Web系统整体安全解决方案
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
恶意程序传播、感染的重要内因
网页挂马事件
• 对广大网民危害较大
•
恶意程序广泛传播的重要手段
恶意程序事件
• 造成网站或用户敏感信息泄漏
网页篡改事件
• 使网站形象和声誉受损
拒绝服务攻击事件
• 直接导致网站业务损失
网页仿冒事件
• 对用户的财产安全构成直接威胁
WEB系统管理面临的挑战
管理者的苦恼
2011年
国内网站被篡改事件36612个;监测到仿冒境内银行网 站的域名3841个;4月~12月,监测到境内12513个网 站被植入后门
2012 年
通报漏洞339个;国内日均发生攻击流量超过1G的 DDoS攻击事件1022件,为2011年的3倍;网站钓鱼日 渐猖獗,发现针对国内网站的钓鱼页面22308个
2013.03 & 8
300G 流量攻
击Spamhaus 韩国大规模网 络攻击 .cn,com.cn 域名无法解析
银行
商业网站
传统行业:政府、金融、媒体、运营商……
DDoS防护的需求
Web系统面临各种威胁
手段 目的 后果
网页篡改 信息窃取 非法入侵
SYN Flood
信息被篡改
信息泄漏 权限失控
挑战
对于Web系统存在的漏洞能否有效发现 和快速弥补? 面对多层次多方面的攻击,如何快速地 发现和防范? 当安全事件发生时,能否在第一时间捕获 该事件?如何减少人工处理导致的延时? 安全事件发生后,能否结合事件及自身 系统进行有效分析和加固?
如何保护WEB系统的安全?
解决Web安全问题的思路
规划开发阶段 运营维护阶段
休闲游戏
……
2007
2007.4 爱沙尼亚网 战: 国会 政府 银行 媒体
2008
2009.3 &7 韩美事件: 政府 公共机构
2009
2010
2011
2012
2013
2009.6 伊朗选举: 政府 媒体 商业网站 2011.8 香港披露易事件: 证交所网站
2012.8
WikiLeak
: Master Paypal 其他银行
发布和备份
FTP、SFTP、CMS
Web系统安全漏洞形势严峻 (一) Web系统各组成部分均存在安全隐患
Internet
网站访问者 路由器 防火墙 交换机 Web服务器 应用服务器 数据库服务器
DNS递归服务器
DNS权威服务器
最近几年,信息安全漏洞数不断攀升
47%的漏洞来源于Web应用
数据来源:国家信息安全漏洞共享平台 (CNVD)
数据来源: IBM X-Force 2012 Mid-year Trend and Report
Web系统安全漏洞形势严峻(二)
70.0%
60.0% 50.0% 40.0% 30.3% 30.0% 20.0% 10.0% 0.0% 6.8% 5.1% 1.3% 14.5% 13.3% 3.4% 1.8% 0.0% 0.0% 27.3% 16.7% 0.0% 8.0% 2.8% 5.1% 63.6%
2013 年
通报基础网络相关漏洞518起;地方政府网站频繁遭遇 黑客组织攻击,2430个政府网站遭篡改; 境内6.1万个 网站被境外通过植入后门实施控制,国内1090万余台主 机被境外服务器控制
数据来源:国家互联网应急中心(CNCERT)
安全事件影响很严重
安全漏洞事件
•
•
攻击得以奏效的重要原因之一
规划阶段
开发阶段
测试阶段
运行阶段
安全规划与培训
代码核查
黑盒/渗透测试 事前 事中
防患于未然 攻防的关键
WEB脆弱性的发现
快速发现攻击行为,快速响应,快速阻断 24x7的网站监控和专家支持
评估与改善
事后 事件报告、整改建议
事前、事中、事后的Web网站安全防护
事前-事中-事后的防护
网 站 入 侵 WEB漏洞发现 暴力破解 DDoS 跨站脚本
Internet
路由器 防火墙 交换机 Web服务器 应用服务器 数据库服务器
攻击者
解析失效
