《結(jié)合傳統(tǒng)網(wǎng)絡(luò)層防護措施的新型應(yīng)用層安全解決方案》.doc

本資料由 校園大學(xué)生創(chuàng)業(yè)網(wǎng) 提供 在線代理 結(jié)合傳統(tǒng)網(wǎng)絡(luò)層防護措施的新型應(yīng)用層安全解決方案 安恒信息技術(shù)有限公司 北方大區(qū) 技術(shù)總監(jiān) 李麒 liwrml 本資料由 校園大學(xué)生創(chuàng)業(yè)網(wǎng) 提供 在線代理 第 I 頁 目 錄 1概述 1 1 1WEB 安全受到的挑戰(zhàn) 1 1 2黑客攻擊由網(wǎng)絡(luò)層轉(zhuǎn)向應(yīng)用層 1 1 3面向應(yīng)用層新型攻擊特點簡析 2 1 4現(xiàn)有的網(wǎng)絡(luò)層防護產(chǎn)品面對應(yīng)用層攻擊束手無策 3 2WEB 應(yīng)用安全現(xiàn)狀分析 3 2 1網(wǎng)站及在線 WEB應(yīng)用 B S 的重要性 3 2 2常見 WEB 應(yīng)用攻擊影響分析 4 3行業(yè)及用戶需求分析 4 3 1整體而言 行業(yè) 4 3 2單一用戶而言 5 4解決方案建議 5 4 1傳統(tǒng)基礎(chǔ)解決方案 5 4 2應(yīng)用安全解決方案 9 4 2 1現(xiàn)有安全防御技術(shù) 9 4 2 2結(jié)合傳統(tǒng)網(wǎng)絡(luò)層防護措施的新型應(yīng)用層解決方案 10 5解決方案設(shè)計思想 13 5 1安全建設(shè)原則 13 5 2安全實施策略 13 本資料由 校園大學(xué)生創(chuàng)業(yè)網(wǎng) 提供 在線代理 第 II 頁 6應(yīng)用層安全總體規(guī)劃設(shè)計 14 6 1WEB安全防御建議 14 6 2解決方案優(yōu)勢概述 15 6 2 1明御 WEB 應(yīng)用防火墻的優(yōu)勢和功能 15 6 2 2明鑒 WEB 應(yīng)用弱點掃描器的優(yōu)勢和功能 16 6 2 3明御數(shù)據(jù)庫審計與風(fēng)險控制系統(tǒng)的優(yōu)勢和功能 16 7產(chǎn)品功能特點及技術(shù)先進性說明 18 7 1明御 WEB 應(yīng)用防火墻 WAF 18 7 1 1產(chǎn)品概述 18 7 1 2產(chǎn)品特點 18 7 2明鑒 WEB 應(yīng)用弱點掃描器 MATRIXAY 19 7 2 1產(chǎn)品概述 19 7 2 2產(chǎn)品特點 20 7 3明御數(shù)據(jù)庫審計與風(fēng)險控制系統(tǒng) DAS DBAUDITOR 22 7 3 1產(chǎn)品概述 22 7 3 2產(chǎn)品特點 23 8方案設(shè)計和實施的可靠性 23 8 1設(shè)計的可靠性 23 8 2實施的可靠性 24 9文章中心思想總結(jié) 24 10附 安恒信息技術(shù)有限公司簡介 25 本資料由 校園大學(xué)生創(chuàng)業(yè)網(wǎng) 提供 在線代理 第 1 頁 1 1 1 概述概述概述 隨著互聯(lián)網(wǎng)技術(shù)的迅猛發(fā)展 許多用戶的關(guān)鍵業(yè)務(wù)越來越多地基于 WEB 應(yīng)用 在通過瀏覽器方式實現(xiàn)展現(xiàn)與交互的同時 用戶的業(yè)務(wù)系統(tǒng)所受到的威脅也隨之而 來 并且隨著業(yè)務(wù)系統(tǒng)的復(fù)雜化及互聯(lián)網(wǎng)環(huán)境的變化 所受威脅也在飛速增長 主 要表現(xiàn)在如下幾個方面 1 11 11 1 WEBWEBWEB 安全受到的挑戰(zhàn)安全受到的挑戰(zhàn)安全受到的挑戰(zhàn) 最權(quán)威的 RSA 大會研究顯示 Web 應(yīng)用安全已超過所有以前網(wǎng)絡(luò)層安全 如 DDoS 逐漸成為最嚴重 最廣泛 危害性最大的安全問題 WEB 安全的挑戰(zhàn)主要來自以下幾個方面 XSS 跨站攻擊 SQL 注入 網(wǎng)絡(luò)釣魚 惡意代碼 偽造 ARP 報文 RootKit 隱身技術(shù) 等等 1 21 21 2 黑客攻擊由網(wǎng)絡(luò)層轉(zhuǎn)向應(yīng)用層黑客攻擊由網(wǎng)絡(luò)層轉(zhuǎn)向應(yīng)用層黑客攻擊由網(wǎng)絡(luò)層轉(zhuǎn)向應(yīng)用層 隨著互聯(lián)網(wǎng)技術(shù)的迅猛發(fā)展 許多政府和企業(yè)的關(guān)鍵業(yè)務(wù)活動越來越多地依賴 于 WEB 應(yīng)用 在向客戶提供通過瀏覽器訪問企業(yè)信息功能的同時 企業(yè)所面臨的 風(fēng)險在不斷增加 主要表現(xiàn)在兩個層面 一是隨著 Web 應(yīng)用程序的增多 這些 Web 應(yīng)用程序所帶來的安全漏洞越來越多 二是隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展 被用來 進行攻擊的黑客工具越來越多 黑客活動越來越猖獗 組織性和經(jīng)濟利益驅(qū)動非常明 顯 然而與之形成鮮明對比的卻是 現(xiàn)階段的安全解決方案無一例外的把重點放在 本資料由 校園大學(xué)生創(chuàng)業(yè)網(wǎng) 提供 在線代理 第 2 頁 網(wǎng)絡(luò)安全層面 致使面臨應(yīng)用層攻擊 如 針對 WEB 應(yīng)用的 SQL 注入攻擊 跨站 腳本攻擊等 發(fā)生時 傳統(tǒng)的網(wǎng)絡(luò)防火墻 IDS IPS 等安全產(chǎn)品對網(wǎng)站攻擊幾乎不 起作用 許多政府和企業(yè)門戶網(wǎng)站成為黑客組織成批傳播木馬的最有效途徑 據(jù)統(tǒng)計 75 的網(wǎng)絡(luò)攻擊和互聯(lián)網(wǎng)安全侵害源于應(yīng)用軟件 網(wǎng)頁上的漏洞的根源 還是來自程序開發(fā)者對網(wǎng)頁程序編制和檢測 未經(jīng)過安全訓(xùn)練的程序員缺乏相關(guān)的 網(wǎng)頁安全知識 應(yīng)用部門缺乏良好的編程規(guī)范和代碼檢測機制等等 解決此類問題 必須在 WEB 應(yīng)用軟件開發(fā)程序上整治 僅僅靠打補丁和安裝防火墻是遠遠不夠的 據(jù) CNCERT 國家互聯(lián)網(wǎng)應(yīng)急中心 發(fā)布的 2008 年 4 月網(wǎng)絡(luò)安全工作報告顯 示 08 年 4 月份大陸被篡改的 網(wǎng)站所占比例較上月又有所上升 仍明顯 高于我國 cn 域名下的政府網(wǎng)站所占的 1 4 比例 1 31 31 3 面向應(yīng)用層新型攻擊特點簡析面向應(yīng)用層新型攻擊特點簡析面向應(yīng)用層新型攻擊特點簡析 隱蔽性強 利用 Web 漏洞發(fā)起對 WEB 應(yīng)用的攻擊紛繁復(fù)雜 包括 SQL 注 入 跨站腳本攻擊等等 一個共同特點是隱蔽性強 不易發(fā)覺 攻擊時間短 可在短短幾秒到幾分鐘內(nèi)完成一次數(shù)據(jù)竊取 一次木馬種植 完成對整個數(shù)據(jù)庫或 Web 服務(wù)器的控制 以至于非常困難做出人為反應(yīng) 危害性大 目前幾乎所有銀行 證券 電信 移動 政府以及電子商務(wù)企 業(yè)都提供在線交易 查詢和交互服務(wù) 用戶的機密信息包括賬戶 