【51CTO.com 綜合消息】據(jù)中國(guó)互聯(lián)網(wǎng)應(yīng)急中心最新統(tǒng)計(jì)顯示，2008年我國(guó)大陸地區(qū)政府網(wǎng)頁(yè)遭篡改事件呈大幅增長(zhǎng)趨勢(shì)，僅2009年3月我國(guó)大陸地區(qū)被篡改網(wǎng)站的數(shù)量就達(dá)到2225個(gè)。隨著企業(yè)和政府越來(lái)越多的業(yè)務(wù)系統(tǒng)采用基于WEB服務(wù)方式，互聯(lián)網(wǎng)在為用戶提供方便快捷的同時(shí)，針對(duì)WEB業(yè)務(wù)的攻擊亦在迅猛增長(zhǎng)。

一方面，基于新技術(shù)的突破和應(yīng)用， WEB技術(shù)提供的快捷性、交互性和通用性被越來(lái)越多的業(yè)務(wù)系統(tǒng)所采用；而另一方面，病毒、木馬蠕蟲(chóng)、釣魚(yú)軟件等卻又通過(guò)WEB服務(wù)的方式大肆在互聯(lián)網(wǎng)上傳播，嚴(yán)重威脅到了WEB服務(wù)的業(yè)務(wù)系統(tǒng)。對(duì)于用戶而言，WEB即敞開(kāi)了便捷的大門(mén)，也讓諸如網(wǎng)頁(yè)篡改、密碼盜竊、數(shù)據(jù)泄漏等安全隱患無(wú)處不在。

更為嚴(yán)重的是網(wǎng)站作為政府、企業(yè)等部門(mén)對(duì)外的窗口和實(shí)施電子政務(wù)、電子商務(wù)的重要平臺(tái)，其安全問(wèn)題直接關(guān)系政府和企業(yè)形象，在很大程度上決定了電子政務(wù)和電子商務(wù)的效率。尤其是，政府網(wǎng)站作為一級(jí)政府發(fā)布重要新聞、重大方針政策以及法律、法規(guī)等的重要渠道，一旦被黑客篡改，將嚴(yán)重?fù)p害政府的形象，影響社會(huì)穩(wěn)定。甚至有的篡改將直接導(dǎo)致事件升級(jí)成政治事件，嚴(yán)重危及國(guó)家安全和人民利益，其安全性問(wèn)題不容忽視。

當(dāng)前典型的WEB攻擊手段主要有以下幾種：

1、利用病毒、蠕蟲(chóng)、木馬和間諜軟件等惡意代碼，破壞WEB系統(tǒng)；

2、利用系統(tǒng)漏洞，使用緩沖區(qū)溢出方式獲得管理員權(quán)限，從而任意修改WEB網(wǎng)站內(nèi)容，竊取信息；

3、XSS攻擊，即跨站腳本攻擊。惡意攻擊者往WEB頁(yè)面里插入惡意html代碼，當(dāng)用戶瀏覽該頁(yè)之時(shí)，嵌入其中WEB里面的html代碼會(huì)被執(zhí)行，從而達(dá)到惡意用戶的特殊目的；

4、利用DOS、DDOS等方式，造成服務(wù)癱瘓；

5、利用網(wǎng)站應(yīng)用程序漏洞，采用SQL注入或跨站攻擊等方式，獲得系統(tǒng)或數(shù)據(jù)庫(kù)管理員權(quán)限，從而任意修改數(shù)據(jù)庫(kù)，達(dá)到網(wǎng)頁(yè)篡改或破壞網(wǎng)頁(yè)的目的。

在日趨復(fù)雜的WEB安全威脅面前，天融信公司推出的集WEB防護(hù)網(wǎng)關(guān)和網(wǎng)頁(yè)防篡改系統(tǒng)雙重防護(hù)能力的天融信網(wǎng)站防護(hù)系統(tǒng)，實(shí)現(xiàn)了對(duì)WEB服務(wù)器端和訪問(wèn)WEB服務(wù)器的應(yīng)用層數(shù)據(jù)流的深度分析。

其中，網(wǎng)頁(yè)防篡改系統(tǒng)，對(duì)基于OS（Windows、Linux、Unix）的WEB服務(wù)器、數(shù)據(jù)庫(kù)支持系統(tǒng)和特定的中間件處理服務(wù)器進(jìn)行底層加固、上層過(guò)濾，控制系統(tǒng)中進(jìn)程的運(yùn)行類別以及權(quán)限，對(duì)進(jìn)程啟動(dòng)所需要的exe、dll、sys等文件進(jìn)行完整性度量。如符合策略標(biāo)準(zhǔn)，則允許其正常啟動(dòng)，否則阻止該程序的啟動(dòng)。

當(dāng)應(yīng)用程序請(qǐng)求訪問(wèn)某些文件時(shí)，需要通過(guò)度量模塊進(jìn)行度量，判斷是否滿足訪問(wèn)權(quán)限。這樣在權(quán)限控制合理的前提下，應(yīng)用程序只擁有最小權(quán)限，即使其被攻擊者利用，對(duì)系統(tǒng)的威脅也是有限的。

