1、WEB應(yīng)用安全解決方案,綠盟科技 2009 年 11月,1 WEB應(yīng)用安全解決方案,2.2 云安全,2.1 安全基線,2 綠盟最新的研究熱點,2.3 蜜罐,WEB應(yīng)用安全概述,國家對政務(wù)網(wǎng)站的三大功能定位： 信息公開 在線辦事 政民互動,WEB應(yīng)用價值的破壞與損失,投訴,服務(wù)提供者+基礎(chǔ)網(wǎng)絡(luò)提供者,社會公信力下降 名譽受損 用戶流失 經(jīng)濟損失,追責(zé),網(wǎng)頁被篡改 非法內(nèi)容 用戶信息泄露,個人信息丟失 個人信息被篡改 惡意程序下載 網(wǎng)站無法訪問,大的事件驅(qū)動-60年大慶、奧運會、濟南全運會 面臨的安全威脅 新聞網(wǎng)站安全現(xiàn)狀 等級保護等合規(guī)性安全要求,推動政府WEB應(yīng)用進行安全建設(shè)的動力,對網(wǎng)絡(luò)、通

2、信協(xié)議、操作系統(tǒng)、數(shù)據(jù)庫等通用內(nèi)容的防護，傳統(tǒng)的安全設(shè)備，如防火墻、安全網(wǎng)關(guān)、IDS /IPS、審計產(chǎn)品、終端防護產(chǎn)品等，作為網(wǎng)站整體安全策略中不可缺少的重要模塊，其防護效果是比較有效的 針對WEB特定應(yīng)用的脆弱性以及產(chǎn)生的安全問題是個性化和不通用的，以上這些傳統(tǒng)的技術(shù)手段就顯得力不從心了，不能有效的防范和檢測網(wǎng)站特定的威脅和攻擊： 跨站腳本 信息泄露 SQL注入 越權(quán)操作 DDOS攻擊,傳統(tǒng)防護手段的弊端,政府門戶網(wǎng)站信息安全等級保護保障建設(shè)方案（技術(shù)設(shè)計要求版） 政府門戶網(wǎng)站息安全等級保護保障建設(shè)方案（基本要求國標版） 政府門戶網(wǎng)站綠盟科技技術(shù)解決方案,方案組成,安全視圖,Internet

3、,Web Server,Application Server,Databases,Backend Server/System,企業(yè)數(shù)據(jù)中心,從網(wǎng)站建設(shè)和運維者的角度,檢測與發(fā)現(xiàn)-事前預(yù)警 防護與阻擊-事中防護 安全監(jiān)控與安全恢復(fù)-事后恢復(fù)、監(jiān)控,外部評估服務(wù) 操作系統(tǒng)及應(yīng)用服務(wù)安全性 Web服務(wù)安全性 內(nèi)部評估 系統(tǒng)安全策略檢查 Web服務(wù)配置檢查 數(shù)據(jù)庫安全檢查 掛馬檢測 WebShell檢測 云安全服務(wù)模式,應(yīng)用安全服務(wù),從檢查、監(jiān)管、業(yè)務(wù)指導(dǎo)單位的角度,設(shè)置網(wǎng)站安全基線，制定防篡改、防掛馬安全規(guī)范，提出監(jiān)測、防護 與處置機制要求 輔助以自動檢測工具、檢查列表定期開展檢查 工作 不定期進行

4、WEB掃描（應(yīng)用漏洞、掛馬） 建立網(wǎng)站安全管理中心，在各網(wǎng)站部署探針，對收集的數(shù)據(jù)進行統(tǒng)計、分析，定期形成態(tài)勢分析報告 開展網(wǎng)站安全績效評估活動 WEB防掛馬、防篡改產(chǎn)品 評測、推薦,從檢查、監(jiān)管、業(yè)務(wù)指導(dǎo)單位的角度,惡意網(wǎng)站列表,一些成果WEB信譽列表,惡意站點分布,一些成果惡意站點監(jiān)控,1 WEB應(yīng)用安全解決方案,2.2 云安全,2.1 安全基線,2 綠盟最新的研究熱點,2.3 蜜罐,針對系統(tǒng)具體的特點進行安全評估，導(dǎo)出系統(tǒng)的特定安全需求，是安全體系有效實施的關(guān)鍵 什么是重要的？ 什么是危險的？ 什么是正確的？,三個問題,完善當前的安全標準和規(guī)范（明確安全基線） 細化Checklist，擴

