过网站保护配置工具进行安装,其所释放的exe、dll、com文件都认为是可信的。静态页面防篡改采用对象相关(ObjectSpecific)保护方式来保护网页不被篡改。即对于每一个受保护的对象,对象所有者为其设定一个对象相关授权码。对象相关保护方式是一种不基于访问用户身份的访问控制技术,对于所有受保护的对象,系统在系统内核对其加以保护,在不知道对象相关授权码的情况下,即使是系统管理员,系统也禁止其对于受保护对象(比如主页)的任何特定操作,比如修改内容、删除、重命名等。用户进程主体 (Subject)决策实施打开(Open)系统调用函数写(Wr
7、ite)系统调用函数删除(Unlink)系统调用函数文件、目录对象 (Object)安全决策受控目录1受控目录2受控目录3访问请求 ACL(访问控制信息)访问决策请求 安全决策 查询授权信息 获得对象信息 允许或拒绝请求 静态页面防篡改静态页面防篡改受控目录的添加,可依照需求进行添加保护。受控目录中的文件、子目录都将被有效的保护起来,防止随意篡改。静态页面防篡改受控目录中若需要有子目录允许任意添加、修改、删除文件,则可通过非受控目录选项来进行操作。静态页面防篡改若需要使用指定程序对网站进行维护,网站防护系统还允许添加可信进程对受控目录进行操作。WEB WALL功能: 防语句注入 防跨站脚本攻击
8、 抗网络攻击 防黑客扫描性能: T-1000 (低端) T-2000 (中端) T-3000 (高端)WEB WALLB/S架构方式管理配置Https保证配置通讯安全WEB WALL防SQL注入可从特征库中选择需要过滤的字段WEB WALL跨站脚本攻击,可保护网站避免成为木马网站的跳板WEB WALL可通过设置连接速率、连接数来达到抗网络攻击(如DOS攻击)的目的,具体参数需根据网站服务的正常访问业务数据设置。 WEB WALLSSL终止功能,客户端将采用WEBWALL自身所带的SSL功能,在实现WEB应用加密的同时,进行内容过滤。并支持证书认证功能。 产品对比产产品名称金电电网安网站防护护系
9、统统主流网页页防篡篡改产产品 产产品定位针对针对网站系统统区域边边界、传输传输路径、应应用平台 、应应用数据的综综合防护护系统统针对针对网站系统发统发布内容的保护护系统统构成软软硬件相结结合纯软纯软件 设计设计理念“积积极防御、综综合防范”“篡篡改后恢复,攻击击后防御”控制范围围网站区域边边界、传输传输路径、网站操作系统统、网 站应应用系统统、网站应应用数据。网站应应用系统统、网站应应用数据。防护护能力抗网络络攻击击; 恶恶意代码码主动动防御; SSL终终止; 抗SQL注入攻击击; 防跨站脚本攻击击; 文件保护护,保障应应用数据(静态页态页面、配置文 件)免受恶恶意篡篡改。在每一个网页页流出时
10、进时进行完整性检检 查查,对对于被篡篡改的网页进页进行实时访实时访 问问阻断,并予以报报警和使用备备份恢复 。系统负载统负载采用专专用硬件平台处处理SQL、XSS等攻击击,服务务 器无负载负载。借用服务务器自身资资源处处理SQL、XSS等 攻击击。WEB系统负载过统负载过 高。产产品部署多硬件/多软软件灵活部署。每台服务务器需要一个license。内 容 目 录风险分析三网站防护系统四.网站安全现状二.应用部署及案例五.公司介绍一.网站防护系统部署方案网站防护系统部署方案网站防护系统成功案例一、国家部委、直属机构 v中国人民银行总行 v国家发展与改革委员会 v国家劳动部 v国家博物馆 v国家电
11、网 v国家电力监督委员会 v国家海洋局 v国家质检总局 v国家烟草专卖局 v长江水利委员会 v中邮创业基金管理有限公司 v国家计算机应急处理中心v国网信息通信有限公司 二、部分省市企业,政府用户 (一)北京市 v北京市宣武区政府 v北京市建设委员会 v北京市交管局 v北京联合大学(二)天津市 v天津海委 v天津塘沽区信息中心 v天津东丽区政府 v天津西青广电 v渤海证券(三)河北省 v河北省地税局 v河北省图书馆 v河北省人大 v河北省政府 v河北省财政厅 v河北省科技厅 v河北省建设厅 v邯郸市政府 v河北省工商局成功案例(四)上海市 v上海水务局 v长信基金 v上海测评认证中心 v上海市渔业管理局 (五)浙江省 v浙江省财政厅 v浙江省建设厅 v浙江省公安厅 v义乌365便民服务中心管委会服务处 v义乌党政机关信息中心 v宁波东钱湖管委会 v温岭市政府 v宁波市出入境检验局 v浙江萧山机场 v杭州拱墅区政府 (六)江苏省 v江苏省工商局 v江苏省保密局 v江苏省信息中心 v江苏省地税局