個人私 密信息 如身份證 交易信息等等 都是通過 Web 存儲于后臺數(shù)據(jù)庫中 本資料由 校園大學(xué)生創(chuàng)業(yè)網(wǎng) 提供 在線代理 第 3 頁 這樣 在線服務(wù)器一旦癱瘓 或雖在正常運行 但后臺數(shù)據(jù)已被篡改或者 竊取 都將造成企業(yè)或個人巨大的損失 據(jù)權(quán)威部門統(tǒng)計 目前身份失竊 identity theft 已成為全球最嚴重的問題之一 造成非常嚴重的有形和無形損失 目前 很多大型企業(yè)都是在國內(nèi)外上市 的企業(yè) 一旦發(fā)生這類安全事件 必將造成人心惶惶 名譽掃地 以致于 造成經(jīng)濟和聲譽上的巨大損失 即便不上市 其影響和損失也是不可估量 的 1 41 41 4 現(xiàn)有的網(wǎng)絡(luò)層防護產(chǎn)品面對應(yīng)用層攻擊束手無策現(xiàn)有的網(wǎng)絡(luò)層防護產(chǎn)品面對應(yīng)用層攻擊束手無策現(xiàn)有的網(wǎng)絡(luò)層防護產(chǎn)品面對應(yīng)用層攻擊束手無策 傳統(tǒng)的防火墻或 IDS 產(chǎn)品存在以下不足 防火墻 通過端口限制實現(xiàn)訪問控制 但對于 WEB 應(yīng)用而言 其 HTTP HTTPS 端口是開放的 因此 防火墻無法檢測到 WEB 應(yīng)用攻擊的 發(fā)生 更談不上阻止攻擊 IDS 依靠特征庫檢測已知攻擊 而對于 WEB 應(yīng)用攻擊 變形非常多 比 如 SQL 注入 跨站腳本 惡意文件包含等 IDS 無法窮盡所有的特征 當然 更加不可能預(yù)知未來的變形 2 2 2 WebWebWeb 應(yīng)用安全現(xiàn)狀分析應(yīng)用安全現(xiàn)狀分析應(yīng)用安全現(xiàn)狀分析 2 12 12 1 網(wǎng)站及在線網(wǎng)站及在線網(wǎng)站及在線 WebWebWeb 應(yīng)用 應(yīng)用 應(yīng)用 B SB SB S 的重要性 的重要性 的重要性 據(jù) CNCERT CC 國家互聯(lián)網(wǎng)應(yīng)急中心 發(fā)布的 2008 年網(wǎng)絡(luò)安全工作報告顯 示 我國網(wǎng)站的安全問題十分嚴峻 大量網(wǎng)站被黑客入侵和篡改 甚至被植入木馬 攻擊程序 成為黑客的得力工具 利用網(wǎng)站操作系統(tǒng)的漏洞和 WEB 服務(wù)程序的 SQL 注入漏洞等 黑客能夠得到 Web 服務(wù)器的控制權(quán)限 輕則篡改網(wǎng)頁內(nèi)容 重 則竊取重要內(nèi)部數(shù)據(jù) 更為嚴重的則是在網(wǎng)頁中植入惡意代碼 俗稱 網(wǎng)頁掛馬 使得更多網(wǎng)站訪問者受到侵害 網(wǎng)頁掛馬是黑客最喜歡的木馬散播方式 很多用戶的網(wǎng)站或基于 Web 的在線應(yīng)用系統(tǒng) B S 架構(gòu) 承擔(dān)著 對外交流 公開信息 網(wǎng)上辦事 在線業(yè)務(wù) 等重要職能 是服務(wù)于和諧社會的窗口 如此重 本資料由 校園大學(xué)生創(chuàng)業(yè)網(wǎng) 提供 在線代理 第 4 頁 要的網(wǎng)站和系統(tǒng) 一旦受到黑客攻擊 不僅影響用戶的正常工作 降低網(wǎng)站的公信 力 嚴重的情況下會導(dǎo)致重要信息的泄密 危及其形象 2 22 22 2 常見常見常見 WEBWEBWEB 應(yīng)用攻擊影響分析應(yīng)用攻擊影響分析應(yīng)用攻擊影響分析 網(wǎng)頁木馬 直接控制網(wǎng)站主機或者借此攻擊訪問者客戶端 SQL 注入漏洞 數(shù)據(jù)庫信息竊取 篡改 刪除 Cookie 注入 數(shù)據(jù)庫信息竊取 篡改 刪除 控制服務(wù)器 跨站腳本漏洞 用戶證書 網(wǎng)站信息 用戶信息被盜 緩沖區(qū)溢出 攻陷和控制服務(wù)器 表單繞過漏洞 攻擊者訪問禁止訪問的目錄 文件上傳漏洞 主頁篡改 數(shù)據(jù)損壞和傳播木馬 文件包含 服務(wù)器信息竊取 攻陷和控制服務(wù)器 如果存在上述安全隱患 若不及時修復(fù)有可能導(dǎo)致網(wǎng)站頁面被篡改 網(wǎng)頁木馬 傳播 后臺數(shù)據(jù)庫信息被篡改或盜竊 嚴重影響用戶的正常業(yè)務(wù)運營 有損其形象 3 3 3 行業(yè)及用戶需求分析行業(yè)及用戶需求分析行業(yè)及用戶需求分析 3 13 13 1 整體而言 行業(yè) 整體而言 行業(yè) 整體而言 行業(yè) 在上文的概述部分已經(jīng)針對當前 Web 安全受到的挑戰(zhàn)進行了闡述 并且明析 了黑客從網(wǎng)絡(luò)層攻擊向應(yīng)用層攻擊的一個轉(zhuǎn)化過程 以及把面向應(yīng)用層新型攻擊的 特點作了分析 事實上 這些內(nèi)容都是相對于從整體的角度來進行說明的 整個行業(yè)的 Web 安全都面臨各式各樣的新型攻擊的威脅 包括 跨站 XSS SQL 注入等 而直接影響又是巨大的 使其在線應(yīng)用系統(tǒng)面臨被掛馬和信息 泄露的風(fēng)險 然而我們所依賴的現(xiàn)有安全防護措施和產(chǎn)品 都是網(wǎng)絡(luò)層面的防護 比如 防火墻或 IPS 入侵防御系統(tǒng) 對于基于應(yīng)用層的攻擊是沒有任何防護效果 的 因此 威脅和風(fēng)險值則在此基礎(chǔ)上又提高了一個等級 從目前看來 幾乎沒有 本資料由 校園大學(xué)生創(chuàng)業(yè)網(wǎng) 提供 在線代理 第 5 頁 一個行業(yè)不受影響的 Web 攻擊其危害之大 速度之快 影響之廣 是前所未有 的 造成了非常大的有形和無形損失 3 23 23 2 單一用戶而言單一用戶而言單一用戶而言 對整體而言是上面這種情況 那么對單一用戶而言 又是怎樣一個狀態(tài)呢 實 際上 許多用戶的關(guān)鍵業(yè)務(wù)越來越多地基于 Web 應(yīng)用 在通過瀏覽器方式實現(xiàn)展 現(xiàn)與交互的同時 用戶的業(yè)務(wù)系統(tǒng)所受到的威脅也隨之而來 并且隨著業(yè)務(wù)系統(tǒng)的 復(fù)雜化及互聯(lián)網(wǎng)環(huán)境的變化 所受威脅也在飛速增長 上文已進行了詳細分析 但 這些所謂的威脅和風(fēng)險相對于單一的用戶而言 也就是說從用戶自身理解的角度出 發(fā) 用戶是不知道的或許應(yīng)該說用戶不了解 不明白才對 也或許有少部分的用戶 多少明白一些 但對此也無能為力 只能依靠專業(yè)的安全廠商和技術(shù)人員解決問題 更何況這些專業(yè)的技術(shù)和問題本來也都不應(yīng)該屬于用戶所關(guān)心的范圍 用戶只關(guān)心 問題能否解決和什么時候解決 因此 我們可以說上述黑客針對 Web 應(yīng)用的攻擊手段等有關(guān)技術(shù)方面的內(nèi)容 對于用戶來說 其自身是不關(guān)心的 因為從對專業(yè)技術(shù)掌握的角度分析 用戶的自 身技術(shù)條件也會帶來對此類安全問題在理解上或程度上的一定影響和限制 特別是 政府性質(zhì)的用戶單位 所以對于用戶來說 最終只會關(guān)心一件事 那就是 既然 存在這樣的風(fēng)險和威脅 那么是否有一套能夠解決問題和針對應(yīng)用層安全的解決方 案 這才是核心關(guān)鍵點的所在 4 4 4 