Self-defending Web Server 3Gweb-I-2400

Presentation on theme: "Self-defending Web Server 3Gweb-I-2400"— Presentation transcript:

1 Self-defending Web Server 3Gweb-I-2400
1/3/2006 领先世界的中国人自主发明 第 三 代 Web 服 务 器： 3Gweb 生物自防御Web平台 3Gweb Bio Self-Defending Web Platform （原理篇） 2015.3 東方博盾(北京)科技有限公司 北京市海淀区上地信息路26号 电话： 传真： 中央政府采购供货厂商 北京市政府采购供应商 中国互联网协会会员 中国政务信息化论坛理事 Copyright (C) EastShield Corp.

2 “没有网络安全就没有国家安全，没有信息化就没有现代化。建设网络强国，要有自己的技术，有过硬的技术。”
中央网络安全和信息化领导小组 组长 习近平总书记讲话： “没有网络安全就没有国家安全，没有信息化就没有现代化。建设网络强国，要有自己的技术，有过硬的技术。” 2014年2月27日 中央网络安全和信息化领导小组第一次会议

3 第二代Web服务器的功与过

4 Web服务器(Web Server, http Server)
Web服务器(包括硬件和软件)是支撑各类网站(Web Site)和各类信息系统的最重要的互联网通信基盘设备之一。 第二代Web服务器是美国IT最伟大的发明之一。如：Apache,IIS等； 在向我国6亿多网民提供：电子政务、电子商务、电子金融、新闻媒体、教育文体、公司机构、智慧城市、信息消费等互联网应用，支撑着整个互联网经济。 我国中央政府的网站使用的Web服务器：4/5是Apache、1/5是IIS。

5 现 状 这一切，都发生在 Apache、IIS等 第二代Web服务器上! 挂马 篡改 植入 后门 钓鱼 漏洞 实例
网站系统不可能一周打300次补丁！ 即使打完了这300个补丁,下周可能又出现几百个新漏洞、可能会对应产生几百种新的0日攻击…… 传统的“发现漏洞、消除漏洞”的做法已经不够用了。 应该如何应对？ 植入 后门 钓鱼 漏洞 实例

6

7 互联网面临着失控 “思科进行的威胁情报趋势研究结果表明，所有企业网站均可见恶意流量。这意味着，有证据表明富有经验的网络犯罪分子或其他积极参与者已渗透进这些网站，并可能长时间作业而未被发现。” 《思科2014年度安全报告》 这一切，都发生在 Apache、IIS等 第二代Web服务器上

8 (网站被害将损害社会秩序、公共利益、甚至国家安全!)
第二代Web服务器已经沦为攻击者的工具 发布虚假信息平台 假入学通知、假地震警报、钓鱼网站、美网军5D战法之一：欺骗 散发木马病毒平台 95%以上的木马病毒是通过网站传播的（360的数据）。50万挂马网页/天、600多万部手机已感染木马 入侵内部DB的通道 如：2011年底的CSDN等泄密门、Sony被刷1亿客户资料等 黑客攻击的靶子 “Web 服务器是互联网上排名第一和第二的安全漏洞。是黑客最喜欢攻击的目标” 。 (美国 SANS 研究所, 2005年5月报告)； 攻击别人的跳板 从被攻破的网站攻击其他网站。如：DDoS攻击、云攻击 (网站被害将损害社会秩序、公共利益、甚至国家安全!)

9 “周边安全产品+Web”不能提供一个安全的平台
网络战时代互联网经济面临的问题 沙滩上的大厦：互联网经济、电子政务等如同沙滩上的大厦，因为构建在第二代Web服务器上！根基不牢，危机四伏。 黑客进攻 已知攻击 未知攻击 2014年中国电子商务交易额超13万亿元 电子政务、电子金融、智慧城市、信息消费 结 果： 篡改：45政府网/日被篡改(原工信部长) 挂码:国内80%网站被挂码(赛迪)； 刷库：2011年底大范围网站被刷库 各种进攻：成百上千网站每天遭SQL注入、 DDoS等攻击,大网站连连失守 周边安全产品 防火墙 WAF VPN CA IDS/IPS 等 网 站 网站数：364.7万 政府网：7万多 第二代 Web服务器 Apache、IIS等 美国网军 美国原创 100%美国产品 不防未知攻击 先天安全漏洞 “周边安全产品+Web”不能提供一个安全的平台 2017/3/3May

