1、深信服Web 業(yè)務(wù)安全解決方案目 錄 TOC o 1-3 h z u HYPERLINK l _Toc34559393 一、Web 安全的挑戰(zhàn) PAGEREF _Toc34559393 h 3 HYPERLINK l _Toc34559394 二、Web 安全的問(wèn)題 PAGEREF _Toc34559394 h 3 HYPERLINK l _Toc34559395 1）開(kāi)發(fā)時(shí)期遺留問(wèn)題 PAGEREF _Toc34559395 h 3 HYPERLINK l _Toc34559396 2）系統(tǒng)底層漏洞問(wèn)題 PAGEREF _Toc34559396 h 3 HYPERLINK l _Toc345

2、59397 3）運(yùn)維管理中的問(wèn)題 PAGEREF _Toc34559397 h 3 HYPERLINK l _Toc34559398 4）破壞手段多樣問(wèn)題 PAGEREF _Toc34559398 h 3 HYPERLINK l _Toc34559399 三、NGAF 解決之道 PAGEREF _Toc34559399 h 3 HYPERLINK l _Toc34559400 基于安全事件周期的設(shè)計(jì) PAGEREF _Toc34559400 h 4 HYPERLINK l _Toc34559401 基于黑客攻擊手段的安全防護(hù) PAGEREF _Toc34559401 h 4 HYPERLINK

3、 l _Toc34559402 提供云端安全服務(wù) PAGEREF _Toc34559402 h 4 HYPERLINK l _Toc34559403 四、價(jià)值體現(xiàn) PAGEREF _Toc34559403 h 4 HYPERLINK l _Toc34559404 五、方案優(yōu)勢(shì) PAGEREF _Toc34559404 h 5 HYPERLINK l _Toc34559405 1）Web 業(yè)務(wù)三維立體防護(hù)： PAGEREF _Toc34559405 h 5 HYPERLINK l _Toc34559406 2）更高性價(jià)比： PAGEREF _Toc34559406 h 5 HYPERLINK l

4、 _Toc34559407 3）提升安全運(yùn)維效率： PAGEREF _Toc34559407 h 5 HYPERLINK l _Toc34559408 六、部分成功案例 PAGEREF _Toc34559408 h 5一、Web 安全的挑戰(zhàn)隨著互聯(lián)網(wǎng)技術(shù)的高速發(fā)展，絕大部分客戶都已經(jīng)將自身業(yè)務(wù)遷移到互聯(lián)網(wǎng)上開(kāi)展，而這當(dāng)中又主要是以 Web 服務(wù)為載體進(jìn)行相關(guān)業(yè)務(wù)的開(kāi)展，Web 成為當(dāng)前互聯(lián)網(wǎng)應(yīng)用最為廣泛的業(yè)務(wù)。而針對(duì) Web 業(yè)務(wù)的安全問(wèn)題也越來(lái)越多。如 2016 年 4 月底的 Struts2 S2-032 讓網(wǎng)站的安全問(wèn)題又引發(fā)了業(yè)界普遍的關(guān)注，很多網(wǎng)站紛紛中招，被黑客入侵造成了嚴(yán)重?fù)p失。

