构 建 安 全 的 互 联 网 应 用 WWW.CNSEC.CN 北 京 超 圣 信 华 科 技 有 限 公 司 谢 钰 CCIE #18518 Tel :13683165805
公 司 简 介 超 圣 科 技, 自 1998 年 成 立 以 来, 超 圣 科 技 一 直 秉 承 务 实 和 创 新 的 原 则, 为 满 足 用 户 对 网 络 应 用 和 安 全 方 面 不 断 增 长 的 需 求, 引 入 多 家 业 界 顶 尖 的 网 络 厂 商, 为 用 户 提 供 多 层 次 全 方 位 的 网 络 解 决 方 案, 使 用 户 的 网 络 得 到 优 化 和 安 全 保 障, 并 通 过 网 络 提 高 其 自 身 的 竞 争 力 和 生 产 效 率 超 圣 科 技 全 面 系 统 的 IT 服 务 理 念, 从 网 络 基 础 架 构 到 整 体 安 全 架 构, 再 到 建 立 在 客 户 应 用 基 础 上 的 全 面 解 决 方 案 根 据 用 户 具 体 需 求, 在 全 面 了 解 用 户 业 务 流 程 与 应 用 的 基 础 上 有 针 对 性 的 提 出 解 决 方 案 典 型 案 例 : 中 国 科 学 院 CCTV 中 国 建 设 部 中 国 电 信 集 团 中 外 运 集 团 中 石 油 驻 苏 丹 石 油 公 司 Nokia Volvo
全 面 的 安 全 架 构 内 容 安 全 基 础 安 全 应 用 安 全 信 息 的 合 法 访 问 与 保 护 网 络 基 础 安 全 防 护 应 用 交 付 的 安 全 保 障 INTERNET 的 美 妙 之 处 在 于 你 和 每 个 人 都 能 互 相 连 接 INTERNET 的 可 怕 之 处 在 于 每 个 人 都 能 和 你 互 相 连 接
网 络 安 全 现 状
网 络 安 全 现 状 垃 圾 邮 件 非 法 入 侵 Database Web Server Mail Server AAA Server VPN DoS / DDoS 攻 击 Firewall Router Database File Server Application Server 信 息 泄 密 AV Server Extended Enterprise
2007 年 度 网 络 安 全 事 件 统 计 拒 绝 服 务 攻 击 病 毒, 蠕 虫 或 木 马 其 他 网 络 仿 冒 网 页 恶 意 代 码 网 络 仿 冒 垃 圾 邮 件 网 页 恶 意 代 码 拒 绝 服 务 攻 击 病 毒, 蠕 虫 或 木 马 其 他 垃 圾 邮 件 2007 年, 在 地 下 黑 色 产 业 链 的 推 动 下, 网 络 犯 罪 行 为 趋 利 性 表 现 更 加 明 显, 追 求 经 济 利 益 依 然 是 主 要 目 标 网 络 信 息 系 统 存 在 的 安 全 漏 洞 和 隐 患 层 出 不 穷, 利 益 驱 使 下 的 地 下 黑 客 产 业 继 续 发 展, 网 络 攻 击 的 种 类 和 数 量 成 倍 增 长, 终 端 用 户 和 互 联 网 企 业 是 主 要 的 受 害 者, 基 础 网 络 和 重 要 信 息 系 统 面 临 着 严 峻 的 安 全 威 胁 2007 年 各 种 网 络 安 全 事 件 与 2006 年 相 比 都 有 显 著 增 加 CNCERT / CC 接 收 的 网 络 仿 冒 事 件 和 网 页 恶 意 代 码 事 件 成 倍 增 长, 分 别 超 出 去 年 总 数 的 近 1.4 倍 和 2.6 倍, 监 测 发 现 我 国 大 陆 被 篡 改 网 站 数 量 比 去 年 增 加 了 1.5 倍 国 家 计 算 机 网 络 应 急 技 术 处 理 协 调 中 心 CNCERT / CC
网 络 基 础 安 全
防 火 墙 + 网 络 版 杀 毒 软 件 有 效 隔 离 内 外 网 通 过 严 格 策 略 给 定 访 问 权 限 提 供 传 输 层 以 下 的 安 全 防 护 对 已 知 病 毒 进 行 查 杀
防 火 墙 + 网 络 版 杀 毒 软 件 的 局 限 性 对 于 基 于 应 用 层 发 起 的 网 络 攻 击 无 法 识 别 对 于 正 常 行 为 的 大 流 量 访 问 无 法 识 别 对 于 零 日 以 及 负 日 蠕 虫 病 毒 爆 发 无 法 有 效 控 制 对 于 可 以 停 止 杀 毒 软 件 进 程 以 及 可 以 修 改 系 统 事 件 的 病 毒 无 法 防 御
应 用 安 全
网 络 应 用 现 状 背 景 : 应 用 系 统 由 C/S 架 构 向 B/S 架 构 转 变 WWW ERP CRM SQL 应 用 向 Web 转 变 WWW ERP CRM SQL 传 统 应 用 相 对 独 立, 防 火 墙 为 应 用 开 放 相 应 端 口 应 用 被 封 装 到 WWW,, 原 来 应 用 的 包 头 信 息 变 成 了 净 负 荷, 防 火 墙 开 放 80 端 口, 深 层 检 测 成 为 保 障 安 全 的 关 键 现 状 : 对 系 统 / 网 络 的 攻 击 绝 大 部 分 发 生 在 4~7 层 根 据 Gartner 的 调 查, 有 75% 的 攻 击 都 是 发 生 在 Web 应 用 层, 而 非 网 络 层 面 上
应 用 安 全 主 要 的 威 胁 针 对 Web / 应 用 服 务 器 获 取 权 限 木 马 注 入 钓 鱼 跨 站 脚 本 网 页 篡 改 DoS / DDoS 攻 击 针 对 应 用 数 据 库 窃 取 / 篡 改 / 删 除 数 据 SQL 注 入 其 中 90% 以 上 和 商 业 利 益 相 关!