解決方案建議解決方案建議解決方案建議 4 14 14 1 傳統(tǒng)基礎(chǔ)解決方案傳統(tǒng)基礎(chǔ)解決方案傳統(tǒng)基礎(chǔ)解決方案 當然 我們在說現(xiàn)有網(wǎng)絡(luò)層安全防護措施對于 Web 應(yīng)用類安全問題的防護無 效和束手無策的問題的同時 并不是告訴大家原來的網(wǎng)絡(luò)層和基礎(chǔ)型安全防護措施 體系 產(chǎn)品不好或沒用 如果這樣理解的話 用戶肯定會跳起來說 那按照這樣 的情況 是不是我對于用來建設(shè)網(wǎng)絡(luò)層安全防護體系的投資和錢就白花了 所 以這樣的理解是錯誤的 而正確的則是 之所以現(xiàn)在黑客的攻擊方式已經(jīng)從網(wǎng)絡(luò)層 本資料由 校園大學(xué)生創(chuàng)業(yè)網(wǎng) 提供 在線代理 第 6 頁 轉(zhuǎn)向應(yīng)用層 原因就是基礎(chǔ)型網(wǎng)絡(luò)層安全防護措施作的很完善 人們的安全意識提 高了 包括系統(tǒng)級的漏洞和 0day 的挖掘也越來越難 官方補丁更新的也越來越快 這些都會給黑客帶來不小的 麻煩 使黑客依靠傳統(tǒng)的攻擊手段面對這些嚴密的 防護體系和產(chǎn)品已無效 因此黑客才會轉(zhuǎn)移技術(shù)研究和攻擊方向 所以 基礎(chǔ)型網(wǎng) 絡(luò)層安全防護是相當重要的 也是必要的 而我們所提倡的應(yīng)用層安全防護的概念 是在肯定了用戶的前期投資的前提下 以及建立在完善的網(wǎng)絡(luò)層安全防御體系的基 礎(chǔ)之上或同時 再配合建設(shè)基于 Web 應(yīng)用的安全防護措施 雙管齊下才能從根本 意義上全面和有效的保障用戶系統(tǒng)和業(yè)務(wù)的安全性 因此 鑒于以上內(nèi)容 我們對傳統(tǒng)基礎(chǔ)解決方案的建議和描述如下 由于安全建設(shè)是一項動態(tài)的 整體的系統(tǒng)工程 從技術(shù)上來說 一個安全的系 統(tǒng)所應(yīng)采用的安全技術(shù)主要包括 防火墻 入侵檢測 漏洞掃描 防病毒 實時監(jiān) 控與恢復(fù) 安全事件緊急響應(yīng)體系等 這些安全措施是保障網(wǎng)絡(luò)基礎(chǔ)和結(jié)構(gòu)的 也 就是傳統(tǒng)意義上的網(wǎng)絡(luò)層安全防護 除了以上防護措施外 還應(yīng)該設(shè)計出一個安全 防護體系結(jié)構(gòu) 劃分為若干層次的一種多層次 多方面 立體的安全構(gòu)架 如 安 全體系涉及的各個環(huán)節(jié) 安全策略指導(dǎo) 安全標準規(guī)范 安全防范技術(shù) 安全管理 保障 安全服務(wù)支持體系等幾部分 如下圖所示 另外 安全也是一個動態(tài)的概念 在原有建設(shè)的基礎(chǔ)上 開發(fā)有針對性的系列 解決方案 技術(shù)框架和應(yīng)用工具 并結(jié)合用戶的現(xiàn)狀 制定出適合用戶的合理安全 機制 建立動態(tài)安全模型 從而真正實現(xiàn) 風(fēng)險分析 制訂策略 系統(tǒng)防護 實時監(jiān) 測 實時響應(yīng) 恢復(fù) 而且各個部分之間的關(guān)系都是動態(tài)的和相互依賴的 即 AP2DR2 的動態(tài)安全公式 如下圖所示 本資料由 校園大學(xué)生創(chuàng)業(yè)網(wǎng) 提供 在線代理 第 7 頁 再有就是從安全功能技術(shù)體系的角度來建議 要考慮遵循 縱深防御思想 縱 深防御思想的目的是保障安全系統(tǒng)設(shè)計的廣度和深度 促進建立全面綜合 高效安 全的網(wǎng)絡(luò)安全保障體系 縱深防御思想在廣度上要求從網(wǎng)絡(luò)架構(gòu) 網(wǎng)絡(luò)設(shè)備 操作系統(tǒng) 應(yīng)用系統(tǒng) 數(shù) 據(jù)庫系統(tǒng)等各個層面考慮安全系統(tǒng)建設(shè) 縱深防御思想在深度上要求分層次的 由外而內(nèi)的 從網(wǎng)絡(luò)邊界 內(nèi)部網(wǎng)絡(luò) 核心服務(wù)器乃至網(wǎng)管維護用的終端 PC 各個層面考慮安全防御功能的建設(shè) 如 邊界網(wǎng)絡(luò) 加強訪問控制 加強安全事件監(jiān)控 加強抗強力攻擊防護 加 強 WEB 應(yīng)用系統(tǒng)安全運行狀態(tài)監(jiān)控等 內(nèi)部網(wǎng)絡(luò) 加強網(wǎng)絡(luò)行為監(jiān)控 操作監(jiān)控 加強安全事件監(jiān)控等 核心服 務(wù)器主機 加強對核心主機安全監(jiān)控和檢查 加強系統(tǒng)脆弱性及安全漏洞 的掃描和發(fā)現(xiàn)等 網(wǎng)管維護終端系統(tǒng) 桌面 PC 加強統(tǒng)一的桌面管理 加強補丁升級管理 加強日常的安全管理和終端防病毒管理等 如下圖所示 邊邊界界網(wǎng)網(wǎng)絡(luò)絡(luò)內(nèi)內(nèi)部部網(wǎng)網(wǎng)絡(luò)絡(luò)核核心心主主機機桌桌面面P PC C 全全網(wǎng)網(wǎng)安安全全防防護護 安安全全監(jiān)監(jiān)測測 安安全全檢檢測測 安安全全響響應(yīng)應(yīng) 全全網(wǎng)網(wǎng)安安全全防防護護 安安全全監(jiān)監(jiān)測測 安安全全檢檢測測 安安全全響響應(yīng)應(yīng) 安安全全管管理理咨咨詢詢 安安全全服服務(wù)務(wù)支支持持 本資料由 校園大學(xué)生創(chuàng)業(yè)網(wǎng) 提供 在線代理 第 8 頁 還有就是要進行合理的安全域劃分 實現(xiàn)安全事件影響范圍的有效控制 比如 即使某個低安全級別的安全域內(nèi)的用戶感染病毒 也能有效地控制在其所在的 安 全域 中 不會影響整網(wǎng)的安全 最后就是 動態(tài)信息安全體系思想 了 動態(tài)信息安全體系思想的根本目的是 要保障安全系統(tǒng)的設(shè)計和建設(shè)具備良好的動態(tài)適應(yīng)性 安全可擴展性以及合理的體 系建設(shè)過程 促進建立一套高擴展性 高可靠性的動態(tài)信息安全保障體系 動態(tài)信息安全保障體系的建設(shè)過程如下圖所示 通過以上對于傳統(tǒng)及基礎(chǔ)解決方案的描述和建議 我們可以總結(jié)一下 最終要 達到的目標 那就是如下圖所示 人 技術(shù) 流程 使得用戶的 IT 服務(wù)水平得到一 致的有效提高 如下圖所示 本資料由 校園大學(xué)生創(chuàng)業(yè)網(wǎng) 提供 在線代理 第 9 頁 但 我們可以思考一下 光靠以眾多網(wǎng)絡(luò)層防護產(chǎn)品為基礎(chǔ)所建立的 看似嚴 密的安全防御體系就能完全保障用戶的業(yè)務(wù)系統(tǒng)的安全性嗎 答案肯定是否定的 不能 而且本節(jié)在開始的時候也論述了為什么必須是網(wǎng)絡(luò)層 應(yīng)用層 雙管齊下才 能實現(xiàn)業(yè)務(wù)安全的全保障 下面我們就來針對應(yīng)用層安全方面的問題具體分析一下 4 24 24 2 應(yīng)用安全解決方案應(yīng)用安全解決方案應(yīng)用安全解決方案 4 2 14 2 14 2 1 現(xiàn)有安全防御技術(shù)現(xiàn)有安全防御技術(shù)現(xiàn)有安全防御技術(shù) 