新媒體網(wǎng)站安全解決方案

1、 2010 綠盟科技網(wǎng)絡(luò)新媒體，安全新風(fēng)險(xiǎn)網(wǎng)站安全專家4 網(wǎng)站安全建設(shè)方案1 媒體網(wǎng)站安全事件3 攻擊原理分析2 事件影響分析1、媒體網(wǎng)站安全事件媒體安全事件-20100220央視被黑20101021香港鳳凰網(wǎng)遭黑客入侵著名的掛馬事例2007年5月，allyes網(wǎng)站廣告系統(tǒng)被攻擊，使用該系統(tǒng)的網(wǎng)易、新浪、Tom、QQ等知名站點(diǎn)全部被掛馬，中招者無數(shù)；安全事件-少林寺網(wǎng)站二度被黑20091126互聯(lián)網(wǎng)上的安全威脅黑客形成產(chǎn)業(yè)鏈直接發(fā)展收購(gòu)肉雞制造、控制，培訓(xùn)、租售學(xué)習(xí)、賺錢僵尸網(wǎng)絡(luò)工具、病毒制作傳播銷售攻擊工具漏洞研究、目標(biāo)破解漏洞研究攻擊實(shí)施者廣告經(jīng)紀(jì)人需求方、服務(wù)獲取者、資金注入者培訓(xùn)我們?cè)?/p>

2、同一個(gè)地下產(chǎn)業(yè)體系對(duì)抗地下黑客攻擊網(wǎng)絡(luò)中國(guó)互聯(lián)網(wǎng)狀況白皮書互聯(lián)網(wǎng)基礎(chǔ)設(shè)施的建設(shè)和完善促進(jìn)了互聯(lián)網(wǎng)的普及和應(yīng)用。截至2009年底，中國(guó)網(wǎng)民人數(shù)達(dá)到3.84億，比1997年增長(zhǎng)了618倍，年均增長(zhǎng) 3，195萬人，互聯(lián)網(wǎng)普及率達(dá)到28.9%，超過世界平均水平。中國(guó)境內(nèi)網(wǎng)站達(dá)323萬個(gè)，比1997年增長(zhǎng)了2，152倍。中國(guó)擁有IPv4地址約 2.3億個(gè)，已成為世界第二大IPv4地址擁有國(guó)。中國(guó)使用寬帶上網(wǎng)的網(wǎng)民達(dá)到3.46億人，使用手機(jī)上網(wǎng)的網(wǎng)民達(dá)到2.33億人。中國(guó)網(wǎng)民上網(wǎng)方式已從最初以撥號(hào)上網(wǎng)為主，發(fā)展到以寬帶和手機(jī)上網(wǎng)為主。中國(guó)互聯(lián)網(wǎng)發(fā)展與普及水平居發(fā)展中國(guó)家前列。 中國(guó)政府將繼續(xù)致力于推動(dòng)互

3、聯(lián)網(wǎng)的發(fā)展和普及，努力在未來5年使中國(guó)互聯(lián)網(wǎng)的普及率達(dá)到45%，使更多人從互聯(lián)網(wǎng)受益。 依法打擊網(wǎng)絡(luò)犯罪。近年來，中國(guó)的網(wǎng)絡(luò)犯罪呈上升趨勢(shì)，各種傳統(tǒng)犯罪與網(wǎng)絡(luò)犯罪結(jié)合的趨勢(shì)日益明顯，網(wǎng)絡(luò)詐騙、網(wǎng)絡(luò)盜竊等侵害他人財(cái)產(chǎn)的犯罪增長(zhǎng)迅速，制作傳播計(jì)算機(jī)病毒、入侵和攻擊計(jì)算機(jī)與網(wǎng)絡(luò)的犯罪日趨增多，利用互聯(lián)網(wǎng)傳播淫穢色情及從事賭博等犯罪活動(dòng)仍然突出。據(jù)統(tǒng)計(jì)，1998年公安機(jī)關(guān)辦理各類網(wǎng)絡(luò)犯罪案件142起，2007年增長(zhǎng)到2.9萬起，2008年為3.5萬起，2009年為4.8萬起。為有效打擊網(wǎng)絡(luò)違法犯罪活動(dòng)，中國(guó)法律規(guī)定，對(duì)利用互聯(lián)網(wǎng)和針對(duì)互聯(lián)網(wǎng)的犯罪行為，依照中華人民共和國(guó)刑法的相關(guān)規(guī)定追究刑事責(zé)任；對(duì)不

