商業(yè)銀行網(wǎng)站安全防護(hù)方案new

-商業(yè)機(jī)密概述近年來，在地下黑色產(chǎn)業(yè)鏈的推動(dòng)下，網(wǎng)絡(luò)犯罪行為趨利性表現(xiàn)更加明顯，追求經(jīng)濟(jì)利益依然是主要目標(biāo)。黑客往往利用仿冒網(wǎng)站、偽造郵件、盜號(hào)木馬、后門病毒等，并結(jié)合社會(huì)工程學(xué)，竊取大量用戶數(shù)據(jù)牟取暴利，包括網(wǎng)游賬號(hào)、網(wǎng)銀賬號(hào)和密碼、網(wǎng)銀數(shù)字證書等。木馬、病毒等惡意程序的制作、傳播、用戶信息竊取、第三方平臺(tái)銷贓、洗錢等各環(huán)節(jié)的流水作業(yè)構(gòu)成了完善的地下黑色產(chǎn)業(yè)鏈條，為各種網(wǎng)絡(luò)犯罪行為帶來了利益驅(qū)動(dòng)，加之黑客攻擊手法更具隱蔽性，使得對(duì)這些網(wǎng)絡(luò)犯罪行為的取證、追查和打擊都非常困難。商業(yè)銀行門戶網(wǎng)站是信息系統(tǒng)建設(shè)的重要組成部分，作為面向Internet用戶的窗口，為公眾提供各類信息，及網(wǎng)上銀行介紹、鏈接等。如果網(wǎng)站遭到黑客攻擊，網(wǎng)站發(fā)布的重要信息被篡改，會(huì)嚴(yán)重影響商業(yè)銀行的業(yè)務(wù)開展，造成極壞的社會(huì)影響及聲譽(yù)影響。銀行網(wǎng)站安全需求分析綠盟科技根據(jù)商業(yè)銀行的現(xiàn)狀與需求，結(jié)合長期的安全研究成果和銀行業(yè)內(nèi)豐富的實(shí)踐經(jīng)驗(yàn)，對(duì)網(wǎng)站系統(tǒng)的安全需求進(jìn)行了分析，設(shè)計(jì)了針對(duì)性的方案。兩個(gè)目標(biāo)：安全保障與合規(guī)綠盟科技建議商業(yè)銀行網(wǎng)站系統(tǒng)的安全建設(shè)，要達(dá)到兩個(gè)目標(biāo)：1、安全保障，即建立自身的網(wǎng)站系統(tǒng)安全體系，保障安全穩(wěn)定運(yùn)行。提供安全穩(wěn)定的IT系統(tǒng)，支撐業(yè)務(wù)正常運(yùn)行，是信息技術(shù)部門的業(yè)務(wù)使命。商業(yè)銀行應(yīng)以安全威脅為基礎(chǔ)，完善網(wǎng)站安全體系。通過管理制度體系化、安全技術(shù)加強(qiáng)等措施，長期保障網(wǎng)上銀行和網(wǎng)站的安全性，避免頭痛醫(yī)頭、腳痛醫(yī)腳，做到防患于未然。2、合規(guī)，即主動(dòng)滿足行業(yè)監(jiān)管部門的相關(guān)要求。滿足包括中國銀監(jiān)會(huì)在內(nèi)的，主要監(jiān)管部門的要求。除銀監(jiān)會(huì)之外，近年來人民銀行、銀監(jiān)會(huì)和公安部（各大行業(yè)安全監(jiān)管）等行業(yè)監(jiān)管部門對(duì)網(wǎng)站問題也越來越重視，紛紛出臺(tái)相應(yīng)的指引、規(guī)范、要求等加強(qiáng)這方面的工作。商業(yè)銀行應(yīng)充分考慮以上部門的要求、理解這些標(biāo)準(zhǔn)規(guī)范之間的相互關(guān)系，并將其融入到的網(wǎng)站安全體系完善的工作中。網(wǎng)站安全的合規(guī)要求，主要會(huì)依據(jù)電子銀行、網(wǎng)上銀行的標(biāo)準(zhǔn)規(guī)范來分析。人民銀行、銀監(jiān)會(huì)等監(jiān)管機(jī)構(gòu)是把電子銀行系統(tǒng)/網(wǎng)站系統(tǒng)看作有機(jī)的整體來考慮，因此對(duì)于網(wǎng)站相關(guān)的安全標(biāo)準(zhǔn)規(guī)范，會(huì)以電子銀行系統(tǒng)為主，統(tǒng)一提出要求。兩個(gè)目標(biāo)相輔相承，互為補(bǔ)充。商業(yè)銀行有自己的需求和特點(diǎn)，必須量體裁衣，將通用的要求、標(biāo)準(zhǔn)、規(guī)范落實(shí)到自己IT風(fēng)險(xiǎn)管理體系的各方面，建立適合自己業(yè)務(wù)特點(diǎn)與發(fā)展需求的網(wǎng)站安全體系，才能達(dá)到有效管理風(fēng)險(xiǎn)、控制成本的目的；另一方面，行業(yè)監(jiān)管部門的要求，針對(duì)著銀行業(yè)內(nèi)和國內(nèi)各行業(yè)機(jī)構(gòu)中普遍存在的安全問題，在對(duì)監(jiān)管部門要求進(jìn)行滿足的合規(guī)工作中，可以有效地發(fā)現(xiàn)與解決商業(yè)銀行網(wǎng)站中存在的業(yè)內(nèi)共性安全問題，包括那些難以查覺的隱患。