[精选]Web应用安全加固 SODA_v25-xu_2.pptx

Web应用平安加固应用平安加固 SYGATE ON DEMANDWeb应用中关注的焦点应用中关注的焦点任何地点任何地点任何应用任何应用任何设备任何设备酒店酒店公共信息查询台公共信息查询台无线效劳访问点无线效劳访问点笔记本电脑笔记本电脑Kiosk家用电脑家用电脑PDA/移动移动 任何时间任何时间企业职员企业职员合作伙伴合作伙伴供给商供给商WebClient/Server传统应用传统应用任何用户任何用户24小时小时不间断不间断平安性平安性平安是唯一可以阻止用户享受上述便利的原因平安是唯一可以阻止用户享受上述便利的原因Web应用中平安的现状应用中平安的现状平安现状平安现状 Web应用两端的保护极不对称应用两端的保护极不对称Web应用在客户端的平安问题应用在客户端的平安问题远程用户平安意识和经验薄弱远程用户平安意识和经验薄弱恶意代码泛滥恶意代码泛滥-截键程序、截屏程序、木马主机平安状况堪忧主机平安状况堪忧-使用的是非自有设备-未更新过的防病毒程序-无个人防火墙-平安漏洞补丁缺失远程用户处泄漏机密数据远程用户处泄漏机密数据-帐号/密码-临时下载的机密文件-重要的客户信息、财务信息等-敏感的隐私内容-浏览器历史记录防止机密数据在客户端泄露的平安方案匮乏防止机密数据在客户端泄露的平安方案匮乏SYGATE Web应用加固方案应用加固方案SYGATE On-Demand-SYGATE On-Demand Manager 管理器管理器-SYGATE On-Demand Agent 代理代理Sygate On-Demand的作用的作用提供提供Web Client的平安视图的平安视图-Web Client是否来自受信任的网络处所是否来自受信任的网络处所-Web Client是否采取了足够的平安防范措施是否采取了足够的平安防范措施-Web Client端在端在Web会话过程中是否发生了平安事会话过程中是否发生了平安事件件?是些什么样的平安事件是些什么样的平安事件?帮助我们看见帮助我们看见,并扫除并扫除Web应用中的平安盲区应用中的平安盲区Sygate On-Demand的作用的作用防止重要信息在远程防止重要信息在远程Web Client端泄漏端泄漏-保护保护Web应用的登陆账号和密码应用的登陆账号和密码-保护保护Web会话不被间谍软件监听和窥视会话不被间谍软件监听和窥视-防止下载网页、文件被保存到本地文件系统、移动防止下载网页、文件被保存到本地文件系统、移动存储、网络共享，或者是通过打印机打印出来存储、网络共享，或者是通过打印机打印出来-擦除在擦除在Web Client端产生的任何中间信息端产生的任何中间信息 在在Web Client创创造一个可信的操作空造一个可信的操作空间间隔离和屏蔽来自于不平安桌面的隔离和屏蔽来自于不平安桌面的风险保障和保障和维护虚虚拟桌面的平安桌面的平安标准虚准虚拟桌面中的行桌面中的行为限制用户的连接权限限制用户的连接权限管理用户可使用的网络应用管理用户可使用的网络应用Web效效劳器器不可信的不可信的桌面桌面可信的虚可信的虚拟桌面桌面Sygate On-demand该方案跻身由该方案跻身由GartnerGartner分析机构分析机构20052005年评出的年评出的“网络平网络平安和保密最炫目厂商行列。安和保密最炫目厂商行列。分析机构盛赞分析机构盛赞Sygate On Demand“Sygate On Demand“可以真正地帮助可以真正地帮助WebWeb应用实现其宗旨：那就是能够在任何时间、任何地点、应用实现其宗旨：那就是能够在任何时间、任何地点、任何方式为远程用户提供平安的访问，从而挖掘出其任何方式为远程用户提供平安的访问，从而挖掘出其中所蕴含的巨大商业价值。中所蕴含的巨大商业价值。Sygate 是目前唯一防止是目前唯一防止Web Client端泄漏信息的方案端泄漏信息的方案 Syate On Demand Agent分发过程分发过程Sygate On-Demand 主要特性主要特性可自定义的用户环境可自定义的用户环境自适应策略自适应策略主机完整性主机完整性Sygate On-Demand AgentSecureEnvironmentInsecureEnvironment 虚拟桌面虚拟桌面 数据清理数据清理 恶意代码防护恶意代码防护工作流程工作流程安安全全的的WEB应应用用创创建建虚虚拟拟桌桌面面创创造造一一个个可可信信的的操操作作隔隔离离间间恶意恶意代码代码防护防护维持维持一个一个可信可信的操的操作隔作隔离间离间数数据据清清除除 清清除除重重要要的的中中间间信信息息为什么虚拟桌面是隔离的？