WEB应用安全解决方案 绿盟科技 2009 年 11月.

Slides:



Advertisements
Similar presentations
智能建筑弱电工程师 培训课程简介 主管单位:工业和信息化部教育与考试中心主办单位:北京六度天成教育科技有限公司 联系人: 电话:
Advertisements

採購法規概要 報告人:行政院公共工程委員會 採購申訴審議委員會 科員 陳世超 土木技師高考及格 結構技師高考及格 公務人員高考及格
第八章 商务网站建设 商务网站规划 硬件环境 软件环境 网页内容设计.
网页设计师的职业成长规律 主讲:刘万辉 淮安信息职业技术学院.
初级会计电算化 (用友T3) 制作人:张爱红.
公务员管理子系统建设步骤 1、组建由局长直接领导的体制,制定公务员管理、工资管理、其他业务用户的管理权限,以及各业务间的协作流程。
车联网 大事记 联盟 2014.
区级课题汇报 (初期) 汇报人:建平中学周宁医 2008年9月27日.
综合布线技术与实践教程 第九章:综合布线系统工程网络分析 课程网站:
信息安全概述.
基于解释性语言的手机跨平台架构 Sloan Yi. Qt MTK.
公司荣誉 Enterprise Honor.
UROVO—i6200 外观设计 建议零售价格:XX元 上市时间:2014年 月 12 日 目标人群:快递、物流、医院、零售、快销
矽力杰半导体2015校园招聘 2015校园招聘岗位: (具有电气工程、微电子相关背景)
深信服NGAF下一代应用防火墙.
中青国信科技(北京)有限公司 空间域名邮局价格表.
中国药物GCP检查 国家食品药品监督管理局药品认证管理中心         李见明         北京 国家食品药品监督管理局药品认证管理中心.
Information & Security System in China China North Eastern Air Traffic Control Bureau (CAAC) Customer Background Subsidiary of General Administration of.
第一节 旅游规划的意义和种类 第二节 旅游规划的内容 第三节 旅游规划的编制 第四节 旅游景区规划
格物资讯开放ICON库 V1R1.
产品介绍 产品类型:数据终端 建议零售价2800元 上市时间:2017 年 2 月 目标人群:物流、快递及仓储等行业从业人员
基于云计算的数据安全 保护策略研究 报告人:王 立 伟.
第二讲 搭建Java Web开发环境 主讲人:孙娜
R in Enterprise Environment 企业环境中的R
中国科学技术大学 肖 明 军 《网络信息安全》 中国科学技术大学 肖 明 军
从现在做起 彻底改变你自己 Sanjay Mirchandani EMC公司高级副总裁、首席信息官.
中央大學 電子計算機中心 . 雲端服務介紹 李靜怡 105年5月SNMG會議.
Ebooking 突发问题解决方案.
PPPoE PPTP L2TP全解 方伟、产品策划 讲师的CSDN博客地址
鼎捷易飞 实战课程 老卓 ERP资深实施者 讲师的CSDN博客地址
第11章:一些著名开源软件介绍 第12章:服务安装和配置 本章教学目标: 了解当前一些应用最广泛的开源软件项目 搭建一个网站服务器
Visual Studio Team System 简介
数 控 技 术 华中科技大学机械科学与工程学院.
Windows网络操作系统管理 ——Windows Server 2008 R2.
第十章 IDL访问数据库 10.1 数据库与数据库访问 1、数据库 数据库中数据的组织由低到高分为四级:字段、记录、表、数据库四种。
格物资讯开放ICON库 V0R2.
第17章 网站发布.
厂商—型号 海尔-PAD002 外观设计 建议零售价格:2999元 上市时间:2011年3月 目标人群:有移动互联需求的商务人士
你知道这些标志吗?. 你知道这些标志吗? 网络——信息安全 小组讨论 你觉得网络信息安全吗? 为什么?
程序设计工具实习 Software Program Tool
实用网络营销基础 冯英健 2006年8月6日 首页.
新一代安全网上银行 小组成员:杨志明 王晶 任毅 刘建中 关昊 刘超.
厂商—型号 荣耀-HiRouter-H1 外观设计 产品类型:无线路由器 建议零售价格:149元 上市时间:2017 年 5月
微机系统的组成.
质量管理体系和认证人员管理 Quality management system and certification personnel management.
China’s Native High Performance IPv6 Backbone Plan
Web安全基础教程
第四章 团队音乐会序幕: 团队协作平台的快速创建
VisComposer 2019/4/17.
计算机网络与网页制作 Chapter 07:Dreamweaver CS5入门
企业文化内涵体系 持续循环 企业标志 品牌力:…… 服务力:…… 品牌力/服务力 潜规则是…… 1、品质 2、战略 1、价值 2、绩效
2019/4/24 广电系统网络安全态势感知平台 建设思路.
IT 安全 第 9节 通信和网络控制.
信息安全等级保护定级工作简介 网络信息中心
LOGIX500软件入门 西安华光信息技术有限公司 2008年7月11日.
2019/5/10 网络学习空间实务操作.
iReader R6003 外观设计 产品类型:电子书阅读器 建议零售价格:958元 上市时间:2017 年 6 月
OWASP中国介绍 作者:RIP 时间:
2014年终总结.
HULUO Finance and Economics College
投资建议书 XXX有限公司 制作人: 制作日期: mp2_v_styleguide_ ppt 1.
格物资讯ICON发布 V0R3.
3.8 局域网应用实例 某省劳动和社会保障网络中心组网实例 会议中心的无线组网实例.
FVX1100介绍 法视特(上海)图像科技有限公司 施 俊.
韦尔半导体公司简介
学习数据结构的意义 (C语言版) 《数据结构》在线开放课程 主讲人:李刚
SMC服务.
入侵检测技术 大连理工大学软件学院 毕玲.
能源与动力工程学院 研究生招生专业介绍.
网页版报名流程 Step 4 点击“详情”查阅具体岗位信息,输入身份数据及申请序列码进行最终报名
Presentation transcript:

