FortiWbe应用防火墙.pptVIP

构建安全WEB应用系统  Fortiweb Fortinet SE Hunk yan Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 议程 Web威胁概述 FortiWEB介绍 Fortinet Web威胁防御技术 FortiWeb产品线 1 2 3 4 国内某银行门户案例 5 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. Web的发展 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 网络安全事件类型分布 数据来源：CNCERT/CC Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 安全事件回顾 WEB的开放性带来丰富资源、高效率、新工作方式的同时，传统网络边界正逐 消失，机构的重要资产暴露在越来越多的威胁中。现今WEB安全问题对人们来说屡见 不先,以下是收录于国际安全组织记录的安全事件 1. 2009年5 月 26 日，法国移动运营商Orange France 提供照片管理的网站频道被曝存在SQL注入漏洞，黑客利用此漏洞获取到245,000 条用户记录（包括E-mail、姓名及明文方式的密码）。 2. 2009年1 月26 日，土耳其黑客采用 SQL 注入攻击，篡改了美国军方两台重要服务器的网页。 3. 2009年1月26日，印度驻西班牙使馆网站被挂马（通过iFrame攻击植入恶意代码） Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 中国安全报告 近期各类媒体（如新浪）对网页来自《中国互联网网络安全报告》 篡改问题也进行了曝光，从侧面表明日前国内对该问题的关注度。 数据显 示：网页篡改事件特别是我国大陆地区政府网页被篡改事件呈现大幅增长趋势。 35113 41% 67% Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 国内针对WEB攻击的法律法规 发改委、公安部、国家必威体育官网网址局联合下发通知，要求加强和规范国家电子政务工程建设项目信息安全风险评估工作。　 3部委要求，国家的电子政务网络、重点业务信息系统、基础信息库以及相关支撑体系等国家电子政务工程建设项目，必须进行完整信息安全风险评估工作。 　 　　评估的主要内容包括：分析信息系统资产的重要程度，评估信息系统面临的安全威胁、存在的脆弱性、已有的安全措施和残余风险的影响等　　电子政务项目涉密信息系统的信息安全风险评估，由国家必威体育官网网址局涉密信息系统安全必威体育官网网址测评中心承担。非涉密信息系统的信息安全风险评估，由国家信息技术安全研究中心、中国信息安全测评中心、公安部信息安全等级保护评估中心等三家专业测评机构承担 中华人民共和国公安部令-第82号 第九条 提供互联网信息服务的单位除落实本规定第七条规定的互联网安全保护技术措施外，还应当落实具有以下功能的安全保护技术措施：　　（一）在公共信息服务中发现、停止传输违法信息，并保留相关记录；　　（二）提供新闻、出版以及电子公告等服务的，能够记录并留存发布的信息内容及发布时间　　　　 （四）开办电子公告服务的，具有用户注册信息和发布信息审计功能；　　（五）开办电子邮件和网上短信息服务的，能够防范、清除以群发方式发送伪造、隐匿信息发送者真实标记的电子邮件或者短信息。 （三）开办门户网站、新闻网站、电子商务网站的，能够防范网站攻击、网页被篡改，被篡改后能够自动恢复； Eval