WEB安全保护-联想网御-2009.pptVIP

Web安全防护 联想网御CTO 毕学尧 2009年10月 演讲提纲 数据来源： ISS X-Force 数据来源： ISS X-Force Web应用相关攻击情况 Web应用安全威胁小结 Web是黑客攻击头号目标 75％以上的攻击都是针对web应用的(Gartner) SQL注入和XSS脚本攻击是排在前两位的漏洞攻击(Mitre) 几乎所有的站点都是有漏洞的 90%的站点存在易遭受应用攻击的漏洞(Watchfire) 78%的漏洞和web应用相关 (Symantec) 到2010年会有超过80%的组织会遭到应用安全方面的攻击 (Gartner) 对黑客来说web应用是最有利可图的攻击目标 客户数据,信用卡,钓鱼,木马等等 Web服务器和客户端需同时防护 演讲提纲 Web应用业务系统架构 Web安全解决之道－－服务器端 从NetScan到AppScan 4-2 产品防护之安全网关 4-2 产品防护之异常流量清洗 4-2 产品防护之IPS或WEB防火墙 应用层DDoS攻击防护 －－CC、连接耗尽和HTTP Flood等 流量型DDoS攻击防护 －－ SYN Flood等 传统OS攻击和0day攻击防护 OWASP TOP10相关攻击防护 －－SQL注入和跨站脚本攻击等 4-3 在线监控之可用性监控 解决的客户问题 4-3 在线监控之挂马监控 对重要网站进行7×24小时监控 通过虚拟机模拟真实用户访问，对网站进行综合检测和分析 识别网页中嵌入恶意代码和恶意链接 及时告警，定期输出报告 Web安全解决之道－客户端安全 演讲提纲 云计算不断发展  云计算带来的新的安全需求 云计算安全保障 合规，满足支付卡行业的数据安全标准(PCI DSS) 当前随着IT技术的发展，业务应用系统在网络上的应用模式采用”三层架构“ ——前端客户层：浏览器 ——中间应用层：Web服务器+中间件（应用服务器） ——后端系统层：数据库 Web的信息发布和检索技术、Java计算技术以及网络分布式对象技术的飞速发展，C/S 结构向更加灵活的 B/S 多级分布结构演变，使得软件系统的网络体系结构跨入一个新阶段 1.实时对数据库、中间件、服务进程、Web、ERP、硬件设备等关键业务环节自行巡检。 2.及时发现定位系统故障隐患，通过短信、邮件、SNMP陷阱等方式发出预警，降低运营风险。 3.丰富的报表视图，统一界面可视化呈现，智能化的分析业务系统的运行趋势，为优化现有业务流程，合理规划IT投资提供参考。 产品解决的客户问题，主要是以客户的业务为中心，全面提供保障。例如以服务器为中心，主要是监控CPU、内存、I/O、进程等是否正常；以服务器为中心主要是监控应答时间、活动用户、表空间等是否正常；以应用为中心，主要是监控访问的应答、正常运行、单位时间等是否正常。真正是最终确保业务的连续性。 网页防篡改：实时过滤sql注入和xss跨站脚本攻击；监控网站页面的完整性，如被篡改进行告警，对外仍显示正常页面 网页挂马防护：当用户请求某一个页面时，设备对响应的网页进行在线检测，判断是否被植入恶意代码，并进行过滤 敏感信息防泄漏：识别并保护敏感信息，包括非正常URL请求过滤；自定义关键字；过滤响应信息中的身份证号和银行卡号等敏感信息； 合规：符合监管机构的合规要求 主要是SQL注入和XSS跨站脚本漏洞 2008年4月Google的统计数据：过去10个月中，Google从互联网抓取几十亿URL进行分析，发现300多万个恶意URL，其中中国的占67％ 重点介绍防挂马的想法 Web应用相关漏洞占一半以上 这组统计数据也非常有力地说明，近5年以来，跨站脚本攻击漏洞事件的数量呈现出了一个超线性的迅猛发展趋势/ExternalContent/IBMRBMS/SMRC/WHITEPAPER/68843/IBM-182G?óXFTR-H1-2009.pdf 以前的黑客攻击网站、窃取信息通常只是以炫耀技术、恶作剧或者仇视破坏为目的。随着互联网经济的发展，网络攻击等违法行为的目的已转变为追求“经济利益”，并已形成黑色产业链。窃取QQ密码、网游密码、银行账号、信用卡账号、企业机密等个人资料和商业机密，通过出售换取金钱。同时，越来越多的黑客团伙利用电脑病毒捆绑“肉鸡”，构建“僵尸网络”，用于敲诈和受雇攻击等也成为一直主要非法牟利行为。而且这些盗取信息或敲诈勒索等行为已呈组织化和集团化趋势，黑色产业链每年的整体利润预计高达数亿元。 开发人员使用 AppScan 　　开发人员在开发过程中可以使用 AppScan 或者专用插件，随时开发随时测试，最大化的保证个人开发程序的安全性。越早发现问题，解决问题的成本就越低，这为 Web 应用的安全提供了最为坚实的基础保障。 测试人员