门户网站安全解决方案

启明星辰新疆办事处尚晓东2012.6WEB应用防护安全建设方案更快更安全目录门户网站威胁分析网站安全建设方案方案的价值和优势门户网站威胁分析Web业务的快速增长与广泛使用INTERNETUSAGESTATISTICS–2009&2010Web安全状况不容乐观网络安全信息与动态周报-2010年11月1日~11月7日短短1周内，中国境内英文域名以.gov.cn结尾的网站被篡改数量为72个，环比增长31%，截止11月8日中午12时仍未恢复的网站为21个，被挂马网站5个。2010年上半年中国互联网网络安全报告-2010年9月中国互联网络发展状况统计报告-2010年7月截至2010年6月，中国的网站数，即域名注册者在中国境内的网站数（包括在境内接入和境外接入）为279万个。Web应用的接受程度•85%的用户认识到商业环境中Web应用的重要性，这与IT发展大趋势以及WEB2.0技术日趋成熟是一致的；•但54%的用户还未使用或极少使用Web应用，实践与认识出入很大。AsiaPacificApplicationDeliveryControllerMarketResearchWeb攻击的防御手段•总体安全排在第一位很合理；•针对防御Web攻击所采用的技术，61%的用户在FW与WAG的认识上存在混淆；•23%的用户，认为当前部署的IDS/IPS可有效防范Web攻击。网络防火墙Web代理IDS/IPS应用扫描补丁管理WAG无AsiaPacificApplicationDeliveryControllerMarketResearchCase1:清华网站被篡改2008年8月24日国内知名学府清华大学网站遭到攻击，攻击者捏造了一篇清华大学校长顾秉林接受采访的新闻报道，批评现行教育制度，直指“现在的各高校，包括清华与北大在内，已经没有将培养人才作为大学教育的目标”。骗子忽悠考生家长可以帮忙进入理想高校骗子收取家长手续费骗子造假录取通知书发给考生骗子雇佣黑客篡改招生网数据，修改考生录取信息最终骗子被武汉警方抓获Case2:武汉某高校招生网被篡改Case3：大量用户信息泄露245,000用户信息泄露，包括:1.E-mailaddress2.Firstandlastname3.Password(plaintext)事件:法国移动运营商Orange网站遭到SQL注入时间：2009年5月26日后果：Case4：韩国政府网站遭受DDOS攻击•域名枚举•注入点发现•SQL注入尝试•获取数据信息Case5:一次实际的渗透测试服务事件:某省运营商门户网站渗透测试服务时间：2008年年底后果：存在用户信息泄露的可能获取信息PhoneNumUserNamePetNameIDCard13xxxxx5644范x明&玲4403061988xxxxxxxx13xxxxx6021刘xanye4209831984xxxxxxxx13xxxxx1012黄x伤心站台3604281981xxxxxxxx13xxxxx1311王x宝贝妹妹1311251984xxxxxxxx13xxxxx0056刘xx刘xx4290061979xxxxxxxx…超过9000条…超过9000条…超过9000条…超过9000条另外也包含了用户住址、邮箱等私人信息xxxxxx_userinfo表：userinfo表:PhoneNumUserNameQuestionAnswer13xxxxx2766许x狗叫什么靓x13xxxxx6524kxxxxxx上网密码kxxxxx13xxxxx2010王xx公司统一密码89xxxx13xxxxx2108钟xx你的QQ号是多少？