DNS递归服务器 DNS权威服务器
可用性被破坏
公信力下降
拒绝服务
Internet
名誉受损
WEB安全事件层出不穷
国内安全事件很频繁
2010 年
每月被篡改网站数量平均为2904个;接收网络钓鱼事件 报告1566起,大都集中在电子商务,金融机构网站,第 三方支付站点以及社交网站等;
Web系统整体安全解决方案
1 Web系统安全面临各种威胁 2 Web系统安全事件层出不穷 3 Web系统管理面临的挑战 4 如何保护Web系统的安全? 5 优势和价值
WEB系统面临各种威胁
Web业务的复杂
客户端 Web服务器 应用服务器 数据库服务器
Internet
ERP
Mail
OA
CMS
…
B/S业务系统
攻击者 防火墙
网页篡改
SQL注入 信息窃取
网站系统
安 全 防 护
Hale Waihona Puke Baidu
WEB漏洞扫描 和虚拟补丁
双向流量的过滤与清洗 漏洞整改
应急响应
方 案
产 品
WEB漏洞扫描 系统
C/S业务系统
企业数据中心
网站相关技术 通信协议 WEB语言 WEB Server 操作系统 数据库 举例 HTTP、HTTPS HTML、CSS、XHTML、CGI、ASP、JSP、PHP… IIS、Apache、WebSphere、Tomcat、WebLogic… Windows、Linux、FreeBSD、SOLARIS、AIX、HP-Unix… SQL Server、MySQL、DB2、Sybase、Access…
需求
1. 现有人员编制下,获得安全专家团队能力 2. 提前发现网站的风险漏洞,获得安全建议 3. 如何预防多种安全威胁 4. Web系统被攻击第一时间知晓,获得应急支持 5. 定期把握网站整体安全趋势
安全事件频出
上级监管压力
现实:安全力量薄弱
•安全设备运维管理复杂 •人员缺乏,发生安全事件应对不力 •安全预算有限,防护能力较弱 •安全管理措施不严格
扫描 渗透
0.0%
0.0% 0.0%
数据来源:2012年威胁报告
数据来源:乌云网(WooYun)
跨站脚本和配置错误是当前Web系统最主要的漏洞
漏洞行业分布
猖獗的DDoS(一)
互联网行业:网游、电商、搜索、网媒、网络服务商、社区……
网络游戏 MMO 网页游戏 电子商务 旅行预订 网上购物 …… 网络服务 网上招聘 网上教育 网络ERP …… 网络媒体 门户 …… 搜索 网址导航 购物搜索 旅游搜索 …… Web2.0 博客 SNS 交友 ……
网页挂马事件
• 对广大网民危害较大
•
恶意程序广泛传播的重要手段
恶意程序事件
• 造成网站或用户敏感信息泄漏
网页篡改事件
• 使网站形象和声誉受损
拒绝服务攻击事件
• 直接导致网站业务损失
网页仿冒事件
• 对用户的财产安全构成直接威胁
WEB系统管理面临的挑战
管理者的苦恼
2011年
国内网站被篡改事件36612个;监测到仿冒境内银行网 站的域名3841个;4月~12月,监测到境内12513个网 站被植入后门
2012 年
通报漏洞339个;国内日均发生攻击流量超过1G的 DDoS攻击事件1022件,为2011年的3倍;网站钓鱼日 渐猖獗,发现针对国内网站的钓鱼页面22308个
2013.03 & 8
300G 流量攻
击Spamhaus 韩国大规模网 络攻击 .cn,com.cn 域名无法解析
银行
商业网站
传统行业:政府、金融、媒体、运营商……
DDoS防护的需求
Web系统面临各种威胁
手段 目的 后果
网页篡改 信息窃取 非法入侵
SYN Flood
信息被篡改
信息泄漏 权限失控
挑战
对于Web系统存在的漏洞能否有效发现 和快速弥补? 面对多层次多方面的攻击,如何快速地 发现和防范? 当安全事件发生时,能否在第一时间捕获 该事件?如何减少人工处理导致的延时? 安全事件发生后,能否结合事件及自身 系统进行有效分析和加固?
如何保护WEB系统的安全?
