数字校园门户网站安全解决方案

北京通元动力软件技术有限责任公司

向晓斌

首席架构师

http://www.gpowersoft.com

1 - 2 通元软件

目录

公司介绍

网站安全现状

IBM Rational AppScan

通元网页防篡改系统

通元数字校园产品线

1 - 3 通元软件

公司简介

• 北京通元动力软件技术有限责任公司是一家高新技术软件企业，总部位于北京上地科技园区，并在深圳、重庆、上海设有分支机构

•公司是国内领先的内容管理产品厂商

•专注于为高校、企业、政府提供自主知识产权的互联网门户产品和服务。

1 - 4 通元软件

公司客户

• 政府– 国家卫生部、国家统计局、国家旅游局、国防科工委、国家宗教

事务局、北京旅游局

• 电信、金融、电力– 交通银行深圳分行、中信基金、山东联通、广东电力

•企业– 中国石化、北方工业总公司、乌江水电

•行业门户– 百合网、中国纺织网、中国联合钢铁网、中国家具网

1 - 5 通元软件

教育客户

• 清华大学– 通元B/S应用开发平台成为清华大学数字校园应用开发基础平台

，在此基础上开发了几十个校园应用

• 北京大学– 通元软件与北京大学达成战略合作协议，共同推进数字化校园门

户网站建设

• 中山大学、北京理工大学、北京林业大学、北京建筑工程学院、山西大学、北京体育大学、西北工业大学、西安电子科技大学、天津科技大学、中国石油大学（北京）、中央戏曲学院、北京石油化工学院、首钢工学院、西藏大学

• 南昌教育局、辽宁本溪教育局、辽宁丹东教育局、辽宁抚顺教育局

1 - 6 通元软件

目录

公司介绍

网站安全现状

IBM Rational AppScan

通元网页防篡改系统

通元数字校园产品线

1 - 7 通元软件

公安部2008年网站安全调查

• 2008年被调查单位中有62.7%发生过

网络安全事件，感染计算机病毒、蠕虫和木马程序的情况依然 为突出，其次是网络攻击、端口扫描、垃圾邮件和网页篡改。2008年，我国被篡改的网站数量为5.4万个，政府、高校网站居多。

1 - 8 通元软件

2009年第一季度挂马网站• 2009年1月至3月，互联网上出现的挂马网页累计达1亿9千多万个，平均每天有589万余人次网民访问这些网页，累计有8亿人次网民遭木马攻击。大型网 站、浏览器和流行软件成为黑客窥测的对象，一季度有24202个大型网站被植入木马，这已经成为威胁国内互联网安全的 主要因素之一。

• 植入木马，广义上也是一种篡改,改变了原始发布内容

1 - 9 通元软件

网站安全现状

1 - 10 通元软件

No Money, No hacking!

1 - 11 通元软件

Web网站是进入企业的门户

•保护网站已刻不容缓！！！

• 虽然Web网站能够使用户更加流畅地访问企业内

部信息，但它们也存在漏洞，可能会暴露关键的企业信息和客户数据，甚至破坏企业IT系统。

1 - 12 通元软件

如何解决这些问题？

•通元软件携手IBM Rational，打造固若

金汤的门户网站– IBM Rational AppScan：全面检测 Web 安全漏洞的利器

– Gpower WebGuard：全面保护网页不被非法篡改

1 - 13 通元软件

目录

公司介绍

网站安全现状

IBM Rational AppScan

通元网页防篡改系统

通元数字校园产品线

1 - 14 通元软件

WEB应用基础知识

Web Server(Presentation)

App Server(Business

Logic)

Database

InternetInternet

防火墙

客户端(浏览器)

中间层 数据层

14

1 - 15 通元软件

Desktop Firewall IDS/IPS Web Applications

手工修复和代码检查?

