高校網(wǎng)站安全建設(shè)方案課件_第1頁(yè)
高校網(wǎng)站安全建設(shè)方案課件_第2頁(yè)
高校網(wǎng)站安全建設(shè)方案課件_第3頁(yè)
高校網(wǎng)站安全建設(shè)方案課件_第4頁(yè)
高校網(wǎng)站安全建設(shè)方案課件_第5頁(yè)
已閱讀5頁(yè),還剩57頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

教育網(wǎng)站安全建設(shè)方案綠盟科技2010年6月限制分發(fā)——網(wǎng)站安全專(zhuān)家教育網(wǎng)站安全建設(shè)方案綠盟科技限制分發(fā)——網(wǎng)站安全專(zhuān)家4網(wǎng)站安全建設(shè)方案1教育網(wǎng)站安全事件3攻擊原理分析2事件影響分析4網(wǎng)站安全建設(shè)方案1教育網(wǎng)站安全事件3攻擊原理分1、教育網(wǎng)站安全事件1、教育網(wǎng)站安全事件Case1:國(guó)內(nèi)某知名大學(xué)網(wǎng)站被篡改

Case1:國(guó)內(nèi)某知名大學(xué)網(wǎng)站被篡改 騙子忽悠考生家長(zhǎng)可以幫忙進(jìn)入理想高校騙子收取家長(zhǎng)手續(xù)費(fèi)騙子造假錄取通知書(shū)發(fā)給考生騙子雇傭黑客篡改招生網(wǎng)數(shù)據(jù),修改考生錄取信息最終騙子被武漢警方抓獲Case2:武漢某高校招生網(wǎng)被篡改騙子忽悠考生家長(zhǎng)可以幫忙進(jìn)入理想高校騙子造假錄取通知書(shū)發(fā)給考Case3:政府網(wǎng)上驗(yàn)證事件入侵網(wǎng)站修改數(shù)據(jù)庫(kù)辦理假證販賣(mài)假證使用假證辦理從業(yè)許可證2008年6月,某省政務(wù)網(wǎng)站使用單位向監(jiān)管部門(mén)報(bào)案,他們的網(wǎng)站數(shù)據(jù)庫(kù)被人篡改,有人借此造假、牟取暴利。犯罪團(tuán)伙利用網(wǎng)站存在的漏洞,使用黑客工具攻擊政府部門(mén)網(wǎng)站,篡改多個(gè)省份政府網(wǎng)站數(shù)據(jù)庫(kù)資料,其中一人兩個(gè)月牟利達(dá)200多萬(wàn)元。先后入侵了江西省衛(wèi)生廳、湖北省衛(wèi)生廳、貴州省人事廳、四川省人事廳、江蘇省教育廳、遼寧省建設(shè)廳、湖北省荊州市人事局等11個(gè)網(wǎng)站;每開(kāi)一個(gè)“后門(mén)”2700元的價(jià)格成交修改相關(guān)數(shù)據(jù)700余個(gè).每上傳一個(gè)客戶的信息數(shù)據(jù),就收取1200至2000元不等費(fèi)用《四、六級(jí)英語(yǔ)考試成績(jī)單》《醫(yī)師資格證書(shū)》《建筑師證書(shū)》《教師資格證》Case3:政府網(wǎng)上驗(yàn)證事件入侵修改數(shù)據(jù)庫(kù)辦理販賣(mài)使用辦理從高考前后掛馬嚴(yán)重高考前后掛馬嚴(yán)重2、事件影響分析2、事件影響分析教育主題網(wǎng)站教育主題網(wǎng)站學(xué)校門(mén)戶網(wǎng)站很重要SolarisLinuxWindowsUnixWWWUserAppsCGIASPDatabase電子教務(wù)評(píng)估加固測(cè)試監(jiān)控響應(yīng)協(xié)調(diào)報(bào)告人員保證眼睛是心靈的窗戶眼睛里揉不得沙子要像人的眼睛一樣保護(hù)起來(lái)學(xué)校門(mén)戶網(wǎng)站學(xué)校門(mén)戶網(wǎng)站很重要SolarisLinuxWindowsUn被攻擊后果很?chē)?yán)重高校網(wǎng)站被掛馬是個(gè)比較普遍的現(xiàn)象,占掛馬網(wǎng)站總量的20%以上。高校網(wǎng)站頻繁被黑客入侵,應(yīng)引起校方的足夠重視。

