web应用安全解决方案

天存Web应用安全解决方案Web攻击事件-篡改网页2Web攻击事件-篡改数据3Web攻击事件-跨站攻击4Web攻击事件-注入式攻击5最近……6Web应用结构中间层

(Web服务器)数据层

(数据库服务器)客户端

(Web浏览器)9Web安全全貌防火墙数据库服务器Web服务器应用服务器IPS/IDSWeb应用DoS攻击端口扫描网络层模式攻击已知Web服务器漏洞跨站脚本注入式攻击非法执行Cookie假冒??????10传统网络安全设备防火墙限制地址和端口访问验证和加固网络协议入侵检测基于网络层的数据包检查问题Web端口谁来保护？应用数据谁来保护？如何保证公众浏览到的信息是原始的？11风险和投资75%25%10%90%Web应用网络服务器安全风险安全投资12常见Web攻击类型威胁手段后果注入式攻击通过构造SQL语句对数据库进行非法查询黑客可以访问后端数据库，偷窃和修改数据跨站脚本攻击通过受害网站在客户端显不正当的内容和执行非法命令黑客可以对受害者客户端进行控制，盗窃用户信息上传假冒文件绕过管理员的限制上传任意类型的文件黑客可以篡改网页、图片和下载文件等不安全本地存储偷窃cookie和sessiontoken信息黑客获取用户关键资料，冒充用户身份非法执行脚本执行系统默认的脚本或自行上传的WebShell脚本等黑客完全控制服务器非法执行系统命令利用Web服务器漏洞上执行Shell命令Execute等黑客获得服务器信息源代码泄漏利用Web服务器漏洞或应用漏洞获得脚本源代码黑客分析源代码从而更有针对性的对网站攻击URL访问限制失效黑客可以访问非授权的资源连接黑客可以强行访问一些登陆网页、历史网页13产生的原因操作系统系统已公布超过1万多个系统漏洞漏洞与补丁漏洞从发现到被利用最短为0天（0day攻击）官方补丁的平均发布时间为47天应用系统漏洞不同应用系统的不同的开发者现有技术架构下，网站漏洞长期存在14如何防范及时给操作系统、web服务软件打补丁敦促每个开发者关注应用安全使用黑客工具模拟攻击[黑盒测试]复查所有应用系统代码[白盒测试]更好的方法？15Web应用安全解决之道天存Web应用安全解决策略iGuard网页防篡改系统杜绝被篡改的网页被公众浏览杜绝被篡改的脚本被非法执行杜绝对数据库内容的非法访问和篡改iWall应用防火墙对提交给Web服务的http请求进行检查杜绝黑客利用Web系统和应用漏洞Web服务器核心内嵌技术17Web服务器核心内嵌模块硬件平台（X86/sparc/ItaniumII/PowerPC/PA-RISC）操作系统（Windows/Linux/FreeBSD/Solaris/AIX/HP-UX）Web服务器软件(IIS/Apache/Weblogic/Websphere)

安全核心内嵌模块requestresponse应用防护技术数字水印技术Web服务器18Web服务器核心内嵌技术技术优势 不存在独立的安全模块运行进程 精准理解和分析Web服务出入的数据全面控制Web服务器软件软件和服务全平台支持操作系统：支持Windows、Linux、UnixWeb服务器：支持IIS、Apache、J2EE19iGuard网页防篡改系统发布服务器核心内嵌-数字水印技术Web服务器FTP/rsync一般发布过程篡改检测模块自动发布

子系统监控和恢复

子系统+篡改检测

子系统SSL1.上传正常网页=X水印库2.浏览正常网页3.篡改网页4.浏览篡改网页5.自动恢复文件系统21工作过程发布过程发布内嵌模块检测到文件创建/变化为文件产生加密和不可逆转数字水印通过SSL加密通道传送到Web服务器检测过程公众发出请求浏览网页应用防护子系统检查请求的合法性篡改检测子系统检查数字水印完整性辅助以增强型事件触发技术防护22iGuard同步特性详述实时的文件检测，高效的上传同步发布端支持Windows/Linux操作系统接收端支持所有常见操作系统平台支持多服务器，镜像同步和非镜像同步支持多虚拟主机和多虚拟目录支持精确同步和增量同步支持自动重连，失败重传和任务断点续传支持企业级双机发布模式，主从自动切换支持应用/服务两种模式选择128位安全连接，通信双方数字证书认证完整和全面的日志查询23iGuard防篡改特性详述可靠的实时网页篡改检测严密的安全水印密码算法内嵌式检查恶意请求即时的报警和页面恢复篡改网页快照留影支持所有操作平台和Web服务器支持各种动态网页技术支持特殊目录和文件忽略自定义出错页面邮件报警和第三方报警与安全管理平台整合24双机和集群部署DMZIntranetInternet内容管理系统iGuard发布服务器Web服务器集群25iWall应用防火墙防注入式攻击示例zhangsanhack’or‘1’=‘1SELECT*FROMuserWHEREname=‘hack’or‘1’=‘1’SELECT*FROMuserWHEREname=‘zhangsan’XO27iWall的检查对象请求特性鉴别类型过滤请求长度过滤请求类型过滤请求方法过滤请求版本过滤文件类型过滤请求数据URL过滤请求参数过滤请求数据过滤Cookie过滤盗链检查跨站攻击检查28iWall防范的攻击SQL数据库注入式攻击脚本源代码泄露非法执行系统命令非法执行脚本上传假冒文件跨站脚本执行不安全的本地存储网站资源盗链29iWall产品特点安全性–核心内嵌技术高效性–无系统通信开销灵活性–支持多主机多规则广泛性–支持所有平台稳定性–多年高访问量低成本–无须增加硬件可扩充–防范攻击模式30实现方式比较项目软件实现方式硬件实现方式部署点Web服务器网关保护范围一台Web服务器一个网段访问性能影响小，无瓶颈效应影响大，有瓶颈效应单点失效不可能可能升级方便可以细粒度配置方便可以成本一般较高31资质和技术适用环境纯静态架构的信息发布门户iGuard标准版动静结合的信息和应用综合门户iGuard标准动态版高安全需求的关键Web应用iGuard标准版+iWall应用防火墙33权威安全部门检验34技术背景天存公司国家信息安全产业基地企业上海信息安全行业协会会员专业Web安全技术研发公司技术以国家863安全Web项目为基础

（SWP01通用安全Web平台）运用领先的Web服务器研究技术与成果35Web安全全貌防火墙数据库服务器Web服务器应用服务器IPS/IDSWeb应用DoS攻击端口扫描网络层模式攻击已知Web服务器漏洞跨站脚本注入式攻击非法执行Cookie假冒36Web应用安全产品Web应用安全产品是现代网络安全架构的一个重要组成部分Web应用安全产品着重进行应用层的内容检查和安全防御Web应用安全产品与传统安全设备共同构成全面和有效的安全防护体系37成功案例中国中央政府门户网站中国政府官方网站投标集成商一致选择,各方专家严格评审按日访问量30,000,000设计Linux*262005年10月www.39中国网中国互联网新闻中心,官方新闻网站每天以8种文字更新网页300,000个网站网页文件超过60,000,000个Solaris*13+Linux*n2003年10月40地方政府网站北京市人民政府（首都之窗）上海市政府（中国上海）广州市政府（中国广州）天津市政府（中国天津）41运营商中国网通集团中国网通网上营业厅支付平台中国网通宽带我世界门户网站中国网通研究院江苏电信、泉州电信、南通电信、资阳电信北京移动、内蒙古移动、山西移动42官