安全保障要求從商業(yè)銀行門戶網(wǎng)站現(xiàn)狀所面臨的安全威脅來看，從物理層、到網(wǎng)絡(luò)層，再到系統(tǒng)層和應(yīng)用層，每個(gè)層面都存在著安全威脅。在物理層面存在著火災(zāi)、水災(zāi)、機(jī)房及物理設(shè)備破壞等威脅；在網(wǎng)絡(luò)層面存在著網(wǎng)絡(luò)中斷、拒絕服務(wù)攻擊等威脅；在系統(tǒng)層面存在系統(tǒng)漏洞、溢出攻擊等威脅；在應(yīng)用層面存在著SQL注入、跨站腳本以及網(wǎng)頁掛馬等威脅，黑客可以竊取用戶的隱私信息等。下圖為安全威脅列表與防護(hù)方法：層面威脅影響范圍防護(hù)方法物理火災(zāi)、水災(zāi)、溫濕異?！瓩C(jī)房、硬件設(shè)備加強(qiáng)物理安全措施網(wǎng)絡(luò)中斷、arp攻擊、DDoS…網(wǎng)絡(luò)設(shè)備及鏈路防火墻、抗DDOS攻擊、鏈路冗余系統(tǒng)遠(yuǎn)程溢出、DoS、掃描探測…操作系統(tǒng)漏洞掃描、安全加固應(yīng)用SQL注入、XSS、口令猜測…WEB應(yīng)用、中間件WAF、網(wǎng)頁防篡改、網(wǎng)站監(jiān)測服務(wù)合規(guī)要求網(wǎng)站系統(tǒng)的合規(guī)要求分析，目前主要參考監(jiān)管部門在電子銀行安全相關(guān)標(biāo)準(zhǔn)與規(guī)范。這是由于：1、商業(yè)銀行門戶網(wǎng)站和電子銀行是緊密聯(lián)系的系統(tǒng)。銀行首頁通常包含指向電子銀行頁面的鏈接，或者提供電子銀行控件的下載。網(wǎng)站一旦被攻破，攻擊者可能修改電子銀行鏈接指向，形成釣魚攻擊；或者在首頁掛馬；或者篡改電子銀行客戶端軟件和控件；甚至以網(wǎng)站服務(wù)作跳板，攻擊電子銀行系統(tǒng)。這些都會(huì)直接給電子銀行安全帶來威脅，因此網(wǎng)站安全保護(hù)的要求水平應(yīng)與電子銀行系統(tǒng)的保持一致；2、網(wǎng)站系統(tǒng)與電子銀行，尤其是網(wǎng)上銀行系統(tǒng)，有著非常相似的架構(gòu)，面臨的安全威脅與攻擊也相似。常見的有SQL注入、跨站等攻擊方式，事實(shí)證明對(duì)網(wǎng)站和網(wǎng)銀系統(tǒng)都有很大威脅，因此在防護(hù)手段上也很類似。根據(jù)標(biāo)準(zhǔn)與規(guī)范的內(nèi)容，可以將其分為不同的類別，會(huì)在網(wǎng)站安全體系中起到不同的作用。類別文件名稱發(fā)布時(shí)間相關(guān)部門內(nèi)容與作用專項(xiàng)標(biāo)準(zhǔn)規(guī)范《電子銀行業(yè)務(wù)管理辦法》2006年1月銀監(jiān)會(huì)對(duì)開辦電子銀行（包括網(wǎng)上銀行）的相關(guān)事項(xiàng)與規(guī)定進(jìn)行說明，規(guī)定了11項(xiàng)報(bào)送材料。是合規(guī)、報(bào)告等工作的指導(dǎo)文件。《電子銀行安全評(píng)估指引》2006年1月銀監(jiān)會(huì)對(duì)如何進(jìn)行電子銀行系統(tǒng)的安全評(píng)估進(jìn)行了指導(dǎo)。是報(bào)送材料中“安全評(píng)估報(bào)告”的主要依據(jù)文件?！毒W(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范（試行）》2010年1月人民銀行簡稱19號(hào)文。規(guī)范了網(wǎng)上銀行業(yè)務(wù)系統(tǒng)安全建設(shè)的工作，具有較強(qiáng)的操作性。是各銀行新建網(wǎng)銀系統(tǒng)或進(jìn)行原有系統(tǒng)整改的重要參考文件。關(guān)聯(lián)性標(biāo)準(zhǔn)規(guī)范《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》2009年3月銀監(jiān)會(huì)商業(yè)銀行整體信息安全體系的建設(shè)依據(jù)。網(wǎng)站作為銀行重要信息系統(tǒng)之一，其安全體系是銀行整體安全體系的一個(gè)子集。整體安全體系會(huì)向網(wǎng)站安全體系輻射?！