同時(shí)，網(wǎng)頁(yè)防篡改系統(tǒng)會(huì)限制WWW服務(wù)、FTP服務(wù)等訪問(wèn)與WEB無(wú)關(guān)的其他任何目錄及文件，有效的實(shí)現(xiàn)了WWW服務(wù)和系統(tǒng)中其他應(yīng)用的邏輯隔離，從而降低WWW服務(wù)受攻擊的概率。當(dāng)終端用戶的HTTP請(qǐng)求被WWW服務(wù)解析之前，過(guò)濾引擎首先將其捕獲，并與策略規(guī)則庫(kù)中進(jìn)行特征匹配，如果確定該請(qǐng)求有攻擊性質(zhì)，則丟棄。這樣就可以有效防御諸如SQL注入、跨站腳本漏洞、CGI等流行攻擊，利用文件過(guò)濾驅(qū)動(dòng)技術(shù)保護(hù)網(wǎng)頁(yè)和動(dòng)態(tài)腳本不被非法纂改，從而從源頭上杜絕各類非法篡改行為。

硬件方面，WEB防護(hù)網(wǎng)關(guān)借助過(guò)濾引擎，實(shí)現(xiàn)對(duì)基于WEB服務(wù)訪問(wèn)攻擊的阻擋，從而形成立體防御?？傮w來(lái)說(shuō)，本解決方案可以實(shí)現(xiàn)以下功能：

1、 對(duì)未知病毒具備免疫能力

針對(duì)市場(chǎng)上傳統(tǒng)反病毒產(chǎn)品無(wú)法滿足機(jī)構(gòu)用戶業(yè)務(wù)安全需求現(xiàn)狀，天融信網(wǎng)站防護(hù)系統(tǒng)提供了更加積極主動(dòng)的安全防御措施，不僅可以防范已知的病毒、木馬等威脅，而且對(duì)未知惡意代碼同樣具備有效的防范能力。

2、 牢固的動(dòng)態(tài)網(wǎng)頁(yè)防護(hù)

天融信網(wǎng)站防護(hù)系統(tǒng)通過(guò)文件過(guò)濾驅(qū)動(dòng)技術(shù)對(duì)腳本進(jìn)行檢測(cè)，從而避免網(wǎng)頁(yè)和網(wǎng)站結(jié)構(gòu)被篡改。另外還可以對(duì)SQL注入和跨站攻擊進(jìn)行有效防護(hù)，防止動(dòng)態(tài)網(wǎng)站的數(shù)據(jù)庫(kù)被黑客篡改。

3、 更有效的網(wǎng)頁(yè)防篡改技術(shù)

不同于市場(chǎng)上常見(jiàn)的網(wǎng)頁(yè)防篡改技術(shù)（外掛輪詢技術(shù)、核心內(nèi)嵌技術(shù)、事件觸發(fā)技術(shù)），天融信網(wǎng)站防護(hù)系統(tǒng)，不再完全依托備份服務(wù)器，不僅讓安全性能得到提升，同時(shí)可以更有效禁止任何非法的網(wǎng)頁(yè)修改行為。

4、 采用內(nèi)核性能優(yōu)化和安全加固技術(shù)

天融信網(wǎng)站防護(hù)系統(tǒng)特有的與上層應(yīng)用程序無(wú)關(guān)的安全設(shè)計(jì)，除了為文件資源提供強(qiáng)制型存取控制、以及特權(quán)管理外，還能防止關(guān)鍵應(yīng)用程序被篡改并且能為關(guān)鍵應(yīng)用程序定制靈活的保護(hù)策略，做到“量體裁衣”。針對(duì)網(wǎng)站防護(hù)系統(tǒng)中的服務(wù)模塊，采用多種內(nèi)核性能優(yōu)化技術(shù)，大大提高了網(wǎng)站防護(hù)系統(tǒng)的工作效率以及系統(tǒng)本身的健壯性。

5、 更簡(jiǎn)便的布署與管理過(guò)程

目前常見(jiàn)的防止SQL注入的方式，多為在網(wǎng)頁(yè)代碼中加入過(guò)濾語(yǔ)句，這樣做不僅需要針對(duì)不同的網(wǎng)頁(yè)作不同處理，而且通用性差。為此，天融信網(wǎng)站防護(hù)系統(tǒng)采用網(wǎng)絡(luò)中間層驅(qū)動(dòng)（NDIS）進(jìn)行過(guò)濾，可以支持所有的網(wǎng)站服務(wù)。

毫無(wú)疑問(wèn)，今天的WEB已經(jīng)成為政府和企事業(yè)用戶所面臨的最嚴(yán)重的安全威脅之一，在復(fù)雜的攻擊形態(tài)以及層出不窮的新安全威脅面前，傳統(tǒng)的安全防護(hù)手段已顯得捉襟見(jiàn)肘。作為國(guó)內(nèi)信息安全領(lǐng)域的領(lǐng)導(dǎo)廠商，天融信網(wǎng)站防護(hù)系統(tǒng)不僅集惡意代碼主動(dòng)防御、網(wǎng)頁(yè)文件過(guò)濾驅(qū)動(dòng)保護(hù)、跨站攻擊防護(hù)、防SQL注入、抗網(wǎng)絡(luò)攻擊等多個(gè)安全功能于一身，而且全面兼顧服務(wù)器終端與網(wǎng)絡(luò)流量的深度檢測(cè)，實(shí)現(xiàn)了用戶WEB業(yè)務(wù)的 “雙重保護(hù)、立體防御”。