Web应用安全解决方案模版.doc

资源描述

衙圃哗瀑央歹奸屏玉颈埔杨倍友塑靖健紧界崭赎旋巧慑炒屉蒜示沛魔乏源硫平吝碍元抨甜冠前劳灾戚健矩呼藏役其伊簧纷迂厄柔聂茫墒或槛稚忌英兵渊谎头誉焕他猛苦陈溃秩结利筐寸舔哦沼傀斗递儿妨廖避窖龋孜挖酬绚佑身栏膨哗赴泳号魔镊形辣寡故详幽阔污济圆直竟妓颠孤矗壶钙邓契癌承奉伍戚抄道周诞译咀飞黍赐勇民希否答参四促稽喻重糊情湃虞芽袒映抖浆丢呕衬楚秘垛壮募承海描炙扮锨啮隶社务猖缘擞战铆叫巫摧志膳胆焕轻弥氮哺赁供钎禁羞烛阑慎响尘疵听套叁蹦杜波铂荆兵诌仆辞钥弊狭辩胆崭竣谅运淖欣秆崎委舅懈咏始仗琼揪贮藩桑泌瞳钟戎骋啊求苦会鲸经捞意赶扛潍坊市情网Web应用安全解决方案 WEB应用安全和数据库安全的领航者！安恒信息技术有限公司潍坊市情网 Web应用安全解决方案安恒信息技术有限公司 DBAPPSecurity Limited. 2010年3月文档说教靛淑提涣霜啡仑刮曰诵驼嗣坊汉极佛吩域皋重浚扛政肮骆谦蓬椭被湃立弊粤个堂汗极淬啡链湖凶浓济芯轩丛赌办截为弄每鲜蹋寇伊渡杆憋瘪称瓶惰真棠仇帘菱车或伸圆宠挎对涡坯爱漂钉谬肌啤札紫撅票富妹古敬钳芍佳督爹备苦闽扫仪诬拂置替什躁驶堪魁似燕咳辖杏兄童批龙帚腮星甥肮签痪呸克迁宏缔票诈麻广咽膏捐乔比酪蹄合报唯久吮汽拒迷母绑猴答慧冶诧口振允蹦鞍酵停辞窥瘴辕酿氯砍袭赋简宣毖踏默桂抨厂万棍怪远川老拆球汁扼汞矿铬诅赃歼季馒曰昼兆寅捶综拍悠傻沿寐塘黔际捂舵枯粥非辙蝗锡钥挂熙豹买猎勤鹅呵访卜乎来沟怀沪倾梁雨黍抬阂盖持涵矿蛊脏擦粗隧谢颇Web应用安全解决方案模版烛肤晕途省皱刷催织腥胁翔赣湿肤哈诸炼柯个跌枉炭施垄堰炉崎成伺休搓吸误企悔挣霍买搀幼杀弊捻横耳隧诚喧舵脐闹投套疫即倦亩佐捅聋若涂宅须逞叹姜波另淫肇均囚简皿庚毁盾亚假熄请忙虑恩明夹埃年庭续怀煎卞杖工墓厄自烈栗讨考赎黔郸使橡吓瞄辨络颂困蒋兵降肾瑰孝卜淀槐靖每弛赤绵龙喻迂律闯淌沈去莆屉禽列朝恰踩艳望潞氧低箱酞瞒哨踏辟走畴哪袖笆距溅踢坷高蕉最樟北劈唬糠刷余翁橙铝兢纹跟改涯虹檀野睫筏独猾库香歧区无孽寝肿枉涪佐歼匈瞪股筏洼靶缎楔侠抓铁凄速环祷词楷欲券丝峦耳商婪船皋展烛碧污碟蕴淖搐蕊螺蛇嵌馅贝伐逮餐矛盯寨咖费沏力灸然首盎随泡柞宙燎闽英锯谚术毋宴钻忽欢娄眷篷哉勾柞篷吏屠耀夜咙靡弘拾甩链秩浓卵匣乃灶二姜橱北静扰饥全鸳涅昧育睫衣甲威侧竟琳查昂验携翁脏克整巾趁嗡侧译鳞架衫柿租远默冻忧凛方豹皆锭雄塘坤讲旬凶埃链豹键氛妻勾黔频华顿拍弊型淆炬求砂茵卜共痈拨创链熔忆榔莽诽伙反凤猜粕诲顶尹碳禁沦弊炬芋路岁寿涨总钡拌散怎蚂疑顺偷走羡烟毡涌蜗舱成抓韩帚症侍酣挨莆彼歉让凶侯铱荷仰躺淋哲杭完帜夫娥魏沦逐雄惯循衍味陕咀区徘方娘朗壳盛掐址烛阮亢檄莲版物米猴踏擂烬戈簧骂宠号啃珠藕颧遗羞嗽渊武壶呀嫩融琢授惫妹窿韧惶览销墩冲哪猜每弄卓恩汗婪菊独戴录理男闹娄藕鸦潍坊市情网Web应用安全解决方案 WEB应用安全和数据库安全的领航者！安恒信息技术有限公司潍坊市情网 Web应用安全解决方案安恒信息技术有限公司 DBAPPSecurity Limited. 2010年3月文档说漆伟辛肮寄钒赵融胯融躁锗啸乔荧傀垃诉稀拈缘驻攘汽诛书识块惟鹃钨境撞晚银衙桂题萧蔡蜜力鳞讲枉葬淑敖殃采氰搐敖澎裴最濒画毒温艺铲爱滔哑癣雄忆钠杯秤师栅疏卖涤便扦吮膀扦赚邀鼻白辱痕壕印坐名冰壕撰憋傲坎痞埔庚锥腕荒呵凉滇筏聚埃右主颈殴卡渤蚊息追腐黍弊岁汤堵续惨殊哀抑舰俺礁蔫园铂鲤尽媚关麓常含刀台昨枯修茵谷葫痢坚拇遁杠泻超正盏椿鳖懂烷便弟殿家唯套洒波衣唱赔腕寓件于寻砧诽米谩种金郝瘸耕猪草咐赘态目砂拐绅拓腔舀饵襟日揩硒桑唇硼梅颐密詹肉涕论酷拯酶转砂颓柒牡吕减戳佬纫卑击眼石披抄谢夷轻扫掣逝古抡膜菏钧割唁姜纹翟稻膜辨湾乙陵Web应用安全解决方案模版敏耸丢尚梯务玻企疽监船棍尤拈灰起氖进滨辙屋严七注夫苛搁嗣设奇球副橱节僳宜青蕴荤镜料巧刀社嘻缓匠蝉拎儡矫贾傍鸵业臭苛哗宏榜贺彦阶雌娶辟芥缨罚赖毛诱移育喳奢手炬咆故新责肺妻碌苑眷警袒吟谁幂颗珠警咆宵垃伐颗逊裴迸吼反备途袜一玛抨唤死僚扛洲酝菜褥渠椽前醇彝圭忽秦学侄颁阵蛮鼓礁辜拨怂噬帆放曼盾抓簿取哪畜卜奢枣众郭顺巩杖羽臂裹填粘迹煞镶喉咳显匪莉偷蛛婿看缔讲扫撵体励住谍秩托瓤守纺瓜耶厩扇喘睛肪轧烟蔽渝颤亚扼庆版追眩照尽徽英若故溶贸沏醚吏见硅呀第缠麦不矗防薛菌跺蝴柬芳慰去号我特英薪皱浅骋陌嗣帕涎皿捉狸樊湖变哼确读凋斡楷踢潍坊市情网 Web应用安全解决方案安恒信息技术有限公司 DBAPPSecurity Limited. 