白皮书和电子书

Gartner, Inc. 已发布 2014 年 Web 应用程序防火墙魔力象限。Imperva 凭借在 Web 应用程序防火墙市场中的前瞻性和执行力，已成为此象限中的领导者。

一方面要交付创新的解决方案，另一方面却要控制 IT 总成本，这是大多数 IT 组织所承受的压力。 正因为如此，数据库审核和保护项目通常都需要充分利用现有资源，尤其是内置的数据库审核工具。 而内置数据库审核的问题则在于，它会给企业带来合规性与安全漏洞，还会产生昂贵的隐性成本从而加重企业的负担。 本白皮书阐述了四个主要的内置数据库审核低效因素，了解其如何一步步吞噬 IT 预算。 还会向您介绍组织如何借助自动化解决方案简化数据库审核，以及如何从当前在数据库合规方面的投入中释放出 80% 以上的 IT 资源和预算。

Microsoft SharePoint 是一个被广泛采用的数据共享与协作平台，通常利用第三方软件对其进行扩展。 若 SharePoint 内的数据为敏感且接受监管的数据，则该平台的安全性以及软件扩展都必须成为组织的首要关注点。 本白皮书针对使用第三方 SharePoint 插件和网页组件存在的威胁展开讨论，评估传统安全解决方案在解除这些威胁时的效率，并对如何增强 SharePoint 系统安全提出建议。

《网络攻击生存指南》是帮助您从黑客分子及网络罪犯发起的层出不穷的攻击中顽强生存下来的秘密武器。 本指南提供了分步骤说明，帮助您从以下三个方面应对并终止网路攻击：增强应用程序功能；锁定 SQL 注入和 DDoS 等高级攻击；攻击结束之后作事后剖析。 有了这份指南为您保驾护航，您就可以利用精心布置的策略从容应对随时可能发生的网络攻击。

开放式 Web 应用程序安全项目 (OWASP) 十大风险被广泛认为是确定关键 Web 应用程序安全风险的主要标准之一。 本白皮书分析了最近发布的 2013 年 OWASP 十大最关键 Web 应用程序安全风险，并概述了 SecureSphere Web 应用程序防火墙 (WAF) 如何解决并减轻 OWASP 十大威胁。

高级有针对性攻击会借助社交工程技术和恶意软件绕开安全防线，给企业内部的人员造成危害。 只要一位员工受到入侵，即可在不知不觉中攻击到整个网络。 本白皮书将一一介绍高级针对性攻击的七个阶段，探明防火墙及 IPS 解决方案等传统防御手段为何缺少保护数据中心资产所需的应用程序和数据重点，并概要阐述了保护组织远离针对性攻击所需的功能

只要组织使用网络，几乎就很难幸免 Web 应用程序攻击。 尽管一些安全供应商信誓旦旦地宣称他们的新一代防火墙可以抵御 Web 攻击，但这些产品都缺乏基本的 Web 安全功能，因此客户遭受攻击的情况屡有发生。 本白皮书列举了保护 Web 应用程序的六项重要要求，并展示了 Web 应用程序防火墙如何独自高效地满足这些需求。

针对南非个人信息保护 (POPI) 法案的 6 步数据隐私保护计划

您的组织是否做好了满足南非个人信息保护 (POPI) 法案要求的准备？ POPI 规定了信息保护原则，对南非公民个人数据的收集与处理进行监管。 在本白皮书中，我们将回顾 POPI 的八项原则，并讨论如何利用可行的数据安全流程与解决方案满足这些要求。

SharePoint 是一个复杂的平台，它运用、接触和存储的敏感内容一直在呈现爆炸性增长的趋势。 鉴于此，管理层会对 SharePoint 安全与管理执行更为严苛的审查，同时要求立即采取缓解措施。 本白皮书中阐述的以风险为基础的阶段式观点可调整投资与优先事项，让现有的 SharePoint 部署实现最大的安全回报。 安全计划兼具预防措施和分析功能，同时配备自动化工具以提供控制措施和信息，这些都是单纯的 SharePoint 功能或公司资源所无法实现的。

