门户网站安全防护技术交流.ppt

1、单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,门户网站安全防护技术交流,湖北中网科技有限公司 苏飞,2010,年,4,月,主题,一、网络安全问题概述,二、门户网站主要安全威胁,与对策,三、门户网站,具体,防护,技术手段,四、常用安全分析软件介绍,五、安全产品（硬件）介绍,六、漏洞及攻击演示,一、网络安全问题概述,背景、安全问题的严重性；,漏洞威胁概念、种类、安全问题种类及损失；,衡量信息安全的标准；,安全及安全防护的变化趋势。,背 景,网络已全面融入生活、工作中,网络带来巨大变革,网络是一把,双刃剑,带来巨大的威胁,国内安全形势不容乐观,2007,

2、年，我国境内与互联网连接的用户有,60%,以上的用户受到境外用户的攻击。,仅,2009,年我国被境外控制的计算机地址就达,100,多万个，被黑客组织篡改的网站多达,4,2,万个；在受网络病毒威胁方面，去年我国仅被“飞客”蠕虫一种网络病毒感染的计算机数量每月就达,1800,万台，占全球感染主机总量的,30,，位列全球第一。,漏洞多，木马、病毒猖獗,；,网络瘫痪、网站被篡改、系统被入侵；,网银转款、网上诈骗等。,国内安全形势不容乐观,Internet,设计初衷：开放、自由、无国界、无时间、空间限制；,虚拟性；,技术设计缺陷：,TCP/IP,、漏洞；,攻击（工具）软件易获得性；,计算机运算速度的加快

3、猜口令（,8,位小写字母及数字穷举，时间通常不超过,30,小时）；,应用的复杂性；对网络的依赖性增强；,易安置后门。,为什么如此脆弱,后门与漏洞,后门,：美国等西方发达国家的情报机构，明确要求各大信息技术公司，在计算机通信、软件研究开发中，要按照他们的旨意设置后门和陷阱。,windows,计算机操作系统中都有可能预留了后门程序。,漏洞,：,IBM,公司专家认为大型软件,1000-4000,行程序就存在一个漏洞，象,windwos,系统,5000,万源程序可能存在,20000,个漏洞；,微软,Vista,已报道发现的缺陷达到,2,万个。,网络安全存在的威胁,网络、信息系统,内部、外部泄密,

4、拒绝服务攻击,逻辑炸弹,特洛伊木马,黑客攻击,计算机病毒,信息丢失、篡改、销毁,后门、隐蔽通道,蠕虫,木桶原则,最大容积取决于最短的木快,攻击者,“,最易渗透原则,”,目标：提高整个系统的“安全最低点”。,动态性原则,安全是相对的，不可能一劳永逸；,道高一尺，魔高一丈；,安全策略不断变化完善；,安全投入不断增加（总投入的,20,25%,）。,二、门户网站主要安全威胁,与对策,1,、利用漏洞进行入侵,安全事件：,2005,年,7,月至,10,月，某某间谍情报机关曾对我境内,76,所高校和研究单位所在的,222,个网段反复扫描，利用漏洞控制了北大、清华、北师大等高校的大量主机，从中搜获、窃取了包括

5、863,课题研究计划在内的,45,份违规上互联网的文件和数千份资料。,江苏人陈某租住武汉，,2007,年,7,月，在网上找到黑客，委托其将某重点大学的招生网站上的数据库中的,11,名学生信息删除，同时非法追加另外,8,名学生。然后给家长验证已被录取。,2008,年,12,月,5,日，荆州市商务局网站，局领导变成一名三点式女郎。而局长致辞则成了一封“为女朋友庆生喝酒”的召集函。,1,、利用漏洞进行入侵,防范对策：,定期备份和检查相关访问和应用日志；,及时对计算机操作系统和应用程序“打补丁”；,安装防火墙和杀毒软件，并及时更新特征库；,关闭不必要的端口和服务。,2,、利用协议缺陷进行,DOS,攻

