网站防护系统介绍.pptxVIP

概 要一、公司简介二、当前WEB的安全状况三、当前WEB主要攻击方式四、传统安全防护的不足五、HuaTech网站防护系统的功能六、与其他网页防篡改产品的对比七、成功案例公司介绍北京中软华泰信息技术有限责任公司成立于2000年。公司一直把操作系统安全和信息应用系统安全作为产业方向。公司在安全操作系统开发，尤其是计算机病毒木马防御、访问控制体系研究、网络攻击防御等专业领域取得重大技术突破。先后推出了防火墙、网站防护系统、终端安全保护系统、服务器安全加固等一系列产品近年来，公司成为国家与微软公司源代码级技术合作单位，并先后参与了国家发改委产业化项目及科技部、北京市科委科研项目。2007年成为中国可信计算联盟成员之一。2009年参与了国家标准GB/T 24856－2009《信息安全技术 信息系统等级保护安全设计技术要求》的制定。公司今后将致力于等级保护的方案和产品的提供。不断推出符合等级保护标准的安全产品，竭尽全力为国家的信息安全事业做出贡献一、公司简介二、当前WEB的安全状况三、当前WEB主要攻击方式四、传统安全防护的不足五、HuaTech网站防护系统的功能六、与其他网页防篡改产品的对比七、成功案例网站安全现状国家互联网应急中心(简称CNCERT)在2010年6月1日发布的检测报告显示： 5月24日-5月30日，境内被篡改政府网站数量为134个。5月3日-5月9日，境内被篡改政府网站数量为124个。5月10日-5月16日，境内被篡改政府网站数量为81个。5月17日5月24日，境内被篡改政府网站数量为126个。仅5月总计465家境内政府网站被篡改。5月中旬两周，随着全国高考以及高校招生工作的临近，高校网站成为黑客挂马的重要目标之一，百余家高校网站被挂马 。监测数据显示，有关高考的挂马网页正急剧上升，仅5月14日一天，就有包括北大、清华等在内的128家高校网站遭遇挂马网站安全现状以上是国家计算机网络应急技术处理协调中心(CNCERT/CC)统计的2008年上半年我国国内网站被黑被篡改的统计图，在1月-7月内仅发现的被篡改的网站就多达41,000多个网站被攻击案例（一）恶炒当前敏感事件，将导致群众对政府的信任危机，甚至可能引发游行、暴动等。网站的信息内容被改写成“俯卧撑、打酱油、躲猫猫 武林三大绝学！” 网站被攻击案例（二）严重影响政府在公众心目中的形象，也是对政府网络安全体系的挑衅荆州商务局网站被黑 领导图片竟成“三点式女郎”网站被攻击案例（三） 陕西省地震局网站两次被黑 人民网2008年5月30日报道 ：陕西省地震局网站在28日子夜和29日20时53分前后两次遭到黑客攻击，并修改有关信息，在网站主页上编造并发布了标题为《今晚23：30陕西等地会有强烈地震发生！》的虚假恐怖信息。省地震局告知：陕西省地震信息网被黑客攻击，散布‘23点30分陕西等地会发生强烈地震谣言，请大家不要相信，保持正常生活、生产秩序。本次事件的影响：蛊惑人心，大批市民夜宿街头和广场，人们惶惶不可终日，生活工作秩序受到了影响 网站被攻击案例（四）网友调戏瑞星：我们坐在高高的瑞星旁边，听卡卡讲他挂马的故事 一、公司简介二、当前WEB的安全状况三、当前WEB主要攻击方式四、传统安全防护的不足五、HuaTech网站防护系统的功能六、与其他网页防篡改产品的对比七、成功案例当前WEB主要威胁病毒木马恶意脚本侵袭SQL注入攻击网站网页遭到篡改Web服务器自身安全机制容易被卸载安全事件无从追溯跨站攻击主要攻击方式5.利用DOS攻击1.缓冲区溢出攻击4.跨站脚本攻击3.SQL注入攻击2.恶意代码攻击恶意攻击者WEB服务器技术目的1、缓冲区溢出攻击控制整个电脑、修改网页内容、窃取信息、甚至破坏系统利用系统漏洞，使用缓冲区溢出方式获得管理员权限技术目的2、恶意代码攻击成功感染网站系统后，从而获得管理员权限进而篡改网页；或采用“挂马”的方式向更多的浏览该网站的主机传播恶意代码。病毒、蠕虫、木马、间谍软件等恶意代码攻击技术目的3、SQL注入攻击入侵者通过插入恶意的SQL命令并执行来获得数据库管理员权限，实现任意修改数据库数据，篡改网页的目的，或者向数据库中插入大量的垃圾数据，破坏数据库的完整性。1）利用程序员在编写网页代码时没有对用户的输入数据进行合法性判断，提交恶意SQL命令 2）通过URL地址提交恶意SQL命令 技术目的4、跨站脚本攻击当访问者浏览网页时，恶意代码会被执行或通过给管理员发信息方式诱使管理员浏览，从而获得管理员权限，控制整个网站。恶意攻击者向Web页面中插入恶意html代码技术目的5、拒绝服务攻击由于典型的DOS攻击就是资源耗尽和资源过载，因此当对资源的请求大大超过资源的支付能力时，合法的访问者将无法享用合理的服务。是一种利用合理的服务请求占用过多的服务资源，从而使合