10 至少46个国家设有网络军队如：日、英、法、俄、印度、伊朗、朝、韩、以色列等
Web攻击技术发展迅猛，互联网空前险恶 未知攻击 Unkwon Attacks 89%互联网流量是恶意的(Sun Microsystem)。 每年有上千种新的Web攻击技术被发现； 未知攻击主流化 ? ? ? ? ? ? ? 2014上千种新Web攻击 2013 上千种新Web攻击 2012 上千种新Web攻击 2011 上千种新Web攻击 SQL injection 2010 上千种新Web攻击 2008 上千种新Web攻击 Santy worm Cross-site scripting 至少46个国家设有网络军队如：日、英、法、俄、印度、伊朗、朝、韩、以色列等 Nimda Scob 美国网军 成军 2000攻击病毒、 5000顶级黑客,全球招聘 13支攻击型部队 战例：伊朗“振网”、朝鲜“网瘫”、 CodeRed 0 Day Buffer OverFlow DDoS/DoS Sweepers Web Hijeck Defacement Sniffers Back Doors 网络战时代 Password Cracking

11 TOP10 Web 攻击新技术 未知攻击主流化 2015 未知 2014 1 Heartbleed 2 ShellShock 3 Poodle 4 Rosetta Flash 5 Residential Gateway “Misfortune Cookie” 6 Hacking PayPal Accounts with 1 Click 7 Google Two-Factor Authentication Bypass 8 Apache Struts ClassLoader Manipulation Remote Code Execution and Blog Post 9 Facebook hosted DDOS with notes app 10 Covert Timing Channels based on HTTP Cache Headers 2013 Mario Heiderich – Mutation XSS Angelo Prado, Neal Harris, Yoel Gluck – BREACH Pixel Perfect Timing Attacks with HTML5 Lucky 13 Attack Weaknesses in RC4 Timur Yunusov and Alexey Osipov – XML Out of Band Data Retrieval Million Browser Botnet Video Briefing Slideshare Large Scale Detection of DOM based XSS Tor Hidden-Service Passive De-Cloaking HTML5 Hard Disk Filler™ API “2013年，Websense的技术防御了超过41亿web攻击。几乎所有展现的攻击技术都绕开了传统的防御，危害系统，并且贯穿感染网络追求机密数据。” ——USA Websense 2014 Threat Report Symantec在09年9月报告说：“每个月平均截获超过2.45亿的恶意代码攻击，其中多数从没有见过” 仅在杂志、学会、微博、邮件等暴露出来的新web攻击技术，每年至少有上千种。从评选出的TOP10名单可以看出，历年的TOP10新攻击技术都在更新发展，从不重复。 都是针对第二代Web服务器设计的!

12 必须抗御“未知攻击” 消除Web自身的安全漏洞 装机专业化、标准化 Web安全的特殊性与解决要点 1 2 3 内网主机 网站 访问者
有限、少数、可控 无限多数、不可控 接续 封闭：LAN 开放：互联网、移动互联网、 攻击者和访问者位置 局部、Local 全球、Global 取证 相对容易 极难 当地国法律 可用 不适用 1 必须抗御“未知攻击” 2 消除Web自身的安全漏洞 3 装机专业化、标准化

13 第三代Web服务器：时代的需要 网络战时代的Web服务器

14 可篡改、可挂马、可刷库、可盗取敏感数据、等等 不可篡改、不可挂马、不可暗链、防网页和信息盗窃、防刷库等
Web服务器 (Web Server) 第二代Web服务器 Apache、IIS、Nginx等 第三代Web服务器 3Gweb 可篡改、可挂马、可刷库、可盗取敏感数据、等等 不可篡改、不可挂马、不可暗链、防网页和信息盗窃、防刷库等 一旦被侵入，100%非死即伤 内含致命安全漏洞 即使被入侵，仍可工作，极难受伤 内置最先进生物自防御功能 周边安全产品+Web，挡不住 “未知攻击(Unknown Attacks)” 高可信、抗攻击 特别是能够抗御未知攻击 不是最终使用形态； 必须分别采购硬件、软件、安全产品等；然后系统集成； 建站费时、费劲； 运维费钱、费心； All-in-One，开箱既用 更健壮、更长久、 更经济、更敏捷 （如同自己手工攒车） （如同防弹车整车）