雖然上文也提到了采用種種傳統(tǒng)基于網(wǎng)絡(luò)層安全防護措施和產(chǎn)品所建立的安全 防御體系和安全模型 如 目前很多企業(yè)采用網(wǎng)絡(luò)防火墻 IDS IPS 補丁安全管 理 升級軟件等措施實現(xiàn)縱深防御 然而這些方法難以有效的阻止 Web 攻擊 且 對于 HTTPS 類的攻擊手段 更是顯得束手無策 本資料由 校園大學(xué)生創(chuàng)業(yè)網(wǎng) 提供 在線代理 第 10 頁 我們來分析下原因 首先來看傳統(tǒng)網(wǎng)絡(luò)防火墻設(shè)備 網(wǎng)絡(luò)防火墻可以控制對網(wǎng) 絡(luò)的訪問 管理員可以創(chuàng)建網(wǎng)絡(luò)訪問控制列表 ACLs 允許或阻止來自某個源地址 或發(fā)往某個目的地址及相關(guān)端口的訪問流量 但傳統(tǒng)的防火墻無法阻止 Web 攻擊 不論這些攻擊來自防火墻內(nèi)部的還是外部 因為它們無法檢測 阻斷 修訂 刪除 或重寫 HTTP 應(yīng)用的請求或應(yīng)答內(nèi)容 為了保障對應(yīng)用的訪問 防火墻會開放應(yīng)用 的 80 端口 這意味著 Internet 上的任意 IP 都能直接訪問應(yīng)用 因此 web 及其應(yīng) 用服務(wù)器事實上是無安全檢測和防范的 狀態(tài)檢測防火墻是防火墻技術(shù)的重大進步 這種防火墻在網(wǎng)絡(luò)層的 ACLs 基礎(chǔ) 上增加了狀態(tài)檢測方式 它監(jiān)視每一個連接狀態(tài) 并且將當前數(shù)據(jù)包和狀態(tài)信息與 前一時刻的數(shù)據(jù)包和狀態(tài)信息進行比較 從而得到該數(shù)據(jù)包的控制信息 來達到保 護網(wǎng)絡(luò)安全的目的 它能根據(jù) TCP 會話異常及攻擊特征阻止網(wǎng)絡(luò)層的攻擊 通過 IP 分拆和組合也能判斷是否有攻擊隱藏在多個數(shù)據(jù)包中 然而 狀態(tài)防火墻無法偵 測很多應(yīng)用層的攻擊 如果一個攻擊隱藏在合法的數(shù)據(jù)包中 它仍然能通過防火墻 到達應(yīng)用服務(wù)器 同樣 如果某個攻擊進行了加密或編碼該防火墻也不能檢測 其次我們再來看入侵檢測 防御系統(tǒng) 入侵檢測系統(tǒng)使用特征識別技術(shù)記錄并報 警潛在的安全威脅 其工作模式是被動的 它不能阻止攻擊 也不能對未知的攻擊 進行報警 目前大多數(shù)攻擊特征數(shù)據(jù)庫都是網(wǎng)絡(luò)層的攻擊 此外 可以通過加密 TCP 碎片攻擊以及其他方式繞過入侵檢測系統(tǒng)的防御 所以 綜上所述 IDS 和 IPS 系統(tǒng)也是對于 Web 應(yīng)用安全防護是無效的 4 2 24 2 24 2 2 結(jié)合傳統(tǒng)網(wǎng)絡(luò)層防護措施的新型應(yīng)用層解決方案結(jié)合傳統(tǒng)網(wǎng)絡(luò)層防護措施的新型應(yīng)用層解決方案結(jié)合傳統(tǒng)網(wǎng)絡(luò)層防護措施的新型應(yīng)用層解決方案 事實上 我們所討論話題的關(guān)鍵點和重點在于 Web 應(yīng)用層的防護問題 而上 文也說了 傳統(tǒng)網(wǎng)絡(luò)層安全防護措施和防御體系同等重要 因此 在這里我們來看 一下安恒信息技術(shù)有限公司所提倡的一種基于 前端實施防護 后端檢測恢復(fù) 的 安全理念的 結(jié)合傳統(tǒng)網(wǎng)絡(luò)層防護措施的新型應(yīng)用層解決方案 應(yīng)用層安全功能技術(shù)體系建設(shè) 對于應(yīng)用層安全解決方案建議 安恒公司認為目前行業(yè)內(nèi)所流行的安全模型 如 APPDRR WPDRRC 等 實際上都是參照于 PDR 安全防護體系的基礎(chǔ)上而發(fā) 展和衍生出來的 如下圖所示 本資料由 校園大學(xué)生創(chuàng)業(yè)網(wǎng) 提供 在線代理 第 11 頁 因此 鑒于 PDR 安全防御體系的模型 安恒公司認為同樣適用于指導(dǎo)應(yīng)用層安 全防護體系的建設(shè) 即 在 Protection 防護層面 可以采用 Web 應(yīng)用防火墻 針對應(yīng)用層的攻擊 進行有效防護 在 Detection 檢測層面 可以采用 Web 應(yīng)用弱點掃描器 針對在線 Web 業(yè)務(wù)應(yīng)用系統(tǒng)或 B S 架構(gòu)的系統(tǒng)進行掃描和評估 從而發(fā)現(xiàn)其弱點和安全 問題和隱患 在 Response 響應(yīng)層面 可以采用審計系統(tǒng) 應(yīng)急響應(yīng)服務(wù) 評估加固服務(wù) 的方式 針對發(fā)生的安全事件進行深度調(diào)查 取證 了解原因和問題所在 從而通過人工進行有效彌補 從根本上去除威脅和風(fēng)險 另外 從用戶角度考慮 應(yīng)用安全需求還應(yīng)滿足以下要求 產(chǎn)品部署簡便 管理集中 操作簡潔 性能影響甚微 對用戶現(xiàn)有網(wǎng)絡(luò)拓撲結(jié)構(gòu)盡量無影響 方便管理 無需進行復(fù)雜的配置 對現(xiàn)有 WEB 應(yīng)用和業(yè)務(wù)系統(tǒng)的訪問速率不能造成太大的影響 對正常業(yè)務(wù)訪問不能進行錯誤的攔截阻斷 部署后效果明顯 起到關(guān)鍵的安全防范作用 安全服務(wù)支持體系建設(shè) 同時 任何信息系統(tǒng)的安全保障建設(shè)不能單純的依靠各類安全產(chǎn)品的部署 盡 本資料由 校園大學(xué)生創(chuàng)業(yè)網(wǎng) 提供 在線代理 第 12 頁 管安全產(chǎn)品的部署能夠從大的方面對信息系統(tǒng)進行整體的安全功能改善 但是許多 安全功能無法利用安全產(chǎn)品實現(xiàn) 需要采用專門的安全服務(wù)進行完善整體安全性能 安全服務(wù)支持體系的建設(shè)將為用戶提供持續(xù)的安全動力 同時 信息系統(tǒng)安全保障是一個動態(tài)的安全過程 安全產(chǎn)品往往不能夠及時的 響應(yīng)系統(tǒng)安全狀態(tài)的的某些變化 而專業(yè)安全服務(wù)往往能夠更及時的針對安全勢態(tài) 的變化做出響應(yīng) 因此建議用戶建設(shè)安全服務(wù)支持體系 安全策略管理體系建設(shè) 不管是安全功能技術(shù)體系的建設(shè) 還是安全服務(wù)支持體系的建設(shè) 都是從技術(shù) 的角度解決信息安全問題 但是安全不單純是技術(shù)的問題 三分技術(shù) 七分管理 充分說明了安全管理的重要性 突出了用戶對信息安全管理的重視程度 建議在用戶的安全管理體系建設(shè)主要做以下幾方面的工作 安全人員和組織架構(gòu)的規(guī)劃 需要合理的進行安全人員和組織架構(gòu)的規(guī)劃 包括 人員崗位與職責(zé)的劃分 安全組織或部門的設(shè)定與職責(zé)劃分 安全策略規(guī)范的建設(shè)與完善 安全策略規(guī)范是指導(dǎo)用戶進行日常信息安全運行維護的基本綱領(lǐng) 是用戶系統(tǒng) 信息安全工作的指導(dǎo)精神 安全策略需要依據(jù)用戶的業(yè)務(wù)結(jié)構(gòu)的變化進行動態(tài)的調(diào) 整 