5、 從歷史 Struts2 漏洞爆發(fā)數(shù)據(jù)看，此前每次漏洞公布都深度影響到了政府、金融等行業(yè)。網(wǎng)站作為主要的對(duì)外門戶，已經(jīng)成為黑客發(fā)起攻擊的首要目標(biāo)，網(wǎng)站一旦遭遇攻擊，將有可能導(dǎo)致嚴(yán)重的后果：網(wǎng)站被篡改，直接影響對(duì)公眾樹(shù)立的社會(huì)形象； 網(wǎng)站業(yè)務(wù)被攻擊導(dǎo)致癱瘓，影響效率和經(jīng)濟(jì)利益； 網(wǎng)站敏感數(shù)據(jù)被竊取，影響單位信譽(yù)；網(wǎng)站被攻陷后成為跳板，滲透到內(nèi)部網(wǎng)絡(luò)，造成更大面積的破壞；被第三方監(jiān)管機(jī)構(gòu)，漏洞報(bào)告平臺(tái)通報(bào)，帶來(lái)負(fù)面影響；二、Web 安全的問(wèn)題針對(duì) Web 的攻擊往往隱藏在正常訪問(wèn)業(yè)務(wù)行為中，導(dǎo)致傳統(tǒng)防火墻、入侵防御系統(tǒng)無(wú)法發(fā)現(xiàn)和阻止這些攻擊。Web 業(yè)務(wù)系統(tǒng)面臨的安全問(wèn)題是不是單方面的，概括起來(lái)主

6、要有以下四個(gè)方面：開(kāi)發(fā)時(shí)期遺留問(wèn)題由于 Web 應(yīng)用程序的編寫人員，在編程的過(guò)程中沒(méi)有考慮到安全的因素，使得黑客能夠利用這些漏洞發(fā)起對(duì)網(wǎng)站的攻擊，比如 SQL 注入、跨站腳本攻擊等。系統(tǒng)底層漏洞問(wèn)題Web 系統(tǒng)包括底層的操作系統(tǒng)和 Web 業(yè)務(wù)常用的發(fā)布系統(tǒng)（如 IIS、Apache），這些系統(tǒng)本身存在諸多的安全漏洞，利用好這些漏洞，可以給入侵者可乘之機(jī)。運(yùn)維管理中的問(wèn)題業(yè)務(wù)系統(tǒng)中由于管理的問(wèn)題也存在諸多安全隱患，如弱口令、管理員界面等等，導(dǎo)致黑 客、病毒可以利用這些缺陷對(duì)網(wǎng)站進(jìn)行攻擊。破壞手段多樣問(wèn)題Web 系統(tǒng)所處的環(huán)境的網(wǎng)絡(luò)安全狀況也影響著Web 系統(tǒng)的安全，比如網(wǎng)絡(luò)中存在的 DoS 攻

7、擊，或者存在感染病毒木馬的終端，給黑客提供可利用的跳板等，這些內(nèi)網(wǎng)自身的安全問(wèn)題同樣會(huì)影響到 Web 系統(tǒng)的穩(wěn)定運(yùn)行。三、NGAF 解決之道深信服 NGAF 提供對(duì) Web 業(yè)務(wù)系統(tǒng)的三維立體防護(hù)解決方案，深入分析黑客攻擊的時(shí)機(jī)和動(dòng)機(jī)。從事件周期、攻擊過(guò)程、防護(hù)對(duì)象三個(gè)維度出發(fā)，并可以結(jié)合云端安全服務(wù)，提供全面的安全防護(hù)體系，保護(hù) web 業(yè)務(wù)系統(tǒng)不受來(lái)自各方的侵害?；诎踩录芷诘脑O(shè)計(jì)攻擊防護(hù)不可能做到 100%安全。Web 系統(tǒng)的安全建設(shè)必須貫穿到整個(gè) Web 安全事件周期中，從事前、事中、事后三個(gè)維度分階段進(jìn)行防護(hù)。NGAF 提供事前策略自檢、事中攻擊防護(hù)、事后防止篡改的整體安全防護(hù)。

