安全信息培训课-ppt

1、培训题纲,1,今天网络安全了吗？,严峻,形势越来越严重,国家互联网应急响应中心 一度引起中央电视台等媒体重点关注 引起国家司法机构大力整冶,目的越来越利益,从网站涂鸭到政府黑站 从盗游戏币到发职业资格证 网银大盗与网马频发,队伍越来越壮大,地下黑客利益链,门槛越来越底,黑站工具随手可得 网站漏洞随处可见 黑客培训基地层出不穷,2,WEB入侵如入无人之境,2010年5月 当当网 网易邮箱,3,2010年7月的灾难,4,入侵手法日趋自动化,入侵、黑客不再是高深莫测 网站入侵2分钟学习,市属79个网站被一次批量SQL注入，全被挂马、内容面目全非,5,WEB应用的管理日益复杂,访问量管理,重点业务关注度、业务峰值趋势走向、故事处理追塑,业务访问审计,访问对象管理,您是否是盗链的受害者？ 服务器访问全天候居高不下？ 某证券公司adobe事件,6,入侵流程简介,7,原因之传统防护无能为力,70%,30%,70%,30%,投入的重点,安全重灾区,8,原因之安全意识与配置,方便管理的后门,未经修改的默认配置,不安全的网络环境,FTP 远程桌面 隐藏的管理页面,ARP欺骗 内网病毒 服务器跳板 不可控的

2、虚拟主机,IIS示例文夹 Internet账户权限 数据账户权限,9,原因之安全运维与管理,简单的身份认证,不安全的程序移植,缺少相应的审核规范,90%的网站管理后台与网站一起对外发布 如/admin/ /system/ /systemadmin/ 50%仅用户名+口令身份认证 40%的验证码过于简单可轻易破解,内容发布审核规范（王石门） 官方留言板、论坛审核流程 来自运维人员开发人员的内鬼,免费的日志分析软件、内容管理软件 如WebEditor 配置不当威胁重重 未经修改直接使用,10,原因之安全设计与开发,不争的事实 是软件就会有漏洞，XP至今已发布500余个补丁,技术门槛低的WEB开发 对安全的认知能力有限 以功能需求为导向 独立开发与第三方插件的拼凑 欺骗性的简化 资源与时间限制 无法提供安全服务和支撑,11,WEB服务端面临的安全问题,各种注入 各种跨站 会话劫持 各种绕过 扫描猜测后台 上传漏洞 文件包含 信息泄漏 CC攻击,网页被篡改,数据被窃取,拒绝服务,12,传统的解决措施,应用架构调整及加固,专业防御产品,管理后台与前台分离 伪静态发布技术 关闭非HTTP服务 打W

3、EB服务器补丁 加固程序代码,开启网络防火墙 部署IPS进行防御 WEB漏洞扫描 部署防篡改软件,增加健壮性,增强防御措施,13,传统措施的局限性,客户端安全,注入攻击 信息泄露 CC攻击等,WEB攻击,部分解决了网页篡改的风险,WEB应用服务器及后端数据库仍面临安全问题 基于后端数据库架构的仍面临攻击的威胁,14,IPS仍然面临难题,基于全局内容的特征匹配,基于URL级别及URL字段级别的匹配,粒度过粗为防止误报必须降低敏感度,基于IP的防护措施，导致误伤三千,细粒度可以提供非常高的敏感度,基于URL级别的防护措施，最大限度保障业务可用性,漏报率,误报率,IPS,WAF,15,WEB应用防火墙的作用,Web应用防火墙主要致力于提供应用层保护，通过对HTTP/HTTPS及应用层数据的深度检测分析，识别及阻断各类传统防火墙无法识别的WEB应用攻击。,WEB应用防火墙,局域网交换机,Web服务器,DB服务器,防火墙,16,CC攻击的危害与防御一,请求到达WEB服务器,解析请求后向数据库发起请求,数据库查时间,应用程序处理时间,传输时间,传输时间,17,CC攻击的危害与防御二,首次请求到达W

4、AF,WAF在返回内容中嵌入令牌,带令牌的查询将被允许,无令牌或错误令牌的查询将被拒绝,CC攻击将被识别被WAF阻断,超过并发请求阀值的同IP请求将被拒绝,整个过程通过WAF实现 不影响后端应用,18,透明模式,网络透明：访问者访问的目的IP地址不发生改变 服务器返回的目的IP地址不发生改变,应用透明：请求头字段属性不发生改变 响应头、响应体字段属性不发生改变 服务器访问日志属性不发生改变,多种冗余措施消除单点故障 双电源冗余、双机热备功能、网口BYPASS、故障BYPASS,19,镜像模式,镜像模式，不需改变原有环境 不中断业务、专用于安全审计和安全监测,20,网关模式,最为灵活的部署，提供会话截止负载均衡,21,典型部署,22,23,降低漏洞暴露机会,自动阻断扫描、攻击探测行为、锁定攻击者,缩短漏洞暴露时间,虚拟补丁技术仅需一分钟修复已知漏洞,阻断漏洞利用行为（双引擎安全防护架构）,自学习建模只允许正常请求通过，有效应对0day,辅助安全分析与取证,详细安全事件显现，辅助安全取证与程序优化,访问速度更快,多种加速技术使 访问更快 缓存压缩 协议优化,运维管理更轻松,WEB服务自学习