使之服務(wù)于用戶的良性發(fā)展 安全管理規(guī)范的建設(shè)與完善 安全管理規(guī)范建設(shè)是安全系統(tǒng)建設(shè)的重要部分 指定安全管理規(guī)范的根本目的 是要規(guī)范和約束業(yè)務(wù)運行維護過程的操作行為 輔助各項安全技術(shù)手段發(fā)揮正常功 效 貫徹執(zhí)行安全策略的各項要求 綜上所述 只有通過以上 結(jié)合傳統(tǒng)網(wǎng)絡(luò)層防護措施的新型應(yīng)用層解決方案 才能實現(xiàn) 前端實時防御 后端檢測恢復(fù) 的安全核心防護理念 最終保障了核心 資產(chǎn)的安全性 使業(yè)務(wù)系統(tǒng)得到了根本意義上的保障 另外在技術(shù)功能體系完善的 同時 建議再建立相應(yīng)的安全策略管理體系和安全服務(wù)支持體系 只有三大保障體 系都建立好了 才能發(fā)揮安全產(chǎn)品和防護措施 體系的最大作用 本資料由 校園大學(xué)生創(chuàng)業(yè)網(wǎng) 提供 在線代理 第 13 頁 5 5 5 解決方案設(shè)計思想解決方案設(shè)計思想解決方案設(shè)計思想 5 15 15 1 安全建設(shè)原則安全建設(shè)原則安全建設(shè)原則 結(jié)合傳統(tǒng)網(wǎng)絡(luò)層防護措施的新型應(yīng)用層解決方案主要遵循以下幾個原則 應(yīng)用安全產(chǎn)品符合信息系統(tǒng)安全的國際標準和國家標準 對安全產(chǎn)品要采取硬 軟結(jié)合的方針 應(yīng)用安全產(chǎn)品的部署不能成為信息系統(tǒng)運行的瓶頸 應(yīng)用安全能覆蓋用戶相關(guān)的 WEB 應(yīng)用 完整性 應(yīng)用安全建設(shè)必需保證整個防御體系的完整性 一個較好的安全 措施往往是多種方法適當綜合的應(yīng)用結(jié)果 單一的安全產(chǎn)品對安全問題的 發(fā)現(xiàn)處理控制等能力各有優(yōu)劣 從安全性的角度考慮需要不同安全產(chǎn)品之 間的安全互補 通過這種對照 比較 可以提高系統(tǒng)對安全事件響應(yīng)的準 確性和全面性 動態(tài)性 隨著 WEB 應(yīng)用脆弱性的改變和威脅攻擊技術(shù)的發(fā)展 使 WEB 應(yīng) 用安全變成了一個動態(tài)的過程 靜止不變的產(chǎn)品根本無法適應(yīng) WEB 應(yīng)用安 全的需要 所選用的安全產(chǎn)品必須及時地 不斷地改進和完善 及時進行 技術(shù)和設(shè)備的升級換代 只有這樣才能保證系統(tǒng)的安全性 專業(yè)性 攻擊技術(shù)和防御技術(shù)是信息安全的一對矛盾體 兩種技術(shù)從不同 角度不斷地對系統(tǒng)的安全提出了挑戰(zhàn) 只有掌握了這兩種技術(shù)才能對系統(tǒng) 的安全有全面的認識 才能提供有效的安全技術(shù) 產(chǎn)品 服務(wù) 這就需要 從事安全的公司擁有大量專業(yè)技術(shù)人才 并能長期的進行技術(shù)研究 積累 從而全面 系統(tǒng) 深入的為用戶提供服務(wù) 易用性 安全措施要由人來完成 如果措施過于復(fù)雜 對人的要求過高 一般人員難以勝任 有可能降低系統(tǒng)的安全性 5 25 25 2 安全實施策略安全實施策略安全實施策略 安全解決方案的重點是對用戶的安全提出合理 有效的安全建議 因此 擬從 以下兩個方面著手 本資料由 校園大學(xué)生創(chuàng)業(yè)網(wǎng) 提供 在線代理 第 14 頁 從如何全面掌握用戶的安全問題 制定合理的風(fēng)險規(guī)避措施的角度出發(fā) 從如何確保用戶的安全運行 實時阻擋來自惡意者的攻擊 降低網(wǎng)站及內(nèi) 部 WEB 應(yīng)用運行風(fēng)險的角度出發(fā) 通過以上的幾個指導(dǎo)原則 我們在實際實施的時候采用如下策略 使用不同等級的安全產(chǎn)品進行集成 根據(jù)網(wǎng)站和應(yīng)用系統(tǒng)的不同安全等級 需求 選用合適的安全產(chǎn)品 可以有效的減少系統(tǒng)投資 在產(chǎn)品選型時 需要廠家可以提供客戶化支持服務(wù)產(chǎn)品 只有這樣才能保 證系統(tǒng)的安全是可以用戶化的 才能有針對的為用戶的應(yīng)用和業(yè)務(wù)提供安 全保證 國內(nèi)具有自主知識產(chǎn)權(quán)的安全產(chǎn)品可以隨時根據(jù)用戶的要求對產(chǎn) 品進行相應(yīng)的改進 使產(chǎn)品更加適合用戶的實際需要 而不是一般的通用 性產(chǎn)品 采用可提供本地化服務(wù)的廠家的產(chǎn)品 可以提供本地化服務(wù)產(chǎn)品對用戶的 安全至關(guān)重要 可以及時提供應(yīng)急安全響應(yīng)服務(wù) 如在黑客入侵事件發(fā)生 的時候 可以在第一時間進行響應(yīng) 最大程度的保護用戶利益 在選擇產(chǎn)品時需要保證符合相應(yīng)的國際 國內(nèi)標準 尤其是國內(nèi)相關(guān)的安 全標準 產(chǎn)品在使用上應(yīng)具有友好的 全中文支持的用戶界面 使用戶在管理 使 用 維護上盡量簡單 直觀 6 6 6 應(yīng)用層安全總體規(guī)劃應(yīng)用層安全總體規(guī)劃應(yīng)用層安全總體規(guī)劃設(shè)計設(shè)計設(shè)計 6 16 16 1 WebWebWeb 安全防御建議安全防御建議安全防御建議 針對以上分析的內(nèi)容和客戶需求并結(jié)合實際情況 安恒公司提出以下建議方案 1 建議部署安恒公司的明御 WEB 應(yīng)用防火墻 WAF 對用戶服務(wù)器進行保護 即對網(wǎng)站的訪問進行 7X24 小時實時監(jiān)控 通過 WEB 應(yīng)用防火墻的部署 可以解 決用戶所面臨的各類網(wǎng)站安全問題 如 SQL 注入攻擊 跨站攻擊 XSS 攻擊 俗 稱釣魚攻擊 惡意編碼 網(wǎng)頁木馬 緩沖區(qū)溢出 應(yīng)用層 DDOS 攻擊等等 防止 本資料由 校園大學(xué)生創(chuàng)業(yè)網(wǎng) 提供 在線代理 第 15 頁 網(wǎng)頁篡改 被掛木馬等嚴重影響用戶形象的安全事件發(fā)生 2 建議部署安恒公司的明鑒 WEB 應(yīng)用弱點掃描器軟件 定期對 WEB 應(yīng)用及 服務(wù)器和相關(guān)網(wǎng)站的頁面進行安全檢查 從而及時發(fā)現(xiàn) WEB 應(yīng)用類相關(guān)安全問題 及隱患 根據(jù)軟件所提出的建議進行修補 能夠?qū)崿F(xiàn)最大化保障用戶的安全性 3 建議部署安恒公司的明御數(shù)據(jù)庫審計與風(fēng)險控制系統(tǒng) 通過部署數(shù)據(jù)庫審計 系統(tǒng)能夠?qū)崿F(xiàn)所有對用戶數(shù)據(jù)庫進行訪問的行為進行全面的記錄 以及包括對數(shù)據(jù) 庫操作的 增 刪 改 查等 全方位細粒度的審計 同時支持過程及行為回放 功能 能夠還原并回放所有對數(shù)據(jù)庫的操作行為 包括 訪問的表 字段 返回 信息 操作等 從而使安全問題得到追溯 提供有據(jù)可查的功能和相關(guān)能力 6 26 26 2 解決方案優(yōu)勢概述解決方案優(yōu)勢概述解決方案優(yōu)勢概述 6 2 16 2 16 2 1 