web應(yīng)用安全解決方案

天存Web應(yīng)用安全解決方案Web攻擊事件-篡改網(wǎng)頁(yè)2Web攻擊事件-篡改數(shù)據(jù)3Web攻擊事件-跨站攻擊4Web攻擊事件-注入式攻擊5最近……6Web應(yīng)用結(jié)構(gòu)中間層

(Web服務(wù)器)數(shù)據(jù)層

(數(shù)據(jù)庫(kù)服務(wù)器)客戶(hù)端

(Web瀏覽器)9Web安全全貌防火墻數(shù)據(jù)庫(kù)服務(wù)器Web服務(wù)器應(yīng)用服務(wù)器IPS/IDSWeb應(yīng)用DoS攻擊端口掃描網(wǎng)絡(luò)層模式攻擊已知Web服務(wù)器漏洞跨站腳本注入式攻擊非法執(zhí)行Cookie假冒??????10傳統(tǒng)網(wǎng)絡(luò)安全設(shè)備防火墻限制地址和端口訪(fǎng)問(wèn)驗(yàn)證和加固網(wǎng)絡(luò)協(xié)議入侵檢測(cè)基于網(wǎng)絡(luò)層的數(shù)據(jù)包檢查問(wèn)題Web端口誰(shuí)來(lái)保護(hù)？應(yīng)用數(shù)據(jù)誰(shuí)來(lái)保護(hù)？如何保證公眾瀏覽到的信息是原始的？11風(fēng)險(xiǎn)和投資75%25%10%90%Web應(yīng)用網(wǎng)絡(luò)服務(wù)器安全風(fēng)險(xiǎn)安全投資12常見(jiàn)Web攻擊類(lèi)型威脅手段后果注入式攻擊通過(guò)構(gòu)造SQL語(yǔ)句對(duì)數(shù)據(jù)庫(kù)進(jìn)行非法查詢(xún)黑客可以訪(fǎng)問(wèn)后端數(shù)據(jù)庫(kù)，偷竊和修改數(shù)據(jù)跨站腳本攻擊通過(guò)受害網(wǎng)站在客戶(hù)端顯不正當(dāng)?shù)膬?nèi)容和執(zhí)行非法命令黑客可以對(duì)受害者客戶(hù)端進(jìn)行控制，盜竊用戶(hù)信息上傳假冒文件繞過(guò)管理員的限制上傳任意類(lèi)型的文件黑客可以篡改網(wǎng)頁(yè)、圖片和下載文件等不安全本地存儲(chǔ)偷竊cookie和sessiontoken信息黑客獲取用戶(hù)關(guān)鍵資料，冒充用戶(hù)身份非法執(zhí)行腳本執(zhí)行系統(tǒng)默認(rèn)的腳本或自行上傳的WebShell腳本等黑客完全控制服務(wù)器非法執(zhí)行系統(tǒng)命令利用Web服務(wù)器漏洞上執(zhí)行Shell命令Execute等黑客獲得服務(wù)器信息源代碼泄漏利用Web服務(wù)器漏洞或應(yīng)用漏洞獲得腳本源代碼黑客分析源代碼從而更有針對(duì)性的對(duì)網(wǎng)站攻擊URL訪(fǎng)問(wèn)限制失效黑客可以訪(fǎng)問(wèn)非授權(quán)的資源連接黑客可以強(qiáng)行訪(fǎng)問(wèn)一些登陸網(wǎng)頁(yè)、歷史網(wǎng)頁(yè)13產(chǎn)生的原因操作系統(tǒng)系統(tǒng)已公布超過(guò)1萬(wàn)多個(gè)系統(tǒng)漏洞漏洞與補(bǔ)丁漏洞從發(fā)現(xiàn)到被利用最短為0天（0day攻擊）官方補(bǔ)丁的平均發(fā)布時(shí)間為47天應(yīng)用系統(tǒng)漏洞不同應(yīng)用系統(tǒng)的不同的開(kāi)發(fā)者現(xiàn)有技術(shù)架構(gòu)下，網(wǎng)站漏洞長(zhǎng)期存在14如何防范及時(shí)給操作系統(tǒng)、web服務(wù)軟件打補(bǔ)丁敦促每個(gè)開(kāi)發(fā)者關(guān)注應(yīng)用安全使用黑客工具模擬攻擊[黑盒測(cè)試]復(fù)查所有應(yīng)用系統(tǒng)代碼[白盒測(cè)試]更好的方法？15Web應(yīng)用安全解決之道天存Web應(yīng)用安全解決策略iGuard網(wǎng)頁(yè)防篡改系統(tǒng)杜絕被篡改的網(wǎng)頁(yè)被公眾瀏覽杜絕被篡改的腳本被非法執(zhí)行杜絕對(duì)數(shù)據(jù)庫(kù)內(nèi)容的非法訪(fǎng)問(wèn)和篡改iWall應(yīng)用防火墻對(duì)提交給Web服務(wù)的http請(qǐng)求進(jìn)行檢查杜絕黑客利用Web系統(tǒng)和應(yīng)用漏洞Web服務(wù)器核心內(nèi)嵌技術(shù)17Web服務(wù)器核心內(nèi)嵌模塊硬件平臺(tái)（X86/sparc/ItaniumII/PowerPC/PA-RISC）操作系統(tǒng)（Windows/Linux/FreeBSD/Solaris/AIX/HP-UX）Web服務(wù)器軟件(IIS/Apache/Weblogic/Websphere)

