把握時代脈搏,信息安全與時俱進

1、,智恒科技 2012年10月,把握時代脈搏,信息安全與時俱進--江西地稅信息安全培訓,,,,,五.案例講解,二.安全現狀分析,一.公司簡介,四.智恒科技解決方案,目錄,三.應用安全防護措施,,一、公司介紹,,一.公司介紹,,,北京智恒聯盟科技有限公司是國內專注于WEB安全以及數據保密安全的領軍企業(yè)，現有員工300多人，全國擁有30余家分支及合作機構，基于多年的持續(xù)安全技術研究，尤其在黑客攻擊及防御技術、信息數據加密、磁盤數據銷毀、

2、深度木馬檢測、服務器操作系統(tǒng)安全加固以及應用層深度威脅檢測等領域積累了豐富的經驗，也是國內最早專注于研究開發(fā)第三代網頁防篡改技術的公司。 公司的產品和技術研究成果近幾年來得到了全國眾多用戶的青睞和支持，并與國內多個高校建立了長期深入的科研合作，特別是在國家部級機關、電信、金融等重要領域得到了高度認可。 智恒科技致力成為您身邊最值得信賴 的專業(yè)級信息安全服務商,公司介紹,,,,智恒

3、科技產品體系,zhihengIT,,,,,Web安全檢測系列,,,內網安全系列,公司產品體系,,,智恒科技發(fā)展歷程,,,,,,,,08年9月,07年4月,06年10月,06年1月,,09年5月,10年,08年10月,12年,,,,11年,,,智恒科技部分資質榮譽,,,,二、安全現狀分析,,,,數據大集中——風險也更集中了；系統(tǒng)復雜了——安全問題解決難度加大；云計算——安全已經不再是自己可以控制的；3G 、物聯網、三網合一——IP

4、網絡中安全問題引入到了電話、手機、廣播電視中；web2.0 、微博、人肉搜索——網絡安全與日常生活越來越貼近。,新應用導致新的安全問題,,,信息安全問題的分析,,,因為有黑客嗎？,因為有漏洞嗎？,,因為有病毒嗎？,信息安全問題的根源,,,安全問題根源外因—來自對手的威脅,,,,,常見應用安全漏洞,,,應用安全漏洞分析——常見安全漏洞,,,,,應用安全現狀,Web應用相關的漏洞快速增長。,70%以上的攻擊基于應用系統(tǒng)。,三大威脅

5、 1、網頁篡改 2、網站掛馬 3、網站仿冒(釣魚網站),,,,,,,應用安全事件回顧——政府網站,湖北石首市群體性事件，“躲貓貓”事件，政府網站被黑,,,,,,,應用安全事件回顧——政府網站,2009年8月 國內某政府網站被恐怖分子入侵,,,,,,,應用安全事件回顧——政府網站,2010年1月4日幾名黑客入侵公安部物證鑒定中心的中英文網站，將原網站內容替換，并且不停修改頁面內容，甚至留下網絡聯絡號碼和網名。,,,,,,

6、,應用安全事件回顧——媒體網站,2008年12月，CCTV官方網站音樂頻道被黑春晚辦的不好，央視網站被黑。,,,,,,,應用安全事件回顧——企業(yè)網站,2009年6月，“樓市走向”繼續(xù)成為網絡熱議話題，知名地產網站相繼被掛馬。,,,,,,,應用安全事件回顧——企業(yè)網站,2010年1月，百度首頁被黑,2010年3月，微軟官方網站被黑客攻擊，頁面嵌入成人網站內容,,,,,,,應用安全事件回顧——教育網站,2010年6月30日，北京師范大學網

7、站被掛馬,清華大學網站被篡改,,,,應用安全漏洞分析——常見漏洞,,漏洞簡介 WEB程序將客戶端輸入當作SQL語句執(zhí)行漏洞成因 對用戶輸入中包含的SQL關鍵字過濾不嚴漏洞威脅 修改數據庫內容 刪除數據庫表 竊取數據到本地 執(zhí)行系統(tǒng)命令,注入漏洞,,,,,注入漏洞——說明及演示,,漏洞簡介 利用WEB程序生成的SQL語句具有邏輯錯誤攻擊漏洞成因 對用戶輸入中包含的SQL關鍵字和特殊字符