8、事前風(fēng)險(xiǎn)自檢：在配置完安全策略后，NGAF 可以提供 Web 漏洞掃描功能，查看系統(tǒng)還存在哪些安全策略漏洞和隱患，也可通過(guò)云端安全服務(wù)對(duì)網(wǎng)站進(jìn)行持續(xù)的監(jiān)測(cè)；事中攻擊防護(hù)：2-7 層完整的應(yīng)用層安全防護(hù)，包括：Web 攻擊防護(hù)、漏洞防護(hù)、病毒防護(hù)等；事后快速響應(yīng)：針對(duì)網(wǎng)站黑鏈，網(wǎng)頁(yè)篡改，網(wǎng)站植入后門等惡意行為進(jìn)行主動(dòng)的探 測(cè)和處置，云端安全服務(wù)保持 7*24 在線響應(yīng)。基于黑客攻擊手段的安全防護(hù)傳統(tǒng)的 web 安全防護(hù)采用的是防火墻+IPS+WAF 割裂式的安全防護(hù)體系，針對(duì)各類的攻擊總是被動(dòng)的增補(bǔ)相應(yīng)功能的安全設(shè)備。而對(duì)于 Web 安全防護(hù)不是單一攻擊手段的防護(hù)， 而需要對(duì)黑客攻擊動(dòng)機(jī)與時(shí)機(jī)進(jìn)

9、行分析，基于黑客的攻擊過(guò)程的每一個(gè)環(huán)節(jié)進(jìn)行統(tǒng)一防護(hù)。NGAF 的設(shè)計(jì)是基于黑客攻擊過(guò)程的完整 Web 系統(tǒng)安全防護(hù)，針對(duì)黑客入侵三步曲即掃描、入侵、破壞進(jìn)行統(tǒng)一的安全防護(hù)：掃描：提供網(wǎng)站防掃描、口令暴力破解、關(guān)鍵 URL 防護(hù)、應(yīng)用信息隱藏等；滲透：提供強(qiáng)化的 Web 攻擊防護(hù)（防 SQL 注入、OS 命令注入、XSS 攻擊、CSRF 攻擊）、多對(duì)象漏洞利用防護(hù)等；破壞：提供 Webshell 后門檢測(cè)、黑鏈檢測(cè)、抗 CC 攻擊、惡意腳本上傳過(guò)濾、僵木蠕檢測(cè)、異常流量清洗等；提供云端安全服務(wù)對(duì)于 Web 業(yè)務(wù)的防護(hù)，除了硬件解決方案以外，深信服還提供一系列的云端安全服務(wù)包，幫助用戶減輕安全運(yùn)維

10、的壓力。目前提供了專門針對(duì) Web 業(yè)務(wù)的安全服務(wù)包括：網(wǎng)站風(fēng)險(xiǎn)評(píng)估服務(wù)：網(wǎng)站漏洞掃描，資產(chǎn)風(fēng)險(xiǎn)發(fā)現(xiàn)；網(wǎng)站實(shí)時(shí)監(jiān)測(cè)服務(wù)：網(wǎng)站可用性、黑鏈、網(wǎng)頁(yè)篡改、后門通信行為監(jiān)測(cè)；安全應(yīng)急響應(yīng)服務(wù)：威脅處置、0-day 漏洞推送修復(fù)、其他應(yīng)急事件響應(yīng)；安全運(yùn)營(yíng)服務(wù)：設(shè)備托管服務(wù)，每月交付安全運(yùn)營(yíng)服務(wù)報(bào)告；四、價(jià)值體現(xiàn)通過(guò)部署 NGAF 保護(hù) Web 業(yè)務(wù)系統(tǒng)安全，可以為您提供以下價(jià)值：防止因安全問(wèn)題造成企業(yè)單位形象受損、客戶信譽(yù)降低等問(wèn)題保護(hù)機(jī)密信息、敏感數(shù)據(jù)不被泄露減少因泄露信息而產(chǎn)生法律訴訟的可能性滿足有關(guān)法規(guī)對(duì) Web 系統(tǒng)安全的規(guī)定五、方案優(yōu)勢(shì)Web 業(yè)務(wù)三維立體防護(hù)：時(shí)間：提供事前策略自檢、事中攻擊防護(hù)、事后防止篡改的整體 Web 保護(hù)過(guò)程：基于黑客攻擊過(guò)程的 L2-L7 層完整安全防護(hù)，可以有效過(guò)濾掃描