安全核心內(nèi)嵌模塊requestresponse應(yīng)用防護(hù)技術(shù)數(shù)字水印技術(shù)Web服務(wù)器18Web服務(wù)器核心內(nèi)嵌技術(shù)技術(shù)優(yōu)勢(shì) 不存在獨(dú)立的安全模塊運(yùn)行進(jìn)程 精準(zhǔn)理解和分析Web服務(wù)出入的數(shù)據(jù)全面控制Web服務(wù)器軟件軟件和服務(wù)全平臺(tái)支持操作系統(tǒng)：支持Windows、Linux、UnixWeb服務(wù)器：支持IIS、Apache、J2EE19iGuard網(wǎng)頁(yè)防篡改系統(tǒng)發(fā)布服務(wù)器核心內(nèi)嵌-數(shù)字水印技術(shù)Web服務(wù)器FTP/rsync一般發(fā)布過(guò)程篡改檢測(cè)模塊自動(dòng)發(fā)布

子系統(tǒng)監(jiān)控和恢復(fù)

子系統(tǒng)+篡改檢測(cè)

子系統(tǒng)SSL1.上傳正常網(wǎng)頁(yè)=X水印庫(kù)2.瀏覽正常網(wǎng)頁(yè)3.篡改網(wǎng)頁(yè)4.瀏覽篡改網(wǎng)頁(yè)5.自動(dòng)恢復(fù)文件系統(tǒng)21工作過(guò)程發(fā)布過(guò)程發(fā)布內(nèi)嵌模塊檢測(cè)到文件創(chuàng)建/變化為文件產(chǎn)生加密和不可逆轉(zhuǎn)數(shù)字水印通過(guò)SSL加密通道傳送到Web服務(wù)器檢測(cè)過(guò)程公眾發(fā)出請(qǐng)求瀏覽網(wǎng)頁(yè)應(yīng)用防護(hù)子系統(tǒng)檢查請(qǐng)求的合法性篡改檢測(cè)子系統(tǒng)檢查數(shù)字水印完整性輔助以增強(qiáng)型事件觸發(fā)技術(shù)防護(hù)22iGuard同步特性詳述實(shí)時(shí)的文件檢測(cè)，高效的上傳同步發(fā)布端支持Windows/Linux操作系統(tǒng)接收端支持所有常見(jiàn)操作系統(tǒng)平臺(tái)支持多服務(wù)器，鏡像同步和非鏡像同步支持多虛擬主機(jī)和多虛擬目錄支持精確同步和增量同步支持自動(dòng)重連，失敗重傳和任務(wù)斷點(diǎn)續(xù)傳支持企業(yè)級(jí)雙機(jī)發(fā)布模式，主從自動(dòng)切換支持應(yīng)用/服務(wù)兩種模式選擇128位安全連接，通信雙方數(shù)字證書(shū)認(rèn)證完整和全面的日志查詢(xún)23iGuard防篡改特性詳述可靠的實(shí)時(shí)網(wǎng)頁(yè)篡改檢測(cè)嚴(yán)密的安全水印密碼算法內(nèi)嵌式檢查惡意請(qǐng)求即時(shí)的報(bào)警和頁(yè)面恢復(fù)篡改網(wǎng)頁(yè)快照留影支持所有操作平臺(tái)和Web服務(wù)器支持各種動(dòng)態(tài)網(wǎng)頁(yè)技術(shù)支持特殊目錄和文件忽略自定義出錯(cuò)頁(yè)面郵件報(bào)警和第三方報(bào)警與安全管理平臺(tái)整合24雙機(jī)和集群部署DMZIntranetInternet內(nèi)容管理系統(tǒng)iGuard發(fā)布服務(wù)器Web服務(wù)器集群25iWall應(yīng)用防火墻防注入式攻擊示例zhangsanhack’or‘1’=‘1SELECT*FROMuserWHEREname=‘hack’or‘1’=‘1’SELECT*FROMuserWHEREname=‘zhangsan’XO27iWall的檢查對(duì)象請(qǐng)求特性鑒別類(lèi)型過(guò)濾請(qǐng)求長(zhǎng)度過(guò)濾請(qǐng)求類(lèi)型過(guò)濾請(qǐng)求方法過(guò)濾請(qǐng)求版本過(guò)濾文件類(lèi)型過(guò)濾請(qǐng)求數(shù)據(jù)URL過(guò)濾請(qǐng)求參數(shù)過(guò)濾請(qǐng)求數(shù)據(jù)過(guò)濾Cookie過(guò)濾盜鏈檢查跨站攻擊檢查28iWall防范的攻擊SQL數(shù)據(jù)庫(kù)注入式攻擊腳本源代碼泄露非法執(zhí)行系統(tǒng)命令非法執(zhí)行腳本上傳假冒文件跨站腳本執(zhí)行不安全的本地存儲(chǔ)網(wǎng)站資源盜鏈29iWall產(chǎn)品特點(diǎn)安全性–核心內(nèi)嵌技術(shù)高效性–無(wú)系統(tǒng)通信開(kāi)銷(xiāo)靈活性–支持多主機(jī)多規(guī)則廣泛性–支持所有平臺(tái)穩(wěn)定性–多年高訪(fǎng)問(wèn)量低成本–無(wú)須增加硬件可擴(kuò)充–防范攻擊模式30實(shí)現(xiàn)方式比較項(xiàng)目軟件實(shí)現(xiàn)方式硬件實(shí)現(xiàn)方式部署點(diǎn)Web服務(wù)器網(wǎng)關(guān)保護(hù)范圍一臺(tái)Web服務(wù)器一個(gè)網(wǎng)段訪(fǎng)問(wèn)性能影響小，無(wú)瓶頸效應(yīng)影響大，有瓶頸效應(yīng)單點(diǎn)失效不可能可能升級(jí)方便可以細(xì)粒度配置方便可以成本一般較高31資質(zhì)和技術(shù)適用環(huán)境純靜態(tài)架構(gòu)的信息發(fā)布門(mén)戶(hù)iGuard標(biāo)準(zhǔn)版動(dòng)靜結(jié)合的信息和應(yīng)用綜合門(mén)戶(hù)iGuard標(biāo)準(zhǔn)動(dòng)態(tài)版高安全需求的關(guān)鍵Web應(yīng)用iGuard標(biāo)準(zhǔn)版+iWall應(yīng)用防火墻33權(quán)威安全部門(mén)檢驗(yàn)34技術(shù)背景天存公司國(guó)家信息安全產(chǎn)業(yè)基地企業(yè)上海信息安全行業(yè)協(xié)會(huì)會(huì)員專(zhuān)業(yè)Web安全技術(shù)研發(fā)公司技術(shù)以國(guó)家863安全Web項(xiàng)目為基礎(chǔ)