對(duì)學(xué)校意味著什么?導(dǎo)致數(shù)據(jù)丟失導(dǎo)致學(xué)校聲譽(yù)下降喪失評(píng)優(yōu)資格網(wǎng)站被第三方列入“黑名單”有可能網(wǎng)站被整體屏蔽影響正常的招生工作被教育主管單位通報(bào)批評(píng)對(duì)訪問(wèn)者則意味著什么?導(dǎo)致學(xué)生和其他訪問(wèn)者中毒被植入木馬而受到黑客控制重要數(shù)據(jù)被竊取在線交易行為被偷窺網(wǎng)游、網(wǎng)銀等賬號(hào)信息被竊取虛擬財(cái)產(chǎn)被盜的威脅對(duì)網(wǎng)絡(luò)監(jiān)管者意味著什么?大量計(jì)算機(jī)被控制也對(duì)互聯(lián)網(wǎng)的安全運(yùn)行帶來(lái)潛在威脅被攻擊后果很?chē)?yán)重高校網(wǎng)站被掛馬是個(gè)比較普遍的現(xiàn)象,占掛馬網(wǎng)教育部很重視教育信息安全第十八條教育網(wǎng)站和網(wǎng)校應(yīng)遵循國(guó)家有關(guān)法律、法規(guī),不得在網(wǎng)絡(luò)上制作、發(fā)布、傳播下列信息內(nèi)容:(一)泄露國(guó)家秘密危害國(guó)家安全的;(二)違反國(guó)家民族、宗教與教育政策的;(三)煽動(dòng)暴力,宣揚(yáng)封建迷信、邪教、黃色淫穢制品、違反社會(huì)公德、以及賭博和教唆犯罪等;(四)煽動(dòng)暴力;(五)散布謠言、擾亂社會(huì)秩序、鼓動(dòng)聚眾滋事;(六)暴露個(gè)人隱私和攻擊他人與損害他人合法權(quán)益;(七)損害社會(huì)公共利益;(八)計(jì)算機(jī)病毒;(九)法律和法規(guī)禁止的其他有害信息。如發(fā)現(xiàn)上述有害信息內(nèi)容,應(yīng)及時(shí)向有關(guān)主管部門(mén)報(bào)告,并采取有效措施制止其擴(kuò)散。教育部很重視教育信息安全第十八條教育網(wǎng)站和網(wǎng)校應(yīng)遵循國(guó)家有安徽省教育網(wǎng)絡(luò)安全通知安徽省教育網(wǎng)絡(luò)安全通知3、攻擊原理分析3、攻擊原理分析網(wǎng)站所面臨的各種挑戰(zhàn)網(wǎng)站所面臨的各種挑戰(zhàn)Mappingfrom2007to2010Top10OWASPTop10–2007(Previous)OWASPTop10–2010(New)A2–InjectionFlawsA1–InjectionA1–CrossSiteScripting(XSS)A2–CrossSiteScripting(XSS)A7–BrokenAuthenticationandSessionManagementA3–BrokenAuthenticationandSessionManagementA4–InsecureDirectObjectReferenceA4–InsecureDirectObjectReferencesA5–CrossSiteRequestForgery(CSRF)A5–CrossSiteRequestForgery(CSRF)<wasT102004A10–InsecureConfigurationManagement>A6–SecurityMisconfiguration(NEW)A10–FailuretoRestrictURLAccessA7–FailuretoRestrictURLAccess<notinT102007>A8–UnvalidatedRedirectsandForwards(NEW)A8–InsecureCryptographicStorageA9–InsecureCryptographicStorageA9–InsecureCommunicationsA10–InsufficientTransportLayerProtectionA3–MaliciousFileExecution<droppedfromT102010>A6–InformationLeakageandImproperErrorHandling<droppedfromT102010>++--==*A1–注入(Injection)*A2–跨站腳本(CrossSiteScripting(XSS))*A3–無(wú)效的驗(yàn)證和會(huì)話管理(BrokenAuthenticationandSessionManagement)*A4–對(duì)資源不安全的直接引用(InsecureDirectObjectReferences)*A5–跨站偽造請(qǐng)求(CrossSiteRequestForgery(CSRF))*A6–錯(cuò)誤的安全配置(SecurityMisconfiguration)(新加入)*A7–失敗的網(wǎng)址訪問(wèn)權(quán)限限制(FailuretoRestrictURLAccess)*A8–未經(jīng)驗(yàn)證的網(wǎng)址重定向(UnvalidatedRedirectsandForwards)(新加入)*A9–不安全的密碼存儲(chǔ)(InsecureCryptographicStorage)*A10–薄弱的傳輸層保護(hù)(InsufficientTransportLayerProtection)Mappingfrom2007to2010Top這些問(wèn)題是如何產(chǎn)生的?脆弱性(漏洞)威脅(攻擊)資產(chǎn)(web服務(wù)系統(tǒng))對(duì)象內(nèi)因外因風(fēng)險(xiǎn)(損害)結(jié)果拒絕服務(wù)惡意代碼跨站腳本非法入侵這些問(wèn)題是如何產(chǎn)生的?脆弱性威脅資產(chǎn)對(duì)象內(nèi)因外因風(fēng)險(xiǎn)結(jié)果拒絕SQL注入什么是SQL注入SQL注入是攻擊者通過(guò)輸入惡意的請(qǐng)求直接操作數(shù)據(jù)庫(kù)服務(wù)器的攻擊技巧SQL注入產(chǎn)生原因應(yīng)用開(kāi)發(fā)過(guò)程中沒(méi)有對(duì)用戶輸入進(jìn)行校驗(yàn)和過(guò)濾SQL注入的危害機(jī)密數(shù)據(jù)泄漏服務(wù)器被控制網(wǎng)站數(shù)據(jù)的惡意破壞網(wǎng)頁(yè)掛馬SQL注入什么是SQL注入SQL攻擊過(guò)程演示FirewallHardenedOSWebServerAppServerFirewallDatabasesLegacySystemsWebServicesDirectoriesHumanResrcsBillingCustomCodeAPPLICATION