4、構(gòu)成犯罪的，依照中華人民共和國(guó)治安管理處罰法、計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法等法律法規(guī)予以行政處罰。反對(duì)任何形式的網(wǎng)絡(luò)黑客攻擊行為。中國(guó)同世界其他國(guó)家一樣，面臨黑客攻擊、網(wǎng)絡(luò)病毒等違法犯罪活動(dòng)的嚴(yán)重威脅。中國(guó)是世界上黑客攻擊的主要受害國(guó)之一。據(jù)不完全統(tǒng)計(jì)，2009年中國(guó)被境外控制的計(jì)算機(jī)IP地址達(dá)100多萬個(gè)；被黑客篡改的網(wǎng)站達(dá)4.2萬個(gè)；被“飛客”蠕蟲網(wǎng)絡(luò)病毒感染的計(jì)算機(jī)每月達(dá)1，800萬臺(tái)，約占全球感染主機(jī)數(shù)量的30%。中國(guó)法律禁止任何形式的網(wǎng)絡(luò)黑客行為。2、事件影響分析網(wǎng)絡(luò)新媒體的標(biāo)兵網(wǎng)絡(luò)媒體的網(wǎng)絡(luò)安全責(zé)任 互聯(lián)網(wǎng)已成為國(guó)家重要的基礎(chǔ)設(shè)施，網(wǎng)上信息是國(guó)家重要的戰(zhàn)略資源，與人民群眾

5、生活密切相關(guān)。切實(shí)維護(hù)網(wǎng)絡(luò)運(yùn)行安全和網(wǎng)絡(luò)信息安全流動(dòng)，是保障國(guó)家安全和人民根本利益，促進(jìn)經(jīng)濟(jì)發(fā)展和文化繁榮，維護(hù)社會(huì)和諧穩(wěn)定的根本要求。 從一定意義上講，網(wǎng)絡(luò)媒體傳播力、影響力越大，對(duì)其安全性、可靠性的要求就越高，承擔(dān)的網(wǎng)絡(luò)安全責(zé)任就越大。我國(guó)網(wǎng)絡(luò)媒體發(fā)展在世界上并不落后，提供的信息資訊極為豐富，擁有的受眾十分龐大，未來的市場(chǎng)空間難以估量，網(wǎng)民對(duì)網(wǎng)絡(luò)媒體的關(guān)注度、依賴度不斷提高。 網(wǎng)絡(luò)媒體的信息流動(dòng)安全，不僅關(guān)系到網(wǎng)絡(luò)媒體自身的形象和聲譽(yù)，而且關(guān)系到互聯(lián)網(wǎng)產(chǎn)業(yè)的健康發(fā)展。維護(hù)網(wǎng)絡(luò)安全，正是為了推動(dòng)網(wǎng)絡(luò)媒體和互聯(lián)網(wǎng)更好地發(fā)展。 網(wǎng)絡(luò)媒體業(yè)界要充分認(rèn)識(shí)保障網(wǎng)絡(luò)安全的重大意義，不斷增強(qiáng)責(zé)任感、緊迫感

6、和使命感，采取切實(shí)有效措施，把網(wǎng)絡(luò)安全提高到一個(gè)新水平。新興媒體要切實(shí)擔(dān)負(fù)起維護(hù)網(wǎng)絡(luò)信息安全的責(zé)任，努力構(gòu)建健康文明、安全有序的網(wǎng)絡(luò)環(huán)境。新媒體的信息安全媒體的特點(diǎn)一是具有時(shí)間的敏感性；二是信息流量大；三是要求保證業(yè)務(wù)穩(wěn)定，不能因?yàn)榫W(wǎng)關(guān)的檢測(cè)時(shí)間延遲過長(zhǎng)而影響視頻的收看；四是國(guó)家媒體有很多政治要求，一出問題就很麻煩。國(guó)新辦對(duì)新媒體的期待一是要更安全。信息流動(dòng)是否安全，不僅關(guān)系新媒體的形象和聲譽(yù)，而且關(guān)系互聯(lián)網(wǎng)產(chǎn)業(yè)的健康發(fā)展。二是要更綠色。要推進(jìn)文明辦網(wǎng)、文明上網(wǎng)，把整治互聯(lián)網(wǎng)和手機(jī)媒體淫穢色情及低俗信息專項(xiàng)行動(dòng)引向深入，努力為未成年人健康成長(zhǎng)創(chuàng)造綠色健康的網(wǎng)絡(luò)環(huán)境。三是要更誠(chéng)信。社會(huì)各界要共同