Web 应 用 的 安 全 威 胁 解 决 方 案 获 取 权 限 木 马 注 入 网 页 篡 改 部 署 入 侵 防 御 部 署 网 页 防 篡 改 系 统 钓 鱼 式 攻 击 跨 站 脚 本 DoS / DDoS 攻 击 多 种 缓 解 措 施
DoS / DDoS 攻 击 防 护 难 度 1.ACL 2.RPF 3.QoS 1. 牺 牲 正 常 访 问 2. 需 上 级 ISP 支 持 1. 参 数 配 置 2. 协 议 禁 止 路 由 优 化 系 统 优 化 1. 抵 抗 小 规 模 攻 击 2. 牺 牲 正 常 访 问 防 不 了 抓 不 到 可 检 测 某 些 攻 击 的 类 型 1. 缺 乏 检 测 机 制 2. 防 护 效 率 低 下 3. 自 身 成 为 目 标 DDoS 攻 击 者 1. 抗 DDoS 模 块 2. 访 问 控 制 措 施 入 侵 检 测 1.DNS 轮 询 2. 冗 余 设 备 1. 大 量 资 金 投 入 2. 抗 击 能 力 有 限 防 火 墙 退 让 策 略
针 对 HTTP 的 DDoS 泛 洪 攻 击 IRC Server HTTP Bot (Infected host) BOT Command Internet Attacker HTTP Bot (Infected host) Web Servers Get /search.php http/1.0 Get /search.php http/1.0 HTTP Bot (Infected host) Get /search.php http/1.0 Get /search.php http/1.0 HTTP Bot (Infected host)
针 对 DoS / DDoS 攻 击 的 解 决 方 案 正 常 流 量 爆 发 Z-axis 攻 击 区 域 X-axis 攻 击 级 别 比 率 异 常 可 疑 区 域 正 常 区 域 攻 击 级 别 = 5 (Normal- Suspect) Y-axis 正 常 TCP 标 志 位 分 布 速 率 异 常 不 正 常 的 每 秒 Syn 包 数 量
针 对 DoS / DDoS 攻 击 的 解 决 方 案 DNS Flood Z-axis 攻 击 区 域 攻 击 级 别 = 10 (Attack) 可 疑 区 域 X-axis 攻 击 级 别 比 率 异 常 异 常 协 议 分 布 [%] 正 常 区 域 Y-axis 速 率 异 常 异 常 DNS 包 速 率
入 侵 防 护 产 品 部 署 抗 拒 DDoSDDoSDDoS + IPS Firewall IPS IDS Database Mail Server AV Server
内 容 安 全 - 信 息 泄 露 防 护
信 息 泄 漏 所 造 成 的 损 失 2006 年 美 国 CSI/FBI 调 查 情 况 2006 年 计 算 机 安 全 事 件 [ 美 国 ] 计 算 机 安 全 损 失 阴 谋 破 坏 信 息 盗 窃 外 部 系 统 攻 击 拒 绝 服 务 未 授 权 服 务 信 息 外 泄 13% 25% 31% 32% 55% 83% 0 20% 40% 60% 80% 90% 100% 信 息 来 源 : 2006 CSI/FBI Computer Crime & Security Survey 结 论 : 在 全 部 的 安 全 事 件 中, 信 息 外 泄 事 件 占 83% 根 据 美 国 CSI / FBI Computer Crime and Security Survey, 在 计 算 机 安 全 事 件 中 信 息 泄 露 造 成 的 经 济 损 失 连 续 5 年 排 在 第 一 位, 同 时 中 国 的 CNCERT 也 作 了 相 关 调 查, 结 论 基 本 一 致
信 息 泄 露 途 径 本 地 打 印 机 网 络 打 印 机 虚 拟 打 印 机 网 络 控 制 存 储 介 质 外 设 接 口 打 印 机 网 络 层 控 制, IP/TCP/UDP/ ICMP 和 PORT 应 用 层 控 制 : FTP HTTP SMTP TELNET NETBIOS BBS / WebMail MODEM 软 盘 移 动 存 储 : U 盘 移 动 硬 盘 MP3 数 码 相 机 存 储 卡 CDROM 与 CDRW 辅 助 硬 盘 USB SCSI 串 行 总 线 并 行 总 线 红 外 接 口 PCMCIA 火 线 1394 无 线 网 卡 蓝 牙 接 口 自 定 义 接 口 本 地 打 印 机 网 络 打 印 机 虚 拟 打 印 机
