【51CTO.com 綜合消息】據(jù)中國互聯(lián)網(wǎng)應急中心最新統(tǒng)計顯示，2008年我國大陸地區(qū)政府網(wǎng)頁遭篡改事件呈大幅增長趨勢，僅2009年3月我國大陸地區(qū)被篡改網(wǎng)站的數(shù)量就達到2225個。隨著企業(yè)和政府越來越多的業(yè)務系統(tǒng)采用基于WEB服務方式，互聯(lián)網(wǎng)在為用戶提供方便快捷的同時，針對WEB業(yè)務的攻擊亦在迅猛增長。

一方面，基于新技術的突破和應用， WEB技術提供的快捷性、交互性和通用性被越來越多的業(yè)務系統(tǒng)所采用；而另一方面，病毒、木馬蠕蟲、釣魚軟件等卻又通過WEB服務的方式大肆在互聯(lián)網(wǎng)上傳播，嚴重威脅到了WEB服務的業(yè)務系統(tǒng)。對于用戶而言，WEB即敞開了便捷的大門，也讓諸如網(wǎng)頁篡改、密碼盜竊、數(shù)據(jù)泄漏等安全隱患無處不在。

更為嚴重的是網(wǎng)站作為政府、企業(yè)等部門對外的窗口和實施電子政務、電子商務的重要平臺，其安全問題直接關系政府和企業(yè)形象，在很大程度上決定了電子政務和電子商務的效率。尤其是，政府網(wǎng)站作為一級政府發(fā)布重要新聞、重大方針政策以及法律、法規(guī)等的重要渠道，一旦被黑客篡改，將嚴重損害政府的形象，影響社會穩(wěn)定。甚至有的篡改將直接導致事件升級成政治事件，嚴重危及國家安全和人民利益，其安全性問題不容忽視。

當前典型的WEB攻擊手段主要有以下幾種：

1、利用病毒、蠕蟲、木馬和間諜軟件等惡意代碼，破壞WEB系統(tǒng)；

2、利用系統(tǒng)漏洞，使用緩沖區(qū)溢出方式獲得管理員權限，從而任意修改WEB網(wǎng)站內(nèi)容，竊取信息；

3、XSS攻擊，即跨站腳本攻擊。惡意攻擊者往WEB頁面里插入惡意html代碼，當用戶瀏覽該頁之時，嵌入其中WEB里面的html代碼會被執(zhí)行，從而達到惡意用戶的特殊目的；

4、利用DOS、DDOS等方式，造成服務癱瘓；

5、利用網(wǎng)站應用程序漏洞，采用SQL注入或跨站攻擊等方式，獲得系統(tǒng)或數(shù)據(jù)庫管理員權限，從而任意修改數(shù)據(jù)庫，達到網(wǎng)頁篡改或破壞網(wǎng)頁的目的。

在日趨復雜的WEB安全威脅面前，天融信公司推出的集WEB防護網(wǎng)關和網(wǎng)頁防篡改系統(tǒng)雙重防護能力的天融信網(wǎng)站防護系統(tǒng)，實現(xiàn)了對WEB服務器端和訪問WEB服務器的應用層數(shù)據(jù)流的深度分析。

其中，網(wǎng)頁防篡改系統(tǒng)，對基于OS（Windows、Linux、Unix）的WEB服務器、數(shù)據(jù)庫支持系統(tǒng)和特定的中間件處理服務器進行底層加固、上層過濾，控制系統(tǒng)中進程的運行類別以及權限，對進程啟動所需要的exe、dll、sys等文件進行完整性度量。如符合策略標準，則允許其正常啟動，否則阻止該程序的啟動。

當應用程序請求訪問某些文件時，需要通過度量模塊進行度量，判斷是否滿足訪問權限。這樣在權限控制合理的前提下，應用程序只擁有最小權限，即使其被攻擊者利用，對系統(tǒng)的威脅也是有限的。