WEB应用安全解决方案 绿盟科技 2009 年 11月

1 WEB应用安全解决方案 2 绿盟最新的研究热点 2.1 安全基线 2.2 云安全 2.3 蜜罐

WEB应用安全概述

国家对政务网站的三大功能定位: 信息公开 在线办事 政民互动

WEB应用价值的破坏与损失 监管部门 网页被篡改 非法内容 追责 用户信息泄露 社会公信力下降 名誉受损 用户流失 经济损失 拒绝服务 追责 网页篡改 社会公信力下降 名誉受损 用户流失 经济损失 服务提供者+基础网络提供者 非法入侵 个人信息丢失 个人信息被篡改 恶意程序下载 网站无法访问 投诉 网站访问者

大的事件驱动-60年大庆、奥运会、济南全运会 面临的安全威胁 新闻网站安全现状 等级保护等合规性安全要求 推动政府WEB应用进行安全建设的动力 大的事件驱动-60年大庆、奥运会、济南全运会 面临的安全威胁 新闻网站安全现状 等级保护等合规性安全要求

传统防护手段的弊端 对网络、通信协议、操作系统、数据库等通用内容的防护,传统的安全设备,如防火墙、安全网关、IDS /IPS、审计产品、终端防护产品等,作为网站整体安全策略中不可缺少的重要模块,其防护效果是比较有效的 针对WEB特定应用的脆弱性以及产生的安全问题是个性化和不通用的,以上这些传统的技术手段就显得力不从心了,不能有效的防范和检测网站特定的威胁和攻击: 跨站脚本 信息泄露 SQL注入 越权操作 DDOS攻击

方案组成 政府门户网站信息安全等级保护保障建设方案(技术设计要求版) 政府门户网站息安全等级保护保障建设方案(基本要求国标版) 政府门户网站绿盟科技技术解决方案

安全视图 1 2 3 Internet 企业数据中心 WAF Firewall IDS/IPS Web Application 网络端口访问控制 UDP/TCP状态感知 1 IDS/IPS 基于规则的异常检测 入侵防护 已知漏洞管理 2 Web Application Firewall WAF HTTP/S应用保护 会话管理(Cookie安全) 内容控制 数据泄露管理 3 企业数据中心 Port Scanning DoS Anti-spoofing SQL Injection Cross Site Scripting Parameter Tampering Cookie Poisoning Web Server Databases Web Server know vulner- abilities Pattern- Based Attacks Backend Server/System Application Server Internet

从网站建设和运维者的角度

 检测与发现----事前预警 防护与阻击----事中防护  安全监控与安全恢复----事后恢复、监控

保障方向 产品名称 检测 绿盟WEB扫描器 绿盟安全审计系统(SAS) 防护 绿盟WEB应用防火墙(WAF) 安全监控与恢复 绿盟WEB应用防护系统(HWAF)

WEB应用安全服务 外部评估服务 内部评估 云安全服务模式 操作系统及应用服务安全性 Web服务安全性 系统安全策略检查 Web服务配置检查 数据库安全检查 挂马检测 WebShell检测 云安全服务模式

从检查、监管、业务指导单位的角度

从检查、监管、业务指导单位的角度 设置网站安全基线,制定防篡改、防挂马安全规范,提出监测、防护 与处置机制要求 设置网站安全基线,制定防篡改、防挂马安全规范,提出监测、防护 与处置机制要求 辅助以自动检测工具、检查列表定期开展检查 工作 不定期进行WEB扫描(应用漏洞、挂马) 建立网站安全管理中心,在各网站部署探针,对收集的数据进行统计、分析,定期形成态势分析报告 开展网站安全绩效评估活动 WEB防挂马、防篡改产品 评测、推荐

一些成果——WEB信誉列表 恶意网站列表

一些成果——恶意站点监控 恶意站点分布

Internet 现状分析报告 指导规范 态势分析报告 分析团队 检测 监管 评估 分析 区域政府网站群 各类分析技术手段 各类WEB 检测防护手段 区域政府网站群 Internet 分析团队 检测 监管 评估 分析 现状分析报告 指导规范 态势分析报告

1 WEB应用安全解决方案 2 绿盟最新的研究热点 2.1 安全基线 2.2 云安全 2.3 蜜罐

针对系统具体的特点进行安全评估,导出系统的特定安全需求,是安全体系有效实施的关键 三个问题 针对系统具体的特点进行安全评估,导出系统的特定安全需求,是安全体系有效实施的关键 什么是重要的? 什么是危险的? 什么是正确的?