信 息 泄 漏 防 护 - 网 络 失 泄 密 防 护 网 络 通 讯 方 式 信 息 泄 漏 防 护 是 失 泄 密 防 护 的 重 点 之 一 网 络 层 控 制 分 项 有 : IP 地 址 访 问 控 制 TCP 端 口 访 问 控 制 UDP 端 口 访 问 控 制 IP & PORT 访 问 控 制 针 对 应 用 数 据 库 FTP 控 制 HTTP 控 制 SMTP( 收 件 人 控 制 ) SMTP( 发 件 人 控 制 ) NETBIOS 控 制 TELNET 控 制 WEBMAIL / BBS 控 制 MODEM( 拨 号 上 网 ) 控 制
信 息 泄 漏 防 护 - 外 设 接 口 失 泄 密 防 护 客 户 端 根 据 下 发 的 策 略, 启 用 或 者 禁 用 与 信 息 泄 漏 有 关 的 外 设 接 口 : USB 接 口 SCSI 接 口 串 行 总 线 并 行 总 线 红 外 接 口 对 外 设 接 口 的 控 制 有 如 下 策 略 : 启 用 该 设 备 禁 用 该 设 备 PCMCIA 接 口 软 盘 控 制 器 火 线 1394 接 口 无 线 网 卡 接 口 DVD/CD-ROM 驱 动 器 外 设 接 口 信 息 泄 漏 防 护 是 失 泄 密 防 护 的 辅 助 手 段, 从 硬 件 层 次 阻 断 信 息 泄 漏 的 途 径, 较 其 余 三 项 失 泄 密 防 护 手 段 更 为 严 格, 但 是 也 失 去 了 相 当 程 度 的 灵 活 性, 用 户 应 结 合 实 际 安 全 需 求 谨 慎 选 用 注 意 : 对 外 设 接 口 的 控 制 不 等 同 于 对 存 储 介 质 的 控 制 譬 如 : 禁 止 USB 接 口 和 禁 止 USB 硬 盘 不 同, 前 者 禁 止 的 不 只 是 U 盘, 还 包 括 USB 鼠 标 USB 键 盘 等, 后 者 禁 止 的 只 是 U 盘
信 息 泄 漏 防 护 - 移 动 存 储 介 质 失 泄 密 防 护 通 过 移 动 存 储 介 质 带 出 文 件 是 主 要 的 信 息 泄 漏 途 径 之 一, 因 此 存 储 媒 体 介 质 信 息 泄 漏 防 护 也 是 防 泄 密 系 统 的 重 要 功 能 模 块 软 盘 存 储 器 防 护 CD-ROM DVD-ROM CD-RW 防 护 可 移 动 存 储 器 (U 盘 移 动 硬 盘 ) 防 护
信 息 泄 漏 防 护 - 打 印 机 失 泄 密 防 护 存 储 媒 体 介 质 防 护 包 括 : 禁 止 使 用 打 印 机, 不 记 录 日 志 ; 自 由 使 用 打 印 机, 不 记 录 日 志 ; 允 许 使 用 打 印 机, 记 录 日 志, 将 打 印 的 影 像 文 件 备 份 至 服 务 器, 并 记 录 文 件 名 和 文 件 在 服 务 器 上 的 路 径 允 许 使 用 打 印 机, 记 录 打 印 日 志, 只 记 录 打 印 的 文 件 名
信 息 泄 漏 防 护 - 行 为 与 内 容 审 计 分 类 的 日 志 审 计, 查 询 和 报 表
内 容 安 全 - 邮 件 安 全
邮 件 系 统 受 到 的 威 胁 垃 圾 邮 件 病 毒 邮 件 傀 儡 主 机 敏 感 字 符 邮 件 泄 密
邮 件 安 全 解 决 方 法 - 选 用 专 业 的 邮 件 网 关 防 垃 圾 邮 件 引 擎 部 署 防 病 毒 软 件 双 向 过 滤 机 制 邮 件 审 计 机 制 关 键 字 过 滤 邮 件 备 份 与 恢 复
邮 件 安 全 产 品 部 署 Firewall Antispam Antispam Database Mail Server Antispam AV Server
抗 DoS/DDoS 防 火 墙 流 量 控 制 防 病 毒 墙 入 侵 防 御 上 网 行 为 管 理 内 网 安 全 产 品 身 份 认 证 强 制 准 入 远 程 接 入 邮 件 安 全 杀 毒 软 件 CISCO Juniper Allot Anchiva Radware Websense VRV RSA CISCO Juniper Websense Symantec Radware CheckPoint Packteer CPsecure TippingPoint WaterBox SC Juniper Aventail Surfront Mcafee
Think You! WWW.CNSEC.CN