6、击,案例：,2009,年,5,月,19,日全国大面积网络故障，,6,月,25,日，湖北、湖南、广西、海南和上海等全国多个省市区出现网络缓慢或瘫痪现象。,2009,年,7,月,7,日,9,日韩国总统府、国防部、外交通商部等政府部门和主要银行、媒体网站同时遭分布式拒绝服务（,DDoS,）攻击。,美国财政部、特工处、联邦贸易委员会和交通部网站,7,月日起遭到黑客持续攻击，截至当地时间日仍处于不同程度瘫痪状态。,两国共有大约家网站受攻击，其中家为韩国网站。韩国主要情报机构说，韩国,.,万台个人电脑和国外台个人电脑遭黑客“俘虏”，成为傀儡主机，沦为攻击工具。,利用协议缺陷进行,DOS,攻击,什么是,DO

7、S,攻击：,攻击者利用因特网上成百上千的,“,Zombie,”,(,僵尸,)-,即被利用主机，对攻击目标发动威力巨大的拒绝服务攻击。,Denial of Service(DoS),拒绝服务攻击,Distributed Denial of Service(DDoS,),分布式拒绝服务攻击,攻击者利用大量的数据包,“,淹没,”,目标主机，耗尽可用资源乃至系统崩溃，而无法对合法用户作出响应。,DdoS,攻击过程,主控主机,扫描程序,黑客,Internet,非安全主机,被控主机,应用服务器,2,、利用协议缺陷进行,DOS,攻击,防范措施：,在门户网站前面部署防,DOS,攻击设备。,桌面机及时修补漏洞，

8、免得受控成为肉鸡。,加强追查打击力度。,荆州人赵蓉的网上银行帐户上的资金被划走：,2004,年,7,月，黑龙江人付某使用了一种木马程序，挂在自己的网站上；,荆州人赵蓉下载付某的软件，木马就,“,进入,”,电脑；,屏幕上敲入的信息通过邮件发出：账户、密码；,付某成功划出,1,万元；,抓获付某时，他已获取,7000,多个全国各地储户的网上银行密码。,3,、利用木马进行攻击,安全事件：,付某：,3,、利用木马进行攻击,生么是,“,木马,”,？,木马与传说中的木马一样,他们会在用户毫不知情的情况下悄悄的进入用户的计算机,进而反客为主,窃取机密数据,甚至控制系统。,3,、利用木马进行攻击,“,木马,”,

9、的主要危害：,盗取文件资料；,盗取用户帐号和密码；,监控用户行为，获取用户重要资料；,发送,QQ,、,msn,尾巴，骗取更多人访问恶意网站下载木马；,3,、利用木马进行攻击,防范对策：,严禁将涉密计数机接入互联网；,不随意打开不明电子邮件，尤其是不轻易打开邮件附件；,不点击和打开陌生图片和网页；,必须安装杀毒软件并及时升级更新，及时打补丁；,所有外网,PC,安装,360,软件，定期查杀木马程序。,4,、利用“嗅探”技术窃密,安全事件：,某单位干部叶某，在联接互联网的计算机上处理涉密信息，被某间谍情报机关植入“嗅探”程序。致使其操作电脑的一举一动均被监控，并造成大量涉密信息被窃。,4,、利用“嗅

10、探”技术窃密,“,嗅探,”,技术：,“,嗅探”是指秘密植入特定功能程序，用来记录诸如网络内部结构、键盘操作、口令密码等信息的窃密技术。,攻击者首先利用漏洞或木马在计算机中植入“键盘记录程序”该程序会自动隐藏生成记录键盘信息的文件。,一旦计算机重新联网，攻击者就可以从目标计算机下载键盘记录文件，并还原出编辑过的稳定内容。,4,、利用“嗅探”技术窃密,防范对策：,严禁将涉密计数机接入互联网；,用户联接互联网的计算机，任何情况下不得处理涉密信息；,定期对上网计算机操作系统进行重装处理；,PC,安装,360,软件，定期恶意代码程序。,5,、利用数据恢复技术,安全事件：,陈冠希：,2006,年曾托助手将