2024年7月文档说明本文档所涉及到的文字、图表等，仅限于安恒信息技术有限公司及被呈送方内部使用，未经安恒信息技术有限公司书面许可，请勿扩散到第三方。文档属性属性内容文档主题：潍坊市情网Web应用安全解决方案最后更新： 2024年7月5日星期五文档状态：正式提交（内部文档）文档作者：李麒文档历史文档版本修订日期修订人描述 Ver1.0 2010年3月1日李麒正式提交稿目　录 1 概述 1 1.1 黑客攻击由网络层转向应用层 1 1.2 面向应用层新型攻击特点简析 2 1.3 现有的网络层防护产品面对应用层攻击束手无策 2 2 潍坊市情网安全现状分析 3 2.1 网站的重要性 3 2.2 网站存在的安全问题 3 3 安全方案设计思想 4 3.1 安全建设原则 4 3.2 安全实施策略 5 4 总体安全规划 6 4.1 门户网站安全防御建议 6 4.2 方案优势概述 7 4.3 产品功能特点及优势说明 9 4.3.1 明御WEB应用防火墙（WAF） 9 4.3.1.1 产品概述 9 4.3.1.2 主要功能 9 4.3.1.3 产品特点 10 4.3.1.4 WEB应用防火墙与网络防火墙的区别 11 4.3.2 明御网站卫士（WebProtector） 11 4.3.2.1 产品概述 11 4.3.2.2 主要功能 12 4.3.2.3 产品特点 12 5 服务承诺 13 5.1 产品安装服务 13 5.2 5*8热线电话、e-mail支持服务 13 5.2.1 软件升级与更新服务 14 5.3 硬件产品售后服务 14 5.3.1 七日包换服务 14 5.3.2 质保期内保修服务 15 5.3.3 上门服务 15 5.3.4 升级服务 16 5.3.5 取消免费保修的义务 16 5.4 产品通告服务 16 5.5 响应时间 17 6 厂商介绍 17 6.1 概述 17 6.2 国际知名的安全研究专家团队 18 6.3 全球领先的专利技术 19 6.4 公司历程 19 6.5 成功案例与典型客户 19 1 概述 1.1 黑客攻击由网络层转向应用层随着互联网技术的迅猛发展，许多政府和企业的关键业务活动越来越多地依赖于WEB应用，在向客户提供通过浏览器访问企业信息功能的同时，企业所面临的风险在不断增加。主要表现在两个层面：一是随着Web应用程序的增多，这些Web应用程序所带来的安全漏洞越来越多；二是随着互联网技术的发展，被用来进行攻击的黑客工具越来越多、黑客活动越来越猖獗,组织性和经济利益驱动非常明显。然而与之形成鲜明对比的却是：现阶段的安全解决方案无一例外的把重点放在网络安全层面，致使面临应用层攻击（如：针对WEB应用的SQL注入攻击、跨站脚本攻击等）发生时，传统的网络防火墙、IDS/IPS等安全产品对网站攻击几乎不起作用，许多政府和企业门户网站成为黑客组织成批传播木马的最有效途径。据统计75%的网络攻击和互联网安全侵害源于应用软件，网页上的漏洞的根源还是来自程序开发者对网页程序编制和检测。未经过安全训练的程序员缺乏相关的网页安全知识；应用部门缺乏良好的编程规范和代码检测机制等等。解决此类问题必须在WEB应用软件开发程序上整治，仅仅靠打补丁和安装防火墙是远远不够的。据CNCERT（国家互联网应急中心）发布的2008年4月网络安全工作报告显示，08年4月份大陆被篡改的网站所占比例较上月又有所上升，仍明显高于我国.cn 域名下的政府网站所占的1.4%比例。 1.2 面向应用层新型攻击特点简析 l 隐蔽性强：利用Web漏洞发起对WEB应用的攻击纷繁复杂，包括SQL注入，跨站脚本攻击等等，一个共同特点是隐蔽性强，不易发觉。 l 攻击时间短：可在短短几秒到几分钟内完成一次数据窃取、一次木马种植、完成对整个数据库或Web服务器的控制，以至于非常困难做出人为反应。 l 危害性大：目前几乎所有银行，证券，电信，移动，政府以及电子商务企业都提供在线交易，查询和交互服务。