解决Web安全问题的思路
规划开发阶段 运营维护阶段
休闲游戏
……
2007
2007.4 爱沙尼亚网 战: 国会 政府 银行 媒体
2008
2009.3 &7 韩美事件: 政府 公共机构
2009
2010
2011
2012
2013
2009.6 伊朗选举: 政府 媒体 商业网站 2011.8 香港披露易事件: 证交所网站
2012.8
WikiLeak
: Master Paypal 其他银行
发布和备份
FTP、SFTP、CMS
Web系统安全漏洞形势严峻 (一) Web系统各组成部分均存在安全隐患
Internet
网站访问者 路由器 防火墙 交换机 Web服务器 应用服务器 数据库服务器
DNS递归服务器
DNS权威服务器
最近几年,信息安全漏洞数不断攀升
47%的漏洞来源于Web应用
数据来源:国家信息安全漏洞共享平台 (CNVD)
数据来源: IBM X-Force 2012 Mid-year Trend and Report
Web系统安全漏洞形势严峻(二)
70.0%
60.0% 50.0% 40.0% 30.3% 30.0% 20.0% 10.0% 0.0% 6.8% 5.1% 1.3% 14.5% 13.3% 3.4% 1.8% 0.0% 0.0% 27.3% 16.7% 0.0% 8.0% 2.8% 5.1% 63.6%
2013 年
通报基础网络相关漏洞518起;地方政府网站频繁遭遇 黑客组织攻击,2430个政府网站遭篡改; 境内6.1万个 网站被境外通过植入后门实施控制,国内1090万余台主 机被境外服务器控制
数据来源:国家互联网应急中心(CNCERT)
安全事件影响很严重
安全漏洞事件
•
•
攻击得以奏效的重要原因之一
规划阶段
开发阶段
测试阶段
运行阶段
安全规划与培训
代码核查
黑盒/渗透测试 事前 事中
防患于未然 攻防的关键
WEB脆弱性的发现
快速发现攻击行为,快速响应,快速阻断 24x7的网站监控和专家支持
评估与改善
事后 事件报告、整改建议
事前、事中、事后的Web网站安全防护
事前-事中-事后的防护
网 站 入 侵 WEB漏洞发现 暴力破解 DDoS 跨站脚本
Internet
路由器 防火墙 交换机 Web服务器 应用服务器 数据库服务器
攻击者
解析失效
DNS递归服务器 DNS权威服务器
可用性被破坏
公信力下降
拒绝服务
Internet
名誉受损
WEB安全事件层出不穷
国内安全事件很频繁
2010 年
每月被篡改网站数量平均为2904个;接收网络钓鱼事件 报告1566起,大都集中在电子商务,金融机构网站,第 三方支付站点以及社交网站等;
Web系统整体安全解决方案
1 Web系统安全面临各种威胁 2 Web系统安全事件层出不穷 3 Web系统管理面临的挑战 4 如何保护Web系统的安全? 5 优势和价值
WEB系统面临各种威胁
Web业务的复杂
客户端 Web服务器 应用服务器 数据库服务器
Internet
ERP
OA
CMS
…
B/S业务系统
攻击者 防火墙
网页篡改
SQL注入 信息窃取
网站系统
安 全 防 护
Hale Waihona Puke Baidu
WEB漏洞扫描 和虚拟补丁
双向流量的过滤与清洗 漏洞整改
应急响应
方 案
产 品
WEB漏洞扫描 系统
C/S业务系统
企业数据中心
网站相关技术 通信协议 WEB语言 WEB Server 操作系统 数据库 举例 HTTP、HTTPS HTML、CSS、XHTML、CGI、ASP、JSP、PHP… IIS、Apache、WebSphere、Tomcat、WebLogic… Windows、Linux、FreeBSD、SOLARIS、AIX、HP-Unix… SQL Server、MySQL、DB2、Sybase、Access…
需求
1. 现有人员编制下,获得安全专家团队能力 2. 提前发现网站的风险漏洞,获得安全建议 3. 如何预防多种安全威胁 4. Web系统被攻击第一时间知晓,获得应急支持 5. 定期把握网站整体安全趋势
安全事件频出
上级监管压力
现实:安全力量薄弱
•安全设备运维管理复杂 •人员缺乏,发生安全事件应对不力 •安全预算有限,防护能力较弱 •安全管理措施不严格
扫描 渗透
0.0%
0.0% 0.0%
数据来源:2012年威胁报告
数据来源:乌云网(WooYun)
跨站脚本和配置错误是当前Web系统最主要的漏洞
漏洞行业分布
猖獗的DDoS(一)
互联网行业:网游、电商、搜索、网媒、网络服务商、社区……
网络游戏 MMO 网页游戏 电子商务 旅行预订 网上购物 …… 网络服务 网上招聘 网上教育 网络ERP …… 网络媒体 门户 …… 搜索 网址导航 购物搜索 旅游搜索 …… Web2.0 博客 SNS 交友 ……