ATTACKNetworkLayerApplicationLayerAccountsFinanceAdministrationTransactionsCommunicationKnowledgeMgmtE-CommerceBus.FunctionsHTTPrequestSQLqueryDBTable

HTTPresponse

"SELECT*FROMaccountsWHEREacct=‘’OR1=1--’"1.通過(guò)掃描和手動(dòng)探測(cè)發(fā)現(xiàn)應(yīng)用程序包含注入點(diǎn)2.攻擊者通過(guò)應(yīng)用程序發(fā)送惡意指令3.應(yīng)用程序把攻擊者的輸入遞交給數(shù)據(jù)庫(kù)查詢(xún)AccountSummaryAcct:5424-6066-2134-4334Acct:4128-7574-3921-0192Acct:5424-9383-2039-4029Acct:4128-0004-1234-02934.數(shù)據(jù)庫(kù)運(yùn)行查詢(xún)指令并返回給應(yīng)用程序5.應(yīng)用程序把結(jié)果呈現(xiàn)給攻擊者Account:SKU:Account:SKU:6.篡改或刪除網(wǎng)站數(shù)據(jù)SQL攻擊過(guò)程演示FirewallHardenedOSWe4、網(wǎng)站安全建設(shè)方案4、網(wǎng)站安全建設(shè)方案WEB應(yīng)用生命周期各個(gè)階段存在的問(wèn)題規(guī)劃階段開(kāi)發(fā)階段測(cè)試階段運(yùn)行階段缺乏安全規(guī)劃和意識(shí)的培養(yǎng)缺乏代碼的安全檢查缺乏網(wǎng)站的安全測(cè)試安全規(guī)劃與培訓(xùn)代碼審計(jì)(白盒測(cè)試)黑盒/滲透測(cè)試網(wǎng)頁(yè)存在代碼漏洞缺乏對(duì)用戶提交數(shù)據(jù)核查缺乏對(duì)返回網(wǎng)頁(yè)內(nèi)容過(guò)濾缺乏對(duì)被篡改網(wǎng)頁(yè)的恢復(fù)運(yùn)營(yíng)維護(hù)期WEB應(yīng)用生命周期各個(gè)階段存在的問(wèn)題規(guī)劃階段開(kāi)發(fā)階段測(cè)試階段WEB風(fēng)險(xiǎn)永在規(guī)劃設(shè)計(jì)

開(kāi)發(fā)