7、努力，將法律規(guī)范、行業(yè)自律和社會(huì)教育結(jié)合起來，建立和完善網(wǎng)絡(luò)誠(chéng)信體系，形成誠(chéng)信為本、守信光榮的良好風(fēng)尚，把中國(guó)互聯(lián)網(wǎng)建成安全網(wǎng)、綠色網(wǎng)、誠(chéng)信網(wǎng)。網(wǎng)絡(luò)媒體應(yīng)從哪些方面落實(shí)網(wǎng)絡(luò)安全責(zé)任？一是要切實(shí)把提高網(wǎng)上輿論引導(dǎo)能力作為維護(hù)網(wǎng)絡(luò)安全的重大舉措。二是要切實(shí)把規(guī)范網(wǎng)絡(luò)傳播秩序作為維護(hù)網(wǎng)絡(luò)安全的關(guān)鍵環(huán)節(jié)。三是要切實(shí)把保護(hù)未成年人身心健康放在維護(hù)網(wǎng)絡(luò)安全的突出位置。四是要切實(shí)把推進(jìn)網(wǎng)絡(luò)媒體行業(yè)自律作為維護(hù)網(wǎng)絡(luò)安全的重要保證。五是要切實(shí)把推進(jìn)網(wǎng)絡(luò)誠(chéng)信建設(shè)作為維護(hù)網(wǎng)絡(luò)安全的重要基礎(chǔ)。媒體門戶網(wǎng)站很重要WWW網(wǎng)絡(luò)電視臺(tái)評(píng)估加固加固測(cè)試測(cè)試監(jiān)控監(jiān)控響應(yīng)響應(yīng)協(xié)調(diào)協(xié)調(diào)報(bào)告報(bào)告人員保證人員保證眼睛是心靈的窗戶眼睛里揉

8、不得沙子要像人的眼睛一樣保護(hù)起來媒體門戶網(wǎng)站被攻擊后果很嚴(yán)重 媒體網(wǎng)站的特點(diǎn)在于，一是網(wǎng)頁或信息不能被篡改，二是媒體網(wǎng)站的視頻音頻播放，甚至是直播服務(wù)要保證不被黑客攻擊或DDoS攻擊而中斷。信息安全應(yīng)引起管理者的足夠重視。 對(duì)新媒體意味著什么？ 導(dǎo)致數(shù)據(jù)丟失 導(dǎo)致觀眾流失 導(dǎo)致新媒體聲譽(yù)下降 網(wǎng)站被第三方列入“黑名單” 有可能網(wǎng)站被整體屏蔽 影響正常的媒體傳播工作被媒體主管單位通報(bào)批評(píng)對(duì)觀眾訪問者則意味著什么？導(dǎo)致訪問者不能訪問被植入木馬而受到黑客控制重要數(shù)據(jù)被竊取在線交易行為被偷窺網(wǎng)游、網(wǎng)銀等賬號(hào)信息被竊取虛擬財(cái)產(chǎn)被盜的威脅 對(duì)網(wǎng)絡(luò)監(jiān)管者意味著什么？ 大量計(jì)算機(jī)被控制也對(duì)互聯(lián)網(wǎng)的安全運(yùn)行帶來

9、潛在威脅影響互聯(lián)網(wǎng)產(chǎn)業(yè)的健康發(fā)展3、攻擊原理分析網(wǎng)站所面臨的各種挑戰(zhàn)這些問題是如何產(chǎn)生的？脆弱性(漏洞)威脅(攻擊)資產(chǎn)(web服務(wù)系統(tǒng))對(duì)象內(nèi)因外因風(fēng)險(xiǎn)(損害)結(jié)果拒絕服務(wù)惡意代碼跨站腳本非法入侵SQL 注入 什么是 SQL 注入 SQL 注入是攻擊者通過輸入惡意的請(qǐng)求直接操作數(shù)據(jù)庫服務(wù)器的攻擊技巧 SQL 注入產(chǎn)生原因 應(yīng)用開發(fā)過程中沒有對(duì)用戶輸入進(jìn)行校驗(yàn)和過濾 SQL 注入的危害 機(jī)密數(shù)據(jù)泄漏 服務(wù)器被控制 網(wǎng)站數(shù)據(jù)的惡意破壞 網(wǎng)頁掛馬SQL攻擊過程演示FirewallHardened OSWeb ServerApp ServerFirewallDatabasesLegacy Syste