S-CAP 能给我们带来哪些启示呢 标准/规范制定机构 权威软件测评机构 权威信息化建设机构 权威安全测评机构 标准/规范/测评检查表单/支撑库 XX业务系统安全功能规范 应用软件(通用)安全配置规范系列 操作系统(通用)安全配置规范系列 安全设备(通用)安全功能规范系列 XX业务系统安全功能测试标准 应用软件(通用)安全配置测试标准 操作系统(通用)安全配置测试标准 安全设备(通用)安全功能测试标准 漏洞库 配置库 安全补丁库 通用系统 专用系统 通用系统 专用系统 通用系统 专用系统 执行角色 安全设备商 安全服务商 测评认证机构 软件开发商 系统集成商 安全运维人员 完善当前的安全标准和规范(明确安全基线) 细化Checklist,扩大覆盖范围 (设备、通用软件、专业应用) 依据标准和规范把Checklist工具化、自动化 加强业务系统交付阶段的安全管理 在线系统的日常运维

网元安全评估最主要的工作是发现系统的安全隐患 技术手段上需要落实的控制点 网元安全评估最主要的工作是发现系统的安全隐患 软件自身存在的隐患 漏洞 安全隐患 配置错误或遗漏导致的隐患 配置 设备非正常运行 运维

1 WEB应用安全解决方案 2 绿盟最新的研究热点 2.1 安全基线 2.2 云安全 2.3 蜜罐

自主研发和运营的云计算平台 自有产品对云安全的集成 开放和实时的云安全服务 绿盟科技云安全的三个层面 海量信息处理 威胁分析和发现 快速检测和防御威胁 安全服务运营支撑 开放和实时的云安全服务 改善最终用户体验 闭环反馈处理流程

WSP 网站安全监控平台 提前发现安全漏洞 避免网页挂马 即时发现安全漏洞 降低流量损失

网站安全监控平台

1 WEB应用安全解决方案 2 绿盟最新的研究热点 2.1 安全基线 2.2 云安全 2.3 蜜罐

应用场景----僵尸网络监测和恶意代码捕获 NTA 安管中心 部门2 统一安管平台 诱骗系统管理平台 诱捕主机 诱捕主机 EPS 部门3 NIPS EPS NIPS Internet NIPS 控制主机 诱捕主机 信息中心机房 NIPS EPS WAF 部门1 诱捕主机

绿盟科技 公司概况 成立于2000年,目前员工650人,31个分支机构。 总部与研发中心:北京 杭州办事处 地址:杭州市体育场路229号粮油大厦1106室 邮编: 310003 电话: 0571-85778560/87972129 成立于2000年,目前员工650人,31个分支机构。 总部与研发中心:北京 分公司:北京、上海 、广州、成都、沈阳、武汉、西安 办事处: 哈尔滨、长春、天津、石家庄、济南、青岛、太原、呼和浩特、南京、杭州、南昌、郑州、合肥 、长沙、福州、深圳、海口、南宁、重庆、昆明、贵阳、拉萨、兰州、乌鲁木齐

在全球范围内,提供基于自身核心竞争力的企业级网络安全解决方案,成为最受用户信赖的网络安全公司。 资质 战略 在全球范围内,提供基于自身核心竞争力的企业级网络安全解决方案,成为最受用户信赖的网络安全公司。 公司服务资质 国家安全服务资质(二级) CNCERT/CC 国家级应急服务支撑单位 国家网络与信息安全信息通报技术支持单位 ISO27001信息安全管理体系(ISMS)认证 ISO9001质量管理体系国际国内双认证 信息安全一级应急处理服务资质 公司产品资质 NIPS/NIDS、WEB应用防火墙获EAL3认证 中国信息安全认证中心认证 公安部销售许可 解放军信息安全测评认证中心认证 国家保密局涉密信息系统产品检测证书 国际CVE完全认证 英国西海岸实验室认证 资质

研发创新能力与成果 所有产品均为自主开发,拥有发明专利技术。 保持每年一款新产品的推出 保持每6个月进行版本更新 安全网关 ——在专业的基础上,我们稳步前进 安全网关 流量分析 WEB防火墙 V5.6 所有产品均为自主开发,拥有发明专利技术。 安全审计 /内容安全管理 V4.5 V5.6 内网安全 入侵防御 V5.6 V1.8 安全管理 V5.6 抗DDOS V2.0 漏洞扫描 入侵检测 V4.5 V5.0 V5.6 2000 2001 2002 2003 2004 2005 2006 2007 2008

谢 谢!