6387xxxx13xxxxx0701周x我要上网找中国xx…超过6000条…超过6000条…超过6000条…超过6000条euser表:•网站服务提供者•基础网络提供者•网站访问者•监管部门（国家相关部门）门户网站相关角色基础网络提供者网站服务提供者网站访问者（终端用户）监管部门•满足监管部门的安全要求•网站的可用性得到保护•网站的完整性得到保护•网站系统的保密性得到保证•用户的信息私密性得到保护门户网站的安全价值观网络设备操作系统通用化WEB应用WEBSERVER定制化WEB应用路由器、交换机、防火墙等Windows、Linux等Apache、IIS等网上商城、网上支付数据库Oracle、SQLServer等中间件系统Webmail、LotusNotes等WebSphere、WebLogic等数据/内容（网页数据、用户信息、资源媒体）内容/数据层面WEB技术体系终端用户的安全价值观价值正常访问、信息的真实性、个信保密和系统安全是门户网站价值体现的基础另类用户——攻击者的安全价值观攻击者网站IT系统运营商门户网站应用程序已封堵的漏洞Firewall存在的漏洞网站系统数据/内容（网页数据、用户信息、资源媒体）核心资产破坏价值攻击价值端口XX端口XX远程本地漏洞a漏洞b漏洞c漏洞dServer1Server2Server3网页篡改受害者信息窃取拒绝服务攻击者接入方式脆弱性IT系统攻击损害非法入侵攻击价值最大化是攻击者的根本目标价值的破坏与损失信息泄露拒绝服务监管部门投诉网页篡改非法入侵网站访问者服务提供者+基础网络提供者社会公信力下降名誉受损用户流失经济损失追责网页被篡改非法内容用户信息泄露个人信息丢失个人信息被篡改恶意程序下载网站无法访问网站安全建设方案WEB应用生命周期规划阶段开发阶段测试阶段运行阶段需求调研网站设计代码编写系统测试系统运行与维护通过SQL注入窃取用户信息代码漏洞没有及时发现没有核查用户提交的数据WEB应用生命周期各个阶段存在的问题规划阶段开发阶段测试阶段运行阶段缺乏安全规划和意识的培养缺乏代码的安全检查缺乏网站的安全测试安全规划与培训代码审计（白盒测试）黑盒/渗透测试网页存在代码漏洞缺乏对用户提交数据核查缺乏对返回网页内容过滤缺乏对被篡改网页的恢复运营维护期运行阶段的WEB应用安全技术手段运行阶段事中：用户与服务器间双向流量的过滤与清洗事前：WEB漏洞的发现事后：网页恢复与审计追查事前主动发现事中实时防护事后及时恢复安全评估与加固（包括渗透测试）安全职守（重大事件职守）安全应急响应（应急恢复+事后追溯）安全服务防患于未然攻防的关键最后的防线安全产品一个阶段：运行阶段两种手段：产品+服务三个层面：事前、事中、事后我们做什么——整体防护规划阶段开发阶段测试阶段运行阶段事前事中事后产品N/AN/AWEB漏洞扫描WEB漏洞扫描数据清洗网页防篡改运维审计服务安全规划建议代码核查安全评估与加固安全评估与加固安全值守应急响应安全培训渗透测试渗透测试事件追溯贯穿WEB应用生命周期的安全防护方案规划阶段开发阶段测试阶段运行阶段事前事中事后产品N/AN/AWEB应用扫描系统WEB应用扫描系统WEB应用安全网关抗DDoS攻击设备WEB应用安全网关审计系统服务安全规划建议代码核查安全评估与加固安全评估与加固安全值守应急响应安全培训渗透测试渗透测试事件追溯安全设备部署示意图方案价值和优势对于服务提供者和基础网络提供者的价值•满足监管部门的安全要求，通过安全检查；•保证重大事件期间的网站安全；•保证SLA，提高用户满意度，留住现有客户，吸引新客户；•保护企业的形象和公信力；•提高运维效率和降低经济损失；•协助安全事件取证以及事后追溯；通过检查，留住用户，保护形象，事后免责对于最终用户的价值•保护用户的个人敏感信息免遭窃取；•保护用户的个人终端安全；•保证用户安全访问和使用门户网站相关业务；方案的优势•突出WEB应用的安全防护——充分考虑到网站安全的现状，并符合网站安全的发展•对网站价值的深层次挖掘——分别从攻击者（黑客）和防护者（运营商）的视角分析网站的价值•事前-事中-事后分阶段防护——从WEB应用生命周期出发，分阶段进行全面防护•强调安全服务的重要支撑作用——充分认识到人（服务）的因素的重要性谢谢！