web应用安全暨天存产品介绍
天存WEB应用安全解决方案介绍 (Web应用安全解决之道),2,www.tcxa.com.cn,提纲,威胁 Web攻击事件举例 Web攻击原因分析 对策 解决之道 保护文件的完整性 阻止来自应用层的攻击 管理与监控 关于天存 产品应用案例,威胁Web攻击事件举例,4,www.tcxa.com.cn,Web攻击事件-篡改网页,www.shijiazhuang.gov.cn,5,www.tcxa.com.cn,Web攻击事件-篡改数据,6,www.tcxa.com.cn,Web攻击事件-注入式攻击,7,www.tcxa.com.cn,Web攻击事件-跨站攻击,www.icbc.com.cn,8,www.tcxa.com.cn,Web攻击事件-非法上传,http:/news.sohu.com/a.txt,威胁Web攻击原因分析,10,www.tcxa.com.cn,黑客攻击Web应用的动机和目的,纯粹炫耀黑客技术 增加自己网站点击率 加入木马和病毒程序 发布虚假信息获利 仿冒用户身份牟利 窃取重要信息 政治性的宣传,随着互联网应用的广泛普及,Web应用日益成为黑客攻击的首要目标,11,www.tcxa.com.cn,产生原因-客观,Web平台的复杂性 操作系统漏洞 Web服务器软件漏洞 运行于WEB服务器上的各种商业软件的漏洞 Web应用程序自身的漏洞 修补漏洞的滞后性 补丁的发布远远滞后于黑客发现并利用漏洞 检测、修补漏洞费时费力 简单的黑客攻击 黑客技术的普及 泛滥的黑客工具,12,www.tcxa.com.cn,产生原因-主观,脆弱的身份认证机制 弱口令 不健全的身份认证机制 不安全的配置 权限控管不当 信息泄露 松散的上网控制 钓鱼、木马、间谍软件驻留在WEB服务器上 未及时修补漏洞 未定期进行漏洞扫描 未及时更新现成软件 新的应用上线之前未进行严格的安全测试,13,www.tcxa.com.cn,常见Web攻击类型,对策-解决之道,15,www.tcxa.com.cn,如何解决现存的安全问题?,加强管理和监控 密码管理 配置管理 及时升级 严格测试 定期扫描 实时监控 建设完善的安全防护体系 网络层安全设备 应用层安全设备,16,www.tcxa.com.cn,Web安全全貌,防火墙,数据库服务器,Web服务器,应用服务器,IPS/IDS,Web应用,DoS攻击,端口扫描,网络层 模式攻击,已知Web 服务器漏洞,跨站攻击,注入式攻击,非法上传,篡改网页,?,?,?,?,?,?,17,www.tcxa.com.cn,传统网络安全设备,防火墙 限制地址和端口访问 验证和加固网络协议 入侵检测 基于网络层的数据包检查 问题 Web/80端口谁来保护? 应用数据谁来保护? 如何保证公众浏览到的信息是原始的?,18,www.tcxa.com.cn,完善的WEB应用安全体系,防火墙,数据库服务器,Web服务器,应用服务器,IPS/IDS,Web应用,DoS攻击,端口扫描,网络层 模式攻击,已知Web 服务器漏洞,跨站脚本,注入式攻击,非法上传,篡改网页,19,www.tcxa.com.cn,Web应用安全产品的技术要求,WEB网页的实现技术 静态网页 Web服务器上的网页文件(如html文件、gif/jpg文件)直接反馈给公众。 动态网页 Web服务器上的脚本文件(如jsp文件)经过执行后,将其执行的结果(脚本文件+数据库内容))反馈给公众。 应该受到保护的对象 网页/脚本文件 Web应用数据 反馈给客户端的数据 提交给数据库等下一级应用程序处理的数据,20,www.tcxa.com.cn,WEB应用安全产品的技术规范,公安部信息安全产品技术规范 MSCTC-GFJ-08-网站恢复产品 能够识别对受保护网页文件的未授权更改 能用备份文件进行自动恢复 MSTL_JGF_04-020-web过滤产品 可以过滤任何客户端对Web服务器的HTTP请求 使用预先定义的规则允许和禁止其连接,21,www.tcxa.com.cn,实现方式,硬件平台 (X86/sparc/ItaniumII/PowerPC/PA-RISC),操作系统 (Windows/Linux/FreeBSD/Solaris/AIX/HP-UX),Web服务器软件 (IIS/Apache/Weblogic/Websphere),安全核心内嵌模块,request,response,应用防护技术,数字水印技术,Web服务器,对策保护文件的完整性,23,www.tcxa.com.cn,实现技术,外挂轮巡技术 使用外部的网页读取和检测程序,以轮询方式读出和比对要监控的网页 核心内嵌技术 篡改检测模块内嵌于Web服务器软件,在每一个网页流出时进行完整性检查 事件触发技术 使用操作系统的文件系统/驱动程序接口,网页文件被修改时进行合法性检查,24,www.tcxa.com.cn,美术馆大楼,工作人员,读者,25,www.tcxa.com.cn,外挂轮巡技术,优点:结构无关缺点:忙不胜忙 x,26,www.tcxa.com.cn,核心内嵌技术,优点:万无一失缺点:影响效率 x,27,www.tcxa.com.cn,事件触发技术,优点:反应迅速缺点:小人难防 x,28,www.tcxa.com.cn,技术对比总结,29,www.tcxa.com.cn,发布服务器,数字水印技术,Web服务器,FTP/rsync,一般发布过程,篡改检测模块,自动发布 子系统,监控和恢复 子系统,+,篡改检测 子系统,SSL,1.上传正常网页,=,X,水印库,2.浏览正常网页,3.篡改网页,4.浏览篡改网页,5.