缎畔踩夹g(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》2007年7月公安部說明了對(duì)應(yīng)不同等級(jí)的安全保護(hù)要求，是各行業(yè)進(jìn)行安全體系建設(shè)的重要依據(jù)性文件。ISO27000系列標(biāo)準(zhǔn)不斷更新國際標(biāo)準(zhǔn)化協(xié)會(huì)國際通用的信息安全體系建設(shè)最佳實(shí)踐。網(wǎng)站安全架構(gòu)和控制措施的重要建設(shè)依據(jù)?！躲y行業(yè)金融機(jī)構(gòu)重要信息系統(tǒng)投產(chǎn)及變更管理辦法》2010年1月銀監(jiān)會(huì)網(wǎng)站屬于文中所定義的重要信息系統(tǒng)，應(yīng)按照要求，進(jìn)行相關(guān)的工作組織、風(fēng)險(xiǎn)管理和報(bào)告。《商業(yè)銀行數(shù)據(jù)中心監(jiān)管指引》2010年4月銀監(jiān)會(huì)網(wǎng)站物理安全與災(zāi)難備份方面的參考。通知和要求《關(guān)于XX銀行處置一起網(wǎng)絡(luò)DDoS攻擊事件情況的通報(bào)》2010年8月銀監(jiān)會(huì)通報(bào)某銀行網(wǎng)受到來自Internet的DDoS攻擊的實(shí)際情況，并要求各銀行從運(yùn)營商服務(wù)和自身保護(hù)措施兩方面入手，防御相關(guān)威脅?！蛾P(guān)于網(wǎng)銀和網(wǎng)站系統(tǒng)安全性系統(tǒng)漏洞風(fēng)險(xiǎn)提示的通知》2011年1月銀監(jiān)會(huì)強(qiáng)調(diào)了網(wǎng)站和網(wǎng)銀方面常見的漏洞?！蛾P(guān)于進(jìn)一步加強(qiáng)網(wǎng)上銀行風(fēng)險(xiǎn)防控工作的通知》2011年3月銀監(jiān)會(huì)專門強(qiáng)調(diào)了網(wǎng)站和網(wǎng)銀防釣魚的重要性。銀行網(wǎng)站安全防護(hù)常見銀行網(wǎng)站拓?fù)鋱D商業(yè)銀行門戶網(wǎng)站服務(wù)器通常在Internet出口采用一條（有時(shí)多條）互聯(lián)網(wǎng)線路，內(nèi)部包括：1、Web服務(wù)器。提供給訪問者的門戶，接受Web訪問請(qǐng)求，最終返回訪問者所需的信息。這些信息包括靜態(tài)和動(dòng)態(tài)信息，靜態(tài)信息存放在Web服務(wù)器上，直接返回給訪問者，動(dòng)態(tài)信息存放在后臺(tái)數(shù)據(jù)庫中，Web服務(wù)器通過中間件向數(shù)據(jù)庫發(fā)起請(qǐng)求，取得動(dòng)態(tài)數(shù)據(jù)后返回給訪問者；2、中間件。為上層應(yīng)用軟件提供運(yùn)行和開發(fā)的環(huán)境。在一些小規(guī)模的網(wǎng)站系統(tǒng)中，中間件可能與Web服務(wù)器部署在同一臺(tái)服務(wù)器上；3、數(shù)據(jù)庫。存儲(chǔ)網(wǎng)站相關(guān)動(dòng)態(tài)數(shù)據(jù)，接收來自中間件的請(qǐng)求并返回相應(yīng)數(shù)據(jù)。對(duì)現(xiàn)有環(huán)境進(jìn)行防護(hù)針對(duì)常見的銀行網(wǎng)站拓?fù)鋱D，我們可以采取以下安全措施進(jìn)行防護(hù)：1、DDoS防御。在Internet出口處部署一臺(tái)抗DDOS攻擊防護(hù)系統(tǒng)，用于防護(hù)來自外網(wǎng)的拒絕服務(wù)攻擊；2、網(wǎng)絡(luò)訪問控制。利用防火墻進(jìn)行訪問控制，防止不必要的服務(wù)請(qǐng)求進(jìn)入網(wǎng)站系統(tǒng)，減少被攻擊的可能性；3、系統(tǒng)安全加固。找出主機(jī)系統(tǒng)、網(wǎng)絡(luò)設(shè)備及其他設(shè)備系統(tǒng)中存在的補(bǔ)丁漏洞和配置漏洞，進(jìn)行加固，以保障系統(tǒng)的安全性；4、應(yīng)用層防護(hù)。在網(wǎng)站服務(wù)器前部署一臺(tái)WEB應(yīng)用防護(hù)系統(tǒng)，通過WEB應(yīng)用防護(hù)系統(tǒng)有效控制和緩解HTTP及HTTPS應(yīng)用下各類安全威脅，如SQL注入、XSS、跨站偽造（CSRF）、cookie篡改以及應(yīng)用層DDoS等，有效應(yīng)對(duì)網(wǎng)頁篡改、網(wǎng)頁掛馬、敏感信息泄露等安全問題，充分保障門戶網(wǎng)站的高可用性和可靠性。