WEB应用安全解决方案.ppt

?2009 WEB应用安全解决方案绿盟科技2009 年11月WEB应用安全概述国家对政务网站的三大功能定位:?信息公开?在线办事?政民互动WEB应用价值的破坏与损失监管部门投诉网站访问者服务提供者+基础网络提供者社会公信力下降名誉受损用户流失经济损失追责网页被篡改非法内容用户信息泄露个人信息丢失个人信息被篡改恶意程序下载网站无法访问?大的事件驱动-60年大庆、奥运会、济南全运会?面临的安全威胁?新闻网站安全现状?等级保护等合规性安全要求推动政府WEB应用进行安全建设的动力?对网络、通信协议、操作系统、数据库等通用内容的防护,传统的安全设备,如防火墙、安全网关、IDS /IPS、审计产品、终端防护产品等,作为网站整体安全策略中不可缺少的重要模块,其防护效果是比较有效的?针对WEB特定应用的脆弱性以及产生的安全问题是个性化和不通用的,以上这些传统的技术手段就显得力不从心了,不能有效的防范和检测网站特定的威胁和攻击:?跨站脚本?信息泄露?SQL注入?越权操作?DDOS攻击传统防护手段的弊端?政府门户网站信息安全等级保护保障建设方案(技术设计要求版)?政府门户网站息安全等级保护保障建设方案(基本要求国标版)?Web ServerApplicationServerDatabasesBackendServer/SystemPort ScanningDoSAnti-spoofingWeb Serverknowvulner-abilitiesPattern-BasedAttacksSQL InjectionCross Site ScriptingParameter TamperingCookie PoisoningFirewall?网络端口访问控制?UDP/TCP状态感知1IDS/IPS?基于规则的异常检测?入侵防护?已知漏洞管理2WebApplicationFirewall?HTTP/S应用保护?会话管理(Cookie安全)?内容控制?数据泄露管理3从网站建设和运维者的角度