《门户网站安全防护技术交流ppt-网络与信息安全专题报告精编版》由会员分享,可在线阅读,更多相关《门户网站安全防护技术交流ppt-网络与信息安全专题报告精编版(66页珍藏版)》请在金锄头文库上搜索。
1、门户网站安全防护技术交流,2010 年 4 月,主题,一、网络安全问题概述 二、门户网站主要安全威胁与对策 三、门户网站具体防护技术手段 四、常用安全分析软件介绍 五、安全产品(硬件)介绍 六、漏洞及攻击演示,一、网络安全问题概述,背景、安全问题的严重性; 漏洞威胁概念、种类、安全问题种类及损失; 衡量信息安全的标准; 安全及安全防护的变化趋势。,背 景,网络已全面融入生活、工作中 网络带来巨大变革 网络是一把双刃剑 带来巨大的威胁,国内安全形势不容乐观,2007年,我国境内与互联网连接的用户有60%以上的用户受到境外用户的攻击。 仅2009年我国被境外控制的计算机地址就达100多万个,被黑客
2、组织篡改的网站多达42万个;在受网络病毒威胁方面,去年我国仅被“飞客”蠕虫一种网络病毒感染的计算机数量每月就达1800万台,占全球感染主机总量的30,位列全球第一。,漏洞多,木马、病毒猖獗; 网络瘫痪、网站被篡改、系统被入侵; 网银转款、网上诈骗等。,国内安全形势不容乐观,Internet设计初衷:开放、自由、无国界、无时间、空间限制; 虚拟性; 技术设计缺陷:TCP/IP、漏洞; 攻击(工具)软件易获得性; 计算机运算速度的加快: 猜口令(8位小写字母及数字穷举,时间通常不超过30小时); 应用的复杂性;对网络的依赖性增强; 易安置后门。,为什么如此脆弱,后门与漏洞,后门:美国等西方发达国家
3、的情报机构,明确要求各大信息技术公司,在计算机通信、软件研究开发中,要按照他们的旨意设置后门和陷阱。windows计算机操作系统中都有可能预留了后门程序。 漏洞:IBM公司专家认为大型软件1000-4000行程序就存在一个漏洞,象windwos系统5000万源程序可能存在20000个漏洞; 微软Vista已报道发现的缺陷达到2万个。,网络安全存在的威胁,网络、信息系统,内部、外部泄密,拒绝服务攻击,逻辑炸弹,特洛伊木马,黑客攻击,计算机病毒,信息丢失、篡改、销毁,后门、隐蔽通道,蠕虫,木桶原则,最大容积取决于最短的木快 攻击者“最易渗透原则” 目标:提高整个系统的“安全最低点”。,动态性原则,
4、安全是相对的,不可能一劳永逸; 道高一尺,魔高一丈; 安全策略不断变化完善; 安全投入不断增加(总投入的2025%)。,二、门户网站主要安全威胁与对策,1、利用漏洞进行入侵,安全事件: 2005年7月至10月,某某间谍情报机关曾对我境内76所高校和研究单位所在的222个网段反复扫描,利用漏洞控制了北大、清华、北师大等高校的大量主机,从中搜获、窃取了包括863课题研究计划在内的45份违规上互联网的文件和数千份资料 。 江苏人陈某租住武汉,2007年7月,在网上找到黑客,委托其将某重点大学的招生网站上的数据库中的11名学生信息删除,同时非法追加另外8名学生。然后给家长验证已被录取。 2008年12
5、月5日,荆州市商务局网站,局领导变成一名三点式女郎。而局长致辞则成了一封“为女朋友庆生喝酒”的召集函。,1、利用漏洞进行入侵,防范对策: 定期备份和检查相关访问和应用日志; 及时对计算机操作系统和应用程序“打补丁”; 安装防火墙和杀毒软件,并及时更新特征库; 关闭不必要的端口和服务。,2、利用协议缺陷进行DOS攻击,案例: 2009年 5月19日全国大面积网络故障 , 6月25日,湖北、湖南、广西、海南和上海等全国多个省市区出现网络缓慢或瘫痪现象。 2009年 7月7日9日韩国总统府、国防部、外交通商部等政府部门和主要银行、媒体网站同时遭分布式拒绝服务(DDoS)攻击。 美国财政部、特工处、联