5、網(wǎng)頁防篡改。在WEB服務(wù)器系統(tǒng)上安裝網(wǎng)頁防篡改系統(tǒng)，通過客戶端程序針對(duì)網(wǎng)頁和文件進(jìn)行防護(hù)。6、網(wǎng)站安全監(jiān)測。通過專業(yè)化的托管式服務(wù)來實(shí)時(shí)監(jiān)測和周期度量網(wǎng)站的風(fēng)險(xiǎn)隱患，評(píng)估網(wǎng)站的安全狀態(tài)，衡量改進(jìn)情況。安全防護(hù)措施說明對(duì)于一個(gè)定制化開發(fā)的商業(yè)銀行門戶網(wǎng)站來說，從其規(guī)劃和開發(fā)階段就要引入相應(yīng)的安全建設(shè)。測試階段的安全測試作為上線前最后的檢查是至關(guān)重要的，可以最大限度地發(fā)現(xiàn)系統(tǒng)的脆弱性所在。運(yùn)行階段所應(yīng)該關(guān)注的主要是與黑客實(shí)時(shí)的攻防博弈，以及事后的及時(shí)恢復(fù)、取證和追溯等。已投入使用的商業(yè)銀行門戶網(wǎng)站而言，由于不太可能投入大量的人力去重新開發(fā)或做大規(guī)模的代碼級(jí)整改，因此如何在運(yùn)行階段進(jìn)行有效的安全防護(hù)成為關(guān)注的焦點(diǎn)。在本方案中，我們著重網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層的安全防護(hù)體系。網(wǎng)絡(luò)層安全防護(hù)網(wǎng)絡(luò)安全域訪問控制利用現(xiàn)有防護(hù)設(shè)備或重新部署防火墻設(shè)備對(duì)網(wǎng)站服務(wù)器區(qū)進(jìn)行邊界安全防護(hù)，劃分網(wǎng)站服務(wù)器區(qū)安全域，使之與網(wǎng)銀區(qū)域邏輯隔離。通過Internet邊界防火墻在內(nèi)部網(wǎng)絡(luò)與不安全的外部網(wǎng)絡(luò)之間設(shè)置障礙，阻止外界對(duì)內(nèi)部資源的非法訪問，防止內(nèi)部對(duì)外部的不安全訪問。防火墻能夠較為有效地防止黑客利用不安全的服務(wù)對(duì)內(nèi)部網(wǎng)絡(luò)的攻擊，并且能夠?qū)崿F(xiàn)數(shù)據(jù)流的監(jiān)控、過濾、記錄和報(bào)告功能，較好地隔斷內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的連接。同時(shí)利用WAF的訪問控制功能進(jìn)行網(wǎng)站服務(wù)器區(qū)專項(xiàng)訪問控制防護(hù)，有效地控制黑客利用網(wǎng)站服務(wù)器為跳板攻擊網(wǎng)銀服務(wù)區(qū)的可能性。拒絕服務(wù)攻擊防護(hù)基于WEB業(yè)務(wù)的可用性和連續(xù)性要求的考慮，應(yīng)該在Internet的出口處設(shè)置對(duì)拒絕服務(wù)攻擊的防護(hù)手段。通常使用的防火墻作為通用型網(wǎng)絡(luò)安全產(chǎn)品，在防DDoS方面不可能達(dá)到專業(yè)產(chǎn)品的性能和效率，對(duì)大規(guī)模的DDoS攻擊是無能為力的，甚至?xí)蔀楣裟繕?biāo)，造成整個(gè)網(wǎng)絡(luò)的中斷。為了實(shí)現(xiàn)在抗拒絕服務(wù)攻擊的同時(shí)不影響網(wǎng)絡(luò)的通訊速度，應(yīng)當(dāng)采用專門的硬件設(shè)備來抵御拒絕服務(wù)攻擊?？咕芙^服務(wù)攻擊系統(tǒng)通過集成的檢測和阻斷機(jī)制對(duì)DDoS攻擊實(shí)時(shí)響應(yīng)；采用基于行為模式的異常檢測，從背景流量中識(shí)別攻擊流量；提供針對(duì)海量DDoS攻擊的防護(hù)能力；系統(tǒng)能夠?qū)YNFlood、UDPFlood、UDPDNSQueryFlood、(M)StreamFlood、ICMPFlood、HTTPGetFlood以及連接耗盡這些常見的攻擊行為能夠有效識(shí)別，并通過集成的機(jī)制實(shí)時(shí)對(duì)這些攻擊流量進(jìn)行阻斷，從而有效保護(hù)門戶網(wǎng)站系統(tǒng)的應(yīng)用服務(wù)器；豐富的日志和審計(jì)功能也極大地增強(qiáng)了設(shè)備的可用性，不僅能夠針對(duì)攻擊進(jìn)行實(shí)時(shí)監(jiān)測，還能對(duì)攻擊的歷史日志進(jìn)行方便的查詢和統(tǒng)計(jì)分析，便于對(duì)攻擊事件進(jìn)行有效的跟蹤和追查。