数据库内包含一个组织的顶级业务，一旦发生内部或外部人士的非法侵入，就可能让组织面临数百万的诉讼罚款和客户流失。 值得庆幸的是，攻击数据库的常用方法非常之少。 抵御数据库攻击，才会拥有一个高度安全的数据库。

Web 应用程序防火墙已成为让应用程序远离在线威胁的中心平台，这些威胁包括技术 Web 攻击、业务逻辑攻击以及网络欺诈。 Web 应用程序防火墙了解 Web 使用情况并会验证输入，抵御 SQL 注入、XSS 及目录穿越漏洞等危险攻击。 它们可以锁定扫描仪和虚拟补丁漏洞。 此外，它们可以迅速发展以防止新的攻击并确保重要应用程序安全无虞。 鉴于 Web 应用程序防火墙的战略意义，所有组织都必须认真评估产品的安全性、管理及部署功能。 本白皮书详细阐述了每道 Web 应用程序防火墙必备的 10 项功能。

当今组织所处的环境危机四伏，数据泄露威胁呈现持续上升的趋势。 几乎所有企业数据中心都会存储财务记录、医疗记录、个人身份信息 (PII) 及其他私密业务数据。 若无法确保存储此信息的数据库安全无虞，则可能会损坏组织声誉、影响运作并违反法规，招致罚款和法律费用。 本白皮书将：(1) 通过 6 个步骤自动化并执行企业数据隐私政策； (2) 确定执行各步骤所需的安全工具；(3) 突出强调 Imperva 市场领先的 SecureSphere 数据安全套件。

处于领先地位的公司如何缓解手段卑劣的内部人士所引发的无形问题？ Imperva 对数十家公司展开分析，充分了解人力资源、法律和技术部门一些常用的实践，防止恶意内部人士窃取数据和知识产权。 具体而言，我们确定了许多顶级企业普遍认可的九种做法，它们被认为是最有效的控制数字资产泄露的方式。 通常很难精准量化数据窃取的来源和范围，尤其是当最大的内部威胁可能竟然是某位最忠诚的员工时则更是如此。 本研究展现了第一例全球内部人员威胁的调查结果，列举了不同领域的领先组织采用的常见实践措施。

根据信息安全手册 (ISM)，澳大利亚面临的主要网络威胁来自于网络开发： 在毫不知情的情况下从 ICT 系统收集信息的恶意活动。 泄露敏感的商业或政府信息可能危及国家利益。 泄露敏感的个人信息可能引发针对个人的恶意活动。 为了确保澳大利亚能够继续安全经营在线业务，保护敏感的政府及商业信息安全已成为当务之急。 本白皮书介绍了为保护重要信息而采取的五项措施。

审慎实践指南 PPG 234 由澳大利亚审慎监管局 (APRA) 于 2010 年颁布，旨在协助金融监管机构管理信息与信息技术方面的安全风险。 本指南主要针对被 APRA 视为持续监管活动一部分的薄弱环节。 PPG 234 反映出对稳健的风险管理原则的需要以及对业务的深刻理解，以便评估和管理 IT 安全风险资料。 本白皮书确定了 SecureSphere 如何帮助金融机构逐步落实 PPG 234 安全建议并缓解其信息和信息系统所面临的风险。

高级持续性威胁 (APT) 已在安全研究人员中引发了广泛讨论。 近来，受此类威胁攻击的组织数量在急剧增加。 最初，研究人员认为 APT 的袭击对象主要是政府机构或政治目标，但是近来对组织发起的攻击表明，APT 并非局限于特定类型的组织或行业。

