中软华泰HuaTech网站防护系统

一、产品由来

网站是处于互联网这样一个相对开放的环境中，各类网页应用系统的复杂性和多样性导致系统漏洞层出不穷，病毒木马和恶意代码网上肆虐，黑客入侵和篡改网站的安全事件时有发生。其中，又以篡改网站最为恶劣，尤其是政府网站作为一级政府发布重要新闻、重大方针政策以及法规等的重要渠道，一旦被黑客篡改，将严重损害政府的形象，影响社会稳定。根据2009年初国家计算机网络应急技术处理协调中心（简称CNCERT/CC）的统计报告:2008年1月-7月国内发现的被篡改的网站就多达41,000多个，平均每天就有近200个网站被篡改。2009年8月1日至31日短短一个月时间内，大陆有3千多网站被篡改，其中大陆地区gov.cn网站高达299个。2010年1月19日，CNCERT/CC的检测结果显示：从2010年1月4日到1月10日短短6天时间，境内被篡改的政府网站数量高ERP系统

常见的Web攻击分为两类：一是利用Web服务器的漏洞进行攻击，如缓冲区溢出攻击、病毒木马破坏等攻击；二是利用网页自身的安全漏洞进行攻击，如SQL注入攻击、跨站脚本攻击等。常见攻击方式对网站服务器带来的危害主要集中在病毒木马破坏、网页非法篡改、各类网络攻击带来的威胁。针对于网站面临的安全威胁，公司研发出HuaTech网站防护系统来对WEB进行有效的保护，该产品以可信计算为基础，访问控制为核心，构建了网站系统底层加固、上层过滤的立体式防御体系，实现网站防病毒、网站防篡改、网站防入侵的安全目标。

二、产品架构

HuaTech网站防护系统是由软件模块和硬件模块共同组成的，分别是操作系统安全加固模块、网页防篡改模块、防网络攻击模块和统一安全管理平台模块。其中操作系统安全加固模块和网页防篡改模块为软件实现，防网络攻击模块是由一个高速稳定的硬件平台和经过安全加固的操作系统组成。

系统的管理和设置采用了B/S架构，可以通过WEB界面进行统一管理和操作，使管理员的工作更简便。 

图：HuaTech网站防护系统结构及功能分布图 

三、功能摘要

执行程序可信度量：通过可信度量技术，对系统中要汇海的执行程序进行真实性和完整性度量，禁止不符合预期的程序汇海。通过上述机制，实现了网站服务器对于病毒、木马、攻击程序等恶意代码自免疫，弥补了杀毒软件的滞后性问题。

程序安装控制：控制程序安装行为，禁止非法的程序安装行为。

可信代码防篡改：对于信任程序的实时保护，禁止任何的破坏和非法修改行为。

网页防篡改保护：在系统底层利用文件过滤驱动技术，实时监控受保护的WEB目录，实施严格的强制访问控制，禁止对受保护的WEB目录进行任何非法操作，从源头上杜绝网页非法篡改行为的发生。

重要资源写保护控制：对存放在服务器中的重要数据进行实时防篡改保护，禁止非法的篡改行为。

防SQL注入攻击：过滤含有SQL注入关键字的数据包，从而起到防SQL注入的效果。

防跨站脚本攻击：过滤含有跨站脚本关键字的数据包，从而起到防跨站脚本攻击的效果。

抗拒绝服务攻击：通过速率限制和TCP连接数限制实现。

抗黑客扫描：阻止恶意攻击者的扫描行为，保护服务器的敏感信息。

SSL终止：终止SSL安全连接，对数据流进行解码，检查明文格式是否含有恶意的流量。

双机热备：支持双机热备功能，提高系统自身的稳定性和可靠性。

服务器统一管控：对网站系统中的所有网站服务器进行统一管理、统一配置，审计信息统一存储、统一分析，构建网站系统的整体安全防线，有效保护网站服务器系统的安全。

管理员权限分离：引入以下三个管理员角色：系统管理员、安全管理员和安全审计员。根据最小权限原则，赋予每个管理员完成任务所需的最小权限，使得网站系统管理员之间相互监督、相互制约、各司其职，共同保障网站系统的安全。

行为审计监控：任何行为都有证可查，达到非法行为赖不掉的效果。

四、产品特色

先进的设计理念：采用以可信计算为基础，访问控制为核心的设计理念，在不改变原有操作系统应用的前提下，打造新一代的安全操作系统。赐予网站服务器主动防御的能力，形成有效防御恶意攻击的安全体

 1/2    1 2 下一页 尾页