8、過濾 不嚴漏洞威脅 身份驗證繞過,邏輯錯誤漏洞,,,邏輯錯誤漏洞——說明及演示,漏洞說明,漏洞演示,,文件型Cookie欺騙 保存在硬盤上會話型Cookie欺騙 保存在內存中,,,Cookie欺騙,,,,,Cookie欺騙—文件型,修改硬盤上保存的Cookie使用工具IECookiesView修改直接發(fā)送Cookie直接使用curl發(fā)送Cookiecurl http://target/in

9、dex.php -b "admin=1" -d "other_action=todo",,獲取HTTP響應頭，偽造Cookie 使用NetCat連接目標，獲取HTTP響應頭，修改 Cookie字段。虛假代理，發(fā)送Cookie 使用NetCat監(jiān)聽端口，發(fā)送Cookie到瀏覽器，NC –vv –l –p 9090<Cookie.txt； 設置瀏覽器代理為127.0.0.

10、1:9090，訪問目標。,Cookie欺騙—會話型,,,跨站漏洞,漏洞簡介攻擊者通過誘騙受害者點擊特殊編碼的URL竊取Cookie資料漏洞成因WEB程序對html參數過濾不嚴,,,跨站漏洞—說明,漏洞說明,,,信息泄漏,泄露物理路徑請求不存在文件猜解正確用戶名輸入錯誤用戶名時，返回”該用戶不存在”暴露數據庫路徑請求http://target/news%5creadnews.asp?newid=1暴露Access數據庫路徑

11、,,耗時數據庫查詢大量代理分布式查詢突破一般防火墻,,拒絕服務攻擊,,漏洞簡介 敏感目錄或者敏感文件權限設置不當導致被攻擊者查看漏洞成因 WEB程序權限設置不嚴格 WEB服務器權限設置不當,,訪問控制漏洞,,,,訪問控制漏洞—說明及演示,漏洞說明,漏洞演示,,,工作計算機,員工在使用,移動介質,內網中的其它系統(tǒng),單位連接因特網,電話撥號上網,連接其它單位網絡,無線網絡,安全問題根源內因—系統(tǒng)越來越復雜,,,,,,

12、風險隱患,某通信公司,,,某通信公司的通信卡系統(tǒng)被集成公司人員預留了口令，核心 數據被修改，導致通信損失達千萬元，最后被判刑。導致公司名譽，口碑受到傷害。,1、非正常的手段訪問數據庫，賬號無集中管理，以用自己預留的身份修改卡號和費用信息； 2、偽裝成內部訪問行為，不受防火墻、接入和授權限制以及網絡安全措施的監(jiān)控。 3.沒有有效的監(jiān)督，監(jiān)控手段，導致運維人員為所欲為。,內因威脅—安全事故一,,,,,,,1、移動經營數據事件：,,系統(tǒng)集

13、成公司人員把連續(xù)2年的經營數據刪除，導致公司近2年的數據空白；,2、西安醫(yī)保事件：,,系統(tǒng)關鍵信息表被意外修改，導致全市2周不能使用醫(yī)保卡，造成社會嚴重影響事件。,3、韓國某銀行案例：,,韓國某銀行，內部人員在數據庫運維操作中，“誤”執(zhí)行了rm –d 指令，導致數據庫表和數據全部刪除。,內因威脅—安全事故二,,,,三、應用安全防護措施,,,,應用安全防護措施,,,,安全配置,配置安全安全漏洞的防范 WEB程序級別過濾

14、WEB服務器級別過濾安全編程,,,,配置安全—身份鑒別機制,建立有效的身份鑒別機制系統(tǒng)用戶的身份標識應具有唯一性；應對應用系統(tǒng)的管理用戶進行身份標識和鑒別；管理系統(tǒng)用戶的身份鑒別信息應具有不易被冒用的特點，例如口令長度、復雜性和定期更新等；應具有登錄失敗處理功能，如結束會話、限制非法登錄次數，當登錄連接超時，自動退出,,,,配置安全—訪問控制機制,建立有效的服務器訪問控制機制 應設置用戶對系統(tǒng)功能和用戶數據訪問和操作的權限；

15、 應對數據庫系統(tǒng)特權用戶的權限進行分離，例如將管理與審計的權限分配給不同的數據庫系統(tǒng)用戶； 權限分離應采用最小授權原則，分別授予不同用戶各自為完成自己承擔任務所需的最小權限，并在它們之間形成相互制約的關系； 應嚴格限制默認用戶的訪問權限。,,,,配置安全—漏洞檢測及補丁升級,建立完善的漏洞掃描以及補丁升級機制應定期對數據庫系統(tǒng)進行漏洞掃描分析；應跟蹤安全漏洞和安全補丁的發(fā)展情況，及時進行補丁升級，彌補安全漏洞。,編寫通用的安全