系統(tǒng)層安全建設(shè)系統(tǒng)漏洞發(fā)現(xiàn)與管理從系統(tǒng)層面的安全威脅來看，可以利用漏洞掃描系統(tǒng)高效、智能的漏洞識(shí)別技術(shù)，第一時(shí)間主動(dòng)對(duì)網(wǎng)站服務(wù)器區(qū)中的服務(wù)器和網(wǎng)絡(luò)設(shè)備進(jìn)行細(xì)致深入的漏洞檢測、分析，并出具專業(yè)、有效的漏洞防護(hù)建議。同時(shí)可以利用WEB掃描功能進(jìn)行應(yīng)用層掃描。WEB應(yīng)用掃描最關(guān)鍵的技術(shù)是網(wǎng)站智能爬蟲技術(shù)。智能爬蟲技術(shù)具有自動(dòng)遍歷整個(gè)Web服務(wù)器的深度掃描功能，自動(dòng)分析應(yīng)用系統(tǒng)的代碼，當(dāng)發(fā)現(xiàn)了存在弱點(diǎn)的代碼之后，會(huì)根據(jù)不同數(shù)據(jù)庫的特點(diǎn)嘗試進(jìn)行數(shù)據(jù)獲取，驗(yàn)證漏洞的真實(shí)性。遠(yuǎn)程安全評(píng)估系統(tǒng)的WAS模塊掃描結(jié)果準(zhǔn)確，誤報(bào)和漏報(bào)率低，全面檢查網(wǎng)站各級(jí)頁面中是否被植入惡意代碼（如SQL注入、跨站腳本、網(wǎng)頁掛馬等），確保網(wǎng)站應(yīng)用的完整性，有效避免網(wǎng)站成為惡意軟件的分發(fā)、傳播渠道。系統(tǒng)安全加固可以通過門戶網(wǎng)站安全評(píng)估和加固，使系統(tǒng)有效的抵御外來的入侵和襲擊，長期保持在高度可信的狀態(tài)。其中，滲透測試是安全評(píng)估階段必不可少的服務(wù)手段之一。滲透測試是模擬黑客的真實(shí)攻擊方法對(duì)系統(tǒng)和網(wǎng)絡(luò)進(jìn)行非破壞性質(zhì)的攻擊性測試。通過滲透測試，可以發(fā)現(xiàn)門戶網(wǎng)站系統(tǒng)中存在的系統(tǒng)漏洞、代碼漏洞和程序邏輯問題（如繞過認(rèn)證）等。網(wǎng)站服務(wù)器和相關(guān)設(shè)備的安全加固，是利用多種技術(shù)手段對(duì)網(wǎng)站服務(wù)器區(qū)中的網(wǎng)絡(luò)設(shè)備平臺(tái)、服務(wù)器進(jìn)行安全加固和配置優(yōu)化，提高網(wǎng)絡(luò)設(shè)備安全性和抗攻擊能力，針對(duì)網(wǎng)站服務(wù)器區(qū)所提供的安全加固服務(wù)手段有：基本安全配置檢測和優(yōu)化帳戶密碼系統(tǒng)安全檢測和增強(qiáng)網(wǎng)絡(luò)服務(wù)安全優(yōu)化網(wǎng)絡(luò)訪問控制安全優(yōu)化網(wǎng)絡(luò)路由與交換協(xié)議安全優(yōu)化端口安全設(shè)置網(wǎng)絡(luò)連接參數(shù)安全增強(qiáng)IOS升級(jí)與補(bǔ)丁安裝經(jīng)過良好配置的網(wǎng)絡(luò)設(shè)備及服務(wù)器的抗攻擊性和自身安全性有極大的增強(qiáng)。在對(duì)其作相應(yīng)的安全配置后，結(jié)合定期的安全評(píng)估和維護(hù)服務(wù)就使得其保持在一個(gè)較高的安全線之上。應(yīng)用層安全建設(shè)WEB應(yīng)用防護(hù)從WEB應(yīng)用的威脅分析來看，WEB應(yīng)用防護(hù)系統(tǒng)是事中有效防護(hù)和控制的關(guān)鍵設(shè)備。WEB應(yīng)用防護(hù)系統(tǒng)需要對(duì)用戶提交WEB服務(wù)器端以及WEB服務(wù)器端向用戶返回的雙方向數(shù)據(jù)進(jìn)行檢查。WAF產(chǎn)品可以實(shí)現(xiàn)用戶服務(wù)器以及服務(wù)器用戶雙向數(shù)據(jù)的清洗。對(duì)于用戶提交服務(wù)器端的數(shù)據(jù)，WAF可以實(shí)時(shí)發(fā)現(xiàn)用戶提交數(shù)據(jù)中的惡意腳本和問題代碼/命令。可以進(jìn)行必要的內(nèi)容過濾，如惡意腳本和代碼，HTTPErrorResponse（4xx，5xx等），關(guān)鍵敏感字等，充分保證了用戶側(cè)的安全，同時(shí)避免了服務(wù)器端重要信息的泄露。