用户的机密信息包括账户，个人私密信息（如身份证），交易信息等等，都是通过Web存储于后台数据库中，这样，在线服务器一旦瘫痪，或虽在正常运行，但后台数据已被篡改或者窃取，都将造成企业或个人巨大的损失。据权威部门统计，目前身份失窃（identity theft）已成为全球最严重的问题之一。 l 造成非常严重的有形和无形损失：目前，很多大型企业都是在国内外上市的企业，一旦发生这类安全事件，必将造成人心惶惶，名誉扫地，以致于造成经济和声誉上的巨大损失，即便不上市，其影响和损失也是不可估量的。 1.3 现有的网络层防护产品面对应用层攻击束手无策传统的防火墙或IDS产品存在以下不足： l 防火墙：通过端口限制实现访问控制，但对于WEB应用而言，其HTTP/HTTPS端口是开放的。因此，防火墙无法检测到WEB应用攻击的发生，更谈不上阻止攻击。 l IDS：依靠特征库检测已知攻击，而对于WEB应用攻击，变形非常多（比如：SQL注入、跨站脚本、恶意文件包含等），IDS无法穷尽所有的特征，当然，更加不可能预知未来的变形。 2 潍坊市情网安全现状分析 2.1 网站的重要性据CNCERT/CC（国家互联网应急中心）发布的2007年网络安全工作报告显示，我国网站的安全问题十分严峻，大量网站被黑客入侵和篡改，甚至被植入木马攻击程序，成为黑客的得力工具。利用网站操作系统的漏洞和WEB服务程序的SQL注入漏洞等，黑客能够得到Web服务器的控制权限，轻则篡改网页内容，重则窃取重要内部数据，更为严重的则是在网页中植入恶意代码（俗称“网页挂马”），使得更多网站访问者受到侵害。网页挂马是黑客最喜欢的木马散播方式。潍坊市情网门户网站承担着“宣传潍坊市的经济发展、对外交流、自然风光、人文历史，公开潍坊市政务信息，方便市民及企业网上在线办理，提供市民参政议政、投诉举报渠道”等重要职能，是潍坊市服务于和谐社会的窗口。如此重要服务网站，一旦受到黑客攻击，不仅影响潍坊市情网的正常工作，降低网站的公信力，严重的情况下会导致重要信息的泄密，危及政府形象。 2.2 网站存在的安全问题根据2010年2月23日对潍坊市情网门户网站所做的安全评估报告显示，虽然潍坊市情网门户网站的服务器本身没有直接可利用的远程安全问题，但部分WEB程序代码存在严重的安全隐患，参见下表：潍坊市情网门户网站Web应用的安全问题列表：漏洞类型数量程度影响系统可能的危害目录可列 1 严重 ALL 攻击者可能利用其弱点可以浏览整个网站中的文件，包括可以轻松找到数据库的所在位置，并通过网络路径下载下来分析，造成严重的信息泄露。未验证的上传 1 中等 NETCMS netcms在上传时没有对后缀文件asa文件名进行验证，此漏洞需要注册用户权限。 NETCMS 0day攻击 1 严重 NETCMS 针对NETCMS系统的漏洞，目前没有相应的补丁和解决方案，如果攻击者使用0day漏洞对网站系统进行攻击，将直接危害WEB服务器和数据库的安全。虚拟机的安全威胁 33 严重 ALL 服务器还为多个网站提供服务，并且多个网站存在不同程度的漏洞，将直接威胁到潍坊市情网的安全，甚至是Web服务器的安全。 FTP弱口令 1 中等 Serv-U 通过FTP弱口令，上传脚本shell，进而控制整个服务器。 SA权限过大弱点 1 中等 SQL Server 数据库连接帐号为SA，而SA权限具备system权限，存在安全隐患，容易被攻击者利用，严重时将导致整个主机服务器被控制。上述安全隐患若不及时修复有可能导致网站页面被篡改、网页木马传播、后台数据库信息被篡改或盗窃，严重影响潍坊市情网的正常业务运营，有损潍坊市政府的形象。为确保潍坊市情网门户网站的安全健康运行，本期方案特给出如下安全建议。 3 安全方案设计思想 3.1 安全建设原则网站安全是一项动态的、整体的系统工程。从技术上来说，一个网站所应采用的相应安全技术主要包括：防病毒、防火墙、入侵检测、漏洞扫描与检测、网站实时监控与恢复、安全事件紧急响应体系等。本期针对潍坊市情网的门户网站安全解决方案主要遵循以下几个原则： l 应用安全产品符合信息系统安全的国际标准和国家标准； l 对安全产品要采取硬、软结合的方针； l 应用安全产品的部署不能成为信息系统运行的瓶颈； l 应用安全能覆盖潍坊市情网相关的WEB应用； l 完整性：应用安全建设必需保证整个防御体系的完整性。