WEB应用安全和数据库安全的领航者  政企安全之云化、大数据化和移动化 汇报人：范 渊 www.dbappsecurity.com.cn WHO AM I •  范渊 CEO & CTO –  –  –  –  –  –  –  –  –  –  –  –  –  –  毕业于美国加州大学 国际著名安全公司多年的研发和管理经验 入选中组部“国家千人计划” 第十届杭州市政协常委 第十一届“杭州市十大杰出青年” 第五届“科技新浙商” 第一个登上黑帽子安全大会演讲的中国人 OWASP中国分会副会长 2008北京奥组委安全组成员 中国计算机学会计算机安全专委会常委 浙江省海外高层次人才引进计划-浙江省特聘专家 浙江省计算机信息系统安全协会副会长 浙江省“新世纪151人才工程” 《中国信息安全》杂志（特约）专栏作者 www.dbappsecurity.com.cn WEB应用安全和数据库安全的领航者 政企安全 1 政企云化是大趋势 2 政企的安全顾虑及现状 3 政企云的云安全建设 4 政企安全大数据化 5 政企安全移动化 www.dbappsecurity.com.cn WEB应用安全和数据库安全的领航者 3 云计算是IT发展必然趋势 www.dbappsecurity.com.cn WEB应用安全和数据库安全的领航者 4 数博会回顾—大数据需求的缩影 可灵活增减资源配备， 满足实际需求； 无需硬件规划建设   www.dbappsecurity.com.cn 民生大数据在各类政务 应用间可实现共享； 不同部门间的政务流程 可更简洁地整合。 可进行统一的监管 全面提升政务应用能力 与安全水平     WEB应用安全和数据库安全的领航者 5 云计算、大数据受国务院高度重视 大数据支撑核心业务系统 云计算保障基础运算能力 www.dbappsecurity.com.cn WEB应用安全和数据库安全的领航者 6 政企安全 1 政企云化是大趋势 2 政企的安全顾虑及现状 3 政企云的云安全建设 4 政企安全大数据化 5 政企安全移动化 www.dbappsecurity.com.cn WEB应用安全和数据库安全的领航者 7 政企云的安全隐患 安 全 程 度 内控 安全 政企 应用 www.dbappsecurity.com.cn 政企 应用 政企 应用 外部 防御 云平台自身安全 云基础设施安全程度一致， 但迁入的各类应用安全程度不一， 程度较低的应用有可能被入侵， 影响云内部其他应用安全。 WEB应用安全和数据库安全的领航者 8 新的业务安全问题层出不穷 Web业务和移动业务安全威胁贯穿整个过程 网站故障 木马 钓鱼网站 非法APP 漏洞扫描 DDOS攻击 用户注册欺诈 参数注入 会话前 暴力破解 验证码绕过 口令破解 浏览器劫持 高风险访问 会话开始 登陆 刷积分 www.dbappsecurity.com.cn 传输 平行越权查询 批量注册 身份伪造 会话劫持 越权访问 逻辑漏洞利用 账户利用 退出 垂直越权操作 平行越权修改 敏感信息泄漏 平行越权下载 WEB应用安全和数据库安全的领航者 9 互联网金融行业应用安全风险 近期，安恒风暴中心受某部门委托，针对某省互联网金融网站抽样了100 个进行了深入的检测，发现其中有53个网站存在高危漏洞，占总数的53%。 其中，6%的网站可以getshell，47%的网站发现SQL注入漏洞，2%的网站 发现Struts2命令执行漏洞，25%的网站发现跨站脚本漏洞，4%的网站发 现逻辑漏洞，6%的网站发现密码重置漏洞，4%的网站存在弱口令，2%的 网站发现目录遍历漏洞，6%的网站发现高危敏感信息泄露。 www.dbappsecurity.com.cn WEB应用安全和数据库安全的领航者 10 www.dbappsecurity.com.cn WEB应用安全和数据库安全的领航者 11 单一防护无法确保整体安全 安全风险 云中应用的数量 安全威胁的多样化 云中存在的大量应用 www.dbappsecurity.com.cn 云安全风险呈几何级上升 WEB应用安全和数据库安全的领航者 12 内部安全威胁趋势未减 各单位管理员 政务云 政企应用 第三方代维人员 政企应用 www.dbappsecurity.com.cn 账号越权使用 权限不规范 违规操作 数据泄露 WEB应用安全和数据库安全的领航者 13 政务通信安全 默克尔手机被美情报机关监听 非法伪造无线热点，交流信息泄露          2013年，美国“棱镜门"事件   www.dbappsecurity.com.cn    苹果iPhone的“隐私门”   最近的苹果icloud账号被入 侵。   WEB应用安全和数据库安全的领航者 14 政企云安全 1 政企云化是大趋势 2 政企的安全顾虑及现状 3 政企云的云安全建设 4 政企安全大数据化 5 政企安全移动化 www.dbappsecurity.com.cn WEB应用安全和数据库安全的领航者 15 政企安全漏洞检测之变化 •  独立的漏洞检测工具 •  综合型安全检测工具箱 WEB应用弱 点扫描器 •  安全监测云 安全监测云 （风暴中心） 数据库弱点 扫描器  海量 快速 远程安全  评估系统  www.dbappsecurity.com.cn 持久化 WEB应用安全和数据库安全的领航者 16 云安全监测 云端安全监测 安全值守 实时告警 7*24小时监测与服 务实践，政企用户， 国家相关机构提供 及时服务与大量数 据支撑 www.dbappsecurity.com.cn WEB应用安全和数据库安全的领航者 17 网络空间安全搜索 风暴中心搜索引擎能够支持海量空间数据的毫秒级查询，精确定 位要查找的各类信息，支持多维度、多关键字查询。 指 纹 h"p、ssh、%p、rdp、流 媒体、CMS、工控系统等   弱 点 系统漏洞、应用层漏洞   www.dbappsecurity.com.cn 内 容 事 件 查找含有特定安全内容的 站点   网马、篡改、敏感言论、 暗链、黑页、域名劫持   WEB应用安全和数据库安全的领航者 区 域 辖区安全 数据   18 Openssl heartbleeding 漏洞 2014-4-9，openssl 爆出心脏出血漏洞（CVE-2014-0160） 23,512个站点未修复 •  至今仍有 2015-7-9，openssl又将披露一高危漏洞 本次漏洞受影响最严重区域TOP5 31,864 个网站 •  疑似受影响的有约 3240 广东 2476 北京 风暴中心对政府、金融、电子商务及重要在线系统进行抽样分析， 通过对400余万的主机抽样分析发现问题非常严重。本次受影响 openssl软件占比 42%，影响最大的为广东、北京、香 港、浙江和台湾。 2018 香港 1052 浙江 526 台湾 0 www.dbappsecurity.com.cn 1000 WEB应用安全和数据库安全的领航者 2000 3000 4000 深度可视化 www.dbappsecurity.com.cn WEB应用安全和数据库安全的领航者 20