同時，網(wǎng)頁防篡改系統(tǒng)會限制WWW服務、FTP服務等訪問與WEB無關的其他任何目錄及文件，有效的實現(xiàn)了WWW服務和系統(tǒng)中其他應用的邏輯隔離，從而降低WWW服務受攻擊的概率。當終端用戶的HTTP請求被WWW服務解析之前，過濾引擎首先將其捕獲，并與策略規(guī)則庫中進行特征匹配，如果確定該請求有攻擊性質(zhì)，則丟棄。這樣就可以有效防御諸如SQL注入、跨站腳本漏洞、CGI等流行攻擊，利用文件過濾驅(qū)動技術保護網(wǎng)頁和動態(tài)腳本不被非法纂改，從而從源頭上杜絕各類非法篡改行為。

硬件方面，WEB防護網(wǎng)關借助過濾引擎，實現(xiàn)對基于WEB服務訪問攻擊的阻擋，從而形成立體防御。總體來說，本解決方案可以實現(xiàn)以下功能：

1、 對未知病毒具備免疫能力

針對市場上傳統(tǒng)反病毒產(chǎn)品無法滿足機構用戶業(yè)務安全需求現(xiàn)狀，天融信網(wǎng)站防護系統(tǒng)提供了更加積極主動的安全防御措施，不僅可以防范已知的病毒、木馬等威脅，而且對未知惡意代碼同樣具備有效的防范能力。

2、 牢固的動態(tài)網(wǎng)頁防護

天融信網(wǎng)站防護系統(tǒng)通過文件過濾驅(qū)動技術對腳本進行檢測，從而避免網(wǎng)頁和網(wǎng)站結構被篡改。另外還可以對SQL注入和跨站攻擊進行有效防護，防止動態(tài)網(wǎng)站的數(shù)據(jù)庫被黑客篡改。

3、 更有效的網(wǎng)頁防篡改技術

不同于市場上常見的網(wǎng)頁防篡改技術（外掛輪詢技術、核心內(nèi)嵌技術、事件觸發(fā)技術），天融信網(wǎng)站防護系統(tǒng)，不再完全依托備份服務器，不僅讓安全性能得到提升，同時可以更有效禁止任何非法的網(wǎng)頁修改行為。

4、 采用內(nèi)核性能優(yōu)化和安全加固技術

天融信網(wǎng)站防護系統(tǒng)特有的與上層應用程序無關的安全設計，除了為文件資源提供強制型存取控制、以及特權管理外，還能防止關鍵應用程序被篡改并且能為關鍵應用程序定制靈活的保護策略，做到“量體裁衣”。針對網(wǎng)站防護系統(tǒng)中的服務模塊，采用多種內(nèi)核性能優(yōu)化技術，大大提高了網(wǎng)站防護系統(tǒng)的工作效率以及系統(tǒng)本身的健壯性。

5、 更簡便的布署與管理過程

目前常見的防止SQL注入的方式，多為在網(wǎng)頁代碼中加入過濾語句，這樣做不僅需要針對不同的網(wǎng)頁作不同處理，而且通用性差。為此，天融信網(wǎng)站防護系統(tǒng)采用網(wǎng)絡中間層驅(qū)動（NDIS）進行過濾，可以支持所有的網(wǎng)站服務。

毫無疑問，今天的WEB已經(jīng)成為政府和企事業(yè)用戶所面臨的最嚴重的安全威脅之一，在復雜的攻擊形態(tài)以及層出不窮的新安全威脅面前，傳統(tǒng)的安全防護手段已顯得捉襟見肘。作為國內(nèi)信息安全領域的領導廠商，天融信網(wǎng)站防護系統(tǒng)不僅集惡意代碼主動防御、網(wǎng)頁文件過濾驅(qū)動保護、跨站攻擊防護、防SQL注入、抗網(wǎng)絡攻擊等多個安全功能于一身，而且全面兼顧服務器終端與網(wǎng)絡流量的深度檢測，實現(xiàn)了用戶WEB業(yè)務的 “雙重保護、立體防御”。