（SWP01通用安全Web平臺(tái)）運(yùn)用領(lǐng)先的Web服務(wù)器研究技術(shù)與成果35Web安全全貌防火墻數(shù)據(jù)庫(kù)服務(wù)器Web服務(wù)器應(yīng)用服務(wù)器IPS/IDSWeb應(yīng)用DoS攻擊端口掃描網(wǎng)絡(luò)層模式攻擊已知Web服務(wù)器漏洞跨站腳本注入式攻擊非法執(zhí)行Cookie假冒36Web應(yīng)用安全產(chǎn)品Web應(yīng)用安全產(chǎn)品是現(xiàn)代網(wǎng)絡(luò)安全架構(gòu)的一個(gè)重要組成部分Web應(yīng)用安全產(chǎn)品著重進(jìn)行應(yīng)用層的內(nèi)容檢查和安全防御Web應(yīng)用安全產(chǎn)品與傳統(tǒng)安全設(shè)備共同構(gòu)成全面和有效的安全防護(hù)體系37成功案例中國(guó)中央政府門(mén)戶(hù)網(wǎng)站中國(guó)政府官方網(wǎng)站投標(biāo)集成商一致選擇,各方專(zhuān)家嚴(yán)格評(píng)審按日訪(fǎng)問(wèn)量30,000,000設(shè)計(jì)Linux*262005年10月www.39中國(guó)網(wǎng)中國(guó)互聯(lián)網(wǎng)新聞中心,官方新聞網(wǎng)站每天以8種文字更新網(wǎng)頁(yè)300,000個(gè)網(wǎng)站網(wǎng)頁(yè)文件超過(guò)60,000,000個(gè)Solaris*13+Linux*n2003年10月40地方政府網(wǎng)站北京市人民政府（首都之窗）上海市政府（中國(guó)上海）廣州市政府（中國(guó)廣州）天津市政府（中國(guó)天津）41運(yùn)營(yíng)商中國(guó)網(wǎng)通集團(tuán)中國(guó)網(wǎng)通網(wǎng)上營(yíng)業(yè)廳支付平臺(tái)中國(guó)網(wǎng)通寬帶我世界門(mén)戶(hù)網(wǎng)站中國(guó)網(wǎng)通研究院江蘇電信、泉州電信、南通電信、資陽(yáng)電信北京移動(dòng)、內(nèi)蒙古移動(dòng)、山西移動(dòng)42官