6、邦贸易委员会和交通部网站7月日起遭到黑客持续攻击,截至当地时间日仍处于不同程度瘫痪状态 。 两国共有大约家网站受攻击,其中家为韩国网站。韩国主要情报机构说,韩国.万台个人电脑和国外台个人电脑遭黑客“俘虏”,成为傀儡主机,沦为攻击工具。,利用协议缺陷进行DOS攻击,什么是DOS攻击:,攻击者利用因特网上成百上千的“Zombie”(僵尸)-即被利用主机,对攻击目标发动威力巨大的拒绝服务攻击。,Denial of Service (DoS) 拒绝服务攻击,Distributed Denial of Service (DDoS)分布式拒绝服务攻击,攻击者利用大量的数据包“淹没”目标主机,耗尽可用资源乃
7、至系统崩溃,而无法对合法用户作出响应。,DdoS攻击过程,主控主机,扫描程序,黑客,Internet,非安全主机,被控主机,应用服务器,2、利用协议缺陷进行DOS攻击,防范措施: 在门户网站前面部署防DOS攻击设备。 桌面机及时修补漏洞,免得受控成为肉鸡。 加强追查打击力度。,荆州人赵蓉的网上银行帐户上的资金被划走 : 2004年7月,黑龙江人付某使用了一种木马程序,挂在自己的网站上; 荆州人赵蓉下载付某的软件,木马就“进入”电脑 ; 屏幕上敲入的信息通过邮件发出:账户、密码; 付某成功划出1万元; 抓获付某时,他已获取7000多个全国各地储户的网上银行密码。,3、利用木马进行攻击,安全事件:
8、,付某:,3、利用木马进行攻击,生么是“木马”?,木马与传说中的木马一样,他们会在用户毫不知情的情况下悄悄的进入用户的计算机,进而反客为主,窃取机密数据,甚至控制系统。,3、利用木马进行攻击,“木马”的主要危害:,盗取文件资料; 盗取用户帐号和密码; 监控用户行为,获取用户重要资料; 发送QQ、msn尾巴,骗取更多人访问恶意网站下载木马;,3、利用木马进行攻击,防范对策: 严禁将涉密计数机接入互联网; 不随意打开不明电子邮件,尤其是不轻易打开邮件附件; 不点击和打开陌生图片和网页; 必须安装杀毒软件并及时升级更新,及时打补丁; 所有外网PC安装360软件,定期查杀木马程序。,4、利用“嗅探”技
9、术窃密,安全事件: 某单位干部叶某,在联接互联网的计算机上处理涉密信息,被某间谍情报机关植入“嗅探”程序。致使其操作电脑的一举一动均被监控,并造成大量涉密信息被窃。,4、利用“嗅探”技术窃密,“嗅探”技术: “嗅探”是指秘密植入特定功能程序,用来记录诸如网络内部结构、键盘操作、口令密码等信息的窃密技术。 攻击者首先利用漏洞或木马在计算机中植入“键盘记录程序”该程序会自动隐藏生成记录键盘信息的文件。 一旦计算机重新联网,攻击者就可以从目标计算机下载键盘记录文件,并还原出编辑过的稳定内容。,4、利用“嗅探”技术窃密,防范对策: 严禁将涉密计数机接入互联网; 用户联接互联网的计算机,任何情况下不得处
10、理涉密信息; 定期对上网计算机操作系统进行重装处理; PC安装360软件,定期恶意代码程序。,5、利用数据恢复技术,安全事件: 陈冠希:2006年曾托助手将其外壳彩色的手提电脑,送到中环一间计算机公司维修,其后有人把计算机中的照片制作成光盘,发放予朋友及其它人士观赏。,5、利用数据恢复技术,数据恢复技术: 数据恢复是指运用软、硬件技术对删除或因介质损坏等丢失的数据予以还原的过程。U盘或计算机硬盘存储的数据即使已被删除或进行格式化处理,使用专用软件仍能将其恢复,这种方法也因此成为窃密的手段之一。 例如,窃密者使用从互联网下载的恢复软件对目标计算机的已被格式化的U盘进行格式化恢复操作后,即可成功的
11、恢复原有文件。,5、利用数据恢复技术,防范对策: 严禁在接入互联网的计算机上使用处理过涉密信息的移动存储介质。 涉密存储介质淘汰报废时必须进行彻底的物理销毁。 严禁将秘密载体当做废品出售。,6、利用口令破解攻击,安全事件: 2003年2月,有关部门检测发现某间谍情报机关利用口令破解技术,对我某重要网络进行了有组织的大规模攻击,控制了57台违规上互联网的涉密计算机,窃走1550余份文件资料。,6、利用口令破解攻击,口令破解: 口令是计算机系统的第一道防线,计算机通过口令来验证身份。 口令破解是指以口令为攻击目标,进行猜测破译,或避开口令验证,冒充合法用户潜入目标计算机,取得控制权的过程。即使计算
