巨人背后的专家

 

 

互联网出口区特点：一是网络总出口，不能中断网络 ；2、大流量进出口位置；
互联网出口区需求：可用性（防DDOS)、安全性（黑客攻击、僵木蠕、病毒等）、带宽保障、连续性；

对外服务器区特点：一是门户网站 “脸”；二是对外提供服务的业务系统 ；
对外服务器区需求：不能被篡改（不能打脸）、可用性、安全性、连续性（不能断业务）；

核心服务器区特点：最核心的业务数据
核心服务器区需求:数据可用性、数据安全性（不被篡改、丢失、盗取等）、带宽保障、可审查；

办公内网区特点：人的主动性和不稳定因素性
办公内网区需求：可用性、带宽保障、记录可审查、安全性（黑客攻击、僵木蠕、病毒等）、对人员的安全管理；

地市、分支特点：地市、分支的安全性总是比上级安全性低，低安全级往高安全级传播必须要加安全设备；
地市、分支接入：安全加密性、可用性、安全性（黑客攻击、僵木蠕、病毒等）

安全管理区：SOC,态势感知等


社保查询、公务员考试报名、养老保险查询、公积金查询，学生成绩查询、考生报名、英语四六级报名、驾驶员违章查询等。

核心服务器区：人事管理系统、远程教育信息系统（教育）；身份认证系统、DNA数据库系统（公安）；养老系统、人事考试系统（人社）；客票系统、车辆管理系统(铁道）；防洪抗旱、水文监测（水利）；12315系统、企业信用监管系统、中国商标（工商）等。

 

 

防火墙不能有效检测并阻断夹杂在正常流量中的攻击代码

NIDS旁路部署，不能第一时间阻断所有攻击，侧重安全状态监控

防火墙是检查登机牌的：只判断合法身份，不进行深度检测。合法身份做坏事很普遍；
逆向思维：如果没有NIPS，发生攻击或蠕虫病毒爆发时会出现什么现象？

NIDS是监控探头：检测并记录，无法进行主动拦截。只能追究责任，无法挽回损失；
NIPS是安检系统：深度检测，实时阻断。携带易燃、易爆、刀枪棍棒危险品的通通不让过；

 

 

 

 

NIPS VS  WAF
保安与保镖
　　为了更好的理解两款产品差异性，我们先用这个保镖（WAF）和保安（NIPS）比喻来描述。
　　大楼保安需要对所有进出大楼人员进行检查，一旦发现可疑人员则禁止他入内，但如果混进“貌似忠良”的坏人去撬保险柜等破坏行为，大楼保安是无能为力的。
　　私人保镖则是指高级别、更“贴身”的保护。他通常只保护特定的人员，所以事先需要理解被保护人的身份、习惯、喜好、作息、弱点等，因为被保护人的工作是需要去面对不同的人，去不同的场合，保镖的职责不能因为危险就阻止、改变他的行为，只能去预见可能的风险，然后量身定做合适的保护方案。
　　这两种角色的区别在于保安保护的是整个大楼，他不需要也无法知道谁是最需要保护的人，保镖则是明确了被保护对象名单，需要深刻理解被保护人的个性特点。
　　通过上面的比喻，大家应该明白两者的之所以会感觉相似是因为职责都是去保护，但差异在于职能定位的不同。从技术原理上则会根据定位来实现。
专业网站安全防护系统，部署Web应用防火墙系统进行应用层防护，防止SQL注入，网站挂马，远程缓存溢出，cookie、Session劫持，实现恶意代码主动防御、网页的文件过滤驱动保护、防跨站攻击、防SQL注入、自身抗网络攻击能力功能，提供服务器侧恶意代码过滤功能；提供网络爬虫和网页盗链防护功能。从而更有效地对网站网页安全进行保护。


