PDF《数字校园门户网站》

数字校园门户网站 安全解决方案 北京通元动力软件技术有限责任公司 向晓斌 首席架构师 http://www.

gpowersoft.com

1 -

2 通元软件 目录 ?公司介绍 ?网站安全现状 ?IBM Rational AppScan ?通元网页防篡改系统 ?通元数字校园产品线

1 -

3 通元软件 公司简介 ? 北京通元动力软件技术有限责任公司是一家高新 技术软件企业,总部位于北京上地科技园区,并 在深圳、重庆、上海设有分支机构 ?公司是国内领先的内容管理产品厂商 ?专注于为高校、企业、政府提供自主知识产权的 互联网门户产品和服务.

1 -

4 通元软件 公司客户 ? 政府 C 国家卫生部、国家统计局、国家旅游局、国防科工委、国家宗教 事务局、北京旅游局 ? 电信、金融、电力 C 交通银行深圳分行、中信基金、山东联通、广东电力 ? 企业 C 中国石化、北方工业总公司、乌江水电 ? 行业门户 C 百合网、中国纺织网、中国联合钢铁网、中国家具网

1 -

5 通元软件 教育客户 ? 清华大学 C 通元B/S应用开发平台成为清华大学数字校园应用开发基础平台 ,在此基础上开发了几十个校园应用 ? 北京大学 C 通元软件与北京大学达成战略合作协议,共同推进数字化校园门 户网站建设 ? 中山大学、北京理工大学、北京林业大学、北京建筑工程学院、山 西大学、北京体育大学、西北工业大学、西安电子科技大学、天津 科技大学、中国石油大学(北京)、中央戏曲学院、北京石油化工 学院、首钢工学院、西藏大学 ? 南昌教育局、辽宁本溪教育局、辽宁丹东教育局、辽宁抚顺教育局

1 -

6 通元软件 目录 ?公司介绍 ?网站安全现状 ?IBM Rational AppScan ?通元网页防篡改系统 ?通元数字校园产品线

1 -

7 通元软件 公安部2008年网站安全调查 ?2008年被调查单位中有62.7%发生过 网络安全事件,感染计算机病毒、蠕 虫和木马程序的情况依然最为突出, 其次是网络攻击、端口扫描、垃圾邮 件和网页篡改.2008年,我国被篡改 的网站数量为5.4万个,政府、高校网 站居多.

1 -

8 通元软件 2009年第一季度挂马网站 ? 2009年1月至3月,互联网上出现的挂马网页累计达1亿9千多 万个,平均每天有589万余人次网民访问这些网页,累计有8 亿人次网民遭木马攻击.大型网 站、浏览器和流行软件成为 黑客窥测的对象,一季度有24202个大型网站被植入木马, 这已经成为威胁国内互联网安全的最主要因素之一. ? 植入木马,广义上也是一种篡改,改变了原始发布内容

1 -

9 通元软件 网站安全现状

1 -

10 通元软件 No Money, No hacking!

1 -

11 通元软件 Web网站是进入企业的门户 ?保护网站已刻不容缓!!! ? 虽然Web网站能够使用户更加流畅地访问企业内 部信息,但它们也存在漏洞,可能会暴露关键的 企业信息和客户数据,甚至破坏企业IT系统.

1 -

12 通元软件 如何解决这些问题? ?通元软件携手IBM Rational,打造固若 金汤的门户网站 C IBM Rational AppScan:全面检测 Web 安全漏洞的利器 C Gpower WebGuard:全面保护网页不被非法篡改

1 -

13 通元软件 目录 ?公司介绍 ?网站安全现状 ?IBM Rational AppScan ?通元网页防篡改系统 ?通元数字校园产品线

1 -

14 通元软件 WEB应用基础知识 Web Server (Presentation) App Server (Business Logic) Database Internet Internet 防火墙 客户端 (浏览器) 中间层 数据层

14 1 -

15 通元软件 Desktop Firewall IDS/IPS Web Applications 手工修复和代码检查? SQL Injection Cross Site Scripting Pattern- based Attack Web Server Known Vulnerabilities Parameter Tampering Cookie Poisoning Port Scanning DoS Anti- spoofing 最弱层:Web应用层