16、模塊優(yōu)勢：處理速度較好代碼編寫比較容易劣勢：要求程序員具有一定的WEB安全知識一時疏忽可能造成模塊使用遺漏要經過大量驗證測試,,,安全漏洞防范—WEB程序級過濾,,,,安全漏洞防范—服務器級過濾,安裝額外的安全模塊優(yōu)勢可以安全的部署第三方WEB安全模塊而不過于考慮WEB程序安全不易被特殊編碼繞過限制劣勢在性能上略有降低配置比較復雜,程序只實現指定的功能 每個函數或者文件只實現基本的功能，越簡潔的程序

17、越不容易出現錯誤 多個功能簡單的函數或文件組成功能強大的程序 永遠不要相信用戶的輸入 使用白名單方式，檢查輸入的每個字符是否都在合法字符集內，而不是判斷是否存在非法字符,,,安全編程一,盡可能的捕獲錯誤 盡量捕獲每一個意外情況，不泄露任何關于錯誤的詳細信息（如只要用戶名和口令有一樣不正確，都顯示同樣的錯誤信息，攻擊者無法識別有效用戶名。） 發(fā)現錯誤之后立即停止執(zhí)行盡可能少的在客戶端存儲信息 盡量用在服務端的

18、Session驗證,,,安全編程二,WEB應用防火墻（WAF）提供對SQL Injection、XSS等WEB攻擊的監(jiān)測和阻 斷提供WEB加速功能支持HTTP/HTTPS模式提供對攻擊和掃描的阻斷模式提供對攻擊和掃描的告警模式提供By-Pass模式提供網頁防篡改功能,,,防護產品—WAF,安全審計系統(tǒng) 設置有效的安全審計系統(tǒng)，對來自重要服務器內外部的操作進行安全審計： 安全審計系統(tǒng)應記錄重要服務器相關的安全事件，

19、包括重要用戶行為和重要系統(tǒng)功能的執(zhí)行等； 安全相關事件的記錄應包括日期和時間、類型、主體標識、客體標識、事件的結果等； 安全審計記錄應受到保護避免受到未預期的刪除、修改或覆蓋等。,,,安全審計系統(tǒng),系統(tǒng)漏洞掃描器 提供AIX、UNIX、WINDOWS等系統(tǒng)漏洞的掃描和評估 提供對Oracle、SQL Server等數據庫漏洞的掃描和評估 提供對網絡CISCO、Juniper等數據庫漏洞的掃描和評估應用漏洞掃描器（W

20、ebScan) 提供對SQL Injection、XSS等WEB應用弱點的取證式掃描,,,漏洞檢測系統(tǒng),WEB日志防火墻日志數據庫日志IDS日志WEB目錄文件,,,定期安全檢查,,,,安全管理,建立有效的WEB應用安全管理包括安全管理機構安全操作管理制度系統(tǒng)安全運維管理,,四、智恒科技解決方案,,,智恒科技解決方案,,發(fā)改委、公安部、國家保密局聯合下發(fā)通知，要求加強和規(guī)范國家電子政務工程建設項目信息安全風險評估工作。

21、　 3部委要求，國家的電子政務網絡、重點業(yè)務信息系統(tǒng)、基礎信息庫以及相關支撐體系等國家電子政務工程建設項目，必須進行完整信息安全風險評估工作。 　　　評估的主要內容包括：分析信息系統(tǒng)資產的重要程度，評估信息系統(tǒng)面臨的安全威脅、存在的脆弱性、已有的安全措施和殘余風險的影響等　　電子政務項目涉密信息系統(tǒng)的信息安全風險評估，由國家保密局涉密信息系統(tǒng)安全保密測評中心承擔。非涉密信息系統(tǒng)的信息安全風險評估，由國家信息技術安全研究中心、中

22、國信息安全測評中心、公安部信息安全等級保護評估中心等三家專業(yè)測評機構承擔,中華人民共和國公安部令-第82號 第九條 提供互聯網信息服務的單位除落實本規(guī)定第七條規(guī)定的互聯網安全保護技術措施外，還應當落實具有以下功能的安全保護技術措施：　?。ㄒ唬┰诠残畔⒎罩邪l(fā)現、停止傳輸違法信息，并保留相關記錄；　?。ǘ┨峁┬侣?、出版以及電子公告等服務的，能夠記錄并留存發(fā)布的信息內容及發(fā)布時間,（三）開辦門戶網站、新聞網站、電子商務網站的，能