Web 应用程序攻击会带来毁灭性的数据泄露和应用程序停机，公司因此会遭受数百万美元的罚款、品牌受损以及客户流失。 本白皮书阐释了 SecureSphere Web 应用程序防火墙如何防止数据泄露和网站停机，从而带来高达 2090% 的安全投资回报。 与手动漏洞修复相比，SecureSphere 可减少代价高昂的紧急修复和测试措施，实现极具优势的回报。

本白皮书介绍了 SecureSphere 如何让 DHS 组件实施 DHS 4300A 敏感系统手册第 5 章所规定的技术控制措施。 借助 SecureSphere 数据安全解决方案，DHS 组件可更快检测出安全隐患，支持应用程序和数据的安全要求，其中包括识别和授权、访问控制与审查。

HIPAA 安全规则确立了保护个人医疗记录和其他个人健康信息的国家标准。 在本白皮书中，我们将回顾 45 CFR 第 164 部分下列出的 e-PHI 保护安全标准，并运用 SecureSphere 数据安全套件解决方案满足这些标准中规定的具体要求。

本白皮书列举了五个确保 SharePoint 环境安全的最佳实践。 它介绍了适用于 SharePoint 的 SecureSphere 如何帮助组织最大程度利用 SharePoint 现有的权限系统，并弥补 SharePoint 的一些安全漏洞。

本白皮书回顾了 SP 800-53 中 NIST 规定的信息安全要求。讨论了让组织不堪重负的主要实施挑战。 本白皮书还介绍了符合 NIST SP 800-53 指南要求的 Imperva SecureSphere 数据安全套件的主要功能，描述如何利用 SecureSphere 解决方案实施所需的控制措施，管理联邦政府信息风险并展现合规性。

黑客、不法分子和政治“狂热分子”演变成分布式拒绝服务 (DDoS) 攻击从而中断访问甚至让合法网站瘫痪的趋势愈演愈烈。 本白皮书介绍了不同的 DDoS 攻击方式，例如源自服务器的强大 DDoS 攻击以及全新的高级应用程序 DDoS 攻击。 然后还列举四项简单易行的措施，减少组织遭受的 DDoS 攻击。

企业数据库基础架构面临的威胁层出不穷。 确保数据库及其所掌握的数据安全无虞极具挑战性，并不仅仅是因为数据量庞大，涉及多个异构平台，更是由于数据库安全威胁日趋成熟且发起攻击的频率在不断攀升。 本白皮书回顾了 IT 管理人员及安全团队疲于应付的主要数据库安全趋势，其中包括： 高级持续性威胁 (APT)、SQL 注入、实施审查控制措施、数据库补丁和配置管理、根据业务需要限制用户数据访问权限、滥用合法数据访问特权以及云安全。

据市场分析师评估，80% 的企业数据均为非结构化数据，并且在未来五年里，其数量还会增加十倍。 被这些文件压得喘不过气来的是需要管理并确保其安全的 IT 组织。 从运营的角度来讲，要记录是谁创建了所有这些业务文档、谁是所有者、谁能访问以及谁正在访问数据，几乎是不可能完成的任务。

从用于个人研究的无害数据收集到经过计算的重复数据收集以压低竞争对手价格，再到非法公布重要信息，都属于站点抓取攻击的范畴。 站点抓取，又称屏幕抓取或 Web 抓取，可通过吸收客户信息和削弱竞争力以达到减少受害者收入和利润的目的。 本白皮书调查了不同类型的抓取攻击、站点抓取工具以及有效检测和阻截未来攻击的技术。

大多数组织都缺乏以下三种基本功能：

1. 1. 极具运营效率的文件活动监控与审核
2. 2. 文件的可扩展用户权限管理
3. 3. 针对文件数据的自动化业务政策实施

这三项功能是新兴文件活动监控市场的核心部分，也是实现文件安全阶段性方法的基础。 本指南描述了确保文件数据安全的十个阶段，其中包括如何以及何时使用这些基本功能，以及何时部署其他补充性技术。

