搜索
1Web应用安全加固SYGATEONDEMAND4Web应用中关注的焦点任何地点任何应用任何设备酒店公共信息查询台无线服务访问点笔记本电脑Kiosk家用电脑PDA/移动电话任何时间企业职员合作伙伴供应商WebClient/Server传统应用任何用户24小时不间断•安全性安全是唯一可以阻止用户享受上述便利的原因5Web应用中安全的现状安全现状-Web应用两端的保护极不对称Web应用在客户端的安全问题远程用户安全意识和经验薄弱恶意代码泛滥-截键程序、截屏程序、木马主机安全状况堪忧-使用的是非自有设备-未更新过的防病毒程序-无个人防火墙-安全漏洞补丁缺失远程用户处泄漏机密数据-帐号/密码-临时下载的机密文件-重要的客户信息、财务信息等-敏感的隐私内容-浏览器历史记录防止机密数据在客户端泄露的安全方案匮乏6SYGATEWeb应用加固方案SYGATEOn-Demand-SYGATEOn-DemandManager(管理器)-SYGATEOn-DemandAgent(代理)7SygateOn-Demand的作用提供WebClient的安全视图-WebClient是否来自受信任的网络处所-WebClient是否采取了足够的安全防范措施-WebClient端在Web会话过程中是否发生了安全事件?是些什么样的安全事件?帮助我们看见,并扫除Web应用中的安全盲区8SygateOn-Demand的作用防止重要信息在远程WebClient端泄漏-保护Web应用的登陆账号和密码-保护Web会话不被间谍软件监听和窥视-防止下载网页、文件被保存到本地文件系统、移动存储、网络共享,或者是通过打印机打印出来-擦除在WebClient端产生的任何中间信息9在WebClient创造一个可信的操作空间•隔离和屏蔽来自于不安全桌面的风险•保障和维护虚拟桌面的安全•规范虚拟桌面中的行为•限制用户的连接权限•管理用户可使用的网络应用Web服务器不可信的桌面可信的虚拟桌面10SygateOn-demand该方案跻身由Gartner分析机构2005年评出的“网络安全和保密最炫目厂商”行列。分析机构盛赞SygateOnDemand“可以真正地帮助Web应用实现其宗旨:那就是能够在任何时间、任何地点、任何方式为远程用户提供安全的访问,从而挖掘出其中所蕴含的巨大商业价值。”Sygate是目前唯一防止WebClient端泄漏信息的方案11SyateOnDemandAgent分发过程12SygateOn-Demand–主要特性可自定义的用户环境自适应策略主机完整性SygateOn-DemandAgentSecureEnvironmentInsecureEnvironment虚拟桌面数据清理恶意代码防护13工作流程安全的WEB应用创建虚拟桌面创造一个可信的操作隔离间恶意代码防护维持一个可信的操作隔离间数据清除清除重要的中间信息14为什么虚拟桌面是隔离的?独立的逻辑显示环境•-视窗•-消息•-菜单•-Hook(钩子)•-输入虚拟的文件系统•-40~1024位加密虚拟的注册表SecureInsecureSecureInsecure15虚拟的文件系统和虚拟的注册表文件加密(40–1024bitRC4),防止从虚拟桌面外来浏览文件保护程序内存,防止恶意程序窥探可禁止访问本地文件系统、移动存储、网络共享,或者是通过打印机打印出来用户离开或闲置超时时,隔离间销毁功能介绍-虚拟桌面16SecureInsecure屏蔽来自于不安全桌面的威胁SODA2.5:防止很多keystrokeloggers,screenscrapers17进程控制连接控制虚拟键盘基于特征库的引擎启发式行为引擎目标是阻止大多数不受欢迎的行为•设置消息钩子•扫描键盘状态•注入/骑劫程序•屏幕捕捉•……通过特征匹配,揪出那些被行为引擎所遗漏的•进程检查•注册表检查•文件系统检查•……应用程序白名单or应用程序黑名单受信连接或者受限连接•URL、IP地址、Port特定条件下强制使用虚拟键盘•Domain、IP、WindowTitle、URL恶意代码防护18恶意代码防护模块控制机制:1.键盘记录器2.屏幕截取器3.