測(cè)試上線

運(yùn)維評(píng)估可能性因素評(píng)估影響因素漏洞因素威脅者因素商業(yè)影響因素技術(shù)影響因素發(fā)現(xiàn)難易度技能層次經(jīng)濟(jì)受損損失保密性利用難易度動(dòng)機(jī)聲譽(yù)受損損失完整性察覺(jué)度機(jī)會(huì)不遵守?fù)p失可用性入侵檢測(cè)群體隱私侵犯損失審計(jì)機(jī)制風(fēng)險(xiǎn)永在WEB各階段風(fēng)險(xiǎn)因素WEB風(fēng)險(xiǎn)永在規(guī)劃設(shè)計(jì)開(kāi)發(fā)安全事件生命周期風(fēng)險(xiǎn)事件損失恢復(fù)檢測(cè)抑制糾正評(píng)價(jià)預(yù)防減少資產(chǎn)威脅影響脆弱性暴露/緩解概率事態(tài)知識(shí)預(yù)防保護(hù)風(fēng)險(xiǎn)評(píng)估資產(chǎn)管理威脅管理脆弱性管理訪問(wèn)控制監(jiān)測(cè)響應(yīng)事態(tài)管理事件管理問(wèn)題管理響應(yīng)恢復(fù)業(yè)務(wù)持續(xù)性計(jì)劃(應(yīng)急+災(zāi)備)檢測(cè)事前事中事后綠盟專(zhuān)家知識(shí)安全事件生命周期風(fēng)險(xiǎn)事件損失恢復(fù)檢測(cè)抑制糾正評(píng)價(jià)預(yù)防減少資產(chǎn)事前預(yù)警-網(wǎng)站監(jiān)測(cè)服務(wù)綠盟網(wǎng)站安全監(jiān)測(cè)服務(wù)漏洞掃描掛馬檢測(cè)敏感內(nèi)容平穩(wěn)度監(jiān)測(cè)網(wǎng)頁(yè)篡改監(jiān)測(cè)站點(diǎn)內(nèi)容,避免法律風(fēng)險(xiǎn)監(jiān)控站點(diǎn)運(yùn)營(yíng)狀況,提升訪問(wèn)者滿意度預(yù)防惡意篡改,維護(hù)形象,增強(qiáng)站點(diǎn)公信力深入檢測(cè)Web應(yīng)用,直觀呈現(xiàn)Web網(wǎng)站漏洞風(fēng)險(xiǎn)檢索Web應(yīng)用各個(gè)頁(yè)面,挖掘隱藏木馬事前預(yù)警-網(wǎng)站監(jiān)測(cè)服務(wù)綠盟網(wǎng)站安全監(jiān)測(cè)服務(wù)漏洞掃描掛馬檢測(cè)敏事中防護(hù):部署專(zhuān)業(yè)防護(hù)設(shè)備WAF部署在DMZ區(qū):在線雙向WEB應(yīng)用內(nèi)容清洗,有效應(yīng)對(duì)OWASPTop10(SQL注入/跨站腳本等)事前預(yù)防+事中防護(hù)+事后補(bǔ)償?shù)木W(wǎng)頁(yè)篡改防護(hù)綜合解決方案應(yīng)用層DDoS防護(hù)WEB應(yīng)用加速,優(yōu)化業(yè)務(wù)資源WAF部署在學(xué)校數(shù)據(jù)中心:抵御WEB攻擊,保護(hù)核心WEB應(yīng)用和敏感數(shù)據(jù)WEB應(yīng)用交付方面,降低服務(wù)響應(yīng)時(shí)間、顯著改善終端用戶體驗(yàn),提高數(shù)據(jù)中心的效率和服務(wù)器的投資回報(bào)率(ROI)WEB客戶端學(xué)校網(wǎng)絡(luò)邊界DMZ區(qū)學(xué)校數(shù)據(jù)中心基于WEB的應(yīng)用服務(wù)器集群WEB服務(wù)器集群WAFWAF防火墻端口80/443事中防護(hù):部署專(zhuān)業(yè)防護(hù)設(shè)備WAF部署在DMZ區(qū):WAF部署在專(zhuān)業(yè)WEB防護(hù)功能集成領(lǐng)先WEB應(yīng)用漏洞掃描技術(shù),提供預(yù)防解決方案應(yīng)用多維防護(hù)體系,有效應(yīng)對(duì)SQL注入、跨站腳本及應(yīng)用層DDoS攻擊實(shí)時(shí)檢測(cè)網(wǎng)頁(yè)篡改,降低網(wǎng)站安全風(fēng)險(xiǎn)提供掛馬檢測(cè)功能,維護(hù)網(wǎng)站公信度提供HighAvailability(HA)和Bypass,有效避免網(wǎng)絡(luò)單點(diǎn)故障網(wǎng)絡(luò)OSWebServer應(yīng)用威脅OWASPTop10網(wǎng)頁(yè)掛馬網(wǎng)頁(yè)篡改惡意掃描HTTPFlood傳統(tǒng)攻擊“0”day攻擊

網(wǎng)絡(luò)層抗DDoSARP欺騙防護(hù)Tier合規(guī)日志/監(jiān)控報(bào)表系統(tǒng)可用性Caching壓縮SSL加速及卸載HA軟/硬BypassWeb客戶端防火墻端口80/443WEB服務(wù)器群內(nèi)容安全模塊在線防護(hù)引擎WAF目錄遍歷緩存溢出Apache/IIS漏洞利用惡意遠(yuǎn)程文件執(zhí)行XSSSQL注入跨站請(qǐng)求偽造網(wǎng)絡(luò)爬蟲(chóng)網(wǎng)頁(yè)盜鏈HTTP

Flood惡意掃描蠕蟲(chóng)Cookie篡改出錯(cuò)信息惡意內(nèi)容違規(guī)信息WAF專(zhuān)業(yè)WEB防護(hù)功能集成領(lǐng)先WEB應(yīng)用漏洞掃描技術(shù),提供預(yù)防解WAF降低OWASP風(fēng)險(xiǎn)因素網(wǎng)站安全風(fēng)險(xiǎn)評(píng)估可能性因素評(píng)估影響性因素攻擊者因素漏洞因素技術(shù)影響性機(jī)會(huì)群體發(fā)現(xiàn)難易度利用難易度入侵檢測(cè)察覺(jué)度損失保密性損失完整性損失可用性損失審計(jì)機(jī)制網(wǎng)絡(luò)訪問(wèn)控制網(wǎng)絡(luò)訪問(wèn)控制掃描防護(hù)SQL注入防護(hù)日志掃描網(wǎng)站W(wǎng)EB內(nèi)容防護(hù)防篡改防篡改的緩存機(jī)制實(shí)時(shí)監(jiān)控URL訪問(wèn)控制URL訪問(wèn)控制爬蟲(chóng)防護(hù)跨站腳本攻擊防護(hù)實(shí)時(shí)監(jiān)控

PCIDSS合規(guī)網(wǎng)頁(yè)掛馬掃描

日志

信息安全防護(hù)CSRF防護(hù)

HTTPS通道

Cookie安全防護(hù)

TCPFlood防護(hù)

HTTPFlood防護(hù)

ARP防護(hù)

HTTP協(xié)議防護(hù)

盜鏈防護(hù)

WEB內(nèi)容防護(hù)