5、大覆蓋范圍 (設(shè)備、通用軟件、專業(yè)應(yīng)用) 依據(jù)標準和規(guī)范把Checklist工具化、自動化 加強業(yè)務(wù)系統(tǒng)交付階段的安全管理 在線系統(tǒng)的日常運維,S-CAP 能給我們帶來哪些啟示呢,標準/規(guī)范制定機構(gòu),權(quán)威軟件測評機構(gòu),權(quán)威信息化建設(shè)機構(gòu),標準/規(guī)范/測評檢查表單/支撐庫,XX業(yè)務(wù)系統(tǒng)安全功能規(guī)范,應(yīng)用軟件（通用）安全配置規(guī)范系列,操作系統(tǒng)（通用）安全配置規(guī)范系列,安全設(shè)備（通用）安全功能規(guī)范系列,XX業(yè)務(wù)系統(tǒng)安全功能測試標準,應(yīng)用軟件（通用）安全配置測試標準,操作系統(tǒng)（通用）安全配置測試標準,安全設(shè)備（通用）安全功能測試標準,執(zhí)行角色,軟件開發(fā)商,系統(tǒng)集成商,測評認證機構(gòu),安全設(shè)備商,漏洞庫,

6、通用系統(tǒng),專用系統(tǒng),配置庫,通用系統(tǒng),專用系統(tǒng),安全補丁庫,通用系統(tǒng),專用系統(tǒng),安全運維人員,安全服務(wù)商,權(quán)威安全測評機構(gòu),安全隱患,軟件自身存在的隱患,配置錯誤或遺漏導(dǎo)致的隱患,漏洞,配置,網(wǎng)元安全評估最主要的工作是發(fā)現(xiàn)系統(tǒng)的安全隱患,設(shè)備非正常運行,運維,技術(shù)手段上需要落實的控制點,1 WEB應(yīng)用安全解決方案,2.2 云安全,2.1 安全基線,2 綠盟最新的研究熱點,2.3 蜜罐,綠盟科技云安全的三個層面,WSP 網(wǎng)站安全監(jiān)控平臺,提前發(fā)現(xiàn)安全漏洞 避免網(wǎng)頁掛馬,即時發(fā)現(xiàn)安全漏洞 降低流量損失,網(wǎng)站安全監(jiān)控平臺,1 WEB應(yīng)用安全解決方案,2.2 云安全,2.1 安全基線,2 綠盟最新的研

7、究熱點,2.3 蜜罐,部門2,安管中心,信息中心機房,應(yīng)用場景-僵尸網(wǎng)絡(luò)監(jiān)測和惡意代碼捕獲,Internet,部門1,部門3,NIPS,WAF,NTA,EPS,誘捕主機,誘捕主機,誘捕主機,誘捕主機,NIPS,NIPS,NIPS,EPS,統(tǒng)一安管平臺,EPS,誘騙系統(tǒng)管理平臺,控制主機,成立于2000年，目前員工650人，31個分支機構(gòu)。 總部與研發(fā)中心：北京 分公司：北京、上海 、廣州、成都、沈陽、武漢、西安 辦事處： 哈爾濱、長春、天津、石家莊、濟南、青島、太原、呼和浩特、南京、杭州、南昌、鄭州、合肥 、長沙、福州、深圳、?？凇⒛蠈?、重慶、昆明、貴陽、拉薩、蘭州、烏魯木齊,公司概況,綠盟科

8、技,杭州辦事處 地址：杭州市體育場路229號糧油大廈1106室 郵編： 310003 電話： 057185778560/87972129,在全球范圍內(nèi)，提供基于自身核心競爭力的企業(yè)級網(wǎng)絡(luò)安全解決方案，成為最受用戶信賴的網(wǎng)絡(luò)安全公司。 公司服務(wù)資質(zhì) 國家安全服務(wù)資質(zhì)（二級） CNCERT/CC 國家級應(yīng)急服務(wù)支撐單位 國家網(wǎng)絡(luò)與信息安全信息通報技術(shù)支持單位 ISO27001信息安全管理體系（ISMS）認證 ISO9001質(zhì)量管理體系國際國內(nèi)雙認證 信息安全一級應(yīng)急處理服務(wù)資質(zhì) 公司產(chǎn)品資質(zhì) NIPS/NIDS、WEB應(yīng)用防火墻獲EAL3認證 中國信息安全認證中心認證 公安部銷售許可 解放軍信息安全測評認證中心認證 國家保密局涉密信息系統(tǒng)產(chǎn)品檢測證書 國際CVE完全認證 英國西海岸實驗室認證,戰(zhàn)略,資質(zhì),資質(zhì),保持每年一款新產(chǎn)品的推出 保持每6個月進行版本更新 在專業(yè)的基礎(chǔ)上，我們穩(wěn)步前進,V5.6,V5.0,V4.5,V2.0,V1.8,V5.6,V5.6,V5.6,V4.5,2000 2