下圖體現(xiàn)了WAF產(chǎn)品的雙向流量清洗示意。WAF產(chǎn)品的雙向流量清洗頁面防篡改防護(hù)網(wǎng)頁防篡改是將核心程序嵌入到WEB服務(wù)器中，通過觸發(fā)方式進(jìn)行自動(dòng)監(jiān)測，對(duì)所保護(hù)文件夾的所有文件內(nèi)容（包含：html、asp、jsp、php、jped、gif、bmp、psd、png、flash等各類文件類型）對(duì)照其多個(gè)屬性，經(jīng)過內(nèi)置散列快速算法，實(shí)時(shí)進(jìn)行監(jiān)測，若發(fā)現(xiàn)屬性變更，通過非協(xié)議方式，純文件拷貝方式將備份路徑文件夾內(nèi)容拷貝到監(jiān)測文件夾相應(yīng)文件位置，通過底層文件驅(qū)動(dòng)技術(shù)，整個(gè)文件復(fù)制過程毫秒級(jí)，使得Internet用戶無法看到被篡改頁面。網(wǎng)站安全監(jiān)測服務(wù)網(wǎng)站安全監(jiān)測服務(wù)，是一款托管式服務(wù)，您無需安裝任何硬件或軟件，無需改變目前的網(wǎng)絡(luò)部署狀況，無需專門的人員進(jìn)行安全設(shè)備維護(hù)及分析日志。您只需要將監(jiān)測的網(wǎng)站域名告知我方人員，許可后即可獲得7×24小時(shí)的網(wǎng)站安全監(jiān)測服務(wù)，一旦您的網(wǎng)站遇到風(fēng)險(xiǎn)狀況后，安全監(jiān)測團(tuán)隊(duì)會(huì)在第一時(shí)間與您確認(rèn)，并提供專業(yè)的解決方案建議。除此之外，安全專家會(huì)定期為您出具周期性的監(jiān)測報(bào)告，讓您整體掌握網(wǎng)站的風(fēng)險(xiǎn)狀況及安全趨勢。通過專業(yè)化的服務(wù)產(chǎn)品來實(shí)時(shí)監(jiān)測和周期度量網(wǎng)站的風(fēng)險(xiǎn)隱患，您可以輕松評(píng)估您網(wǎng)站的安全狀態(tài)，衡量改進(jìn)情況，能夠?qū)⒕W(wǎng)站管理人員從繁重的日常安全維護(hù)工作中解放出來，降低投入和管理成本，獲得最為專業(yè)、有效的服務(wù)，并確定對(duì)行業(yè)和政府法規(guī)的遵從情況。“網(wǎng)站安全監(jiān)測服務(wù)”主要包括以下幾方面的內(nèi)容：遠(yuǎn)程網(wǎng)站漏洞掃描網(wǎng)站的風(fēng)險(xiǎn)漏洞是站點(diǎn)被攻擊的根源，通過遠(yuǎn)程的網(wǎng)站應(yīng)用層漏洞掃描服務(wù)，由安全專家定期進(jìn)行網(wǎng)站結(jié)構(gòu)分析、漏洞分析，用戶無需采購任何Web應(yīng)用掃描產(chǎn)品，即可獲得網(wǎng)站的漏洞情況，以及修補(bǔ)建議。遠(yuǎn)程網(wǎng)頁木馬監(jiān)測科技基于“云安全”平臺(tái)，采用業(yè)內(nèi)領(lǐng)先的智能木馬檢測技術(shù)，可高效、準(zhǔn)確識(shí)別網(wǎng)站頁面中的惡意代碼，使網(wǎng)站管理員能夠第一時(shí)間得知自己網(wǎng)站的安全狀態(tài)，避免由于網(wǎng)站被掛馬給訪問者帶來的安全隱患。網(wǎng)頁敏感內(nèi)容監(jiān)測實(shí)時(shí)監(jiān)測目標(biāo)站點(diǎn)是否出現(xiàn)一些敏感關(guān)鍵字，如果發(fā)現(xiàn)敏感內(nèi)容，會(huì)在第一時(shí)間通知用戶。用戶也可以自定義所關(guān)心的敏感關(guān)鍵字。網(wǎng)站平穩(wěn)度檢測對(duì)服務(wù)站點(diǎn)進(jìn)行實(shí)時(shí)遠(yuǎn)程訪問平穩(wěn)度的動(dòng)態(tài)監(jiān)視，跟蹤重點(diǎn)對(duì)象的訪問平穩(wěn)度動(dòng)態(tài)變化情況，并根據(jù)嚴(yán)重程度及時(shí)發(fā)出報(bào)警信號(hào)。網(wǎng)頁篡改監(jiān)測實(shí)時(shí)監(jiān)測目標(biāo)站點(diǎn)頁面狀況，發(fā)生頁面被篡改情況，第一時(shí)間通知用戶，避免給自身帶來的聲譽(yù)和法律風(fēng)險(xiǎn)。網(wǎng)站安全監(jiān)測服務(wù)在用戶許可后即可獲得7×24小時(shí)的網(wǎng)站安全監(jiān)測服務(wù)。