5、 安全策略自学习 安全策略更精确 实现低工作量、高安全质量防护效果,CC防护,细粒度规则检测 请求速率及集中度检查，有效应对CC慢速攻击 支持挑战验证模式 区域分级算法,明御系列-WEB应用防火墙（WAF）,深度防御引擎,对协议的全面理解 请求头 响应头 响应体 针对单个请求 基于统计的识别 攻克防御难题如编码,特色功能 整合公司安全研究成果，安全策略独具CMS漏洞的虚拟补丁,24,全面的深度防御体系,抗扫描注入工具入侵 抗爬虫及恶意抓取 抗各种注入攻击 抗各种跨站攻击 抗会话劫持 抗各种绕过 上传流识别、微病毒引擎 应用DOS，CC攻击防御 防盗链,特色功能 识别攻击源进行定时锁定，最大限度提高安全性,25,告警方式,丰富的告警方式 - 邮件告警 - 短信告警 - Syslog SNMP,解决方案1网站整体安全解决方案,培训题纲,28,一、数据库审计结构说明,通过采集数据库流量进行解析还原，再通过规则和报表等分析手段，发现数据库的违规行为。,1、信息收集方式,大型数据中心解决方案： 采用分布式部署，根据业务系统、机房位置、流量等合理部署采集器； 通过管理中心进行集中管理，规则和配置统

6、一分发，统一生产报表等；,旁路部署模式 无需更改现有网络 无需修改应用配置 无需在数据库服务器上安装软件，不影响数据库服务器性能,1、信息收集方式,31,ORACLE 192.168.12.18,SQLserver 192.168.11.12,1、信息收集方式,定期自动发现数据库，防止漏审,2、审计记录详情,3、审计信息筛选,5W1H审计分析模型,3、审计信息筛选,支持丰富自定义审计规则,审计规则部署不再困难，部署时间从几个月缩短到几天！,3、审计信息筛选,4、预警与报表,丰富的告警方式 - 邮件告警 - 短信告警 - Syslog SNMP FTP,1、以审计知现状,通过报表了解以下难题: 数据库到底有多少个帐号？ 帐号都是那些人使用? 每个帐号具体有什么权限? 数据库对外接口有多少个？ 有哪些人访问了我的系统？ 哪些违规行为发生？,2、以审计促信息化管理,通过报表分析以下异常: 数据库帐号异常增删； 数据库权限异常调整； 管理员密码不定期修改； 管理员帐号复用； 应用系统帐号滥用；,2、以审计促信息化管理,通过报表分析以下异常: 数据库帐号异常增删； 数据库权限异常调整； 管理员密

7、码不定期修改； 管理员帐号复用； 应用系统帐号滥用；,帐号复用,2、以审计促信息化管理,通过报表分析以下异常: 数据库帐号异常增删； 数据库权限异常调整； 管理员密码不定期修改； 管理员帐号复用； 应用系统帐号滥用；,帐号滥用,注：数据取自于帐号使用情况分析报表,来自于：平均执行时长TOP50,平均执行时间排行前8的SQL语句：,3、以审计做数据库优化,安全审计综合分析报告:可以从帐号授权管理、认证管理、关键系统操作、敏感数据泄露、DDL操作异常分析、安全攻击等多种视角、50多个维度进行分析，根据审计结果进行安全等级评分，形成综合分析报告，。,还可形成等级保护、分级保护、塞班斯SOX法案法律法规符合性报表！ 支持二次开发，可以为客户量身定做专用审计报告；,4、以审计符合法规要求,五、评估数据库漏洞,自动定期扫描，全面评估数据库漏洞！,五、评估数据库漏洞,六、查询与回放,条件丰富，相应快捷： 支持表、字段、操作类型、用户名、IP、应用程序名等条件查询； 基于安全高效数据库存储和检索，查询效率可达500万条/秒； 回放真实，方便定位 可以基于表、字段、IP等条件进行查询回放； 基于会话回放，让管理者了解前后操作过程，方便定位“误操作”等异常行为；,七、三层审计追踪最终用户,对于三层架构的应用系统而言， 传统的数据库审计系统只能审计到web应用中间件的相关信息，无法识别是哪个原始访问者发出的请求。安恒DAS-DBAuditor通过关联应用层的访问和 数据库层的访问操作请求，可以追溯到应用层的原始访问者及请求信息（如：操作发生的URL、客户端的IP等信息），通过三层审计更精确地定位事件发生前后所有信息。,Web应用 中间件,数据库,客户端发起 web访问,中间件发起 数据库查询请求,客户端,应用 流量,DB 流量,自动建模，关联前端IP和用户 亦可手动关联,八、易用的排错平台,一键式排错平台可以排查80%以上的产品故障,九、丰富的协议,1）支持六大主流数据库,3）支持数据仓库,2）支持国产数据库以及部分其他协议,http Telnet FTP Smtp/pop3,达梦 人大金仓 神通oscar 南大通用GBASE,解决方案2安全审计解决方案,如同有线一般安全的无线网络,2.加密,4.服务器保护,6.入侵保护,8.应用层识别,9.分析,CUBE无线有线一体化安全网络,

《安全信息培训课-ppt》由会员第***分享，可在线阅读，更多相关《安全信息培训课-ppt》请在金锄头文库上搜索。