智恒联盟WE应用安全.docVIP

智恒联盟WEB应用安全 网关技术白皮书 版权声明 ? 2006-2011，北京智恒联盟科技有限公司 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属北京智恒联盟科技有限公司所有，受到有关产权及版权法保护。任何个人、机构未经书面授权许可，不得以任何方式复制或引用本文件的任何片断。 公司信息 名称：北京智恒联盟科技有限公司 网址： 地址：北京市海淀区交大东路31号院D座6层 邮编：100044 电话：010传真：0108012 目 录 TOC \o 1-3 \h \z \u HYPERLINK \l _Toc297643923 1 前言 PAGEREF _Toc297643923 \h 1 HYPERLINK \l _Toc297643924 2 威胁和挑战 PAGEREF _Toc297643924 \h 2 HYPERLINK \l _Toc297643925 2.1 威胁分类 PAGEREF _Toc297643925 \h 2 HYPERLINK \l _Toc297643926 2.2 攻击的特点 PAGEREF _Toc297643926 \h 2 HYPERLINK \l _Toc297643927 2.2.1 SQL注入攻击 PAGEREF _Toc297643927 \h 2 HYPERLINK \l _Toc297643928 2.2.2 跨站脚本攻击 PAGEREF _Toc297643928 \h 3 HYPERLINK \l _Toc297643929 2.2.3 拒绝服务攻击 PAGEREF _Toc297643929 \h 3 HYPERLINK \l _Toc297643930 2.2.4 网页篡改 PAGEREF _Toc297643930 \h 4 HYPERLINK \l _Toc297643931 2.3 攻击的防范方法 PAGEREF _Toc297643931 \h 5 HYPERLINK \l _Toc297643932 3 WEB应用安全网关介绍 PAGEREF _Toc297643932 \h 5 HYPERLINK \l _Toc297643933 3.1 产品特色 PAGEREF _Toc297643933 \h 6 HYPERLINK \l _Toc297643934 3.1.1 一流的产品设计理念 PAGEREF _Toc297643934 \h 6 HYPERLINK \l _Toc297643935 3.1.2 领先的核心关键技术 PAGEREF _Toc297643935 \h 7 HYPERLINK \l _Toc297643936 3.1.3 提供量化的决策支撑数据 PAGEREF _Toc297643936 \h 7 HYPERLINK \l _Toc297643937 4 结论 PAGEREF _Toc297643937 \h 8 前言 当今世界各国都高度重视信息安全，各国尤其是发达国家都纷纷投入巨资建设本国的信息安全保障体系。我国政府也非常重视信息安全，国家信息化领导小组2003年发布了《关于加强信息安全保障工作的意见》（中办发［2003］27号），明确提出了我国今后信息安全建设和发展的根本性指导思想：“坚持积极防御、综合防范的方针，全面提高信息安全防护能力，以安全促发展，在发展中求安全”。 作为IT建设的重中之重和关键信息的重要承载组织，网站服务系统建设工作推进至今，规模逐渐庞大、平台日趋定型，但是仍存在较大隐患，网络攻击、黑客入侵、内容篡改、病毒泛滥、系统故障、自然灾害等都对网站的安全构成极大威胁。 WEB防护系统对网站的总体战略目标作深入理解，针对网站平台的可用性和内容可信任问题，提供全面的、全方位的解决方案。从网站如何提高行政效率，如何量化服务品质指标的角度出发，实现WEB防护系统在网站的纵深发展。 威胁和挑战 威胁分类 图 STYLEREF 1 \s 2 SEQ 图 \* ARABIC \s 1 1 2009年CNCERT处理网络安全事件类型分类统计 攻击的特点 SQL注入攻击 几乎所有SQL数据库都是潜在易受攻击的。 SQL 注入攻击技术的本质，是利用应用程序开发者编程中，对用户提交CGI参数数据未做充分检查过滤的漏洞。如果应用程序对用户提交的数据不做充分的检查，则该应用程序就有可能被攻击者利用，插入恶意的SQL代码，非授权操作后台的数据库，从而导致被攻击系统的异常。例如敏感信息泄露、数据库内容和结构破坏、网页挂马、服务器操作系统被非授权控制等等。 SQL 注入攻击的风险位居前列，它隐蔽性强，能够轻