23、夠防范網站攻擊、網頁被篡改，被篡改后能夠自動恢復；,（四）開辦電子公告服務的，具有用戶注冊信息和發(fā)布信息審計功能；　　（五）開辦電子郵件和網上短信息服務的，能夠防范、清除以群發(fā)方式發(fā)送偽造、隱匿信息發(fā)送者真實標記的電子郵件或者短信息。,,攘外—Web應用防護政策,,,,,,,WebGuard網頁防篡改保護系統(tǒng),技術先進，采用第三代防篡改技術，成熟、穩(wěn)定、可靠。 有效防止SQL、XSS、DDoS等各類應用攻擊。 效率較高，對服務器資

24、源消耗低于2%，遠高于同類產品 。 汲取廣大網管員建議，操作及其簡便，大大提高工作人員效率。 系統(tǒng)運行于系統(tǒng)低層，與Web應用無關，能與應用系統(tǒng)無縫連接。 全國數以千計的成功應用案例。,攘外—Web應用防護產品,WebGuard-WAF防護網關,,,防篡改關鍵技術發(fā)展,,,,,,,,,,,多因子檢測時代,高級檢測,中級檢測,初級檢測,第一代技術,第二代技術,第三代技術,原始技術,,,防篡改關鍵技術對比,,,For Windows2

25、000/2003/2008/Linux/Unix/AIX/Solaries,擴 展 性,WebGuard防篡改系統(tǒng)主要功能,,,WebGuard-WAF系統(tǒng)主要功能,,,WebGuard防護系統(tǒng)部署示意圖,,,DMZ,內網,外網,,,,,,,,,,,,內容管理系統(tǒng),Web服務器集群數據庫服務器群,,網站備份,管理中心,,,,防篡改系統(tǒng),,,,,,,,,數據庫管理員,系統(tǒng)管理員,網絡管理員,業(yè)務操作員,,,Windows服務器,Unix

26、服務器,業(yè)務系統(tǒng),網絡設備及安全設備等,,,,,,,,,,,核心資產,資產使用,,中心,各網點,分支機構,代維廠商,多點登陸,安內—運維現狀,,,,,,,管理問題,,,,,,,使用問題,密碼記憶 用戶需要記憶許多用戶名和密碼用于登錄各個系統(tǒng)，經常出現忘記密碼的情況，有些管理直接使用相同的密碼，缺乏統(tǒng)一的用戶管理。頻繁登錄和注銷 管理不同的網絡設備需要分別登錄，操作繁瑣。,,,,,,,關鍵業(yè)

27、務系統(tǒng)數據被修改了，系統(tǒng)記錄是admin改的，到底是誰用這個帳號改的？,這么多系統(tǒng)，查看命令這么復雜，我怎么去使用這些命令去查看？,業(yè)務數據被修改，從日志中查，一天的日志量有幾百萬，我該從什么地方開始看，他到底在什么時間修改業(yè)務數據的？,每個系統(tǒng)的日志都這么多，不知道他們之間有什么關系？,審計問題,,,,,,,政策法規(guī)—等保要求,,,,,,,,政策法規(guī)—薩班斯法案,,,,,,,安內—IT運維管理審計核心理念,,轉變,邏輯上將人與目標設備

28、分離，全局唯一身份標識轉變傳統(tǒng)IT安全運維的被動響應模式，建立面向用戶的集中、主動的安全管控模式由面及點的管理方式，讓安全管理精確制導實現企業(yè)或單位IT內控，滿足等保等合規(guī)要求,,益處,,智恒SAS運維管理審計平臺,,,,,,,SAS管理方式,,堡壘機,IBM,SUN,HP,DELL,Intel,DAWNING,操作人員,User ID: Jimmy.ZhPassword: *JZ23,User ID: Bush.ACPass

29、word: *BC23,User ID: Tony.ZhPassword: *TA23,User ID: Adam.HcPassword: *Kejf,User ID: Apple.BcPassword: *Kefadsf,User ID: Jdfy.ZhPassword: *JZ23,安全策略,User ID: Jason.HwaPassword: *JH123,1. 邏輯串接部署（堡壘機）,2. 管理各個設備登錄賬戶,3.