SQL Injection

Cross Site Scripting

Pattern-based Attack

Web Server Known

Vulnerabilities

Parameter Tampering

Cookie Poisoning

Port Scanning

DoS

Anti-spoofing

弱层：Web应用层

1 - 16 通元软件

Web安全的误解• Web 网站使用了防火墙，所以很安全

– 无论是应用级还是端口级的防火墙针对的都是网络层面的攻击，通过设置可访问的端口或者应用，把恶意访问排除在外，然而如何鉴别善意访问和恶意访问是一个问题。访问一旦被允许，后续的安全问题就不是防火墙能应对了。

• Web 网站使用了 IDS/IPS，所以很安全– 通过模式识别对网络层面的攻击做出防护措施。然而类似于防火墙，通过

利用程序漏洞，通过正常连接进行攻击的访问无法被识别和处理。

• Web 网站使用了 SSL 加密，所以很安全– SSL 对网站发送和接收的信息都进行加密处理，然而 SSL 无法保障存储在

网站里的信息的安全和网站访问者的隐私信息。采用 64 位甚至 128 位SSL 加密的网站被黑客攻陷的例子举不胜举。

• 漏洞扫描工具没发现任何问题，所以很安全– 当前漏洞扫描工具已经被广泛使用去查找一些明显的网络安全漏洞。同理

，扫描工具无法对网站应用程序进行检测，无法查找应用本身的漏洞。

• 我们每季度都会聘用安全人员进行审计，所以很安全– 人为的检测考察不仅仅效率低，不可控因素也较多，同时对于代码变更频

繁的今天，安全人员也无法满足全面的安全需求

1 - 17 通元软件

十大Web应用安全隐患

1 - 18 通元软件

十大攻击手段

1 - 19 通元软件

跨站点脚本攻击-示例

1 - 20 通元软件

组织的挑战

Network Server

WebApplications

% of 攻击 % of 花费

75%

10%

25%

90%

安全 花费•缓冲区溢出•Cookie 毒药

•隐藏域•跨网站脚本攻击•篡改参数•暴力浏览•SQL 注入•等等…

信息安全攻击都来自web应用的层次上75%75%Web应用是脆弱的2/32/3

Sources: Gartner, IDC, Watchfire

1 - 21 通元软件

根源分析

• IT安全通常关注仅网络和服务器

– Firewalls and IPS不能阻止应用层攻击

– 80, 8080,443端口开放

– 网络扫描器不能完全发现应用漏洞

• Nessus, ISS, Qualys, Nmap, etc.

• IT安全专家通常源于 network /infrastructure方面, 对web软件开放经验较少

• 开发人员缺乏安全培训和要求

– 64%的开发人员不具备编写安全代码的能力(来自Microsoft Developer Research)– 开发人员不关心安全

• 缺乏明确的安全策略、流程以及工具

1 - 22 通元软件

IBM收购业界第一的WatchFire AppScan

• WEB应用安全性解决方案

– WatchFire是业界 准确的WEB应用安全软件的领导者，是唯一能够提供端

到端解决方案的公司

– 在应用安全脆弱性评估软件市场排名第一，占有约31.8％的市场份额（由IDC和Gartner提供）

– 成立于1996年

– 收购后，IBM迅速推出多个新版本

1 - 23 通元软件

使用AppScan解决WEB应用安全隐患

• AppScan是什么?–是一个Web应用安全扫描工具

• 为什么需要它?–大大简化Web应用安全问题的发现和修复

• AppScan能为您做什么?–扫描Web应用、找出安全隐患、给出修复意见报告

• 哪些角色需要使用它?–安全审计人员

– QA工程师

–测试人员

–开发人员

23

1 - 24 通元软件

WatchFire和业界标准

• 两个知名的Web应用安全组织– WASC（Web Application Security Consortium ）（www.webappsec.org)

– OWASP（Open Web Application Security Project）（ www.owasp.org ）

• WatchFire是该组织成员

• AppScan是依据上述业界标准进行测试的

• AppScan的修复报告可以遵循多种标准模板

24

1 - 25 通元软件

Rational AppScan工作示意图

1 - 26 通元软件

定义扫描

1 - 27 通元软件

结果分析

1 - 28 通元软件

涵盖软件开发周期

28

1 - 29 通元软件

AppScan DE--Web应用开发插件

29

1 - 30 通元软件

AppScan QA－和CQ的集成

30

1 - 31 通元软件

国内成功案例

31

1 - 32 通元软件

国外成功案例-1

1010大银行中的大银行中的99家家 1010大科技公司中的大科技公司中的88家家 1010大医疗大医疗/ / 药品公司中药品公司中的的77家家 各大政府机关和部门各大政府机关和部门