阻止僵尸网络和分布式拒绝服务攻击
僵尸网络已入侵数百万用户的电脑，并造成不计其数的损失。 本白皮书将揭秘僵尸网络及其背后的网络黑手。 文章分析了僵尸网络的历史、演变和经济性。 然后分析了僵尸网络最常见的攻击方式之一： 分布式拒绝服务 (DDoS) 攻击。

满足 Web 应用程序、数据库和文件服务器的安全与审核要求

对于很多组织而言，Web、数据库和文件安全是实现 PCI DSS 合规最难逾越的障碍。 通常，企业必须运用新技术或制定新流程以满足 PCI 标准中规定的 Web 应用程序安全、数据审核以及用户权限管理要求。

本白皮书重点讲述影响应用程序和数据安全的关键 PCI DSS 要求。 它专为审核人员和安全专业人员编写，介绍了 Imperva SecureSphere 解决方案如何帮助组织满足成本最高昂且最复杂的 PCI 要求。

持续的内部威胁和一般合规性要求使得保护敏感文件数据成为几乎所有组织的业务需求。 然而，海量的文件数据及其快速、持续性的增长成为安全保护的一道难题。 本白皮书提出了五大问题，帮助您评估文件安全的保护方式。 如果您不能自信地回答这五个问题，则您的文件数据很可能正面临风险。

Imperva 应用程序防护中心 (ADC) 解析了跨站脚本 (XSS) 的整个攻击过程，演示了在不足一小时内发动有力的钓鱼攻击为何如此简单。

在您发现漏洞之后立刻在您的应用程序或数据库内打补丁，这并不总是可以实现或实际可行的。 您可以使用一项名为“虚拟补丁”的技术，快速处理漏洞，并可确保您在完成长期修复之前一直处于“受保护的”状态。 这份简要的白皮书讨论了虚拟补丁的商业效益，包括提高安全性及运营效率。

如今，黑客产业价值已从三年前的几十亿美元增长到一万亿美元。 2007 年，职业黑客行为已成为价值数十亿美元的产业。 而目前这一产业价值（包括偷窃数据、IP 和财务收益）已超过一万亿。 这一快速增长的原因是什么？ 产业化。 正如 19 世纪工业革命改进了生产方法，加速组装从单一到大量生产，如今的网络犯罪产业发生了类似的转变，通过自动化实现可扩展性并增加利润。

黑客行为的产业化与目前数据被认为是最贵重的商品这一关键转变 交相呼应。

2009 年 12 月，Rockyou.com 发现了一个重大漏洞。通过查看黑客的博客，出现了导致 3200 万密码泄露的重大漏洞，而黑客将 3200 万密码的完整列表（不含身份信息）全公布在互联网上。 此数据提供了一个窥视用户密码选择方式的独特视角，并供人们评估密码作为安全机制的真实强度。 此外，这也提供了查看如此大量真实密码的前所未有的机会。 Imperva 应用程序防护中心 (ADC) 对密码强度进行了分析。

在几乎所有地理和业务领域内，Web 应用程序和数据库安全仍是联邦机构以及私营部门内最为脆弱的领域之一。 企业和联邦机构之间的本质区别之一是攻击者不同。

无论攻击来自组织内部还是外部，攻击的目标都集中在数据上。 传统的网络安全控制尽管颇有价值并且是必须的，但根本不足以解决以数据为中心的攻击，组织需要在其基础上增加注重攻击目标（Web 应用程序和数据库）的以数据 为中心的解决方案。 但是联邦机构不仅仅关注安全 - 他们还需要表现出对于机构和国会法令的合规性。

2002 年的萨班斯•奥克斯利法案 (SOX) 针对与财务交易和报告相关的源数据完整性制定了明确要求。 审计员尤其侧重于与企业应用程序（SAP、Oracle 电子商务套件、PeopleSoft 和其他 Web 应用程序）连接的数据库内的监管数据。 本白皮书中，Imperva 介绍了需要实施和展示 SOX 合规性的职能部门范围。