11、其外壳彩色的手提电脑，送到中环一间计算机公司维修，其后有人把计算机中的照片制作成光盘，发放予朋友及其它人士观赏。,5,、利用数据恢复技术,数据恢复技术：,数据恢复是指运用软、硬件技术对删除或因介质损坏等丢失的数据予以还原的过程。,U,盘或计算机硬盘存储的数据即使已被删除或进行格式化处理，使用专用软件仍能将其恢复，这种方法也因此成为窃密的手段之一。,例如，窃密者使用从互联网下载的恢复软件对目标计算机的已被格式化的,U,盘进行格式化恢复操作后，即可成功的恢复原有文件。,5,、利用数据恢复技术,防范对策：,严禁在接入互联网的计算机上使用处理过涉密信息的移动存储介质。,涉密存储介质淘汰报废时必须进行彻

12、底的物理销毁。,严禁将秘密载体当做废品出售。,6,、利用口令破解,攻击,安全事件：,2003,年,2,月，有关部门检测发现某间谍情报机关利用口令破解技术，对我某重要网络进行了有组织的大规模攻击，控制了,57,台违规上互联网的涉密计算机，窃走,1550,余份文件资料,。,6,、利用口令破解,攻击,口令破解：,口令是计算机系统的第一道防线，计算机通过口令来验证身份。,口令破解是指以口令为攻击目标，进行猜测破译，或避开口令验证，冒充合法用户潜入目标计算机，取得控制权的过程。即使计算机打了,“,补丁,”,，安装了病毒防护软件，设置了开机口令密码，黑客仍然可以通过口令破解进入你的计算机，从而达到破坏或窃

13、密的目的。,“,暴力破解”,是进行口令破解用得较多的方式，是指应用穷举法将建盘上的字母、数字、符号按照一定顺序进行排列组合实验，直至找到正确的口令。,其过程是,攻击者首先启用口令破译软件，输入目标计算机,ip,地址，对目标计算机进行口令破译、口令越长，口令组合越复杂，破译难度越大，所需时间越多。,口令破解的时间,Unix,口令,:6,位小写字母穷举,:36,小时,8,位小写字母穷举,:3,年,NT,口令,:8,位小写字母及数字穷举，时间通常不超过,30,小时,6,、利用口令破解,攻击,防范对策：,口令密码设置应当采用多种字符和数字混合编制，要有足够的长度,（至少,8,位以上）,，并定期更换。,

14、涉密信息系统必须按照保密标准，采取符合要求的口令密码、智能卡或,USB Key,、生理特征的身份鉴别方式。,三、门户网站,具体,防护,手段,1.,保持,Windows,升级,：,你必须在第一时间及时地更新所有的升级，并为系统打好一切补丁。考虑将所有的更新下载到你网络上的一个专用的服务器上，并在该机器上以,web,的形式将文件发布出来。通过这些工作，你可以防止你的,Web,服务器接受直接的,Internet,访问,2.,如果你并不需要,FTP,和,SMTP,服务，请卸载它们：,进入计算机的最简单途径就是通过,FTP,访问。,FTP,本身就是被设计满足简单读,/,写访问的，如果你执行身份认证，你会

15、发现你的用户名和密码都是通过明文的形式在网络上传播的。,SMTP,是另一种允许到文件夹的写权限的服务。通过禁用这两项服务，你能避免更多的黑客攻击。,3.,设置复杂的密码：,如果有用户使用弱密码，那么黑客能快速并简单的入侵这些用户的账号,4.,设置账号锁定的策略：,通过设备,windows,自带的安全策略设置，可对非法暴力破解口令进行有效的控制，同时审计所有登陆成功和失败的事件,5.,使用,NTFS,安全：,缺省地，你的,NTFS,驱动器使用的是,EVERY0NE/,完全控制权限，除非你手工关掉它们。关键是不要把自己锁定在外，不同的人需要不同的权限，管理员需要完全控制，后台管理账户也需要完全控制

16、系统和服务各自需要一种级别的访问权限，取决于不同的文件。最重要的文件夹是,System32,，这个文件夹的访问权限越小越好。在,Web,服务器上使用,NTFS,权限能帮助你保护重要的文件和应用程序。,6.,禁用多,余,的管理员账号：,如果你已经安装,IIS,，你可能产生了一个,TSInternetUser,账户。除非你真正需要这个账户，则你应该禁用它。这个用户很容易被渗透，是黑客们的显著目标。为了帮助管理用户账户，确定你的本地安全策略没有问题。,IUSR,用户的权限也应该尽可能的小。,7.,网站目录权限最小化：,在网站正常运行时：空间应该全部关闭写入权限，只保留需要写权限的某几个目录，同时被