为什么虚拟桌面是隔离的？n独立的逻辑显示环境独立的逻辑显示环境 视窗 消息 菜单 Hook（钩子）输入n虚拟的文件系统虚拟的文件系统 401024位加密n虚拟的注册表虚拟的注册表虚拟的文件系统和虚拟的注册表虚拟的文件系统和虚拟的注册表文件加密文件加密 40 1024 bit RC4,防止从虚拟桌面外来浏览防止从虚拟桌面外来浏览文件文件保护程序内存，防止恶意程序窥探保护程序内存，防止恶意程序窥探可禁止访问本地文件系统、移动存储、网络共享，或者是通可禁止访问本地文件系统、移动存储、网络共享，或者是通过打印机打印出来过打印机打印出来用户离开或闲置超时时，隔离间销毁用户离开或闲置超时时，隔离间销毁功能介绍虚拟桌面功能介绍虚拟桌面SecureInsecure屏蔽来自于不平安桌面的威胁屏蔽来自于不平安桌面的威胁SODA 2.5:防止很多keystroke loggers,screen scrapers进进程程控控制制连连 接接 控控 制制虚虚 拟拟 键键 盘盘基于特征库的引擎基于特征库的引擎启启发发式式行行为为引引擎擎目标是阻止大多数不受欢送的行为设置消息钩子扫描键盘状态注入/骑劫程序屏幕捕捉通过特征匹配，揪出那些被行为引擎所遗漏的进程检查注册表检查文件系统检查应用程序白 or应用程序黑 受信连接或者受限连接URL、IP 地址、Port特定条件下强制使用虚拟键盘Domain、IP、Window Title、URL恶意代码防护恶意代码防护恶意代码防护模块恶意代码防护模块控制机制控制机制:1.键盘记录器键盘记录器2.屏幕截取器屏幕截取器3.进程控制进程控制特定条件下触发，强制使用特定条件下触发，强制使用虚拟键盘虚拟键盘domain,IP,Window Title,URL连接控制模块连接控制模块白白 ，黑，黑 默认规则次序默认规则次序,从左从左至右至右基于连接的对外通讯拦截。不是完整的包过滤基于连接的对外通讯拦截。不是完整的包过滤防火墙防火墙删除内容：删除内容：-Cookies-历史历史History-缓存文件缓存文件-自动完成自动完成 Auto plete-密码密码-输入的输入的 URL-临时存放的文件临时存放的文件Sygate 缓存去除器缓存去除器Sygate On-Demand出差途中出差途中家庭用户家庭用户企业用户企业用户公用公用PC打印机打印机工作站工作站访客访客ATM修复效劳器修复效劳器RadiusWeb应用效劳器应用效劳器Sygate EnforcerSygate On-Demand ManagerSSL VPNIPSEC VPNWirelessFirewall802.1x 交换机交换机CorrelatorDiscovery Engine管理员创立管理员创立Sygate On-Demand代理代理管理员上载管理员上载Sygate On-Demand代理代理用户连接到用户连接到登录页面登录页面VD,HI内部局域网内部局域网访客的笔记本访客的笔记本VD,HI公用公用Internet电话亭电话亭永续的永续的VD,HI,家庭网络家庭网络雇员家里的设备雇员家里的设备信任信任机场无线网络机场无线网络企业所属的企业所属的,运行运行SSA策略策略网络位置网络位置设备类型设备类型自适应策略自适应策略下载下载Sygate On-Demand 代理代理JavaSygate On-Demand 代理代理根据网络环境调整策略根据网络环境调整策略Sygate On-Demand 代代理验证主机完整性理验证主机完整性如果符合要求如果符合要求,On-Demand 启动虚拟桌面或缓存清理器启动虚拟桌面或缓存清理器补丁更新补丁更新系统补丁更新系统补丁更新个人防火墙启用个人防火墙启用防病毒更新防病毒更新防病毒启用防病毒启用状态状态主机完整性规则主机完整性规则虚拟桌面或缓存清理器启动虚拟桌面或缓存清理器启动登录进程登录进程用户登陆到用户登陆到SSL VPN/Web 用户并获得对网络的访问权用户并获得对网络的访问权用户可以平安地下载、查看、用户可以平安地下载、查看、修改并上传企业信息修改并上传企业信息当响应超时或关闭时当响应超时或关闭时,虚拟桌虚拟桌面关闭并清理数据面关闭并清理数据电子商务电子商务CRM/SAPSSL VPN网上银行网上银行电子医务电子医务电子政府电子政府案例分析案例分析网上银行网上银行用户的选择用户的选择 最平安的网上银行最平安的网上银行黑客的选择黑客的选择?