明御明御明御 WEBWEBWEB 應(yīng)用防火墻的優(yōu)勢和功能應(yīng)用防火墻的優(yōu)勢和功能應(yīng)用防火墻的優(yōu)勢和功能 傳統(tǒng)的網(wǎng)絡(luò)防火墻作為訪問控制設(shè)備 工作在 OSI1 4 層 基于 IP 報文進行狀 態(tài)檢測 地址轉(zhuǎn)換 網(wǎng)絡(luò)層訪問控制等 對報文中的具體內(nèi)容不具備檢測能力 因 此 對 Web 應(yīng)用而言 傳統(tǒng)的網(wǎng)絡(luò)防火墻僅提供 IP 及端口防護 對各類 WEB 應(yīng) 用攻擊缺乏防御能力 Web 應(yīng)用防火墻主要致力于提供應(yīng)用層保護 通過對 HTTP HTTPS 及應(yīng)用層 數(shù)據(jù)的深度檢測分析 識別及阻斷各類傳統(tǒng)防火墻無法識別的 WEB 應(yīng)用攻擊 通過明御 WEB 應(yīng)用防火墻的部署 完全解決用戶所面臨的各類 WEB 應(yīng)用攻擊 包括已知攻擊 如 注入攻擊 跨站攻擊 表單繞過等 變形攻擊及未知攻擊 同時可以達到實時監(jiān)控和事后追溯準確分析的完整解決方案 深度防御 明御 WEB 應(yīng)用防火墻基于安恒專利級 WEB 入侵異常檢測技術(shù) 對 WEB 應(yīng)用 實施全面 深度防御 能夠有效識別 阻止日益盛行的 WEB 應(yīng)用黑客攻擊 如 SQL 注入 釣魚攻擊 表單繞過 緩沖區(qū)溢出 CGI 掃描 目錄遍歷等 web 應(yīng)用加速 系統(tǒng)內(nèi)嵌應(yīng)用加速模塊 通過對各類靜態(tài)頁面及部分腳本的高速緩存 大大提 高訪問速度 敏感信息泄露防護 本資料由 校園大學(xué)生創(chuàng)業(yè)網(wǎng) 提供 在線代理 第 16 頁 系統(tǒng)內(nèi)置安全防護策略 可以靈活定義 HTTP HTTPS 錯誤返回的默認頁面 避 免因為 WEB 服務(wù)異常 導(dǎo)致敏感信息 如 WEB 應(yīng)用安裝目錄 WEB 服務(wù)器版 本信息等 的泄露 策略配置 自定義策略配置 告警 實時告警 支持郵件 短信等多種方式告警 系統(tǒng)報表 支持自定義報表 支持各類導(dǎo)出格式 WORD EXCEL PDF HTML 等 6 2 26 2 26 2 2 明鑒明鑒明鑒 WEBWEBWEB 應(yīng)用弱點掃描器的優(yōu)勢和功能應(yīng)用弱點掃描器的優(yōu)勢和功能應(yīng)用弱點掃描器的優(yōu)勢和功能 通過 WEB 應(yīng)用弱點掃描器的部署 可以定期對 WEB 網(wǎng)站及相關(guān) WEB 應(yīng)用和 服務(wù)器進行安全檢測 從而發(fā)現(xiàn)安全問題及相關(guān)隱患后能夠及時修補 深度掃描 以 web 漏洞風(fēng)險為導(dǎo)向 通過對 web 應(yīng)用 包括 WEB2 0 JAVAScript FLASH 等 進行深度遍歷 以安全風(fēng)險管理為基礎(chǔ) 支持各類 web 應(yīng)用程序的掃描 WEB 漏洞檢測 提供有豐富的策略包 針對各種 WEB 應(yīng)用系統(tǒng)以及各種 典型的應(yīng)用漏洞進行檢測 如 SQL 注入 Cookie 注入 XPath 注入 LDAP 注入 跨站腳本 代碼注入 表單繞過 弱口令 敏感文件和目錄 管理后臺 敏感數(shù)據(jù)等 網(wǎng)頁木馬檢測 對各種掛馬方式的網(wǎng)頁木馬進行全自動 高性能 智能化 分析 并對網(wǎng)頁木馬傳播的病毒類型做出準確剖析和網(wǎng)頁木馬宿主做出精 確定位 配置審計 通過當前弱點獲取數(shù)據(jù)庫的相關(guān)敏感信息 對后臺數(shù)據(jù)庫進行 配置審計 如弱口令 弱配置等 滲透測試 通通過當前弱點 模擬黑客使用的漏洞發(fā)現(xiàn)技術(shù)和攻擊手段 對目標 WEB 應(yīng)用的安全性做出深入分析 并實施無害攻擊 取得系統(tǒng)安全 威脅的直接證據(jù) 本資料由 校園大學(xué)生創(chuàng)業(yè)網(wǎng) 提供 在線代理 第 17 頁 6 2 36 2 36 2 3 明御數(shù)據(jù)庫審計與風(fēng)險控制系統(tǒng)的優(yōu)勢和功能明御數(shù)據(jù)庫審計與風(fēng)險控制系統(tǒng)的優(yōu)勢和功能明御數(shù)據(jù)庫審計與風(fēng)險控制系統(tǒng)的優(yōu)勢和功能 通過數(shù)據(jù)庫審計與風(fēng)險控制系統(tǒng)的部署 能夠?qū)λ袑W(wǎng)站數(shù)據(jù)庫進行的訪問 操作 修改等行為進行全方位 細粒度的審計與記錄 并可以進行行為的還原和回 放 多層業(yè)務(wù)關(guān)聯(lián)審計 通過應(yīng)用層訪問和數(shù)據(jù)庫操作請求進行多層業(yè)務(wù)關(guān)聯(lián)審計 實現(xiàn)訪問者信息的 完全追溯 包括 操作發(fā)生的 URL 客 戶端的 IP 請求報文等信息 通過多層業(yè) 務(wù)關(guān)聯(lián)審計更精確地定位事件發(fā)生前后所有層面的訪問及操作請求 使管理人員對 用戶的行為一目了然 真正做到數(shù)據(jù) 庫操作行為可監(jiān)控 違規(guī)操作可追溯 細粒度數(shù)據(jù)庫審計 通過對不同數(shù)據(jù)庫的 SQL 語義分析 提取出 SQL 中相關(guān)的要素 用戶 SQL 操作 表 字段 視圖 索引 過程 函數(shù) 包 實時監(jiān)控來自各個層面的所有數(shù)據(jù)庫活動 包括來自應(yīng)用系統(tǒng)發(fā)起的數(shù)據(jù)庫操 作請求 來自數(shù)據(jù)庫客戶端工具 的操作請求以及通過遠程登錄服務(wù)器后的操作請 求等 通過遠程命令行執(zhí)行的 SQL 命令也能夠被審計與分析 并對違規(guī)的操作進行阻 斷 系統(tǒng)不僅對數(shù)據(jù)庫操作請求進行實時審計 而且還可對數(shù)據(jù)庫返回結(jié)果進行完 整的還原和審計 同時可以根據(jù)返回結(jié)果設(shè)置審計規(guī)則 精準化行為回溯 一旦發(fā)生安全事件 提供基于數(shù)據(jù)庫對象的完全自定義審計查詢及審計數(shù)據(jù)展 現(xiàn) 徹底擺脫數(shù)據(jù)庫的黑盒狀態(tài) 全方位風(fēng)險控制 靈活的策略定制 根據(jù)登錄用戶 源 IP 地址 數(shù)據(jù)庫對象 分為數(shù)據(jù)庫用戶 表 字段 操作時間 SQL 操作命令 返回的記錄數(shù)或受影響的行數(shù) 關(guān)聯(lián)表 數(shù)量 SQL 執(zhí)行結(jié)果 SQL 執(zhí)行時長 報文內(nèi)容的靈活組合來定義客戶所關(guān)心的 重要事件和風(fēng)險事件 多形式的實時告警 當檢測到可疑操作或違反審計規(guī)則的操作時 系統(tǒng)可以通 過監(jiān)控中心告警 短信告警 郵件告警 Syslog 告警等方式通知數(shù)據(jù)庫管理員 多協(xié)議層的遠程訪問監(jiān)控 本資料由 校園大學(xué)生創(chuàng)業(yè)網(wǎng) 提供 在線代理 第 18 頁 支持對客戶端工具 應(yīng)用層以及對服務(wù)器的遠程訪問 如 RDP SSH FTP TELNET VNC Xwindow 實 