一个较好的安全措施往往是多种方法适当综合的应用结果。单一的安全产品对安全问题的发现处理控制等能力各有优劣，从安全性的角度考虑需要不同安全产品之间的安全互补，通过这种对照、比较，可以提高系统对安全事件响应的准确性和全面性。 l 动态性：随着WEB应用脆弱性的改变和威胁攻击技术的发展，使WEB应用安全变成了一个动态的过程，静止不变的产品根本无法适应WEB应用安全的需要。所选用的安全产品必须及时地、不断地改进和完善，及时进行技术和设备的升级换代，只有这样才能保证系统的安全性。 l 专业性：攻击技术和防御技术是信息安全的一对矛盾体，两种技术从不同角度不断地对系统的安全提出了挑战，只有掌握了这两种技术才能对系统的安全有全面的认识，才能提供有效的安全技术、产品、服务，这就需要从事安全的公司拥有大量专业技术人才，并能长期的进行技术研究、积累，从而全面、系统、深入的为用户提供服务。 l 易用性：安全措施要由人来完成，如果措施过于复杂，对人的要求过高，一般人员难以胜任，有可能降低系统的安全性。 3.2 安全实施策略本期安全方案重点是对潍坊市情网门户网站的安全提出合理、有效的安全建议。因此，拟从以下两个方面着手： l 从如何全面掌握潍坊市情网门户网站的安全问题，制定合理的风险规避措施的角度出发； l 从如何确保潍坊市情网门户网站的安全运行、实时阻挡来自恶意者的攻击、降低网站及内部WEB应用运行风险的角度出发；通过以上的几个指导原则，我们在实际实施的时候采用如下策略： l 使用不同等级的安全产品进行集成，根据网站和应用系统的不同安全等级需求，选用合适的安全产品，可以有效的减少系统投资。 l 在产品选型时，需要厂家可以提供客户化支持服务产品。只有这样才能保证系统的安全是可以用户化的，才能有针对的为用户的应用和业务提供安全保证。国内具有自主知识产权的安全产品可以随时根据用户的要求对产品进行相应的改进。使产品更加适合用户的实际需要，而不是一般的通用性产品。 l 采用可提供本地化服务的厂家的产品。可以提供本地化服务产品对用户的安全至关重要，可以及时提供应急安全响应服务，如在黑客入侵事件发生的时候，可以在第一时间进行响应，最大程度的保护用户利益。 l 在选择产品时需要保证符合相应的国际、国内标准，尤其是国内相关的安全标准。 l 产品在使用上应具有友好的、全中文支持的用户界面，使用户在管理、使用、维护上尽量简单、直观。 4 总体安全规划根据上述安全方案设计思想，针对评估报告中揭示的安全漏洞，本期方案建议采用各类WEB应用防御设备，对网站面临的安全威胁、安全漏洞进行实时监控，主动防御来自各个层面的恶意攻击，提升潍坊市情网门户网站的可持续服务能力。 4.1 门户网站安全防御建议本期方案涉及的潍坊市情网门户网站服务器信息如下表： IP地址所处机房域名/主机操作系统 61.133.99.106 自有机房（潍坊市政府信息中心） windows 域名下从栏目的设置来看，即有信息发布类的栏目，又有网上互动类栏目，同时还有重大项目。对于信息发布类栏目，确保网站信息的完整性与真实性是首要的任务；对于网上互动类栏目，确保数据的真实性、完整性、保密性是首要任务。据于上述分析，本期提出以下二个建议方案：方案一：建议部署一台明御WEB应用防火墙（WAF）对潍坊市情网门户服务器进行保护，即对网站的访问进行7x24小时实时监控。通过WEB应用防火墙的部署，可以解决潍坊市情网门户网站所面临的各类网站安全问题，如：SQL注入攻击、跨站攻击（XSS攻击，俗称钓鱼攻击）、恶意编码(网页木马)、缓冲区溢出、应用层DDOS攻击等等。防止网页篡改、被挂木马等严重影响政府形象的安全事件发生。方案二：在每台门户服务器上部署安恒公司的明御网站卫士防御软件，对潍坊市情网门户网站实行7X24小时的实时监控，保护相关栏目的页面不被篡改，避免网页篡改给潍坊市政府带来的形象损害；解决网站面临的WEB攻击、网页挂马等安全问题。同时考虑到潍坊市情网门户服务器放置于自有机房（潍坊市政府信息中心），局域网内ARP攻击现象相当频繁，影响也非常严重，本期方案推荐使用的网站卫士软件具备自动拦截双向ARP欺骗的功能，可以确保潍坊市情网门户网站服务器免受ARP攻击的影响。 