02-高校网站安全建设方案

教育网站安全建设方案教育网站安全建设方案绿盟科技2010年6月限制分发网站安全专家4 4 网站安全建设方案网站安全建设方案1 1 教育网站安全事件教育网站安全事件3 3 攻击原理分析攻击原理分析2 2 事件影响分析事件影响分析1、教育网站安全事件、教育网站安全事件Case1:国内某知名大学网站被篡改国内某知名大学网站被篡改骗子忽悠考生家长可以帮忙进入理想高校骗子收取家长手续费骗子造假录取通知书发给考生骗子雇佣黑客篡改招生网数据，修改考生录取信息最终骗子被武汉警方抓获Case2:武汉某高校招生网被篡改武汉某高校招生网被篡改Case3：政府网上验证事件：政府网上验证事件入侵网站修改数据库办理假证贩卖假证使用假证办理从业许可证2008年6月，某省政务网站使用单位向监管部门报案，他们的网站数据库被人篡改，有人借此造假、牟取暴利。犯罪团伙利用网站存在的漏洞，使用黑客工具攻击政府部门网站，篡改多个省份政府网站数据库资料，其中一人两个月牟利达200多万元。先后入侵了江西省卫生厅、湖北省卫生厅、贵州省人事厅、四川省人事厅、江苏省教育厅、辽宁省建设厅、湖北省荆州市人事局等11个网站；每开一个“后门”2700元的价格成交修改相关数据700余个.每上传一个客户的信息数据,就收取 1200至2000元不等费用四、六级英语考试成绩单医师资格证书建筑师证书教师资格证高考前后挂马严重2、事件影响分析、事件影响分析教育主题网站学校门户网站很重要WWW电子教务评估加固加固测试测试监控监控响应响应协调协调报告报告人员保证人员保证眼睛是心灵的窗户眼睛里揉不得沙子要像人的眼睛一样保护起来学校门户网站被攻击后果很严重被攻击后果很严重 高校网站被挂马是个比较普遍的现象，占挂马网站总量的20%以上。高校网站频繁被黑客入侵，应引起校方的足够重视。对学校意味着什么？导致数据丢失导致学校声誉下降丧失评优资格网站被第三方列入“黑名单”有可能网站被整体屏蔽影响正常的招生工作被教育主管单位通报批评对访问者则意味着什么？导致学生和其他访问者中毒被植入木马而受到黑客控制重要数据被窃取在线交易行为被偷窥网游、网银等账号信息被窃取虚拟财产被盗的威胁 对网络监管者意味着什么？大量计算机被控制也对互联网的安全运行带来潜在威胁教育部很重视教育信息安全教育部很重视教育信息安全第十八条 教育网站和网校应遵循国家有关法律、法规，不得在网络上制作、发布、传播下列信息内容：（一）泄露国家秘密危害国家安全的；（二）违反国家民族、宗教与教育政策的；（三）煽动暴力，宣扬封建迷信、邪教、黄色淫秽制品、违反社会公德、以及赌博和教唆犯罪等；（四）煽动暴力;（五）散布谣言、扰乱社会秩序、鼓动聚众滋事；（六）暴露个人隐私和攻击他人与损害他人合法权益；（七）损害社会公共利益；（八）计算机病毒；（九）法律和法规禁止的其他有害信息。如发现上述有害信息内容，应及时向有关主管部门报告，并采取有效措施制止其扩散。安徽省教育网络安全通知3、攻击原理分析、攻击原理分析网站所面临的各种挑战Mapping from 2007 to 2010 Top 10OWASP Top 10 2007(Previous)OWASP Top 10 2010(New)A2 Injection FlawsA1 InjectionA1 Cross Site Scripting(XSS)A2 Cross Site Scripting(XSS)A7 Broken Authentication and Session ManagementA3 Broken Authentication and Session ManagementA4 Insecure Direct Object ReferenceA4 Insecure Direct Object ReferencesA5 Cross Site Request Forgery(CSRF)A5 Cross Site Request Forgery(CSRF)A6 Security Misconfiguration(NEW)A10 Failure to Restrict URL AccessA7 Failure to Restrict URL AccessA8 Unvalidated Redirects and Forwards(NEW)A8 Insecure