WAF降低OWASP風(fēng)險(xiǎn)因素網(wǎng)站安全風(fēng)險(xiǎn)評(píng)估可能性因素評(píng)估影28事后響應(yīng)-應(yīng)急支持體系拒絕服務(wù)攻擊事件非法入侵事件惡意代碼事件跨站腳本事件其他信息安全事件事件分類(lèi)一般較大重大特別重大事件分級(jí)一級(jí)響應(yīng)二級(jí)響應(yīng)……分級(jí)響應(yīng)要點(diǎn)流程應(yīng)合理具有可操作性責(zé)任落實(shí)到人減少損失28事后響應(yīng)-應(yīng)急支持體系拒絕服務(wù)攻擊事件事件分類(lèi)一般事件分網(wǎng)站安全的價(jià)值滿足監(jiān)管部門(mén)的安全要求,通過(guò)安全檢查;保證重大事件(高考)期間的網(wǎng)站安全;保證SLA,提高訪問(wèn)者滿意度,留住現(xiàn)有客戶,吸引新客戶;保護(hù)學(xué)校的形象和聲譽(yù);提高運(yùn)維效率和降低經(jīng)濟(jì)損失;協(xié)助安全事件取證以及事后追溯;通過(guò)檢查,維護(hù)用戶,保護(hù)形象,事后追查網(wǎng)站安全的價(jià)值滿足監(jiān)管部門(mén)的安全要求,通過(guò)安全檢查;通過(guò)檢查教育網(wǎng)站成功用戶日期用戶行業(yè)產(chǎn)品型號(hào)2010/1/29吉林省人事廳干部考試中心教育WAF6002010/2/2廣西師范學(xué)院教育WAF2002010/3/17廈門(mén)理工學(xué)院教育WAF6002010/4/23四川農(nóng)業(yè)大學(xué)教育WAF2002009/3/16福建工程學(xué)院教育WAF6002009/3/18大興區(qū)教委信息中心教育WAF12002009/8/18佳木斯大學(xué)教育WAF2002009/11/3江蘇教育學(xué)院教育WAF2002009/12/18海淀區(qū)教育信息中心教育WAF12002009/12/24西北大學(xué)教育WAF6002009/12/31上海市金山教育局教育WAF12002008/11/19廣西壯族自治區(qū)人才市場(chǎng)教育WAF2002008/10/23鞍山教育信息中心教育WAF200教育網(wǎng)站成功用戶日期用戶行業(yè)產(chǎn)品型號(hào)2010/1/29吉林省專(zhuān)攻術(shù)業(yè)成就所托謝謝!專(zhuān)攻術(shù)業(yè)成就所托謝謝!教育網(wǎng)站安全建設(shè)方案綠盟科技2010年6月限制分發(fā)——網(wǎng)站安全專(zhuān)家教育網(wǎng)站安全建設(shè)方案綠盟科技限制分發(fā)——網(wǎng)站安全專(zhuān)家4網(wǎng)站安全建設(shè)方案1教育網(wǎng)站安全事件3攻擊原理分析2事件影響分析4網(wǎng)站安全建設(shè)方案1教育網(wǎng)站安全事件3攻擊原理分1、教育網(wǎng)站安全事件1、教育網(wǎng)站安全事件Case1:國(guó)內(nèi)某知名大學(xué)網(wǎng)站被篡改

Case1:國(guó)內(nèi)某知名大學(xué)網(wǎng)站被篡改 騙子忽悠考生家長(zhǎng)可以幫忙進(jìn)入理想高校騙子收取家長(zhǎng)手續(xù)費(fèi)騙子造假錄取通知書(shū)發(fā)給考生騙子雇傭黑客篡改招生網(wǎng)數(shù)據(jù),修改考生錄取信息最終騙子被武漢警方抓獲Case2:武漢某高校招生網(wǎng)被篡改騙子忽悠考生家長(zhǎng)可以幫忙進(jìn)入理想高校騙子造假錄取通知書(shū)發(fā)給考Case3:政府網(wǎng)上驗(yàn)證事件入侵網(wǎng)站修改數(shù)據(jù)庫(kù)辦理假證販賣(mài)假證使用假證辦理從業(yè)許可證2008年6月,某省政務(wù)網(wǎng)站使用單位向監(jiān)管部門(mén)報(bào)案,他們的網(wǎng)站數(shù)據(jù)庫(kù)被人篡改,有人借此造假、牟取暴利。犯罪團(tuán)伙利用網(wǎng)站存在的漏洞,使用黑客工具攻擊政府部門(mén)網(wǎng)站,篡改多個(gè)省份政府網(wǎng)站數(shù)據(jù)庫(kù)資料,其中一人兩個(gè)月牟利達(dá)200多萬(wàn)元。先后入侵了江西省衛(wèi)生廳、湖北省衛(wèi)生廳、貴州省人事廳、四川省人事廳、江蘇省教育廳、遼寧省建設(shè)廳、湖北省荊州市人事局等11個(gè)網(wǎng)站;每開(kāi)一個(gè)“后門(mén)”2700元的價(jià)格成交修改相關(guān)數(shù)據(jù)700余個(gè).每上傳一個(gè)客戶的信息數(shù)據(jù),就收取1200至2000元不等費(fèi)用《四、六級(jí)英語(yǔ)考試成績(jī)單》《醫(yī)師資格證書(shū)》《建筑師證書(shū)》《教師資格證》Case3:政府網(wǎng)上驗(yàn)證事件入侵修改數(shù)據(jù)庫(kù)辦理販賣(mài)使用辦理從高考前后掛馬嚴(yán)重高考前后掛馬嚴(yán)重2、事件影響分析2、事件影響分析教育主題網(wǎng)站教育主題網(wǎng)站學(xué)校門(mén)戶網(wǎng)站很重要SolarisLinuxWindowsUnixWWWUserAppsCGIASPDatabase電子教務(wù)評(píng)估加固測(cè)試監(jiān)控響應(yīng)協(xié)調(diào)報(bào)告人員保證眼睛是心靈的窗戶眼睛里揉不得沙子要像人的眼睛一樣保護(hù)起來(lái)學(xué)校門(mén)戶網(wǎng)站學(xué)校門(mén)戶網(wǎng)站很重要SolarisLinuxWindowsUn被攻擊后果很?chē)?yán)重高校網(wǎng)站被掛馬是個(gè)比較普遍的現(xiàn)象,占掛馬網(wǎng)站總量的20%以上。高校網(wǎng)站頻繁被黑客入侵,應(yīng)引起校方的足夠重視。