一旦您的網(wǎng)站發(fā)生風(fēng)險(xiǎn)狀況，安全監(jiān)測團(tuán)隊(duì)會(huì)在第一時(shí)間與您確認(rèn)，并提供專業(yè)的解決方案。除此之外，安全專家會(huì)定期為您出具周期性的監(jiān)測報(bào)告，讓您整體掌握網(wǎng)站的風(fēng)險(xiǎn)狀況及趨勢。網(wǎng)站安全監(jiān)測服務(wù)流程安全設(shè)備及服務(wù)投入?yún)R總序號(hào)名稱數(shù)量部署位置1抗DDOS攻擊系統(tǒng)1臺(tái)部署在原有網(wǎng)站服務(wù)器區(qū)Internet邊界處，用于防護(hù)來自外網(wǎng)的拒絕服務(wù)攻擊；2防火墻1臺(tái)部署在網(wǎng)站服務(wù)器區(qū)與Internet的邊界處，進(jìn)行網(wǎng)絡(luò)安全域隔離和訪問控制；3系統(tǒng)安全加固服務(wù)1次性服務(wù)器，網(wǎng)絡(luò)設(shè)備，其他相關(guān)設(shè)備2WEB應(yīng)用防護(hù)系統(tǒng)1臺(tái)部署在WEB服務(wù)器區(qū)前，用于防護(hù)外網(wǎng)的WEB應(yīng)用攻擊，如：SQL注入、XSS、跨站偽造（CSRF）、cookie、網(wǎng)頁掛馬等；3WAF主機(jī)版（網(wǎng)頁防篡改）1套安裝在網(wǎng)站服務(wù)器上，實(shí)現(xiàn)網(wǎng)頁防篡改、網(wǎng)頁恢復(fù)等核心功能；4網(wǎng)站監(jiān)測服務(wù)1套/年通過專業(yè)化的托管式服務(wù)來實(shí)時(shí)監(jiān)測和周期度量網(wǎng)站的風(fēng)險(xiǎn)隱患，評(píng)估網(wǎng)站的安全狀態(tài)，衡量改進(jìn)情況；綠盟科技公司簡介公司技術(shù)團(tuán)隊(duì)及分支機(jī)構(gòu)綠盟科技公司（NSFocusInformationTechnologyco.,Ltd.）成立于2000年4月，是中國第一批專業(yè)網(wǎng)絡(luò)安全產(chǎn)品和服務(wù)公司之一。在幾年的發(fā)展過程中，獲得了不同行業(yè)的數(shù)百個(gè)客戶的認(rèn)同，并已經(jīng)成為國內(nèi)領(lǐng)先的專業(yè)安全產(chǎn)品和服務(wù)提供商。綠盟科技自成立以來一直以作為”巨人背后的專家”為己任，全力為客戶服務(wù)，本著“誠信為本、客戶至上、專業(yè)服務(wù)、面向國際”的宗旨，匯聚了國內(nèi)安全領(lǐng)域最優(yōu)秀的技術(shù)研究、產(chǎn)品開發(fā)和服務(wù)實(shí)施隊(duì)伍。幾年來，開發(fā)出多款具有國內(nèi)國際領(lǐng)先水平的安全產(chǎn)品，并通過獨(dú)立的服務(wù)部門為用戶提供專業(yè)的安全服務(wù)體系。綠盟科技在北京、廣州、上海、成都、沈陽、武漢和西安建立了分公司，在深圳、長春、長沙、重慶、福州、哈爾濱、杭州、濟(jì)南、昆明、蘭州、南京、南寧、海口、新疆、貴陽、南昌等地建立了辦事處，能夠?yàn)槲覀兊挠脩籼峁┤珖秶鷥?nèi)的產(chǎn)品與服務(wù)支持。領(lǐng)先的專業(yè)安全廠商作為專注于網(wǎng)絡(luò)安全技術(shù)的產(chǎn)品和服務(wù)提供商，綠盟科技一直保持了高速增長并在國內(nèi)信息安全行業(yè)處于領(lǐng)先地位。國內(nèi)第一家專業(yè)商業(yè)安全服務(wù)公司，第一家獲得ISO9001國內(nèi)國際雙認(rèn)證的專業(yè)安全服務(wù)企業(yè)，完成了運(yùn)營商、金融、政府多個(gè)關(guān)鍵服務(wù)項(xiàng)目。2001國信安辦第一批安全服務(wù)試點(diǎn)企業(yè)；2002年第一批國家正式認(rèn)證的安全服務(wù)一級(jí)資質(zhì)，2004年第一批安全服務(wù)二級(jí)資質(zhì)認(rèn)證；2005年第一批國家級(jí)緊急響應(yīng)服務(wù)單位。第一家對(duì)國外安全產(chǎn)品廠商提供入侵檢測技術(shù)出口的安全公司，并在2005年包攬中國入侵檢測/入侵保護(hù)系統(tǒng)在主要行業(yè)媒體和公開評(píng)測方面的全部獎(jiǎng)項(xiàng)；其他安全產(chǎn)品在國內(nèi)目前也擁有領(lǐng)先的市場份額。