12、机打了“补丁”,安装了病毒防护软件,设置了开机口令密码,黑客仍然可以通过口令破解进入你的计算机,从而达到破坏或窃密的目的。 “暴力破解”是进行口令破解用得较多的方式,是指应用穷举法将建盘上的字母、数字、符号按照一定顺序进行排列组合实验,直至找到正确的口令。其过程是攻击者首先启用口令破译软件,输入目标计算机ip地址,对目标计算机进行口令破译、口令越长,口令组合越复杂,破译难度越大,所需时间越多。,口令破解的时间 Unix口令: 6位小写字母穷举:36小时8位小写字母穷举:3年 NT口令: 8位小写字母及数字穷举,时间通常不超过30小时,6、利用口令破解攻击,防范对策: 口令密码设置应当采用多种字
13、符和数字混合编制,要有足够的长度(至少8位以上) ,并定期更换。 涉密信息系统必须按照保密标准,采取符合要求的口令密码、智能卡或USB Key、生理特征的身份鉴别方式。,三、门户网站具体防护手段,1.保持Windows升级: 你必须在第一时间及时地更新所有的升级,并为系统打好一切补丁。考虑将所有的更新下载到你网络上的一个专用的服务器上,并在该机器上以web的形式将文件发布出来。通过这些工作,你可以防止你的Web服务器接受直接的Internet访问,2.如果你并不需要FTP和SMTP服务,请卸载它们:进入计算机的最简单途径就是通过FTP访问。FTP本身就是被设计满足简单读/写访问的,如果你执行身
14、份认证,你会发现你的用户名和密码都是通过明文的形式在网络上传播的。SMTP是另一种允许到文件夹的写权限的服务。通过禁用这两项服务,你能避免更多的黑客攻击。,3.设置复杂的密码:如果有用户使用弱密码,那么黑客能快速并简单的入侵这些用户的账号,4.设置账号锁定的策略:通过设备windows自带的安全策略设置,可对非法暴力破解口令进行有效的控制,同时审计所有登陆成功和失败的事件,5.使用NTFS安全:缺省地,你的NTFS驱动器使用的是EVERY0NE/完全控制权限,除非你手工关掉它们。关键是不要把自己锁定在外,不同的人需要不同的权限,管理员需要完全控制,后台管理账户也需要完全控制,系统和服务各自需要
15、一种级别的访问权限,取决于不同的文件。最重要的文件夹是System32,这个文件夹的访问权限越小越好。在Web服务器上使用NTFS权限能帮助你保护重要的文件和应用程序。,6.禁用多余的管理员账号:如果你已经安装IIS,你可能产生了一个TSInternetUser账户。除非你真正需要这个账户,则你应该禁用它。这个用户很容易被渗透,是黑客们的显著目标。为了帮助管理用户账户,确定你的本地安全策略没有问题。IUSR用户的权限也应该尽可能的小。,7.网站目录权限最小化: 在网站正常运行时:空间应该全部关闭写入权限,只保留需要写权限的某几个目录,同时被保留写权限的目录,必须要关闭执行权限 。站点需要更新时
16、:开放所有写入权限,更新完毕后立即关闭写入权限。原则是: 有写入权限的目录,不能有执行权限 有执行权限的目录,不能有写入权限 这样最大限度的保证了站点的安全性,8.移除缺省的Web站点:很多攻击者瞄准inetpub这个文件夹,并在里面放置一些偷袭工具,从而造成服务器的瘫痪。防止这种攻击最简单的方法就是在IIS里将缺省的站点禁用。如果是一个虚拟主机,并且服务器上放置了多个域名的站点,建议对不同的站点设置不同的账号权限(读取和执行)。这样可保证一个域名上的站点被黑,而不会影响到整个服务器上其它的站点,9.定期备份数据和程序:至少以每周一次来定期的备份网站数据和程序,对大型数据库可使用专业的快速导出工具。建议使用WinRAR类型的压缩软件进行备份,并同时设定压缩密码的加密压缩方式。如果文件较多压缩时间可能会长,可使用计划任务自动执行或采取存储压缩方式 对操作系统建议每月备份一次,可直接使用GHOST。对于特殊的服务器需要RAID