時監(jiān)控及回放功能 有助于安 全事件的定位查詢 成因分析及責(zé)任認定 職責(zé)分離 計算機信息系統(tǒng)安全等級保護數(shù)據(jù)庫管理技術(shù)要求 企業(yè)內(nèi)部控制規(guī)范 SOX 法案或 PCI 中明確提 出對工作人員進行職責(zé)分離 系統(tǒng)設(shè)置了權(quán)限角色分離 友好真實的操作過程回放 對于客戶關(guān)心的操作可以回放整個相關(guān)過程 讓客戶可以看到真實輸入及屏幕 顯示內(nèi)容 對于遠程操作實現(xiàn)對精細內(nèi)容的檢索 如執(zhí)行刪除表 文件命令 數(shù)據(jù)搜索等 業(yè)界首創(chuàng)的審計模式 除了提供實時的動態(tài)審計功能 還提供了可選的掃描審計模塊對數(shù)據(jù)庫的不安 全配置 弱口令等進行檢測和審計 7 7 7 產(chǎn)品產(chǎn)品產(chǎn)品功能特點及技術(shù)先進性說明功能特點及技術(shù)先進性說明功能特點及技術(shù)先進性說明 7 17 17 1 明御明御明御 WEBWEBWEB 應(yīng)用防火墻 應(yīng)用防火墻 應(yīng)用防火墻 WAFWAFWAF 7 1 17 1 17 1 1 產(chǎn)品概述產(chǎn)品概述產(chǎn)品概述 明御 WEB 應(yīng)用防火墻 簡稱 WAF 是安恒結(jié)合多年應(yīng)用安全的攻防理論和 應(yīng)急響應(yīng)實踐經(jīng)驗積累的基礎(chǔ)上自主研發(fā)完成 滿足各類法律法規(guī)如 PCI 等級保 護 企業(yè)內(nèi)部控制規(guī)范等要求 以國內(nèi)首創(chuàng)的全透明部署模式全面支持 HTTPS 在 提供 WEB 應(yīng)用實時深度防御的同時實現(xiàn) WEB 應(yīng)用加速及敏感信息泄露防護 為 Web 應(yīng)用提供全方位的防護解決方案 該產(chǎn)品致力于解決應(yīng)用及業(yè)務(wù)邏輯層面的 安全問題 廣泛適用于 政府 金融 運營商 公安 能源 稅務(wù) 工商 社保 交通 衛(wèi)生 教育 電子商務(wù) 等所有涉及 WEB 應(yīng)用的各個行業(yè) 部署安恒的 WAF 產(chǎn)品 可以幫助用戶解決目前所面臨的各類網(wǎng)站安全問題 如 注入攻擊 本資料由 校園大學(xué)生創(chuàng)業(yè)網(wǎng) 提供 在線代理 第 19 頁 跨站腳本攻擊 釣魚攻擊 惡意編碼 網(wǎng)頁木馬 緩沖區(qū)溢出 信息泄露 應(yīng)用層 DOS DDOS 攻擊等等 7 1 27 1 27 1 2 產(chǎn)品特點產(chǎn)品特點產(chǎn)品特點 專利級 WEB 入侵異常檢測引擎 安恒獨有 WEB 入侵異常檢測引擎 能夠有效分析和識別各類已知和變形的應(yīng) 用攻擊 為防御的準確性和高效性提供了基礎(chǔ) 支持全透明直連部署 業(yè)界首創(chuàng)支持全透明部署 無需更改原有的 DNS 或 IP 配置 對原有應(yīng)用不會 造成任何影響 HTTPS 支持 全面支持 HTTPS SSL 加密協(xié)議 實現(xiàn)對高安全要求 WEB 應(yīng)用系統(tǒng)的檢測和防 護 提供了針對性的安全檢測及深度防御的解決方案 支持多保護對象 支持多臺主機對象的保護 包括不同域名不同 IP 不同域名相同 IP 的情況 支持用戶自定義規(guī)則庫 用戶可以根據(jù)數(shù)據(jù)包的特征關(guān)鍵字等自定義安全策略規(guī)則 來實現(xiàn)安全檢測及 過濾 統(tǒng)一日志平臺接口 支持監(jiān)控 阻斷 軟硬件物理直通等多種應(yīng)用模式 支持多種部署模式支持直連透明部署 旁路牽引防護部署 HA 等部署模式 7 27 27 2 明鑒明鑒明鑒 WEBWEBWEB 應(yīng)用弱點掃描器 應(yīng)用弱點掃描器 應(yīng)用弱點掃描器 MatriXayMatriXayMatriXay 7 2 17 2 17 2 1 產(chǎn)品概述產(chǎn)品概述產(chǎn)品概述 明鑒 WEB 應(yīng)用弱點掃描器 簡稱 MatriXay 5 0 是安恒安全專家團隊在深 入分析研究 B S 架構(gòu)應(yīng)用系統(tǒng)中典型安全漏洞以及流行攻擊技術(shù)基礎(chǔ)上研制而成 該產(chǎn)品 1 0 版本于 2006 年 8 月世界安全 大會 BlackHat 和 Def Con 上首次發(fā)布 2 0 版本于 2007 年 12 月 發(fā)布 并在 08 奧運會 WEB 安全保障中發(fā)揮了重要的作用 本資料由 校園大學(xué)生創(chuàng)業(yè)網(wǎng) 提供 在線代理 第 20 頁 2009 年 3 6 版本 成功入選工信部安全中心 Web 應(yīng)用安全檢查工具 與市場上同 類產(chǎn)品的不同之處在于 不僅具有精確的 取證式 掃描功能 還提供了強大的安 全審計 滲透測試 功能 誤報率和漏報率等各項關(guān)鍵指標均達到國際領(lǐng)先水平 因此 被評價為 最佳的 WEB 安全評估工具 MatriXay 5 0 2011 版 旨在降低 WEB 應(yīng)用的風(fēng)險 使國家利益 社會利益 企業(yè)利益乃至個人利益的受損風(fēng)險降低 廣泛適用于 等級保護測評機構(gòu) 公安 運營商 金融 電力能源 政府 教育 等各領(lǐng)域內(nèi)的互聯(lián)網(wǎng)應(yīng)用 門戶網(wǎng)站及 內(nèi)部核心業(yè)務(wù)系統(tǒng) 如網(wǎng)銀 網(wǎng)上營業(yè)廳 OSS 系統(tǒng) ERP 系統(tǒng) OA 系統(tǒng)等 作為公安部等級保護測評中心專用應(yīng)用安全測評工具 工信部安全中心 Web 應(yīng)用安全檢查工具 MatriXay 5 0 2011 版 全面支持 OWASP TOP 10 檢測 可 以幫助用戶充分了解 WEB 應(yīng)用存在的安全隱患 建立安全可靠的 WEB 應(yīng)用服務(wù) 改善并提升應(yīng)用系統(tǒng)抗各類 WEB 應(yīng)用攻擊的能力 如 注入攻 擊 跨站腳本 釣 魚攻擊 信息泄漏 惡意編碼 表單繞過 緩沖區(qū)溢出等 協(xié)助用戶滿足等級保 護 PCI 內(nèi)控審計等規(guī)范要求 7 2 27 2 27 2 2 產(chǎn)品特點產(chǎn)品特點產(chǎn)品特點 全面 深度 準確評估 WEB 應(yīng)用弱點 有效提高主動防御能力 支持的 WEB 應(yīng)用類型 全面支持 WEB 2 0 支持各類 JavaScript 腳本解析 全面支持 FLASH 解析 支持 WAP 類及 WMLScript 腳本類應(yīng)用系統(tǒng) 支持基于 HTTPS 應(yīng)用系統(tǒng)的檢測 首家支持國內(nèi) 國外知名 WEB 應(yīng)用程序漏洞掃描測 支持所有類型的動態(tài)頁面 支持各類認證方式 支持基于支持包括 Basic Digest NTLM 在內(nèi)的認證方式 支持 HTTP 和 SOCKS 代理 并支持各種代理的認證方式 支持的弱點類型 包含 OWASP TOP 10 A1 注入攻擊 A2 跨站腳 本 XSS A3 失效的認證和會話管理 A4 不安全的直接對象引用 A5 跨站請求偽造 A6 安全配置錯 誤 A7 限制 URL 訪問失敗 A8 本資料由 校園大學(xué)生創(chuàng)業(yè)網(wǎng) 