綠盟科技的技術(shù)網(wǎng)站，維護(hù)著國內(nèi)最全面的全中文網(wǎng)絡(luò)安全漏洞庫，自1999年積累至今已經(jīng)具有超過1萬條內(nèi)容詳盡的安全信息，在廣大專業(yè)技術(shù)人員中享有”中國網(wǎng)絡(luò)安全第壹站”的美稱。2003-2006年連續(xù)四年獲得最值得信賴的安全服務(wù)品牌稱號(hào)。安全基礎(chǔ)研究實(shí)力綠盟科技基礎(chǔ)研究部是國內(nèi)最強(qiáng)的研究安全攻防技術(shù)的團(tuán)隊(duì)，由頂尖的安全專家組成，大多數(shù)已經(jīng)在綠盟科技持續(xù)工作了五年以上。他們長期對(duì)國內(nèi)外最新的網(wǎng)絡(luò)安全漏洞進(jìn)行最及時(shí)、最緊密的跟蹤，對(duì)重大安全問題則成立專項(xiàng)研究小組進(jìn)行技術(shù)攻關(guān)，取得了一系列在國內(nèi)、甚至是國際處于領(lǐng)先水平的優(yōu)秀成果，其中包括：分布式拒絕服務(wù)攻擊（DDoS）防護(hù)技術(shù)、Unix高級(jí)溢出攻擊技術(shù)、WindowsNetBIOS安全問題、WindowsIIS安全問題、蠕蟲傳播與專殺等。綠盟科技迄今為止已經(jīng)獨(dú)立發(fā)現(xiàn)了40余個(gè)涉及網(wǎng)絡(luò)安全的重大漏洞，并為Microsoft、SUN、NetScreen，CISCO等國際知名廠商提供過多個(gè)安全漏洞修補(bǔ)建議。2009年2月，綠盟科技與微軟公司正式達(dá)成協(xié)議，成為國內(nèi)唯一的微軟MAPP合作伙伴。下面是搜狐IT的相關(guān)新聞：綠盟科技已經(jīng)加入微軟的MAPP（MicrosoftActiveProtectionsProgram）項(xiàng)目，今后可以提前獲得有關(guān)微軟月度安全公告的信息以評(píng)估所造成的威脅，在微軟每月發(fā)布安全更新之前獲得漏洞信息，因此可以為客戶提供更及時(shí)有效的保護(hù)。綠盟科技市場總監(jiān)李晴山先生說：“安全是對(duì)一個(gè)行業(yè)的挑戰(zhàn)。加入了MAPP項(xiàng)目，綠盟和微軟會(huì)繼續(xù)兌現(xiàn)彼此對(duì)行業(yè)合作的承諾，以幫助保護(hù)客戶?！蹦軌蚋绲氐玫铰┒葱畔?，客戶就能夠更多地受益于冰之眼NIPS和極光掃描器改進(jìn)所帶來的安全保護(hù)。微軟可信任計(jì)算產(chǎn)品管理中心總監(jiān)MarkMiller說：“我們的合作伙伴與我們有同樣的夢想，那就是通過行業(yè)協(xié)作保護(hù)全世界的Internet用戶。沒有哪家公司可以獨(dú)立完成這個(gè)任務(wù)，這就是我們?yōu)槭裁磁c綠盟來攜手推進(jìn)和提高安全事業(yè)?！毙侣勬溄樱?20090320/n262912893.shtml加入MAPP計(jì)劃，綠盟科技可以在微軟正式向公眾發(fā)布前提前掌握到微軟最新漏洞的細(xì)節(jié)，更新自己的入侵檢測/保護(hù)和漏洞檢測類產(chǎn)品，使綠盟科技的客戶得到更及時(shí)有效的保護(hù)。加入MAPP計(jì)劃，與CISCO、IBM和其他國際知名廠商一起成為微軟的合作伙伴，更證明了綠盟科技在國內(nèi)安全研究領(lǐng)域的領(lǐng)先地位，是綠盟科技近十年潛心研究成果的客觀見證。MAPP官方鏈接：/security/msrc/mapp/partners.mspx專業(yè)安全服務(wù)實(shí)力NSPS安全服務(wù)體系是綠盟科技在2000年首先提出的為客戶提供的可定制的專業(yè)安全服務(wù)。作為值得信賴的、業(yè)界領(lǐng)先的專業(yè)的安全服務(wù)提供商，我們通過專業(yè)安全服務(wù)協(xié)助用戶設(shè)計(jì)、實(shí)現(xiàn)、維持、改進(jìn)有效的安全戰(zhàn)略，保持遵循性，提高其長期競爭優(yōu)勢。綠盟科技可以為用戶提供兩大類的專業(yè)服務(wù)，包括：專業(yè)安全服務(wù)(PSS:ProfessionalSecurityServices)：旨在降低用戶在關(guān)鍵業(yè)務(wù)資產(chǎn)的威脅，通過企業(yè)級(jí)安全評(píng)估、安全設(shè)計(jì)、安全部署來提高安全管理的實(shí)效。可管理安全服務(wù)(MSS:ManagedSecurityServices)：為用戶提供完備的實(shí)時(shí)安全管理外包解決方案，包括安全監(jiān)控、7x24安全保障、應(yīng)急處理等。多年來，我們的專業(yè)的服務(wù)實(shí)施能力和