1 -

16 通元软件 Web安全的误解 ? Web 网站使用了防火墙,所以很安全 C 无论是应用级还是端口级的防火墙针对的都是网络层面的攻击,通过设置 可访问的端口或者应用,把恶意访问排除在外,然而如何鉴别善意访问和 恶意访问是一个问题.访问一旦被允许,后续的安全问题就不是防火墙能 应对了. ? Web 网站使用了 IDS/IPS,所以很安全 C 通过模式识别对网络层面的攻击做出防护措施.然而类似于防火墙,通过 利用程序漏洞,通过正常连接进行攻击的访问无法被识别和处理. ? Web 网站使用了 SSL 加密,所以很安全 C SSL 对网站发送和接收的信息都进行加密处理,然而 SSL 无法保障存储在 网站里的信息的安全和网站访问者的隐私信息.采用

64 位甚至

128 位SSL 加密的网站被黑客攻陷的例子举不胜举. ? 漏洞扫描工具没发现任何问题,所以很安全 C 当前漏洞扫描工具已经被广泛使用去查找一些明显的网络安全漏洞.同理 ,扫描工具无法对网站应用程序进行检测,无法查找应用本身的漏洞. ? 我们每季度都会聘用安全人员进行审计,所以很安全 C 人为的检测考察不仅仅效率低,不可控因素也较多,同时对于代码变更频 繁的今天,安全人员也无法满足全面的安全需求

1 -

17 通元软件 十大Web应用安全隐患

1 -

18 通元软件 十大攻击手段

1 -

19 通元软件 跨站点脚本攻击-示例

1 -

20 通元软件 组织的挑战 Network Server Web Applications % of 攻击 % of 花费 75% 10% 25% 90% 安全 花费 ?缓冲区溢出 ?Cookie 毒药 ?隐藏域 ?跨网站脚本攻击 ?篡改参数 ?暴力浏览 ?SQL 注入 ?等等… 信息安全攻击都来自web应用的层次上 75% 75% Web应用是脆弱的 2/3 2/3 Sources: Gartner, IDC, Watchfire

1 -

21 通元软件 根源分析 ? IT安全通常关注仅网络和服务器 C Firewalls and IPS不能阻止应用层攻击 C 80, 8080,443端口开放 C 网络扫描器不能完全发现应用漏洞 ? Nessus, ISS, Qualys, Nmap, etc. ? IT安全专家通常源于 network /infrastructure方面, 对web软件开放经验较少 ? 开发人员缺乏安全培训和要求 C 64%的开发人员不具备编写安全代码的能力(来自Microsoft Developer Research) C 开发人员不关心安全 ? 缺乏明确的安全策略、流程以及工具

1 -

22 通元软件 IBM收购业界第一的WatchFire AppScan ? WEB应用安全性解决方案 C WatchFire是业界最准确的WEB应用安全软件的领导者,是唯一能够提供端 到端解决方案的公司 C 在应用安全脆弱性评估软件市场排名第一,占有约31.8%的市场份额(由IDC和Gartner提供) C 成立于1996年C收购后,IBM迅速推出多个新版本

1 -

23 通元软件 使用AppScan解决WEB应用安全隐患 ? AppScan是什么? C 是一个Web应用安全扫描工具 ? 为什么需要它? C 大大简化Web应用安全问题的发现和修复 ? AppScan能为您做什么? C 扫描Web应用、找出安全隐患、给出修复意见报告 ? 哪些角色需要使用它? C 安全审计人员 C QA工程师 C 测试人员 C 开发人员

23 1 -

24 通元软件 WatchFire和业界标准 ? 两个知名的Web应用安全组织 C WASC(Web Application Security Consortium ) (www.webappsec.org) C OWASP(Open Web Application Security Project) ( www.owasp.org ) ? WatchFire是该组织成员 ? AppScan是依据上述业界标准进行测试的 ? AppScan的修复报告可以遵循多种标准模板

24 1 -

25 通元软件 Rational AppSc........