對(duì)學(xué)校意味著什么?導(dǎo)致數(shù)據(jù)丟失導(dǎo)致學(xué)校聲譽(yù)下降喪失評(píng)優(yōu)資格網(wǎng)站被第三方列入“黑名單”有可能網(wǎng)站被整體屏蔽影響正常的招生工作被教育主管單位通報(bào)批評(píng)對(duì)訪問(wèn)者則意味著什么?導(dǎo)致學(xué)生和其他訪問(wèn)者中毒被植入木馬而受到黑客控制重要數(shù)據(jù)被竊取在線交易行為被偷窺網(wǎng)游、網(wǎng)銀等賬號(hào)信息被竊取虛擬財(cái)產(chǎn)被盜的威脅對(duì)網(wǎng)絡(luò)監(jiān)管者意味著什么?大量計(jì)算機(jī)被控制也對(duì)互聯(lián)網(wǎng)的安全運(yùn)行帶來(lái)潛在威脅被攻擊后果很?chē)?yán)重高校網(wǎng)站被掛馬是個(gè)比較普遍的現(xiàn)象,占掛馬網(wǎng)教育部很重視教育信息安全第十八條教育網(wǎng)站和網(wǎng)校應(yīng)遵循國(guó)家有關(guān)法律、法規(guī),不得在網(wǎng)絡(luò)上制作、發(fā)布、傳播下列信息內(nèi)容:(一)泄露國(guó)家秘密危害國(guó)家安全的;(二)違反國(guó)家民族、宗教與教育政策的;(三)煽動(dòng)暴力,宣揚(yáng)封建迷信、邪教、黃色淫穢制品、違反社會(huì)公德、以及賭博和教唆犯罪等;(四)煽動(dòng)暴力;(五)散布謠言、擾亂社會(huì)秩序、鼓動(dòng)聚眾滋事;(六)暴露個(gè)人隱私和攻擊他人與損害他人合法權(quán)益;(七)損害社會(huì)公共利益;(八)計(jì)算機(jī)病毒;(九)法律和法規(guī)禁止的其他有害信息。如發(fā)現(xiàn)上述有害信息內(nèi)容,應(yīng)及時(shí)向有關(guān)主管部門(mén)報(bào)告,并采取有效措施制止其擴(kuò)散。教育部很重視教育信息安全第十八條教育網(wǎng)站和網(wǎng)校應(yīng)遵循國(guó)家有安徽省教育網(wǎng)絡(luò)安全通知安徽省教育網(wǎng)絡(luò)安全通知3、攻擊原理分析3、攻擊原理分析網(wǎng)站所面臨的各種挑戰(zhàn)網(wǎng)站所面臨的各種挑戰(zhàn)Mappingfrom2007to2010Top10OWASPTop10–2007(Previous)OWASPTop10–2010(New)A2–InjectionFlawsA1–InjectionA1–CrossSiteScripting(XSS)A2–CrossSiteScripting(XSS)A7–BrokenAuthenticationandSessionManagementA3–BrokenAuthenticationandSessionManagementA4–InsecureDirectObjectReferenceA4–InsecureDirectObjectReferencesA5–CrossSiteRequestForgery(CSRF)A5–CrossSiteRequestForgery(CSRF)<wasT102004A10–InsecureConfigurationManagement>A6–SecurityMisconfiguration(NEW)A10–FailuretoRestrictURLAccessA7–FailuretoRestrictURLAccess<notinT102007>A8–UnvalidatedRedirectsandForwards(NEW)A8–InsecureCryptographicStorageA9–InsecureCryptographicStorageA9–InsecureCommunicationsA10–InsufficientTransportLayerProtectionA3–MaliciousFileExecution<droppedfromT102010>A6–InformationLeakageandImproperErrorHandling<droppedfromT102010>++--==*A1–注入(Injection)*A2–跨站腳本(CrossSiteScripting(XSS))*A3–無(wú)效的驗(yàn)證和會(huì)話管理(BrokenAuthenticationandSessionManagement)*A4–對(duì)資源不安全的直接引用(InsecureDirectObjectReferences)*A5–跨站偽造請(qǐng)求(CrossSiteRequestForgery(CSRF))*A6–錯(cuò)誤的安全配置(SecurityMisconfiguration)(新加入)*A7–失敗的網(wǎng)址訪問(wèn)權(quán)限限制(FailuretoRestrictURLAccess)*A8–未經(jīng)驗(yàn)證的網(wǎng)址重定向(UnvalidatedRedirectsandForwards)(新加入)*A9–不安全的密碼存儲(chǔ)(InsecureCryptographicStorage)*A10–薄弱的傳輸層保護(hù)(InsufficientTransportLayerProtection)Mappingfrom2007to2010Top這些問(wèn)題是如何產(chǎn)生的?脆弱性(漏洞)威脅(攻擊)資產(chǎn)(web服務(wù)系統(tǒng))對(duì)象內(nèi)因外因風(fēng)險(xiǎn)(損害)結(jié)果拒絕服務(wù)惡意代碼跨站腳本非法入侵這些問(wèn)題是如何產(chǎn)生的?脆弱性威脅資產(chǎn)對(duì)象內(nèi)因外因風(fēng)險(xiǎn)結(jié)果拒絕SQL注入什么是SQL注入SQL注入是攻擊者通過(guò)輸入惡意的請(qǐng)求直接操作數(shù)據(jù)庫(kù)服務(wù)器的攻擊技巧SQL注入產(chǎn)生原因應(yīng)用開(kāi)發(fā)過(guò)程中沒(méi)有對(duì)用戶輸入進(jìn)行校驗(yàn)和過(guò)濾SQL注入的危害機(jī)密數(shù)據(jù)泄漏服務(wù)器被控制網(wǎng)站數(shù)據(jù)的惡意破壞網(wǎng)頁(yè)掛馬SQL注入什么是SQL注入SQL攻擊過(guò)程演示FirewallHardenedOSWebServerAppServerFirewallDatabasesLegacySystemsWebServicesDirectoriesHumanResrcsBillingCustomCodeAPPLICATION