17、保留写权限的目录，必须要关闭执行权限。站点需要更新时：开放所有写入权限，更新完毕后立即关闭写入权限。原则是：,有写入权限的目录，不能有执行权限,有执行权限的目录，不能有写入权限,这样最大限度的保证了站点的安全性,8.,移除缺省的,Web,站点：,很多攻击者瞄准,inetpub,这个文件夹，并在里面放置一些偷袭工具，从而造成服务器的瘫痪。防止这种攻击最简单的方法就是在,IIS,里将缺省的站点禁用。,如果是一个虚拟主机，并且服务器上放置了多个域名的站点，建议对不同的站点设置不同的账号权限（读取和执行）。这样可保证一个域名上的站点被黑，而不会影响到整个服务器上其它的站点,9.,定期备份数据和程序：,

18、至少以每周一次来定期的备份网站数据和程序，对大型数据库可使用专业的快速导出工具。建议使用,WinRAR,类型的压缩软件进行备份，并同时设定压缩密码的加密压缩方式。如果文件较多压缩时间可能会长，可使用计划任务自动执行或采取存储压缩方式,对操作系统建议每月备份一次，可直接使用,GHOST,。对于特殊的服务器需要,RAID,驱动时，建议自制一个,WinPE,将,RAID,驱动加载在该系统中。（有一定难度，但很帮助特别是安装系统时无需引导盘）,10.,仔细检查*,.bat,和*,exe,文件：,每周搜索一次*,.bat,和*,.exe,文件，检查服务器上是否存在黑客最喜欢，而对你来说将是一场噩梦的可执

19、行文件。在这些破坏性的文件中，也许有一些是*,reg,文件。如果你右击并选择编辑，你可以发现黑客已经制造并能让他们能进入你系统的注册表文件。你可以删除这些没任何意义但却会给入侵者带来便利的主键。,或定期生成一份主机的文件列表，然后再进行文件比对,最简单的使用一条,DOS,命令,:,Dir c:/s/a c:files20100415.txt,Fc c:files20100415.txt c:files201000301.txt,11.,定期检查访问日志,对于,IIS,，其默认记录存放在,c:winntsystem32logfilesw3svc1,，文件名就是当天的日期，记录格式是标准的,W3C

20、扩展记录格式，可以被各种记录分析工具解析，默认的格式包括时间、访问者,IP,地址、访问的方法（,GET or POST,）、请求的资源、,HTTP,状态（用数字表示）等。建议定期使用专业的日志分析工具来进行审计检查异常的访问现象。,四、常用安全分析软件介绍,工欲善其事,必先利其器！,autoruns:,微软公司出的查看,Windows,启动或登录时自动运行的程序它们,CCleaner225:,系统优化和隐私保护工具、清除无用文件及垃圾文件,HiJackThis:,找恶意程序“劫持”浏览器的入口,go_IceSword:,冰刃,检查非法进程,procexp:,查看进程和,DLL,模块,DwSh

21、ark 1.0.0.3230:,自动分析系统到处文本,RegistryCleanExpert:,注册表清理,ComboFix:,完全只能的修复系统工具（比,360,更强）,go_RKUnhooker:,看系统,hook,的,go_RootkitRevealer:,也是分析系统的,msicuu2:Windows Installer,清理实用工具,PortableUnlocker:,绿色,unlock,，解文件锁的工具,Tcpview:xp,上看端口,WinsockXPFix:,修复,tcp,协议,ethereal,嗅探,Windows,自带命令,netstat-an,TCPView,工具,检查其