15 Web服务器的发展 第 3 代WEB 服务器 自防御功能Self-Defending
不可篡改、不可挂马、高可信、抗攻击 第 3 代WEB 服务器 Third Generation Web Server 自防御功能Self-Defending 自我治愈 Self-Healing 免疫机制 Immunity 数字皮肤 Digital Skin 神经监测 Nerve Monitoring, 静态网页(html, jpg, gif, wav, mp3, mov, text etc.) 动态网页(CGI script, shtml, Perl, php, java, etc.) W3C国际标准: URL (Uniform Resourc Locators) HTTP (Hypertext Transfer Protocol); HTML (Hypertext Markup Language); CGI (Common Gateway Interface 如：3Gweb自防御Web服务器: 可篡改、可挂马、可偷盗 第 2 代WEB服务器 Second Generation Web Server 静态网页(html, jpg, gif, wav, mp3, mov, etc.) 动态网页(CGI script, shtml, Perl, php, java, etc.) W3C国际标准: URL (Uniform Resourc Locators) HTTP (Hypertext Transfer Protocol); HTML (Hypertext Markup Language); CGI (Common Gateway Interface); 如：Apache, IIS, 等. 第 1 代WEB服务器 First Generation Web Server 静态网页 Dr. Timothy Berners-Lee at 1989 1989 1989 学者时代 1992 1992 黑客时代 2010 2004 网络战时代

16 网络战时代来临，互联网环境变得空前险恶 1)网军多国化。 2)黑客产业化、黑社会化:
今天已经进入了网络战时代。网站以及重要信息系统受到前所未有的威胁。 互联网83%的流量是恶意的(Cisco)、面临着失控。 1)网军多国化。 全球已经有46个国家拥有网络战组织。 美国网军组建了13支攻击部队； 开发了2000多种攻击型病毒武器 2)黑客产业化、黑社会化: 国内有上100万黑客； 全球有无数的黑客； 境外敌对势力； 3)“未知攻击”主流化： 明枪好躲，暗箭难防。我们无法知道攻击者会在什么时间、以什么技术来攻击我们。仅靠”封堵查杀”是被动的(沈昌祥院士)。 斯诺登事件的启示： 魔高一尺,道必须高二丈！ 仅靠仿制的安全产品远远 不够，更需要超越攻击者 的新理论、新技术、新产品

17 中国人的 第三代Web服务器的研究 已经领先世界

18 3Gweb生物自防御Web服务器：唯一获此国际大奖的中国人发明 获国际大奖“Best of INTEROP Award”
获奖 3Gweb生物自防御Web服务器：唯一获此国际大奖的中国人发明 获国际大奖“Best of INTEROP Award” NETWORLD+INTEROP 是通信和互联网领域里世界最大，最有权威的国际博览会。各国大公司最新产品的发表场所。美国 拉斯维加斯 “评审过程是非常严格的, BitShield的 BS-3GWeb-I-2400 是网络软件和服务类里最革命的发明。这就是为什么我们选择了它作为最佳奖得主的原因”---- Interop评审委员会。 中国人的发明首次获此大奖，标志着世界领先地位； 据闻，联想、华为、微软等公司都冲击过INTEROP大奖，均未成功。

19 IBM 与第三代WEB服务器 IBM称： “领先世界的第三代Web服务器: 3Gweb” “更是抗击“未知攻击”的全球唯一解决方案”
“IBM WebSphere 应用服务器 ＋ Informix 数据库与 3Gweb 第三代 Web 服务器的完美整合，将提供一种前所未有的高可信、抗攻击和软硬件一体化的 Web 应用平台。内置的企业级 Web 开发运行平台，既融合了“Web + Application + DB” 三段式架构网站的各种优点，又增添了使用便利、维护简单、节省网站总体费用，以及抗攻击等诸多优点。从建站到运营，几乎解决了迄今为止运营网站的所有烦心事。开箱即用的安全配置，提供了坚如磐石的安全性，使您可以安枕无忧。世界首创。” 2017/3/3May