ATTACKNetworkLayerApplicationLayerAccountsFinanceAdministrationTransactionsCommunicationKnowledgeMgmtE-CommerceBus.FunctionsHTTPrequestSQLqueryDBTable

HTTPresponse

"SELECT*FROMaccountsWHEREacct=‘’OR1=1--’"1.通過(guò)掃描和手動(dòng)探測(cè)發(fā)現(xiàn)應(yīng)用程序包含注入點(diǎn)2.攻擊者通過(guò)應(yīng)用程序發(fā)送惡意指令3.應(yīng)用程序把攻擊者的輸入遞交給數(shù)據(jù)庫(kù)查詢(xún)AccountSummaryAcct:5424-6066-2134-4334Acct:4128-7574-3921-0192Acct:5424-9383-2039-4029Acct:4128-0004-1234-02934.數(shù)據(jù)庫(kù)運(yùn)行查詢(xún)指令并返回給應(yīng)用程序5.應(yīng)用程序把結(jié)果呈現(xiàn)給攻擊者Account:SKU:Account:SKU:6.篡改或刪除網(wǎng)站數(shù)據(jù)SQL攻擊過(guò)程演示FirewallHardenedOSWe4、網(wǎng)站安全建設(shè)方案4、網(wǎng)站安全建設(shè)方案WEB應(yīng)用生命周期各個(gè)階段存在的問(wèn)題規(guī)劃階段開(kāi)發(fā)階段測(cè)試階段運(yùn)行階段缺乏安全規(guī)劃和意識(shí)的培養(yǎng)缺乏代碼的安全檢查缺乏網(wǎng)站的安全測(cè)試安全規(guī)劃與培訓(xùn)代碼審計(jì)(白盒測(cè)試)黑盒/滲透測(cè)試網(wǎng)頁(yè)存在代碼漏洞缺乏對(duì)用戶提交數(shù)據(jù)核查缺乏對(duì)返回網(wǎng)頁(yè)內(nèi)容過(guò)濾缺乏對(duì)被篡改網(wǎng)頁(yè)的恢復(fù)運(yùn)營(yíng)維護(hù)期WEB應(yīng)用生命周期各個(gè)階段存在的問(wèn)題規(guī)劃階段開(kāi)發(fā)階段測(cè)試階段WEB風(fēng)險(xiǎn)永在規(guī)劃設(shè)計(jì)

開(kāi)發(fā)