WAF比NIPS:多了XSS,SQL注入，Cookie劫持，参数篡改；

SQL注入：就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串，最终达到欺骗执行SQL命令。具体来说，它是利用现有应用程序，将（恶意）的SQL命令注入到后台数据库引擎执行的能力，它可以通过在WEB表单中输入（恶意）SQL语句得到 一个存在安全漏洞 网站上的数据库，而不是按照设计者意图上去SQL语句。

采用先进的WEB服务器核心内嵌技术，基于智能特征分析技术，对网页篡改所采用的主要攻击手段（如WEB Shell、非法上传、SQL注入及XSS）进行检测并做有效阻断，有效防护对动态内容的篡改，设置第一道防线；应用增强型内核层文件保护技术，保护策略设置的目标文件不被非法进程修改，提供第二道防线。

有个问题需要引起我们深思：黑客攻击日益猖獗，难道真的防不胜防吗？
根据Gartner的统计分析显示，75%的黑客攻击是针对于Web应用层，黑客采用SQL注入、跨站脚本、网页挂马、伪造跨站请求、目录遍历、内容欺骗等等手段对用户的Web应用层进行攻击，而25%的黑客采用拒绝服务、病毒蠕虫传播、ARP共计、缓冲区溢出等攻击方式对用户的系统层、网络层进行攻击。

然而，在我们实际的运维工作中，却只有10%的精力来用于防范75%遭受攻击的Web应用层保护，攻击手段的日益强大和防护手段的局限，两者的不对等，导致黑客攻击屡见不鲜。


一、Web系统的质量验收，控制风险引入
通过Web扫描，对新B/S系统进行上线前的准入评估，避免引入未知失控的安全风险
二、周期性Web评估检查，掌握风险态势
通过周期性扫描检查，知晓近期新爆漏洞对系统的影响，从而掌控日常所维护Web系统的健康态势
三、脆弱性修复的重要参考依据
对查出漏洞的明细进行可信度确认
提供漏洞的有力证据，通知第三方整改方

客户困惑：
证明漏洞存在的确凿依据不足，导致爆出的漏洞无法修复运维方非专业人士，对漏洞本身不了解
爆出的漏洞仅知道数量和风险等级，具体漏洞明细不清晰无确凿证明依据，导致通知的整改第三方不认可，扯皮
修复漏洞的加固建议太笼统，或晦涩难懂

竞争产品的局限性
国外扫描器主要面向专业人士，且产品自身对配置要求高
“傻瓜式”修复方式刚刚起步，当前仅IBM在做漏洞取证的改进

我们漏洞修复的优势
漏洞本身的详细描述
取证说明通俗易懂
对爆出的全部漏洞，逐一取证描述
给第三方整改的依据确凿
人工修复要求“零”门槛

 

 

漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统。是受限制的计算机、组件、应用程序或其他联机资源的无意中留下的不受保护的入口点。
在我们的网络上运行着一个又一个信息系统，如果把一个个信息系统与设备比作信息的城市，那系统的安全就可以比作保护城镇的长城。最开始，很多人在得到新建的信息系统后都会想：“恩，系统应该好用吧。安全问题……再说吧……”
但是，随着研究的深入，各个应用系统都会不断的爆出各种各样的漏洞，■
包括缓冲区溢出、sql注入，跨站脚本执行漏洞，拒绝服务漏洞，跨站脚本执行漏洞，本地权限提升漏洞，信息泄漏漏洞，安全限制绕过漏洞。

漏洞扫描主要是对WINDOWS,数据库代码、系统层面上的问题。




等等

弱口令
Username： administrator
Password ： 123456
不安全的系统配置
远程访问windows注册表
防火墙采用全通规则
远程访问不进行数据加密
配置核查，是指在使用过程中的运维人员的管理要求。根本相应的要求去做对应的配置。

 

 

 

 

日志审计平台通过集中采集信息系统中的系统安全事件、用户访问记录、系统运行日志、系统运行状态等各类信息，经过规范化、过滤、归并和告警分析等处理后，以统一格式的日志形式进行集中存储和管理，结合丰富的日志统计汇总及关联分析功能，实现对信息系统日志的全面审计。