20 《用第三代Web服务器保卫国家网络安全》
2014年11月，3Gweb生物自防御Web平台，受邀出展了“首届国家网络安全宣传周”。展会期间，中央网信办发布了题为《用第三代Web服务器保卫国家网络安全》的新闻专访稿。 多位部委领导亲临现场考察了3Gweb，给予了高度的评价、并对今后的发展与推广作了重要指示。 中央网信办主任鲁炜、 工信部原副部长曲维枝、 中央网信办副主任王秀军、 公安部网络安全局局长等、 中央网信办网络安全协调局的赵泽良局长、 杨春艳副局长等领导们， 宁家骏、曲成义等国内顶级安全专家、 和来自银行、政府、国企、科研院校、安全公司等各界来宾、学者、专家、工程师们进行了学术交流，并且现场观摩了3Gweb攻防演示。

21 荣获 2014年度中国行业信息化最佳产品奖 第六届中国行业信息化奖项评选活动 暨2014中国行业信息化颁奖盛典 2014年9月19日 北京
主办单位： 中国计算机报社 中国计算机行业协会 中国信息化推进联盟 支持单位： 中国计算机报社 中国计算机行业协会 国家信息中心 中国软件测评中心 工业和信息化部计算机与微电子发展研究中心 工业和信息化部软件与集成电路促进中心

22 相关发明专利 美国发明专利 Inventor: Zhenyu Gao 中国发明专利 发明人： 高振宇

23 权 威 部 门 安 全 性 检 验 公安部 检测报告 国家信息技术安全研究中心 检测报告 中国电信系统集成公司 检测报告

24 3Gweb产品认证 质量认证 先进性认证 创新性认证 安全性认证 市场准入 专家认证 (国际领先) 国家质量监督检验检疫局，CCC认证
主管部门认证 专家认证 国家质量监督检验检疫局，CCC认证 唯一获INTEROP国际大奖的中国人发明 IBM称:“领先世界的第三代Web服务器” 中国和美国发明专利授权 国家信息技术安全研究中心、 公安部、北京信息安全测评中心 列入中央政府和北京市政府采购目录 中央网信办邀请出展“首届国家安全周” 得到院士、专家、相关部委领导的支持

25 国家和国际权威机构的认证和测评 国内 国际 资质与认证 美国发明专利 中国电信集团 北京自主创新产品证书 中国发明专利 北航软件研究所
国家强制性产品3C认证 公安部计算机信息系统 安全产品质量监督检验中心 中国电信集团 国内 北京自主创新产品证书 国家信息技术安全研究中心 北京信息安全测评中心 北航软件研究所 国际 INTEROP国际大奖 美国发明专利

26 原 理 简 介 未知攻击的克星：生物自防御技术 3Gweb生物自防御Web平台

27 周边安全产品的局限性：不防未知攻击 自我防御
周边安全产品的问题 周边安全产品的局限性：不防未知攻击 周边型 安全产品和技术 Web 攻击和Web威胁的分类 KA KN UA UN KA UA 下一代安全技术 自我防御 Self-Defense 防御目的：保证主功能，而不是入侵拦截。不依赖攻击特征值。 Self-Defending Network 研发者：思科Cisco Self-Defending Web 研发者：East Shield SQL Injection Cross-Site Scripting Input Validation more WAF (Web Application Firewall) URL Filtering Secure Web Gateway （拦截率不到50%） 应用层攻击 Application Layer Attacks 应用层攻击 Application Layer Attacks Unknown Attacks 未知攻击 零日攻击； 未来攻击； 每年上千种新生Web攻击技术； 未披露秘技攻击； （防御方未体验过的攻击） 美网军的2000多种攻击型病毒； “棱镜门”用的攻击 等等； Defacement DDoS Buffer Over Flow HTTP Worm Nimda, CodeRed Scobb Santy Trojan Horses Brute-force Much more Firewall IDS/IPS VPN Anti-Viruses CA So on 网络层攻击 Network/OS Layer Attacks 网络层攻击 Network/OS Layer Attacks KN UN Known Attacks 已知攻击 Known Attacks 已知攻击 Unknown Attacks 未知攻击 周边防御(Perimeter Defense) 依赖于“攻击特征值”。所以不能防御 “未知攻击”。 “城堡式的防御是中世纪的”，比尔盖茨和Symantec主席John和与会专家们嘲笑了周边防御的理念和技术的陈旧性。RSA Conference, 2007。已经不够用了。