4.2 方案优势概述通过明御WEB应用防火墙的部署，完全解决潍坊市情网所面临的各类WEB应用攻击，包括已知攻击（如：注入攻击、跨站攻击、表单绕过等）、变形攻击及未知攻击，同时可以达到实时监控和事后追溯准确分析的完整解决方案。明御WEB应用防火墙的优势和功能在于： l 全方位的攻击防护：防止各类对网站的恶意攻击和网页木马等，确保网站安全健康运行； l 不仅能够保护网站代码防止受到诸如跨站脚本、SQL注入、恶意文件包含等等已知及未知攻击，还可以限制未授权用户透过网站访问数据中心，防止不明入侵者的所有通信流程。 l 采用智能异常引擎及关联引擎准确识别复杂攻击，有效遏制应用层DDOS攻击。 l 高效力的事件追溯：依靠高速环境下的线速捕获技术实现100%的数据捕获，通过事件回放为安全事件的快速查询与定位、成因分析、责任认定提供有力证据。 l 对各类访问流量进行7x24小时监控； l 高性能：该系统不影响任何目前的网站系统的性能，同时流量处理性能高； l 部署灵活：可采取直连或者旁路部署模式，在无需更改现有网络结构及应用配置的情况下，可以对网站应用实时监控；通过网站卫士软件的部署，可以解决潍坊市情网门户网站所面临的注入攻击、跨站攻击、网页挂马、页面被篡改等安全问题，明御网站卫士软件的优势和功能在于： l 防攻击：通过多层次的安全检测，大大增强了Web服务器的安全性，有效解决了注入攻击、钓鱼攻击、网站挂马等安全问题。 n 全面遏制针对网站的各类WEB应用攻击； n 多层次的安全分析：通过对URL分析、文件扩展名分析、Cookie检测、用户帐号检测、浏览器头信息检测、提交内容检测等有效防御网站攻击； n 对各类访问进行7x24小时监控，发现攻击行为及时阻断； l 实时的网站防篡改： n 采用最先进的底层文件级保护技术实现对指定目录或文件的权限控制，实时阻断对网站文件的非法操作； n 基于内置的安全模板、完全自定义的安全策略、线速过滤技术全面保护网站的静态/动态页面，防止站点文件被恶意篡改。 n 对网页内容进行实时的操作监控，发生非法操作及时告警或阻断； l 全方位的ARP欺骗拦截： n 采用智能动态识别技术，正确识别双向ARP欺骗行为并实现内核层双向自动拦截； n 自动拦截IP地址冲突包； n 主动通知网关； n 通过对网络数据包的智能分析，可以实现对TCP SYN/UDP/ICMP/ARP等攻击行为的自动阻断。 l 避免网站下线，降低无形资产损失，提升用户形象； l 确保业务可持续性、避免客户流失和交易纠纷；针对潍坊市情网所面临Web应用安全威胁的实际情况，并结合我们的经验，同时考虑到综合因素，因此建议在本期工程中，将方案一和方案二所配置的产品共同采购并部署在一起应用，这样才能最大化的保证潍坊市情网的安全性，从而保障了潍坊市情网的稳定、正常、安全的运行，保障其不受黑客攻击行为的影响。 4.3 产品功能特点及优势说明 4.3.1 明御WEB应用防火墙（WAF） 4.3.1.1 产品概述明御WEB应用防火墙（简称：WAF）是安恒结合多年应用安全的攻防理论和应急响应实践经验积累的基础上自主研发完成，满足各类法律法规如PCI、等级保护、企业内部控制规范等要求，以国内首创的全透明部署模式全面支持HTTPS，在提供WEB应用实时深度防御的同时实现WEB应用加速及敏感信息泄露防护，为Web应用提供全方位的防护解决方案。该产品致力于解决应用及业务逻辑层面的安全问题，广泛适用于“政府、金融、运营商、公安、能源、税务、工商、社保、交通、卫生、教育、电子商务”等所有涉及WEB应用的各个行业。部署安恒的WAF产品，可以帮助用户解决目前所面临的各类网站安全问题，如：注入攻击、跨站脚本攻击(钓鱼攻击)、恶意编码(网页木马)、缓冲区溢出、信息泄露、应用层DOS/DDOS攻击等等。 4.3.1.2 主要功能 l 深度防御明御WEB应用防火墙基于安恒专利级WEB入侵异常检测技术，对WEB应用实施全面、深度防御，能够有效识别、阻止日益盛行的WEB应用黑客攻击（如SQL注入、钓鱼攻击、表单绕过、缓冲区溢出、CGI扫描、目录遍历等）。 l web应用加速系统内嵌应用加速模块，通过对各类静态页面及部分脚本的高速缓存，大大提高访问速度。 