22、它已开放的端口,强制关闭顽固病毒或可疑进程,IceSword,检查和关闭可疑的驱动,Windows,自带的驱动查看器,检查和关闭可疑的驱动,RKUnhooker,企业级修复系统漏洞,WSUS,是个微软推出的网络化的补丁分发方案，是免费的，可以在微软网站上去下载,嗅探听包,Ethereal,五、安全产品（硬件）介绍,第一代安全产品,防火墙、防病毒、,IDS,第二代安全产品,抗,dos,、漏洞扫描、,VPN,、存储备份、主页防篡改、内核加固、流量管理、负载均衡、网管,第三代安全产品,网闸、,IPS,、,WEB,应用防护,、系统保护盾（应急保护,),、容灾备份、,UTM,、数据库加密、审计、上网行为

23、管理、桌面安全管理、安全管理平台,用于隔离两个网络，达到近似于物理隔断的效果，同时又要实现数据的安全交换的隔离设备。,什么是网闸,网闸的组成及工作原理,硬件组成,：,内网机；,外网机；,控制开关系统；,两个网卡,：分别连接在内网机和外网机的主板上，用于内网机和外网机的输入输出。,软件组成,：,开关控制软件,：快速的在两个处理单元之间交换数据。,外部单边代理,：接收外部的请求，解析出应用协议，过滤数据内容，保证数据中不包含危险命令。,内部单边代理,：通过传输层软件模块接收外部处理单元传入的请求和数据，解析出应用协议，过滤数据内容，保证数据中不包含危险命令。,可信任网,可信任网,（,（,Intra

24、net,Intranet,）,）,K1,K1,K2,K2,开关系统是通过,SCSI,控制系统来实现的。,电子开关控制系统,由于外网与内网是永远断开的，加上采用单边计算机主机模式，中断了,TCP/IP,，中断了应用连接，屏蔽了内部的网络拓扑结构，屏蔽了内部主机的操作系统漏洞，使基于网络的攻击无机可乘。,无法,ping,内网的任何主机；,无法穿透网闸来追踪路由（,traceroute,）；,无法扫描内部网络；,无法发现内网的任何主机信息；,无法发现内网主机的操作系统信息；,无法发现内网应用信息；,无法发现内网内部主机的漏洞；,无法发现内网应用的漏洞；,无法同内网的主机建立通信连接；,无法向内网发送

25、IP,包；,无法同内网的任何主机建立,TCP/UDP/ICMP,连接；,无法同内网建立网络连接；,无法同内网的任何主机建立应用连接（,C/S,或,B/S,）。,主要安全效果分析,省电子,政务网,网闸,局域网应用服务器,前置服务器,禁止访问,允许单向数据摆渡,接入单位内部,局域网交换机,合法访问,非法访问,保护核心服务器,入侵预防护系统,(IPS:Intrusion Prevention System),是电脑网路安全设施，是对防病毒软体和防火墙的补充。入侵预防系统是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备，能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传

26、输行为。,什么是,IPS,产品核心功能,典型部署,WEB,应用防火墙针对各类机构的,WEB,业务系统，提供,WEB,安全和,WEB,应用交付的融合解决方案，确保,WEB,业务在安全和性能两方面的收益最大化。,什么是,WAF,集成领先,WEB,应用漏洞扫描技术，提供预防解决方案,应用多维防护体系，有效应对,SQL,注入、跨站脚本及应用层,DDoS,攻击,实时检测网页篡改，降低网站安全风险,提供挂马检测功能，维护网站公信度,提供,High Availability,（,HA,），有效避免网络单点故障,产品原理,WEB,应用安全威胁,ICEYE WAF 200,ICEYE WAF 600,SQL,注

27、入,XSS,远程非法命令执行,缓冲区溢出,目录遍历,CGI,信息扫描,HTTP Get Flood/CC,网络爬虫,网页盗链,有效应对各种威胁,DMZ,区,办公区域,服务器区,WEB,事前预防,事中识别、阻断攻击手段,事后网页篡改,/,挂马诊断,典型部署,六、漏洞及攻击演示,SQL,注入攻击（,现场演示）,通过一段特殊的,URL,（网址），即可非法篡改网站数据库数据，以及非法修改管理员的登陆密码,Cookie,欺骗（,现场演示）,通过嗅探工具获取他人登陆,QQ,农场的网络数据，然后通过一种特殊的欺骗方式来伪数据，以非法方式登陆他人空间,湖北中网科技有限公司苏 飞：,18907128844Email:modenTEL:027-87367888,报告完毕，谢谢,!,