28 人体中，多道防线相互配合，各司其职， 缺一不可。
第三代Web服务器与生物自防御技术 生物自我防御系统：未知攻击的克星 自然世界和互联网世界里都存在着大量的病毒和攻击者，既有“已知”的，也有“未知”的。为什么人类和动物可以长期生存在严酷的自然世界里？为什么计算机不可以在互联网世界里长期运行？研究发现，因为人体里存在着一个生物自我防御系统(Bio Self-Defense System)。 主要包括4大防线: 皮 肤 Skin 保护肌体，防止病毒入侵的第一道防线. 免疫系统 Immunity System 抵抗各种已知和未知的病毒入侵。使人体难以发病。 自我治愈 Self-Healing 我们的皮肤会受伤，身体会生病，但是可以恢复健康. 神经监测 Nerve Monitory 布满全身的神经末梢实时地探测全身，把伤痛和病痛信号传送到大脑。再由大脑做出意思决定：规避？或找医生帮助？ 人体中，多道防线相互配合，各司其职， 缺一不可。 我们把人体内的“生物自防御系统”成功地克隆到计算机里，世界首创。

29 第三代Web服务器的概念 隔离区 无菌区 3Gweb自防御 Web Server HTTP Server Functions
隔离区 无菌区 3Gweb®的主功能还是基于W3C国际http标准的Web服务器。但是内部克隆了最尖端的人体生物自防御机制，成为不可篡改、不可挂马、防刷库的新一代的超级Web服务器。高可信软件和高性能硬件一体化，为构建高级网站提供一种前所未有的高可信和抗攻击的高端Web服务器，并提供最大的便利性。领先世界 3Gweb自防御Web服务器 （领先潮流的软硬件一体化产品） HTTP Server Functions + 数字皮肤 Digital Skin + 自我治愈 Self-Healing + 免疫系统 Immunity System + 神经监测 Nerve Monitoring 3Gweb自防御 Web Server 中国发明专利保护 美国发明专利保护 第2代Web Servers (如：Apache, IIS, 等.) HTTP Server Functions 内含先天的重大安全漏洞 篡改、挂马、盗窃、侵入 目前世界唯一抗御“未知攻击”的产品和技术。

30 网络战时代的Web服务器：3Gweb 高可信 抗攻击 防 止 强 力 便 捷 （安全等级保护2级以上的重要网站必备）
产品特点 网络战时代的Web服务器：3Gweb （安全等级保护2级以上的重要网站必备） 高可信 传送干净、可信的网页给你的访问者。没有篡改，没有病毒,没有任何恶性代码。保证发布信息的真实性。保护品牌投资 抗攻击 抗未知攻击：如：0日攻击、今后才出现的新web攻击等等； 抗已知攻击：如：SQL注入、DDoS、端口扫描等，大幅降低宕机几率 防 止 损害访问者、损害社会秩序 损害自己 网页篡改、发布虚假信息； 网站挂马（散发木马病毒）； 刷库、拖库（经Web入侵数据库、盗取信息） 敏感信息泄露、偷盗Web程序(动态、静态) 网站劫持(黑客在你的Web上运行他的网站) 暗链 （黑客插入的链接(Link)） 黑客后门文件执行； 缓冲区溢出攻击； 嵌入黑广告代码 Root Key篡改; 钓鱼网站 等等 强 力 全套HTTP服务器功能(Apache)；URL, HTTP ,HTML ,CGI，W3C国际标准 高速。稳定。高扩充性。支持各种Web浏览器。与其他安全产品兼容； 融合多种先进技术：远程移动维护、实时报警、X.509电子证书、 IPV6、 万兆网口(Rl3100B)、自负载均衡（3Gweb-WAS）、RAID等； 便 捷 软硬件一体、开箱即用、All-in-One、自动管理、省事省心省时省钱、减缓人手不足问题，快速建站、容易网站迁移。

