私有云体系下网站防护技术.pptVIP

中科软科技 Sinosoft 客户至上 精益求精 以人为本 LOGO 私有云体系下的网站防护技术 目录 网站防护难点及问题 1 网站防护技术 2 网站防护架构 3 总结 4 防护难点及问题 在网络时代，网上的形象是十分重要的。网站是展示各行业文化、办公及与外界交流的重要平台。在网络高速发展的阶段，网站的发展及网站安全防护并没有得到同步的提升，相反，网站成为了黑客重点攻击的对象，据CNCERT监测，2013年，我国境内被篡改网站数量为24034个，较2012年增长46.7%，我国境内被植入后门的网站数量为76160个，较2012年增长45.6%。 根据《信息系统安全等级保护实施指南》中所给出的等级保护的建设过程，针对网站安全就必须要以安全服务为主线，从门户网站的安全评估、咨询性服务开始，到整体安全规划、解决方案设计等设计性服务，最终以运维支持、应急响应等持续的技术性服务为政府门户网站提供一个符合等级保护精神的安全保障体系。 系统终止 安全规划设计 安全实施 安全运维 系统定级、备案 局部调整 重大变更 信息系统安全等级保护实施的基本过程 防护难点及问题 【网站防护需要对口的专业化人才】 缺乏专业人才：Web应用开发人员非信息安全人员，网站威胁防护需要对口的专业化人才。 Web攻击 Xss跨站攻击 SQL注入攻击 网站挂马 Cookie劫持 命令行攻击 弱口令攻击 内容篡改 WebShell 溢出攻击 Web应用 服务器 Web网站开发者安全意识薄弱 防护难点及问题 【安全防护成本及设备性能】 性能难满足：Web应用众多，单台防护设备性能很难满足。 防护成本高：Web应用部署分散，架设Web防火墙设备成本太高。 Intranet 总部 山东 上海 四川 防护难点及问题 【统一管理平台】 统一管理：无Web应用统一安全防护平台，数据无统一分析，无威胁趋势报警机制。 安 全 分析 威胁 数据 分散的 文字的 都是什么类型的攻击？ 攻击的目标是什么？ 攻击的来源？ 缺乏 无法可视化展现 无法多维度分析 目录 网站防护难点及问题 1 网站防护技术 2 网站防护架构 3 总结 4 网站防护技术 缺乏专业人才：Web应用开发人员非信息安全人员，网站威胁防护需要对口的专业化人才。 传统防火墙主要工作在四层以下，主要是基于包检测技术，不能实现对HTTP协议的精细控制； 防病毒产品不仅对Web应用程序中的漏洞难以识别，而且对网页中存在的恶意代码（网页木马）更是束手无策； IPS仅是对HTTP数据包有效负载的检测分析，并不能将所有的数据包还原组装成数据流或具体的内容进行基于关键字或具体内容的检测分析与特征提取。比如Cookie篡改、会话劫持，IPS都不能较好的进行防护； 网页防篡改软件（1）静态备份技术，不适用动态网站（2）无法应对SQL注入、XSS攻击等检测与拦截； 防火墙检测数据包包头信息进行访问控制 网站防护技术 网站私有云安全防护平台可针对IPV4/IPV6双协议栈下的HTTP/HTTPS流量相关内容的实时分析检测、过滤，来精确判定并阻止各种入侵攻击、恶意代码与非法行为，阻断对Web服务器的恶意访问与非法操作，从而做到对Web服务器的多重保护。 防跨站脚本攻击;; 防SQL注入; 防缓冲区溢出攻击 防网站挂马; 防止网站被植入WebShell; 防止命令行攻击; 防弱口令攻击; 防止利用WebShell发起的各种攻击： 内容篡改; 支持Cookie防篡改； 支持Cookie防劫持； 具备Cookie加密功能，防Cookie内容泄露； 具备上传木马过滤功能； …… 网站防护技术 研发深度解码扫描引擎主要是因为攻击常常通过加密或其它非正常编码进行处理。而采用该引擎解码后，便可以精确辨别正常Web访问与恶意攻击，提高检测准确度。深度解码扫描引擎主要特点： 1）区别于简单的字符串过滤，是在进行各种解码基础上进行攻击检测。 2）检测URL参数、Web表单输入、HTTP header等Web交互信息，在进行解码的基础上，对攻击的形式逻辑进行判断过滤。 URL (GET参数) HTTP HEAD (Cookie) 表单 (POST) 攻击IP黑名单 数据解码预处理 攻击策略匹配 用户许可规划 网站防护技术 【启发式扫描算法】 为了应对未知的Web应用攻击，开发了基于行为模式的启发式特征。在发现少量的攻击特征，又不足以完全确认为攻击的情况下，可将其作为启发式特征，检测未知攻击。 【Web应用防护特征库】 1）特征识别：特征就是攻击者的“指纹”，如SQL注入中常见的“真表达(1=1)”等。这是一种主要应对已知攻击的防护手段。 2）算法识别：针对SQL注入、DDOS、XSS等Web攻击都开发了相应的识别算法。 网站防护技