网上银行的平安现状网上银行的平安现状用户的身份认证问题用户的身份认证问题-基于基于Web的客户端软件的客户端软件-用户名、密码用户名、密码-附加码附加码-证书证书数据传输途中的泄密问题数据传输途中的泄密问题-SSL加密加密平安措施基本够用平安措施基本够用网上银行的平安现状网上银行的平安现状数据在客户端的泄密问题数据在客户端的泄密问题-威胁威胁木马：例如快乐耳朵专门针对专业版木马：例如快乐耳朵专门针对专业版Key Logger：抓屏、记录键盘输入：抓屏、记录键盘输入缓存缓存-平安措施平安措施推荐不要在网吧等公共推荐不要在网吧等公共PC上使用与上使用与AAA效劳背离效劳背离 “网银大盗介绍网银大盗介绍“网银大盗涉及的银行网银大盗涉及的银行-银联支付网关银联支付网关执行支付执行支付-中国工商银行网上银行中国工商银行网上银行-申请牡丹信用卡申请牡丹信用卡-招商银行一网通招商银行一网通-招商银行网上支付中心招商银行网上支付中心-中国建设银行网上银行中国建设银行网上银行-交通银行网上银行交通银行网上银行-深圳开展银行帐户查询系统深圳开展银行帐户查询系统-深圳开展银行深圳开展银行|个人银行个人银行-民生银行网上银行民生银行网上银行个人普通业务个人普通业务-华夏银行华夏银行-上海银行企业网上银行上海银行企业网上银行-首都电子商城商户管理平台首都电子商城商户管理平台-首都电子商城商户管理首都电子商城商户管理-中国在线支付网中国在线支付网打击面广打击面广打击面广打击面广用户损失更直接用户损失更直接用户损失更直接用户损失更直接 信任危机信任危机信任危机信任危机76767676用户不用户不用户不用户不愿使用网银愿使用网银愿使用网银愿使用网银Sygate On-Demand网上银行的好处网上银行的好处用户用户-木马、木马、Key Logger等恶意程序无法窥视和截获网上银行的任何信息：等恶意程序无法窥视和截获网上银行的任何信息：用户名、密码、银行帐户等等用户名、密码、银行帐户等等-平安存储：银行对帐单、证书等平安存储：银行对帐单、证书等-自动缓存去除：随时随地使用网上银行效劳自动缓存去除：随时随地使用网上银行效劳银行银行-可以提供可以提供AAA的金融效劳的金融效劳-降低运营成本、增加收入降低运营成本、增加收入-提升用户的满意度、忠诚度提升用户的满意度、忠诚度增强核心竞争力增强核心竞争力SSL VPNsite to site IPSec not individual remote accessindividual IPSec/PPTPindividual SSL/S2001200320052007Source:Gartner 2003 UnofficialSSL VPN基于基于Web的应用的应用文件文件共享共享瘦客户端瘦客户端/效劳器应用效劳器应用传统客户传统客户端端/效劳器效劳器应用应用数据风险数据风险:-SSL VPN 登录密码登录密码-共享的文件共享的文件-应用程序数据应用程序数据其他风险其他风险-网络病毒网络病毒-木马等恶意代码木马等恶意代码SSL VPN的加固不会接受预的加固不会接受预装客户端的方案装客户端的方案移动移动办公办公合作伙伴合作伙伴外连网外连网公用公用 亭亭SSL VPN 技术合作技术合作Array NetworksWeb邮件邮件业务需求业务需求:远程访问远程访问-Email-联系人联系人-日程安排日程安排存在风险的数据存在风险的数据:-域登录密码域登录密码-Email附件附件-联系人列表联系人列表Web客户关系管理客户关系管理CRM业务需求业务需求:-提高远程销售人员的生提高远程销售人员的生产效率产效率-准确的收入预测准确的收入预测-从任意的设备访问从任意的设备访问存在风险的数据存在风险的数据:-Web CRM 密码密码-客户客户 -收入预测收入预测SYGATE On-Demand演示演示9、静夜四无邻，荒居旧业贫。