国外成功案例-2

1 - 33 通元软件

科技公司科技公司 顾问和调查公司顾问和调查公司

1 - 34 通元软件

目录

公司介绍

网站安全现状

IBM Rational AppScan

通元网页防篡改系统

通元数字校园产品线

1 - 35 通元软件

网页防篡改提供 后一层防护

黑客攻击

网络病毒

Internet

入侵检测

第二层

防火墙

第一层

网站

网页防篡改

1 - 36 通元软件

系统概述

通元网页防篡改系统（Gpower WebGuard），是通元软件公司结合多年互联网网站安全的实施经验，采用目前 为先进的文件过滤驱动技术＋事件触发技术，并结合安全传输技术，且遵循Internet相关标准协议的网站安全保护软件。产品主要提供文件监控保护、文件同步传输功能，确保文件系统的内容及权限不被篡改；能实时监控多台主机的多项服务，如HTTP、FTP、Email等多项服务；可以对监控端磁盘、CPU和物理内存的使用情况进行监控，并可以随时对异常状态给出声音提醒、邮件提醒或短信提醒。

1 - 37 通元软件

通过公安部 新安全标准检验

1 - 38 通元软件

系统架构

1 - 39 通元软件

四大特点

•网页防篡改

•文件安全同步传输

•主机性能监控

•网站服务监控

1 - 40 通元软件

防篡改核心技术

文件过滤驱动技术＋事件触发技术– 对于Windows系统，利用windows文件过滤驱动，监听篡改事件

– 对于Linux系统，利用Linux内核inotify，监听篡改事件

优势

• 内核加载，篡改事件无一漏掉，服务器即使被黑，也不能篡改网页

• 性能卓越，毫秒甚至纳秒级文件恢复

• 服务器负载，基本为0负载

1 - 41 通元软件

文件安全同步传输• 支持网页文件同步传输到多台Web服务器，实现负载均衡，可解决Windows下无专业文件同步工具、替代Linux下的rsync

• 文件传输过程，采用SSL加密，安全可靠

• 一台主机支持多个目录的文件同步

• 数字水印对比技术，在同步文件时，进行数字水印比较，这样和CMS系统能紧密结合，有效降低传输压力

• 传输速度快

1 - 42 通元软件

主机性能监控• 监控CPU、内存、硬盘

• 可设置CPU、内存、硬盘负载峰值，一旦系统超过峰值，出现性能问题，立刻通过短信、邮件报警

1 - 43 通元软件

网站服务监控

• 如何确保网站7X24小时不间断运行，如何及时发现网站出现的问题，成为企业IT部门的挑战。

• 网站监控服务，实时监测网站的各种服务，一旦发现网站服务出现异常，进行实时报警。特点如下：– 监控多台服务器，不管是否安装监控代理

– 监控HTTP、FTP、Email、数据库等多项服务

– 服务一旦没有响应，系统立刻通过邮件、短信、响铃等方式报警

1 - 44 通元软件

系统其他特点• 基于浏览器的管理界面，无须安装客户端，使用非常方便

• 采用Ajax开发的界面，易用性非常好

• 丰富的审计、报警日志

1 - 45 通元软件

典型客户• 北京大学

• 北京理工大学

• 国防科技大学

• 北京石油化工学院

• 德邦证券

• 国家旅游局

• 交通银行深圳分行

• 北京房山信息网

• 北京大兴信息网

……

1 - 46 通元软件

目录

公司介绍

网站安全现状

IBM Rational AppScan

通元网页防篡改系统

通元数字校园产品线

1 - 47 通元软件

数字校园产品线

•通元内容管理系统

•通元智能搜索引擎

• 通元网络雷达系统

1 - 48 通元软件

通元内容管理系统

• 提供门户网站群统一安全管理– 一套系统、统一平台、统一管理界面、集中数据存储

– 分级授权，各网站设网站管理员，分站自治

– 栏目文章可通过转发、复制，实现子、主站信息共享

– 内网使用，外网发布

– 静态网页发布，防止SQL注入等攻击

– 提供模板库，子站可根据需要选择模板，既相对统一，又各有特色

1 - 49 通元软件

通元智能搜索引擎

• 提供门户网站群统一检索

数据库友好的管理

相关度排序

智能搜索

二次搜索

拼音搜索

中文精准智能搜索数据源

中文分词

本地文件检索风格配置

网站统计分析

…

1 - 50 通元软件

通元网络雷达系统• 提供互联网信息采集及舆情监控

1 - 51 通元软件

谢谢！