Cryptographic StorageA9 Insecure Cryptographic StorageA9 Insecure CommunicationsA10 Insufficient Transport Layer ProtectionA3 Malicious File ExecutionA6 Information Leakage and Improper Error Handling+-=*A1 注入(Injection)*A2 跨站脚本(Cross Site Scripting(XSS)*A3 无效的验证和会话管理(Broken Authentication and Session Management)*A4 对资源不安全的直接引用(Insecure Direct Object References)*A5 跨站伪造请求(Cross Site Request Forgery(CSRF)*A6 错误的安全配置(Security Misconfiguration)(新加入)*A7 失败的网址访问权限限制(Failure to Restrict URL Access)*A8 未经验证的网址重定向(Unvalidated Redirects and Forwards)(新加入)*A9 不安全的密码存储(Insecure Cryptographic Storage)*A10 薄弱的传输层保护(Insufficient Transport Layer Protection)这些问题是如何产生的？脆弱性(漏洞)威胁(攻击)资产(web服务系统)对象内因外因风险(损害)结果SQL 注入 什么是 SQL 注入 SQL 注入是攻击者通过输入恶意的请求直接操作数据库服务器的攻击技巧 SQL 注入产生原因 应用开发过程中没有对用户输入进行校验和过滤 SQL 注入的危害 机密数据泄漏 服务器被控制 网站数据的恶意破坏 网页挂马SQL攻击过程演示FirewallHardened OSWeb ServerApp ServerFirewallDatabasesLegacy SystemsWeb ServicesDirectoriesHuman ResrcsBillingAPPLICATIONATTACKNetwork LayerApplication LayerAccountsFinanceAdministrationTransactionsCommunicationKnowledge MgmtE-CommerceBus.FunctionsHTTP requestSQL queryDB Table HTTP response SELECT*FROM accounts WHERE acct=OR 1=1-1.通过扫描和手动探测发现应用程序包含注入点2.攻击者通过应用程序发送恶意指令3.应用程序把攻击者的输入递交给数据库查询Account SummaryAcct:5424-6066-2134-4334Acct:4128-7574-3921-0192Acct:5424-9383-2039-4029Acct:4128-0004-1234-02934.数据库运行查询指令并返回给应用程序5.应用程序把结果呈现给攻击者Account:SKU:Account:SKU:6.篡改或删除网站数据4、网站安全建设方案、网站安全建设方案WEB应用生命周期各个阶段存在的问题规划阶段开发阶段测试阶段运行阶段缺乏安全规划和意识的培养缺乏代码的安全检查缺乏网站的安全测试安全规划与培训代码审计（白盒测试）黑盒/渗透测试网页存在代码漏洞缺乏对用户提交数据核查缺乏对返回网页内容过滤缺乏对被篡改网页的恢复运营维护期WEB风险永在风险永在规划设计 开发 测试上线 运维评估可能性因素评估影响因素漏洞因素威胁者因素商业影响因素技术影响因素发现难易度技能层次经济受损损失保密性利用难易度动机声誉受损损失完整性察觉度机会不遵守损失可用性入侵检测群体隐私侵犯损失审计机制WEB各阶段风险因素安全事件生命周期风险事件损失恢复资产威胁影响脆弱性暴露/缓解概率事态知识预防保护风险评估资产管理威胁管理脆弱性管理访问控制监测响应事态管理事件管理问题管理响应恢复业务持续性计划（应急灾备）绿盟专家知识事前预警-网站监测服务绿盟网站安全绿盟网站安全监测服务监测服务漏洞扫描挂马检测敏感内容平稳度监测网页篡改监测站点内容，避监测站点内容，避免法律风险免法律风险监控站点运营状况，监控站点运营状况，提升访问者满意度提升访问者满意度预防恶意篡改，维护形预防恶意篡改，维护形象，增强站点公信力象，增强站点公信力深入检测深入检测Web应用，直观应用，直观呈现呈现Web网站漏洞风险网站漏洞风险检索检索Web应用各个页面，应用各个页面，挖掘隐藏木马挖掘隐藏木马事中防护：部署专业防护设备事中防护：部署专业防护设备WAF部署在DMZ区：u在线双向WEB应用内容清洗，有效应对OWASP