天清Web应用安全网关介绍.pptx

天清Web应用安全网关介绍;目 录;;政策驱动型目标客户—金融行业;《网上银行信息安全规范》Web安全要求 《网银规范》安全技术规范中明确Web应用安全: 资源控制： 编码规范约束： 会话安全： 源代码管理： 防止敏感信息泄漏： 防止SQL 注入攻击： 防止跨站脚本攻击： 防止拒绝服务攻击： ;PCI-DSS规范 PCI-DSS适用对象 PCI-DSS标准主要针对网上商家、金融机构、信用卡和借计卡处理商、卡公司和端点POS终端。根据v1.1规范： “存储、处理或传输主账号（PAN）时可以使用PCI-DSS规范。如果不存储、处理或传输PAN，不能使用PCI-DSS规范。”如果机构通过基于Web的应用或接口直接进行或支持网上信用卡交易，必须遵守PCI规范。 6.5 – 基于Open Web Application Security Project等安全编码指南开发所有的Web应用。查看自定义应用代码来识别编码漏洞。防御软件开发过程中普遍的编码漏洞，包括以下几方面： 6.5.1 – 失效的输入 6.5.2 – 失效的接入控制（例如，恶意使用用户ID） 6.5.3 – 失效的验证和会话管理（账户证书和会话cookie的使用） 6.5.4 – 跨站点脚本（XSS）攻击 6.5.5 – 缓冲区溢出 ;6.5.6 – 注入缺陷（例如，结构化查询语言（SQL）注入） 6.5.7 – 不当的错误处理 6.5.8 – 不安全的存储 6.5.9 – 拒绝服务 6.5.10 – 不安全的配置管理 6.6 – 采用以下任意一种方法确保所有面向Web的应用免受已知的攻击： 让专门从事应用安全的机构检查所有的自定义应用代码是否存有普遍的漏洞。 在面向Web应用的前端安装应用层防火墙 注意：这种方法一直被认为是最佳的做法，2008年6月30日以后这种做法将会成为一种必须的要求。 ;GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求 要求对象: 1）政府机关：各大部委、各省级政府机关、各地市级政府机关、各事业单位等； 2）金融行业：金融监管机构、各大银行、证券、保险公司等 3）电信行业：各大电信运营商、各省电信公司、各地市电信公司、各类电信服务商等 4）能源行业：电力公司、石油公司、烟草公司 5）企业单位：大中型企业、央企、上市公司等 6）其它有信息系统定级需求的行业与单?? ;Web应用安全要求 《等级保护》中相关Web应用安全要求:;启明星辰 Web安全解决方案 —— 启明星辰天清Web应用安全网关（WAF）;互联网安全保护技术措施规定（公安部令第82号） 互联网安全保护技术措施规定 第四条??互联网服务提供者、联网使用单位应当建立相应的管理制度。未经用户同意不得公开、泄露用户注册信息，但法律、行政法规另有规定的除外。 第七条??互联网服务提供者和联网使用单位应当落实以下互联网安全保护技术措施：（一）防范计算机病毒、网络入侵和攻击破坏等危害网络安全事项或者行为的技术措施； 第九条??提供互联网信息服务的单位除落实本规定第七条规定的互联网安全保护技术措施外，还应当落实具有以下功能的安全保护技术措施： （三）开办门户网站、新闻网站、电子商务网站的，能够防范网站、网页被篡改，被篡改后能够自动恢复； ;中华人民共和国通信行业标准 移动互联网联网应用安全防护要求 .7 其他 1）应用技术手段检测和避免WEB业务系统域名、访问链路的异常、访问延迟、解析错误等情况，并有应急处理能力 2）应避免存在常见的WEB漏洞（如，SQL注入、跨站脚本、CSRF等）； 3）应能检测挂马、暗链等WEB业务系统入侵事件，并有应急处理能力。;国务院办公厅关于进一步加强政府网站管理工作的通知 国办函〔2011〕40 号 各省、自治区、直辖市人民政府，国务院各部委、各直属机构： 四、规范管理，不断提升政府网站工作水平 　　政府网站管理单位要建立网站链接审批制度，严格审核把关；运行维护单位要定期检查链接的有效性，发现链接错误，要及时查明原因，加以更正。网站管理和运行维护单位要建立值班读网制度，安排值班人员每日登录网站读网，检查网站运行和页面显示是否正常，特别要认真审看重要稿件和重要信息，及时发现和纠正错情。要不断完善政府网站防攻击、防篡改、防病毒等安全防护措施，做好日常巡检和监测，发现问题或出现突发情况要及时妥善处理。对于缺乏技术保障力量的政府网站，上级政府、部门和主管单位要主动协调有关方面提供技术支持，帮助其做好网站的安全防范工作。政府网站运行维护单位