进程控制特定条件下触发,强制使用虚拟键盘domain,IP,WindowTitle,URL20连接控制模块白名单,黑名单默认规则次序,从左至右基于连接的对外通讯拦截。不是完整的包过滤防火墙21删除内容:-Cookies-历史(History)-缓存文件-自动完成(Autocomplete)-密码-输入的URL-临时存放的文件Sygate缓存清除器22SygateOn-Demand出差途中家庭用户企业用户公用PC打印机工作站访客ATM修复服务器RadiusWeb应用服务器SygateEnforcerSygateOn-DemandManagerWireless802.1x交换机CorrelatorDiscoveryEngine管理员创建SygateOn-Demand代理管理员上载SygateOn-Demand代理用户连接到登录页面VD,HI内部局域网访客的笔记本VD,HI公用Internet电话亭永续的VD,HI,家庭网络雇员家里的设备信任机场无线网络企业所属的,运行SSA策略网络位置设备类型自适应策略下载SygateOn-Demand代理(Java)SygateOn-Demand代理根据网络环境调整策略SygateOn-Demand代理验证主机完整性如果符合要求,On-Demand启动虚拟桌面或缓存清理器补丁更新系统补丁更新个人防火墙启用防病毒更新防病毒启用状态主机完整性规则虚拟桌面或缓存清理器启动登录进程用户登陆到SSLVPN/Web用户并获得对网络的访问权用户可以安全地下载、查看、修改并上传企业信息当响应超时或关闭时,虚拟桌面关闭并清理数据23电子商务CRM/SAPSSLVPN网上银行电子医务电子政府案例分析24网上银行•用户的选择最安全的网上银行•黑客的选择???25网上银行的安全现状用户的身份认证问题-基于Web的客户端软件-用户名、密码-附加码-证书数据传输途中的泄密问题-SSL加密安全措施基本够用26网上银行的安全现状数据在客户端的泄密问题-威胁木马:例如快乐耳朵(专门针对专业版)KeyLogger:抓屏、记录键盘输入缓存-安全措施推荐不要在网吧等公共PC上使用(与AAA服务背离)27“网银大盗”介绍“网银大盗”涉及的银行-银联支付网关执行支付-中国工商银行网上银行-申请牡丹信用卡-招商银行一网通-招商银行网上支付中心-中国建设银行网上银行-交通银行网上银行-深圳发展银行帐户查询系统-深圳发展银行|个人银行-民生银行网上银行—个人普通业务-华夏银行-上海银行企业网上银行-首都电子商城商户管理平台-首都电子商城商户管理-中国在线支付网打击面广用户损失更直接信任危机76%用户不愿使用网银28SygateOn-Demand+网上银行的好处用户-木马、KeyLogger等恶意程序无法窥视和截获网上银行的任何信息:用户名、密码、银行帐户等等-安全存储:银行对帐单、证书等-自动缓存清除:随时随地使用网上银行服务银行-可以提供AAA的金融服务-降低运营成本、增加收入-提升用户的满意度、忠诚度增强核心竞争力29SSLVPNsitetositeIPSec(notindividualremoteaccess)individualIPSec/PPTPindividualSSL/HTTPS2001200320052007Source:Gartner2003(Unofficial)30SSLVPN基于Web的应用文件共享瘦客户端/服务器应用传统客户端/服务器应用数据风险:-SSLVPN登录密码-共享的文件-应用程序数据其他风险-网络病毒-木马等恶意代码SSLVPN的加固不会接受预装客户端的方案移动办公合作伙伴外连网公用电话亭31SSLVPN技术合作ArrayNetworks32Web邮件业务需求:远程访问-Email-联系人-日程安排存在风险的数据:-域登录密码-Email附件-联系人列表33Web客户关系管理(CRM)业务需求:-提高远程销售人员的生产效率-准确的收入预测-从任意的设备访问存在风险的数据:-WebCRM密码-客户名单-收入预测MarketLeaderinEndpointSecurity.SYGATEOn-Demand演示