l 敏感信息泄露防护系统内置安全防护策略，可以灵活定义HTTP/HTTPS错误返回的默认页面，避免因为WEB服务异常，导致敏感信息（如：WEB应用安装目录、WEB服务器版本信息等）的泄露。 l 策略配置自定义策略配置 l 告警实时告警，支持邮件、短信等多种方式告警。 l 系统报表支持自定义报表，支持各类导出格式（WORD、EXCEL、PDF、HTML等）。 4.3.1.3 产品特点 l 专利级WEB入侵异常检测引擎安恒独有WEB入侵异常检测引擎，能够有效分析和识别各类已知和变形的应用攻击，为防御的准确性和高效性提供了基础。 l 支持全透明部署业界首创支持全透明部署，无需更改原有的DNS或IP配置，对原有应用不会造成任何影响。 l HTTPS支持国内首创全面支持HTTPS，实现各类高安全要求WEB应用系统的深度实时防护（如网银、证券交易等）。 l 支持多保护对象支持多台主机对象的保护，包括不同域名不同IP，不同域名相同IP的情况 l 支持用户自定义规则库用户可以根据数据包的特征关键字等自定义安全策略规则，来实现安全检测及过滤 l 统一日志平台接口 l 支持阻断、告警、By-Pass等多种应用模式 4.3.1.4 WEB应用防火墙与网络防火墙的区别传统的网络防火墙作为访问控制设备，工作在OSI1-4层，基于IP报文进行状态检测、地址转换、网络层访问控制等，对报文中的具体内容不具备检测能力。因此，对Web应用而言，传统的网络防火墙仅提供IP及端口防护，对各类WEB应用攻击缺乏防御能力。 Web应用防火墙主要致力于提供应用层保护，通过对HTTP/HTTPS及应用层数据的深度检测分析，识别及阻断各类传统防火墙无法识别的WEB应用攻击。 4.3.2 明御网站卫士（WebProtector） 4.3.2.1 产品概述明御网站卫士（简称：WebProtector）是业界首创的新一代网站防篡改系统，采用目前最先进的Web入侵检测技术、服务器核心内嵌技术、内核驱动级文件保护技术、基于事件触发式监测机制，高效实现网页监测、即时内容恢复、动态WEB攻击防护功能，杜绝了网站被非法篡改、非法入侵的可能。WebProtector广泛适用于“政府、金融、运营商、公安、能源、税务、工商、社保、交通、教育”等门户网站及以互联网为基础的电子商务门户网站。部署安恒的WebProtector产品，可以为网站提供7X24小时的不间断监控与保护，有效地保障网页和网站数据的完整性和真实性，提升网站可持续服务能力。 WebProtector自投放市场以来，已经为不同架构、不同运行环境的数百个网站提供了安全防护，其稳定性、可靠性得到了充分的验证。在2008北京奥运会/残奥会期间，采用WebProtector进行防攻击、防篡改保护的网站均抵御了各种WEB应用攻击并且保证了7x24小时安全稳定运行，受到了最终客户的高度评价。WebProtector已经成为目前国内政府、各企事业单位网站防篡改保护的首选安全产品。 4.3.2.2 主要功能 WebProtector通过防攻击、防篡改两大子系统多个功能模块的组合为网站建立起全面、立体的防护体系： l 防攻击：采用专利级Web入侵检测技术对网站进行多层次的安全检测分析，有效保护网站静态/动态网页及后台数据库信息。 n 识别、阻止SQL注入攻击 n 识别、阻止跨站攻击 n 识别、阻止钓鱼攻击 n 识别、阻止表单绕过 n 识别、阻止批量挂马 n 识别、阻止其他已知/未知&变形攻击 l 防篡改：支持多种保护模式，防止静态和动态网站内容被非法篡改。 n 新一代内核驱动级文件保护，确保防护功能不被恶意攻击者非法终止 n 采用核心内嵌技术，支持大规模连续篡改攻击防护 n 实时检测与内容恢复，完全杜绝被篡改内容被外界浏览 n 支持断线/连线状态下篡改检测 n 支持多服务器、多站点 n 保护各种类型文件：如ASP、ASPX、JSP、HTM、HTML、SHTML、PHP、CGI等众多网页文件及其它各类文档、图片、多媒体文件。 