提供 在線代理 第 21 頁 尚未認證的重定向和轉(zhuǎn)發(fā) A9 不安全的密碼儲藏 A10 傳輸層保護不 足 SQL 注入檢測 XSS 跨站腳本檢測 偽造跨站點請求檢測 網(wǎng)頁木馬檢測 隱藏字段檢測 表單繞過檢測 AJAX 注入檢測 中間人攻擊檢測 弱配置檢測 敏感信息泄漏檢測 HI JACK 攻擊檢測 弱口令檢測 Xpath 注入檢測 LDAP 注入 框架注入 操作系統(tǒng)命令注入 Flash 源代碼泄露 Flash 跨域攻擊 Cookies 注入檢測 敏感文件 第三方軟件 其他各類 CGI 漏洞檢測 支持的數(shù)據(jù)庫類型 Oracle MSSQL DB2 Informix Sybase Mysql PostgreSQL 本資料由 校園大學(xué)生創(chuàng)業(yè)網(wǎng) 提供 在線代理 第 22 頁 Access Ingres 靈活可定義的掃描工作模式 支持普通掃描模式 命令掃描模式 支持邊爬行邊檢測 先爬行后檢測 只爬行網(wǎng)站鏈接 只檢測現(xiàn)有 URL 等多種掃描方式 掃描方式 簡單模式 單個域名 批量模式 多個域名 掃描范圍 當前 URL 當前子域名 當前域名 任何 URL 支持無人值守模式下的全模式自動掃描 工作方式 主動掃描 被動掃描 Proxy 掃描深度 支持無限掃描深度 掃描過程可以隨時中斷 恢復(fù) 掃描結(jié)果實時存儲 支持多任務(wù) 多線程掃描 多引擎并行掃描 支持任意掃描例外設(shè)置 深度智能掃描引擎 全面支持 SSL 自動過濾重復(fù)頁面 自動檢測所有參數(shù) 支持網(wǎng)頁大小寫敏感 不敏感 支持所需網(wǎng)頁檢測類型設(shè)置 獨有的 取證 模式確保評估結(jié)果準確可信 直觀豐富的統(tǒng)計報表 完善的結(jié)果趨勢分析 完備豐富的風(fēng)險評估報告 支持各類格式輸出 并可自定義內(nèi)容 安裝運行無需第三方軟件支持 7 37 37 3 明御數(shù)據(jù)庫審計與風(fēng)險控制系統(tǒng) 明御數(shù)據(jù)庫審計與風(fēng)險控制系統(tǒng) 明御數(shù)據(jù)庫審計與風(fēng)險控制系統(tǒng) DAS DBAuditorDAS DBAuditorDAS DBAuditor 7 3 17 3 17 3 1 產(chǎn)品概述產(chǎn)品概述產(chǎn)品概述 明御數(shù)據(jù)庫審計與風(fēng)險控制系統(tǒng) 簡稱 DAS DBAuditor 是安恒公司結(jié)合多 本資料由 校園大學(xué)生創(chuàng)業(yè)網(wǎng) 提供 在線代理 第 23 頁 年數(shù)據(jù)庫安全的理論和實踐經(jīng)驗積累的基礎(chǔ)上 結(jié)合各類法令法規(guī) 如 SOX PCI 企業(yè)內(nèi)控管理 等級保護等 對數(shù)據(jù)庫審計的要求 自主研發(fā)完成的 業(yè)界首創(chuàng)細粒度審計 精準化行為回溯 全方位風(fēng)險控制的數(shù)據(jù)庫審計產(chǎn)品 DAS DBAuditor 以獨立硬件審計的工作模式 靈活的審計策略配置 解決企 業(yè)核心數(shù)據(jù)庫面臨的 越權(quán)使用 權(quán)限濫用 權(quán)限 盜用 等安全威脅 滿足各類 法令法規(guī)對數(shù)據(jù)庫審計的要求 廣泛適用于 政府 金融 運營商 公安 能源 稅務(wù) 工商 社保 交通 衛(wèi) 生 教育 電子商務(wù)及企業(yè) 等所有使用數(shù)據(jù)庫的 各個行業(yè) DAS DBAuditor 支持 Oracle MS SQL Server DB2 Sybase MySQL Informix OSCAR 等業(yè)界主流數(shù) 據(jù)庫以及眾 多遠程操作協(xié)議 如 RDP 遠程桌面 SSH VNC Xwindow TELNET FTP SFTP 等 可以幫助用戶提升數(shù)據(jù)庫和主 機運行監(jiān)控的透明度 降低人工審 計成本 真正實現(xiàn)數(shù)據(jù)庫全業(yè)務(wù)運行可視化 日常操作可監(jiān)控 危險操作可控制 所有行為可審計 安全事件可追溯 7 3 27 3 27 3 2 產(chǎn)品特點產(chǎn)品特點產(chǎn)品特點 完整性 獨一無二的多層業(yè)務(wù)關(guān)聯(lián)審計 可針對 WEB 層 應(yīng)用中間層 數(shù) 據(jù)層各層次進行關(guān)聯(lián)審計 細粒度 細粒度的審計規(guī)則 精準化的行為回溯 全方位的風(fēng)險控制 有效性 獨有專利技術(shù)實現(xiàn)對數(shù)據(jù)庫安全的各類風(fēng)險 攻擊風(fēng)險 管理風(fēng) 險 的有效控制 靈活的 可自定義的審計規(guī)則滿足了各類內(nèi)控和外審的 需求 有效控制誤操作 越權(quán)操作 惡意操作等違規(guī)行為 公正性 基于獨立監(jiān)控審計的工作模式 實現(xiàn)了數(shù)據(jù)庫管理與審計的分離 保證了審計結(jié)果的真實性 完整性 公正性 零風(fēng)險 無需對現(xiàn)有數(shù)據(jù)庫進行任何更改或增加配置 即可實現(xiàn)零風(fēng)險部 署 高可靠 提供多層次的物理保護 掉電保護 自我監(jiān)測及冗余部署 提升 設(shè)備整體可靠性 易操作 充分考慮國內(nèi)用戶的使用和維護習(xí)慣 提供 Web based 全中文 操作界面及在線操作提示 本資料由 校園大學(xué)生創(chuàng)業(yè)網(wǎng) 提供 在線代理 第 24 頁 8 8 8 方案設(shè)計和實施的可靠性方案設(shè)計和實施的可靠性方案設(shè)計和實施的可靠性 8 18 18 1 設(shè)計的可靠性設(shè)計的可靠性設(shè)計的可靠性 在對方案進行設(shè)計的時候 其可靠性也是重點考慮的 因為很多用戶的網(wǎng)絡(luò)中 承載著重要的業(yè)務(wù)應(yīng)用系統(tǒng) 如 擁有大量的重要核心網(wǎng)絡(luò)設(shè)備和服務(wù)器以及業(yè)務(wù) 應(yīng)用系統(tǒng) 因此 在提出技術(shù)建議方案的時候要把對業(yè)務(wù)應(yīng)用系統(tǒng)的影響將到最低 同時還能夠滿足用戶的安全需求 8 28 28 2 實施的可靠性實施的可靠性實施的可靠性 方案實施的可靠性也是非常重要的 因為在設(shè)計方案的時候就考慮到產(chǎn)品選型 的問題 所選型的產(chǎn)品至少要應(yīng)用較為廣泛 技術(shù)實力較強 另外從產(chǎn)品技術(shù)角度 而言 其可靠性 穩(wěn)定性同樣也是需要重點關(guān)注的 最后從售后技術(shù)支持服務(wù)角度 而言 所選型的產(chǎn)品提供商應(yīng)該在國內(nèi)建立多個分公司以及辦事處 有專人負責(zé)對 產(chǎn)品的售后服務(wù) 技術(shù)支持等工作 所以 產(chǎn)品的可靠性 穩(wěn)定性同時也是方案的 可靠性 可實施性的基礎(chǔ) 9 9 9 文章中心思想總結(jié)文章中心思想總結(jié)文章中心思想總結(jié) 正是為了幫助解決用戶面臨的各種棘手的信息安全問題 安恒公司依托豐富的 安全建設(shè)與服務(wù)經(jīng)驗 依托對眾多行業(yè)客戶的網(wǎng)絡(luò)