Top10（SQL注入/跨站脚本等）u事前预防+事中防护+事后补偿的网页篡改防护综合解决方案u应用层DDoS防护uWEB应用加速，优化业务资源WAF部署在学校数据中心：u抵御WEB攻击，保护核心WEB应用和敏感数据uWEB应用交付方面，降低服务响应时间、显著改善终端用户体验，提高数据中心的效率和服务器的投资回报率(ROI)WEB客户端学校网络边界DMZ区学校数据中心基于WEB的应用服务器集群WEB服务器集群WAFWAF防火墙端口端口80/44380/443专业WEB防护功能集成领先WEB应用漏洞扫描技术，提供预防解决方案应用多维防护体系，有效应对SQL注入、跨站脚本及应用层DDoS攻击实时检测网页篡改，降低网站安全风险提供挂马检测功能，维护网站公信度提供High Availability（HA）和Bypass，有效避免网络单点故障网络网络OSWeb Server应用应用威胁威胁pOWASP Top 10 p网页挂马p网页篡改p恶意扫描pHTTP Floodp传统攻击p“0”day攻击 p网络层抗DDoSpARP欺骗防护Tier合规合规p日志/监控p报表系统可用性可用性pCachingp压缩pSSL加速及卸载pHAp软/硬BypassWeb客户端防火墙防火墙端口端口80/44380/443WEB服务器群内容安全模块在线防护引擎WAF目录遍历缓存溢出Apache/IIS漏洞利用恶意远程文件执行XSSSQL注入跨站请求伪造网络爬虫网页盗链HTTP Flood恶意扫描蠕虫Cookie篡改出错信息恶意内容违规信息WAFWAF降低OWASP风险因素网站安全风险评估可能性因素评估可能性因素评估影响性因素评估影响性因素攻击者因素攻击者因素漏洞因素漏洞因素技术影响性技术影响性机会机会群体群体发现难易度发现难易度利用难易度利用难易度入侵检测入侵检测察觉度察觉度损失保密性损失保密性损失完整损失完整性性损失可用损失可用性性损失审损失审计机制计机制网络访问控制网络访问控制扫描防护SQL注入防护日志扫描网站WEB内容防护防篡改防篡改的缓存机制实 时 监控URL访问控制URL访问控制爬虫防护跨站脚本攻击防护实时监控PCIDSS合规网页挂马扫描日志信息安全防护CSRF防护HTTPS通道Cookie安全防护TCP Flood防护HTTP Flood防护ARP防护HTTP协议防护盗链防护WEB内容防护28事后响应-应急支持体系拒绝服务攻击事件非法入侵事件恶意代码事件跨站脚本事件其他信息安全事件一般较大重大特别重大一级响应二级响应 要点 流程应合理 具有可操作性 责任落实到人 减少损失网站安全的价值 满足监管部门的安全要求，通过安全检查；保证重大事件（高考）期间的网站安全；保证SLA，提高访问者满意度，留住现有客户，吸引新客户；保护学校的形象和声誉；提高运维效率和降低经济损失；协助安全事件取证以及事后追溯；通过检查，维护用户，保护形象，事后追查通过检查，维护用户，保护形象，事后追查教育网站成功用户日期用户行业产品型号2010/1/29吉林省人事厅干部考试中心教育WAF6002010/2/2广西师范学院教育WAF2002010/3/17厦门理工学院教育WAF6002010/4/23四川农业大学教育WAF2002009/3/16福建工程学院教育WAF6002009/3/18大兴区教委信息中心教育WAF12002009/8/18佳木斯大学教育WAF2002009/11/3江苏教育学院教育WAF2002009/12/18海淀区教育信息中心教育WAF12002009/12/24西北大学教育WAF6002009/12/31上海市金山教育局教育WAF12002008/11/19广西壮族自治区人才市场教育WAF2002008/10/23鞍山教育信息中心教育WAF200谢 谢！演讲完毕，谢谢观看！