10、msWeb ServicesDirectoriesHuman ResrcsBillingCustom CodeAPPLICATIONATTACKNetwork LayerApplication LayerAccountsFinanceAdministrationTransactionsCommunicationKnowledge MgmtE-CommerceBus. FunctionsHTTP requestSQL queryDB Table HTTP response SELECT * FROM accounts WHERE acct= OR 1=1-1. 通過掃描和手動(dòng)探測(cè)發(fā)現(xiàn)應(yīng)用程序包含

11、注入點(diǎn)2. 攻擊者通過應(yīng)用程序發(fā)送惡意指令3. 應(yīng)用程序把攻擊者的輸入遞交給數(shù)據(jù)庫查詢Account SummaryAcct:5424-6066-2134-4334Acct:4128-7574-3921-0192Acct:5424-9383-2039-4029Acct:4128-0004-1234-02934. 數(shù)據(jù)庫運(yùn)行查詢指令并返回給應(yīng)用程序5. 應(yīng)用程序把結(jié)果呈現(xiàn)給攻擊者Account: SKU: Account: SKU: 6. 篡改或刪除網(wǎng)站數(shù)據(jù)4、網(wǎng)站安全建設(shè)方案WEB應(yīng)用生命周期各個(gè)階段存在的問題規(guī)劃階段開發(fā)階段測(cè)試階段運(yùn)行階段缺乏安全規(guī)劃和意識(shí)的培養(yǎng)缺乏代碼的安全檢查缺乏網(wǎng)站的

12、安全測(cè)試安全規(guī)劃與培訓(xùn)代碼審計(jì)（白盒測(cè)試）黑盒/滲透測(cè)試網(wǎng)頁存在代碼漏洞缺乏對(duì)用戶提交數(shù)據(jù)核查缺乏對(duì)返回網(wǎng)頁內(nèi)容過濾缺乏對(duì)被篡改網(wǎng)頁的恢復(fù)運(yùn)營(yíng)維護(hù)期安全事件生命周期風(fēng)險(xiǎn)事件損失恢復(fù)資產(chǎn)威脅影響脆弱性暴露/緩解概率事態(tài)知識(shí)預(yù)防保護(hù)風(fēng)險(xiǎn)評(píng)估資產(chǎn)管理威脅管理脆弱性管理訪問控制監(jiān)測(cè)響應(yīng)事態(tài)管理事件管理問題管理響應(yīng)恢復(fù)業(yè)務(wù)持續(xù)性計(jì)劃（應(yīng)急災(zāi)備）綠盟專家知識(shí)事前預(yù)警-網(wǎng)站監(jiān)測(cè)服務(wù)綠盟網(wǎng)站安全監(jiān)測(cè)服務(wù)漏洞掃描掛馬檢測(cè)敏感內(nèi)容平穩(wěn)度監(jiān)測(cè)網(wǎng)頁篡改監(jiān)測(cè)站點(diǎn)內(nèi)容，避免法律風(fēng)險(xiǎn)監(jiān)控站點(diǎn)運(yùn)營(yíng)狀況，提升訪問者滿意度預(yù)防惡意篡改，維護(hù)形象，增強(qiáng)站點(diǎn)公信力深入檢測(cè)Web應(yīng)用，直觀呈現(xiàn)Web網(wǎng)站漏洞風(fēng)險(xiǎn)檢索Web應(yīng)用各個(gè)頁面，

13、挖掘隱藏木馬服務(wù)報(bào)告示例事中防護(hù)：部署專業(yè)防護(hù)設(shè)備WAF部署在DMZ區(qū)：u在線雙向WEB應(yīng)用內(nèi)容清洗，有效應(yīng)對(duì)OWASP Top10（SQL注入/跨站腳本等）u事前預(yù)防+事中防護(hù)+事后補(bǔ)償?shù)木W(wǎng)頁篡改防護(hù)綜合解決方案u應(yīng)用層DDoS防護(hù)uWEB應(yīng)用加速，優(yōu)化業(yè)務(wù)資源WAF部署在媒體數(shù)據(jù)中心：u抵御WEB攻擊，保護(hù)核心WEB應(yīng)用和敏感數(shù)據(jù)uWEB應(yīng)用交付方面，降低服務(wù)響應(yīng)時(shí)間、顯著改善終端用戶體驗(yàn)，提高數(shù)據(jù)中心的效率和服務(wù)器的投資回報(bào)率(ROI)WEB客戶端媒體網(wǎng)絡(luò)邊界DMZ區(qū)媒體數(shù)據(jù)中心基于WEB的應(yīng)用服務(wù)器集群WEB服務(wù)器集群WAFWAF防火墻端口80/443專業(yè)WEB防護(hù)功能集成領(lǐng)先WEB應(yīng)