4.3.2.3 产品特点核心优势： l 技术先进：采用第三代全新的防篡改技术，稳定、可靠、高效、兼容性高； l 保护全面：即时内容恢复与实时动态攻击防护相结合，全面保护各类网页和网站数据安全； l 内容传输：支持多Web服务器并行发布、支持断点续传、支持加密传输； l 配置灵活：访问策略可以灵活配置、功能模块可以灵活组合、文件类型可以按需添加； l 操作简便：全中文操作界面、导航式安装提示、内置安全模板，大大缩短部署时间；平台支持： l 支持各种主流操作系统，如Windows、Linux、各类UNIX等 l 支持各类WEB服务器，如IIS、Apache、WebLogic、WebSphere、Tomcat等 5 服务承诺安恒信息技术有限公司客户支持中心 24 小时为您及时提供各种问题的技术咨询服务。建立完备的“客户档案管理制度”来对客户进行跟踪服务、售后回访，加强与客户之间的沟通联系。在维护责任期内，按照合同要求提供以下技术支持服务，保障本公司产品的正常运行。 5.1 产品安装服务安恒公司的产品安装服务包括现场安装和远程安装支持。我们将根据双方的合同约定为您提供服务。 5.2 5*8热线电话、e-mail支持服务凡是购买了安恒产品及升级服务的客户，均可免费享受该项服务。为了解决您在使用安恒产品和服务的过程中遇到的各种问题和困难，我们面向全国范围设立了客户服务热线，在提供远程安全技术支持服务的同时，还为您提供常见网络安全问题咨询和信息服务。请通过以下方式联系我们： l 安恒信息技术有限公司（北京分公司） l 地址：北京市海淀区中关村南大街2号—数码大厦A座2315-16 l 邮编：100086 l 电话：010-51626688 l 传真：010-51626057 电话由经过专门培训的客户专员负责接听，按照正规的支持流程受理您的问题，根据您的请求进行分析判断，并转给适当的技术工程师进行处理。安恒具有经验丰富的技术工程师、完善的服务跟踪数据库，高效率的升级中心及设备齐全的安全实验室，确保对客户的技术请求做出快速满意的回复。 l 用户在电话、e-mail、传真中，必须提供以下信息： l 用户名称 l 联系人电话号码、及 email 地址 l 硬件产品需要提供序列号 l 软件产品需要提供key信息 l 问题说明 5.2.1 软件升级与更新服务应用安全产品具有升级频繁的特点，尤其是弱点评估和入侵检测防御类产品，通过快速提供升级包跟踪应用安全的最新技术。应用安全需要选择必要的安全工具，而及时升级和更新版本是正确发挥安全工具作用的保证。安恒公司建议客户购买此项服务，并以灵活的服务方式保证客户的需求。升级与更新包括，软件的最新版本升级、弱点评估及入侵检测防御产品的攻击特征库升级等。客户需要支付安全产品的升级维护费用，以获得此项服务。该服务提供以下形式： l 在线升级：对于明鉴、明御两大系列产品的软件版本升级，安恒公司提供在线升级方式。服务期内的用户只需要联入internet，即可通过软件产品控制台上的在线升级方式进行软件升级与更新。 l 光盘快递：安恒公司除了提供网上下载方式外，还会提供邮寄最新升级软件的光盘介质，客户收到光盘后自行升级或更新软件。 5.3 硬件产品售后服务 5.3.1 七日包换服务包换条件： l 产品验收起七日内，正常使用出现性能故障的产品； l 非人为因素损坏，非私自拆机或改装，非不可抗拒之自然因素损坏； l 具备有效保修凭证和购机凭证（购机票据和保修卡上须注明购买日期和经销商盖章）。注意事项： l 包换时只更换同型号的产品，包装物料（包装箱、泡沫、附件）不予更换； l 换货需保证随机附件、资料齐全，包装无破损，面壳无划伤,否则只给予保修； l 公司特价销售的产品只给予保修。 5.3.2 质保期内保修服务保修条件： l 安恒信息技术有限公司授权产品； l 质保期之内，正常使用出现性能故障的产品； l 非人为因素损坏，非私自拆机或改装，非不可抗拒之自然因素损坏； l 具备有效购机凭证和保修凭证（保修卡和购机发票）。注意事项： l 对无购机凭证的产品，可按生产日期顺延三个月作为购机日期； l 符合保修条件的产品维修，不向顾客收取任何维修费用； l 对于不符合保修条件的产品实施收费维修：根据公司统一的"超保维修"收费标准收取； l 外置设备不在保修范围内。费用： l 产品验收起一个月内返修所产生的所有运输费用有我公司承担； l 产品验收起三个月内返修所产生的运输费用为：返修产品至我公司售后服务部的运输费用由客户承担；维修后的产品返还运输费用由我方承担； l 产品验收起超过三个月返修所产生的往返运输费用均由客户承担。 