自动恢复,文件系统,30,www.tcxa.com.cn,工作过程,发布过程 发布内嵌模块检测到文件创建/变化 为文件产生加密和不可逆转数字水印 通过SSL加密通道传送到Web服务器 检测过程 公众发出请求浏览网页 应用防护子系统检查请求的合法性 篡改检测子系统检查数字水印完整性 辅助以增强型事件触发技术防护,31,www.tcxa.com.cn,防篡改特性详述,可靠的实时网页篡改检测 严密的安全水印密码算法 内嵌式检查恶意请求 即时的报警和页面恢复 篡改网页快照留影 支持所有操作平台和Web服务器 支持各种动态网页技术 支持特殊目录和文件忽略 自定义出错页面 邮件报警和第三方报警 与安全管理平台整合,32,www.tcxa.com.cn,同步特性详述,实时的文件检测,高效的上传同步 发布端支持Windows/Linux操作系统 接收端支持所有常见操作系统平台 支持多服务器,镜像同步和非镜像同步 支持多虚拟主机和多虚拟目录 支持精确同步和增量同步 支持自动重连,失败重传和任务断点续传 支持企业级双机发布模式,主从自动切换 支持应用/服务两种模式选择 128位安全连接,通信双方数字证书认证 完整和全面的日志查询,33,www.tcxa.com.cn,完全的平台支持,34,www.tcxa.com.cn,双机和集群部署,DMZ,Intranet,Internet,内容管理系统,iGuard发布服务器,Web服务器集群,对策-阻止来自应用层的攻击,36,www.tcxa.com.cn,核心技术,基于天存HTTP安全模型(THSM-Tercel HTTP Security Model) 精确匹配引擎 (TME-Tercel Match Engine) 核心规则集(TCRC-Tercel core rule collection) 采用天存PAGC架构实现 Probe:核心内嵌安全检测模块 Agent:安全信息传输模块-Web服务器端 Gather:安全信息传输模块-管理服务器端 Console:监控管理系统,37,www.tcxa.com.cn,实现原理,采用核心内嵌技术实现 完整理解来自用户的请求数据 基于HTTP/HTTPS协议 与Web服务器软件对请求的处理过程无缝结合 准确区分正常访问和黑客攻击 特征库的精度和广度 特征匹配机制的灵活性 对攻击行为实时阻断和报警,38,www.tcxa.com.cn,攻击检测模块,灵活的特征匹配机制:精确匹配引擎 支持全面的变型和预处理机制 支持多种计算比较方法 精广兼备的特征库:核心规则集 在Web服务器处理请求的关键阶段均进行检测 全面检测请求包含的各种数据 支持对合规性、安全性的检查 能有效防御20+种应用层攻击 采用二阶段模型,兼顾效率和准确度,39,www.tcxa.com.cn,攻击检测模块结构,精确匹配引擎,HTTP请求,核心规则集,其他规则,通过,Web服务器 正常处理,自定义响应,拒绝,40,www.tcxa.com.cn,精确匹配引擎特性,支持的变型和预处理机制 压缩空格 HTML格式解码 长度运算 大小写转换 替换注释符 URL编解码方式转换 ,支持的计算比较方法 字符串限制 数值限制 词组匹配 正则表达式匹配 字节范围限制 非法编码检查 零解码检查 ,41,www.tcxa.com.cn,核心规则集的检查对象,请求特性 鉴别类型过滤 请求长度过滤 请求类型过滤 请求方法过滤 请求版本过滤 文件类型过滤,请求数据 URL过滤 请求参数过滤 请求数据过滤 Cookie过滤 盗链检查 跨站攻击检查,42,www.tcxa.com.cn,核心规则集可防范的攻击,SQL注入式攻击 SQL盲注 跨站脚本攻击 文件注入 命令注入 LDAP注入 SSI注入 PHP注入 ColdFusion注入 UPDF跨站,Email注入 Session定置攻击 上传假冒文件 不安全本地存储 非法执行脚本 非法执行系统命令 脚本源代码泄露 URL访问限制失效 网站资源盗链 ,43,www.tcxa.com.cn,监控管理功能,灵活的配置管理功能 支持用户建立自己的规则库 方便的配置管理界面 强大的日志查询、统计功能 丰富的第三方接口,44,www.tcxa.com.cn,产品架构,Web服务器,管理服务器,安全信息传输模块 Web服务器端 (Agent),Web服务器软件,攻击检测模块 (Probe),监控管理子系统 (Console),安全信息传输模块 管理服务器端 (Gather),DB,Request,Response,接受到来自客户端的请求,该请求是正常请求,该请求不是正常请求,管理员修改系统配置或规则集,45,www.tcxa.com.cn,网关部署模式,46,www.tcxa.com.cn,Web服务器部署模式,对策-管理与监控,48,www.tcxa.com.cn,客户需要的是“安全无忧”,全天候的实时监控安全专家全程支持,事前-事中-事后,安全服务包内容,49,www.tcxa.com.cn,定期安全漏洞检测,主机漏洞检测 安全设备有效性检测 Web应用漏洞扫描 渗透测试,50,www.tcxa.com.cn,7×24小时监控,监控范围 设备性能监控 可用性监控 防篡改监控 攻击行为监控 监控方式 MSS网站监控管理平台 专业人员在线支持 快速介入、及时处理 定期揭示风险,51,www.tcxa.com.cn,安全设备运维,安全策略调整 安全补丁更新 防护能力评估 安全设备的升级和更新,52,www.tcxa.com.cn,安全事件紧急响应,安全事件现场分析处理 安全影响抑制 安全漏洞修补 安全建议,