測(cè)試上線

運(yùn)維評(píng)估可能性因素評(píng)估影響因素漏洞因素威脅者因素商業(yè)影響因素技術(shù)影響因素發(fā)現(xiàn)難易度技能層次經(jīng)濟(jì)受損損失保密性利用難易度動(dòng)機(jī)聲譽(yù)受損損失完整性察覺(jué)度機(jī)會(huì)不遵守?fù)p失可用性入侵檢測(cè)群體隱私侵犯損失審計(jì)機(jī)制風(fēng)險(xiǎn)永在WEB各階段風(fēng)險(xiǎn)因素WEB風(fēng)險(xiǎn)永在規(guī)劃設(shè)計(jì)開(kāi)發(fā)安全事件生命周期風(fēng)險(xiǎn)事件損失恢復(fù)檢測(cè)抑制糾正評(píng)價(jià)預(yù)防減少資產(chǎn)威脅影響脆弱性暴露/緩解概率事態(tài)知識(shí)預(yù)防保護(hù)風(fēng)險(xiǎn)評(píng)估資產(chǎn)管理威脅管理脆弱性管理訪問(wèn)控制監(jiān)測(cè)響應(yīng)事態(tài)管理事件管理問(wèn)題管理響應(yīng)恢復(fù)業(yè)務(wù)持續(xù)性計(jì)劃(應(yīng)急+災(zāi)備)檢測(cè)事前事中事后綠盟專(zhuān)家知識(shí)安全事件生命周期風(fēng)險(xiǎn)事件損失恢復(fù)檢測(cè)抑制糾正評(píng)價(jià)預(yù)防減少資產(chǎn)事前預(yù)警-網(wǎng)站監(jiān)測(cè)服務(wù)綠盟網(wǎng)站安全監(jiān)測(cè)服務(wù)漏洞掃描掛馬檢測(cè)敏感內(nèi)容平穩(wěn)度監(jiān)測(cè)網(wǎng)頁(yè)篡改監(jiān)測(cè)站點(diǎn)內(nèi)容,避免法律風(fēng)險(xiǎn)監(jiān)控站點(diǎn)運(yùn)營(yíng)狀況,提升訪問(wèn)者滿意度預(yù)防惡意篡改,維護(hù)形象,增強(qiáng)站點(diǎn)公信力深入檢測(cè)Web應(yīng)用,直觀呈現(xiàn)Web網(wǎng)站漏洞風(fēng)險(xiǎn)檢索Web應(yīng)用各個(gè)頁(yè)面,挖掘隱藏木馬事前預(yù)警-網(wǎng)站監(jiān)測(cè)服務(wù)綠盟網(wǎng)站安全監(jiān)測(cè)服務(wù)漏洞掃描掛馬檢測(cè)敏事中防護(hù):部署專(zhuān)業(yè)防護(hù)設(shè)備WAF部署在DMZ區(qū):在線雙向WEB應(yīng)用內(nèi)容清洗,有效應(yīng)對(duì)OWASPTop10(SQL注入/跨站腳本等)事前預(yù)防+事中防護(hù)+事后補(bǔ)償?shù)木W(wǎng)頁(yè)篡改防護(hù)綜合解決方案應(yīng)用層DDoS防護(hù)WEB應(yīng)用加速,優(yōu)化業(yè)務(wù)資源WAF部署在學(xué)校數(shù)據(jù)中心:抵御WEB攻擊,保護(hù)核心WEB應(yīng)用和敏感數(shù)據(jù)WEB應(yīng)用交付方面,降低服務(wù)響應(yīng)時(shí)間、顯著改善終端用戶體驗(yàn),提高數(shù)據(jù)中心的效率和服務(wù)器的投資回報(bào)率(ROI)WEB客戶端學(xué)校網(wǎng)絡(luò)邊界DMZ區(qū)學(xué)校數(shù)據(jù)中心基于WEB的應(yīng)用服務(wù)器集群WEB服務(wù)器集群WAFWAF防火墻端口80/443事中防護(hù):部署專(zhuān)業(yè)防護(hù)設(shè)備WAF部署在DMZ區(qū):WAF部署在專(zhuān)業(yè)WEB防護(hù)功能集成領(lǐng)先WEB應(yīng)用漏洞掃描技術(shù),提供預(yù)防解決方案應(yīng)用多維防護(hù)體系,有效應(yīng)對(duì)SQL注入、跨站腳本及應(yīng)用層DDoS攻擊實(shí)時(shí)檢測(cè)網(wǎng)頁(yè)篡改,降低網(wǎng)站安全風(fēng)險(xiǎn)提供掛馬檢測(cè)功能,維護(hù)網(wǎng)站公信度提供HighAvailability(HA)和Bypass,有效避免網(wǎng)絡(luò)單點(diǎn)故障網(wǎng)絡(luò)OSWebServer應(yīng)用威脅OWASPTop10網(wǎng)頁(yè)掛馬網(wǎng)頁(yè)篡改惡意掃描HTTPFlood傳統(tǒng)攻擊“0”day攻擊

網(wǎng)絡(luò)層抗DDoSARP欺騙防護(hù)Tier合規(guī)日志/監(jiān)控報(bào)表系統(tǒng)可用性Caching壓縮SSL加速及卸載HA軟/硬BypassWeb客戶端防火墻端口80/443WEB服務(wù)器群內(nèi)容安全模塊在線防護(hù)引擎WAF目

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論