Web安全解决之道.PPTVIP

Web安全防护 联想网御CTO 毕学尧 2009年10月 演讲提纲 威胁分析 未来展望 Web安全 解决之道 中国网站增长情况 高速发展的中国互联网 来源：CNNIC Web应用相关的漏洞快速增长 数据来源： ISS X-Force Web相关的漏洞数所占比例 数据来源： ISS X-Force Web应用相关的漏洞披露分布 % of Attacks % of Dollars 75% 10% 25% 90% Sources: Gartner, Watchfire Web应用相关攻击情况 当前网络上75％以上的攻击都是针对web应用 黑客攻击趋利化 后果：全球恶意站点300多万 Web应用安全威胁小结 Web是黑客攻击头号目标 75％以上的攻击都是针对web应用的(Gartner) SQL注入和XSS脚本攻击是排在前两位的漏洞攻击(Mitre) 几乎所有的站点都是有漏洞的 90%的站点存在易遭受应用攻击的漏洞(Watchfire) 78%的漏洞和web应用相关 (Symantec) 到2010年会有超过80%的组织会遭到应用安全方面的攻击 (Gartner) 对黑客来说web应用是最有利可图的攻击目标 客户数据,信用卡,钓鱼,木马等等 Web服务器和客户端需同时防护 演讲提纲 威胁分析 未来展望 Web安全 解决之道 Web应用主流发展 Web应用业务系统架构 敏感数据 客户应用 Web安全解决之道－－服务器端 4-1 事前审查 代码审查 查找、定位、修复和管理软件代码安全问题，减少软件代码编写中可能出现的安全漏洞，提高应用系统自身安全防护能力 隐患扫描 定期对网站程序、数据库、配置文件等应用数据进行全面的安全漏洞扫描，及时发现潜在的网站弱点、网站应用程序漏洞 安全加固 专业安全服务人员通过修改和优化系统配置，提高信息系统的安全性和抗攻击能力 防患于未然 从NetScan到AppScan 当前 Web 安全 75％的漏洞出自于应用本身， AppScan在Web 开发、测试、维护、运营的整个生命周期中，帮助企业高效的发现、解决安全漏洞，最大限度保证了应用的安全性 4-2 产品防护之安全网关 访问控制 带宽管理 攻击过滤 4-2 产品防护之异常流量清洗 4-2 产品防护之IPS或WEB防火墙 应用层DDoS攻击防护 －－CC、连接耗尽和HTTP Flood等 流量型DDoS攻击防护 －－ SYN Flood等 传统OS攻击和0day攻击防护 OWASP TOP10相关攻击防护 －－SQL注入和跨站脚本攻击等 4-3 在线监控之可用性监控 解决的客户问题 CPU利用是否正常？ 内存利用是否正常？ 磁盘利用是否正常？ 关键进程是否正常？ … 以服务器为中心 应答时间是否正常？ 活动用户是否正常？ 表空间状态是否正常？ 连接数目的统计 … 以数据库为中心 访问的应答时间是否正常？ 正常运行时间是多少？ 单位时间的传输数据是否正常？ … 以应用为中心 以业务为中心，全面提供保障 4-3 在线监控之挂马监控 对重要网站进行7×24小时监控 通过虚拟机模拟真实用户访问，对网站进行综合检测和分析 识别网页中嵌入恶意代码和恶意链接 及时告警，定期输出报告 4-4 应急响应服务 当客户发生安全事件时，安全专家在第一时间赶到问题现场，使客户网络信息系统在最短时间内恢复正常工作，帮助客户查找入侵来源，给出入侵事故过程报告，同时给出解决方案与防范报告，为企业挽回或减少经济损失 Web安全解决之道－客户端安全 客户端 防钓鱼 安全接入 防病毒 防挂马 防挂马防病毒（终端安全+UTM） 00000000000000000000000000000 000000000000000000000000000 000000000000 00000000000000000000000000000000 000000000000000000000000000000000 00000000000000000000000000000000 000000000000000000000000000000000 000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000 00000000000000000000000000000000000000000000000 0000000000000000000000000000000000000000000000000000000000000000000 0000 0000 0000 0000 0000 0000 0000 0000 00