11月-2311月-23Sunday,November 26,202310、雨中黄叶树，灯下白头人。08:40:1508:40:1508:4011/26/2023 8:40:15 AM11、以我独沈久，愧君相见频。11月-2308:40:1508:40Nov-2326-Nov-2312、故人江海别，几度隔山川。08:40:1508:40:1508:40Sunday,November 26,202313、乍见翻疑梦，相悲各问年。11月-2311月-2308:40:1508:40:15November 26,202314、他乡生白发，旧国见青山。26 十一月 20238:40:15 上午08:40:1511月-2315、比不了得就不比，得不到的就不要。十一月 238:40 上午11月-2308:40November 26,202316、行动出成果，工作出财富。2023/11/26 8:40:1508:40:1526 November 202317、做前，能够环视四周；做时，你只能或者最好沿着以脚为起点的射线向前。8:40:15 上午8:40 上午08:40:1511月-239、没有失败，只有暂时停止成功！。11月-2311月-23Sunday,November 26,202310、很多事情努力了未必有结果，但是不努力却什么改变也没有。08:40:1508:40:1508:4011/26/2023 8:40:15 AM11、成功就是日复一日那一点点小小努力的积累。11月-2308:40:1508:40Nov-2326-Nov-2312、世间成事，不求其绝对圆满，留一份缺乏，可得无限完美。08:40:1508:40:1508:40Sunday,November 26,202313、不知香积寺，数里入云峰。11月-2311月-2308:40:1508:40:15November 26,202314、意志坚强的人能把世界放在手中像泥块一样任意揉捏。26 十一月 20238:40:15 上午08:40:1511月-2315、楚塞三湘接，荆门九派通。十一月 238:40 上午11月-2308:40November 26,202316、少年十五二十时，步行夺得胡马骑。2023/11/26 8:40:1508:40:1526 November 202317、空山新雨后，天气晚来秋。8:40:15 上午8:40 上午08:40:1511月-239、杨柳散和风，青山澹吾虑。11月-2311月-23Sunday,November 26,202310、阅读一切好书如同和过去最杰出的人谈话。08:40:1508:40:1508:4011/26/2023 8:40:15 AM11、越是没有本领的就越加自命非凡。11月-2308:40:1508:40Nov-2326-Nov-2312、越是无能的人，越喜欢挑剔别人的错儿。08:40:1508:40:1508:40Sunday,November 26,202313、知人者智，自知者明。胜人者有力，自胜者强。11月-2311月-2308:40:1508:40:15November 26,202314、意志坚强的人能把世界放在手中像泥块一样任意揉捏。26 十一月 20238:40:15 上午08:40:1511月-2315、最具挑战性的挑战莫过于提升自我。十一月 238:40 上午11月-2308:40November 26,202316、业余生活要有意义，不要越轨。2023/11/26 8:40:1508:40:1526 November 202317、一个人即使已登上顶峰，也仍要自强不息。8:40:15 上午8:40 上午08:40:1511月-23MOMODA POWERPOINTLorem ipsum dolor sit amet,consectetur adipiscing elit.Fusce id urna blandit,eleifend nulla ac,fringilla purus.Nulla iaculis tempor felis ut cursus.感感 谢谢 您您 的的 下下 载载 观观 看看专家告诉