31 产 品 简 介 3Gweb生物自防御Web平台 3Gweb Bio Self-Defending Web Platform
产 品 简 介 3Gweb生物自防御Web平台 3Gweb Bio Self-Defending Web Platform 3Gweb生物自防御Web应用平台 3Gweb Bio Self-Defending Web Application Platform

32 3Gweb的构成与外观 产品理念： 提供国际高端品质、傻瓜相机式、安全的信息化平台，开箱既用
网站文件 （静态文件，动态文件）（用户自己开发） 数据库 MySQL 生物自防御 数字皮肤 免疫机制 自我治愈 神经检测 3Gweb + Apache Web语言 PHP Perl Java 辅助 ssh X.905 CA认证 通信、等 第三代Web服务器： All-in-One， 开箱既用 快速建站、 快速扩容、 高市场敏捷性 OS (Linux) 特殊结构机架式服务器(双母板，CPU, 内存，RAID硬盘，通信，电源等) 3Gweb RL1100、RL2100 3Gweb RL3100A，RL3100B

33 改善第二代Web服务器的其他问题 Web安全 第三代Web服务器试图解决的不仅仅是Web安全问题，还有：
一、网站构建费劲、费时: 使用第二代Web服务器需要分别采购硬件、软件（os、http server、DB、应用服务器软件，ssl等）和安全产品等。然后手工装机、配置调试。费劲费时费事。很多安全漏洞是在这个攒机阶段产生的。 二、网站运维费钱、费劲: “运维成本泥潭”。根据IDC的调查报告，网站运维的5年平均总成本里最大的开支是人工费(62.2%)和停机损失(23.1%)。而不是硬件和软件的费用（两项合计只占9%）； 据说安全工程师年薪高达： 30万元-500万元/位。 Web安全 使用第三代Web服务器的话，有望减少一半的运维成本。 省心：告别黑客骚扰； 省钱：降低总体运营费用； 省时：快速建站、快速扩容； 省事：开箱既用，自动恢复

34 解决方案 高可扩充性和丰富多彩的使用方式 单层架构Single-Tier Web server、应用服务器和DB server 都在同一个平台上，快速配置，易于管理。全部网站在一个平台上。对于中小企业和提供网站托管业务的IDC行业最为理想. 双层架构 Dual-Tier 当数据量大的时候，DB server 可以配置在另一台独立DB服务器上或NAS网络存储上。  支持Oracle, DB2, Infomix, Sybase, 等各种主流数据库.  三层架构Three-Tier 还可以在3Gweb和DB之间再配置一台独立的应用服务器。构成典型的3段式网站，以适应更大需求。 或者，如果你的网站已经是3段式架构了，您可以只升级Web服务器，就可以了。 支持基于J2EE的各种主流应用服务器。如：IBM WebSphere.、Jboss等   支持云计算 为各种云，无论是公有云还是私有云，为各种SaaS 提供一个高可信、抗攻击的Web交互界面。 使用高可信、抗攻击的Web服务器，将是实现云计算安全的第一步！ DB 3Gweb LAN Internet DB server 3Gweb Internet LAN Servlet JSP EJB Application Server 3Gweb Internet DB server LAN 3Gweb Internet

35 已经列入中央政府和北京市采购目录 中央政府采购网 北京市政府采购网
其他网络软件=>3Gweb 更多=>应用服务器=>3Gweb-was 北京市政府采购网 办公设备=>服务器 =>3Gweb 根据中国采购法规定，本产品适用 ”单一来源”采购方式，不必招标。

36 为了您的网站和数据的安全、 为了您网站访问者的PC和手机的安全、 为了我国互联网的战略安全、 不能再使用第二代Web服务器了！
领先世界的中国人第三代Web服务器：3Gweb® 让您的网站更健壮、更长久、更经济、更敏捷 在网络战时代里为您的重要业务保驾护航。 東方博盾(北京)科技有限公司 电话： 传真： 详见：产品篇和应用篇: 3Gweb产品与应用.ppt 3Gweb-WAS产品与应用.ppt 2017/3/3May