14、用漏洞掃描技術(shù)，提供預(yù)防解決方案應(yīng)用多維防護(hù)體系，有效應(yīng)對(duì)SQL注入、跨站腳本及應(yīng)用層DDoS攻擊實(shí)時(shí)檢測(cè)網(wǎng)頁篡改，降低網(wǎng)站安全風(fēng)險(xiǎn)提供掛馬檢測(cè)功能，維護(hù)網(wǎng)站公信度提供High Availability（HA）和Bypass，有效避免網(wǎng)絡(luò)單點(diǎn)故障網(wǎng)絡(luò)網(wǎng)絡(luò)OSWeb Server應(yīng)用應(yīng)用威脅威脅pOWASP Top 10 p網(wǎng)頁掛馬p網(wǎng)頁篡改p惡意掃描pHTTP Floodp傳統(tǒng)攻擊p“0”day攻擊 p網(wǎng)絡(luò)層抗DDoSpARP欺騙防護(hù)Tier合規(guī)合規(guī)p日志/監(jiān)控p報(bào)表系統(tǒng)可用性可用性pCachingp壓縮pSSL加速及卸載pHAp軟/硬BypassWeb客戶端防火墻端口80/443WEB服務(wù)器

15、群內(nèi)容安全模塊在線防護(hù)引擎WAF目錄遍歷緩存溢出Apache/IIS漏洞利用惡意遠(yuǎn)程文件執(zhí)行XSSSQL注入跨站請(qǐng)求偽造網(wǎng)絡(luò)爬蟲網(wǎng)頁盜鏈HTTP Flood惡意掃描蠕蟲Cookie篡改出錯(cuò)信息惡意內(nèi)容違規(guī)信息WAF28事后響應(yīng)-應(yīng)急支持體系拒絕服務(wù)攻擊事件非法入侵事件惡意代碼事件跨站腳本事件其他信息安全事件事件分類一般較大重大特別重大事件分級(jí)一級(jí)響應(yīng)二級(jí)響應(yīng) 分級(jí)響應(yīng) 要點(diǎn) 流程應(yīng)合理 具有可操作性 責(zé)任落實(shí)到人 減少損失網(wǎng)站安全的價(jià)值 滿足監(jiān)管部門的安全要求，通過安全檢查； 保證重大事件（國(guó)慶）期間的網(wǎng)站安全； 保證SLA，提高訪問者滿意度，留住現(xiàn)有客戶，吸引新客戶； 保護(hù)新媒體的形象和聲譽(yù)； 提高運(yùn)維效率和降低經(jīng)濟(jì)損失； 協(xié)助安全事件取證以及事后追溯；媒體成功用戶2008年 合肥在線網(wǎng)絡(luò)安全采購(gòu)項(xiàng)目合肥在線2009年 國(guó)家新聞出版署安全產(chǎn)品采購(gòu)合同國(guó)家新聞出版總署2009年 人民日?qǐng)?bào)信息管理系統(tǒng)安全產(chǎn)品采購(gòu)人民日?qǐng)?bào)2009年中國(guó)網(wǎng)2008年度設(shè)備采購(gòu)項(xiàng)目（國(guó)際互聯(lián)網(wǎng)絡(luò)新聞宣傳系統(tǒng)工程）中國(guó)互聯(lián)網(wǎng)新聞中心2009年 新華網(wǎng)SG2010UB采購(gòu)新華通訊社通信技術(shù)局2009年廣東電視臺(tái)Web安全防護(hù)系統(tǒng)設(shè)備采購(gòu)項(xiàng)目廣東電視臺(tái)2009年 中安在線設(shè)備采購(gòu)項(xiàng)目中安在線2009年浙江廣電集團(tuán)2009年網(wǎng)絡(luò)信息安全加