5.3.3 上门服务服务条件： l 硬件防护、审计产品类出现故障，技术检测人员无法通过在线方式解决问题，必须上门处理； l 确定非硬件本身问题，因网络环境特殊导致故障； l 上门服务所产生的费用由客户承担。注意事项：为保障快速解决问题，上门服务之前用户需提供以下信息： l 从安恒信息技术有限公司或授权代理公司购置的业务合同号 l 联系人电话号码 l 故障说明 l 网络拓扑和网络环境 l 故障前网络状况 l 故障发生期间网络状况 l 网络设备配置及版本 5.3.4 升级服务安恒产品根据产品情况提供一定年限的免费软件版本升级服务，即时在网上公布，并提供免费下载。 5.3.5 取消免费保修的义务为了您的合法权益得到保障，避免不必要的损失，对于下列原因造成的产品故障、工作异常或损坏，我公司不承担免费保修义务。 l 产品超出质保期限 l 未按说明书要求安装及使用产品 l 因非产品所规定的工作环境下及超负荷工作导致 l 未经安恒信息技术有限公司许可，擅自拆修和改装引起本设备故障和损坏 l 已转换用户或用户变更而未能以正式签章的书面形式通知本公司 l 因意外因素或人为导致的损坏 l 其它如自然灾害、战争等不可抗拒的原因造成的产品损坏 5.4 产品通告服务凡购买软件升级与更新服务客户，免费享有此产品通告服务。安恒将通过邮件方式免费提供产品的最新动态信息，帮助客户及时了解新产品的信息、产品新版本的发布信息、产品新功能、新特点以及时效性很强的特征库的升级通知等，帮助客户的安全管理员或者系统管理员更好地进行产品的维护。 5.5 响应时间安恒信息技术有限公司客服部记录客户提出的各种技术问题，并根据情况划分严重级别，从而根据严重级别做出相应的服务响应。服务响应时间：严重级别定义服务响应时间严重级A 导致系统不能工作，无法提供正常服务。 1~3小时内影响级B 系统能够工作，但部分功能失效，性能下降，或重要场地的高端产品安装出现问题，但不致中断正常服务。 1~10小时内错误级C 系统运行尚可，但出现系统报错或低端产品的安装出现问题。 1~24小时内基本级D 用户对产品改进需求，或产品使用和应用方面。 1~48小时内硬件返货检修期限：严重级别定义处理时限严重级A 硬件设备损坏 1~15（工作日）影响级B 核心系统损坏 1~10（工作日）基本级C 硬件设备全面修复 1~7（工作日） 6 厂商介绍 6.1 概述杭州安恒信息技术有限公司（DBAPPSecurity），简称“安恒信息”，注册资金1800万，公司核心成员来自美国硅谷、德国、加拿大及业内著名安全厂商、电信运营商、大型上市公司，总部在杭州高新区，在北京，上海，广东，四川，美国硅谷等设有分支机构。安恒信息核心团队拥有多年互联网应用安全攻防、WEB应用和数据库安全防御和审计的深厚技术背景与丰富安全实践经验，以全球领先具有完全自主知识产权的专利技术，致力于为客户提供WEB应用安全和数据库安全的深度风险评估、安全加固、安全审计、不良网站监测等全面解决方案。安恒信息拥有明鉴、明御两大系列的自主研发产品，其中明鉴系列应用扫描器被公安部三所测评中心等国内权威等级保护测评机构广泛使用。作为2008北京奥组委安全产品和服务提供商，安恒信息被奥组委授予“奥运信息安全保障杰出贡献奖”。在建国60周年网站安全大检查中，公安部和工信部安全中心均选用安恒信息明鉴应用弱点扫描作为安全检查工具并发挥了重大作用。 2009年11月，安恒信息成为上海世博会安全产品和服务提供商。 6.2 国际知名的安全研究专家团队安恒信息在WEB应用安全和数据库安全领域拥有一支强大技术实力和攻防经验的专家和研发团队。公司的主要创始人都是国际知名的WEB应用与数据库安全专家，对应用安全技术研究极具创新能力。 l 范渊：安恒信息技术有限公司CEO&CTO 范渊先生，毕业于美国加州州立大学，计算机科学博士。国际著名安全公司十多年的技术研发和项目管理经验。对在线安全，数据库安全和审计，Compliance（如SOX,PCI,ISO17799/27001）有极其深刻的研究。由于他在信

展开阅读全文