您好,欢迎访问三七文档
当前位置:首页 > 电子/通信 > 数据通信与网络 > 门户网站安全防护技术交流ppt-网络与信息安全专题报告
门户网站安全防护技术交流湖北中网科技有限公司苏飞2010年4月主题一、网络安全问题概述二、门户网站主要安全威胁与对策三、门户网站具体防护技术手段四、常用安全分析软件介绍五、安全产品(硬件)介绍六、漏洞及攻击演示一、网络安全问题概述背景、安全问题的严重性;漏洞威胁概念、种类、安全问题种类及损失;衡量信息安全的标准;安全及安全防护的变化趋势。背景网络已全面融入生活、工作中网络带来巨大变革网络是一把双刃剑带来巨大的威胁国内安全形势不容乐观2007年,我国境内与互联网连接的用户有60%以上的用户受到境外用户的攻击。仅2009年我国被境外控制的计算机IP地址就达100多万个,被黑客组织篡改的网站多达4.2万个;在受网络病毒威胁方面,去年我国仅被“飞客”蠕虫一种网络病毒感染的计算机数量每月就达1800万台,占全球感染主机总量的30%,位列全球第一。漏洞多,木马、病毒猖獗;网络瘫痪、网站被篡改、系统被入侵;网银转款、网上诈骗等。国内安全形势不容乐观•Internet设计初衷:开放、自由、无国界、无时间、空间限制;•虚拟性;•技术设计缺陷:TCP/IP、漏洞;•攻击(工具)软件易获得性;•计算机运算速度的加快:猜口令(8位小写字母及数字穷举,时间通常不超过30小时);•应用的复杂性;对网络的依赖性增强;•易安置后门。为什么如此脆弱后门与漏洞后门:美国等西方发达国家的情报机构,明确要求各大信息技术公司,在计算机通信、软件研究开发中,要按照他们的旨意设置后门和陷阱。windows计算机操作系统中都有可能预留了后门程序。漏洞:IBM公司专家认为大型软件1000-4000行程序就存在一个漏洞,象windwos系统5000万源程序可能存在20000个漏洞;微软Vista已报道发现的缺陷达到2万个。网络安全存在的威胁网络、信息系统内部、外部泄密拒绝服务攻击逻辑炸弹特洛伊木马黑客攻击计算机病毒信息丢失、篡改、销毁后门、隐蔽通道蠕虫木桶原则•最大容积取决于最短的木快•攻击者—“最易渗透原则”•目标:提高整个系统的“安全最低点”。动态性原则•安全是相对的,不可能一劳永逸;•道高一尺,魔高一丈;•安全策略不断变化完善;•安全投入不断增加(总投入的20%-25%)。二、门户网站主要安全威胁与对策1、利用漏洞进行入侵安全事件:2005年7月至10月,某某间谍情报机关曾对我境内76所高校和研究单位所在的222个网段反复扫描,利用漏洞控制了北大、清华、北师大等高校的大量主机,从中搜获、窃取了包括863课题研究计划在内的45份违规上互联网的文件和数千份资料。江苏人陈某租住武汉,2007年7月,在网上找到黑客,委托其将某重点大学的招生网站上的数据库中的11名学生信息删除,同时非法追加另外8名学生。然后给家长验证已被录取。2008年12月5日,荆州市商务局网站,局领导变成一名三点式女郎。而局长致辞则成了一封“为女朋友庆生喝酒”的召集函。1、利用漏洞进行入侵防范对策:1.定期备份和检查相关访问和应用日志;2.及时对计算机操作系统和应用程序“打补丁”;3.安装防火墙和杀毒软件,并及时更新特征库;4.关闭不必要的端口和服务。2、利用协议缺陷进行DOS攻击案例:2009年5月19日全国大面积网络故障,6月25日,湖北、湖南、广西、海南和上海等全国多个省市区出现网络缓慢或瘫痪现象。2009年7月7日-9日韩国总统府、国防部、外交通商部等政府部门和主要银行、媒体网站同时遭分布式拒绝服务(DDoS)攻击。美国财政部、特工处、联邦贸易委员会和交通部网站7月4日起遭到黑客持续攻击,截至当地时间7日仍处于不同程度瘫痪状态。两国共有大约25家网站受攻击,其中11家为韩国网站。韩国主要情报机构说,韩国1.2万台个人电脑和国外8000台个人电脑遭黑客“俘虏”,成为傀儡主机,沦为攻击工具。利用协议缺陷进行DOS攻击什么是DOS攻击:–攻击者利用因特网上成百上千的“Zombie”(僵尸)-即被利用主机,对攻击目标发动威力巨大的拒绝服务攻击。•DenialofService(DoS)拒绝服务攻击•DistributedDenialofService(DDoS)分布式拒绝服务攻击–攻击者利用大量的数据包“淹没”目标主机,耗尽可用资源乃至系统崩溃,而无法对合法用户作出响应。DdoS攻击过程主控主机扫描程序黑客Internet非安全主机被控主机应用服务器2、利用协议缺陷进行DOS攻击防范措施:在门户网站前面部署防DOS攻击设备。桌面机及时修补漏洞,免得受控成为肉鸡。加强追查打击力度。•荆州人赵蓉的网上银行帐户上的资金被划走:•2004年7月,黑龙江人付某使用了一种木马程序,挂在自己的网站上;•荆州人赵蓉下载付某的软件,木马就“进入”电脑;•屏幕上敲入的信息通过邮件发出:账户、密码;•付某成功划出1万元;•抓获付某时,他已获取7000多个全国各地储户的网上银行密码。3、利用木马进行攻击安全事件:付某:3、利用木马进行攻击生么是“木马”?木马与传说中的木马一样,他们会在用户毫不知情的情况下悄悄的进入用户的计算机,进而反客为主,窃取机密数据,甚至控制系统。3、利用木马进行攻击“木马”的主要危害:盗取文件资料;盗取用户帐号和密码;监控用户行为,获取用户重要资料;发送QQ、msn尾巴,骗取更多人访问恶意网站下载木马;3、利用木马进行攻击防范对策:1.严禁将涉密计数机接入互联网;2.不随意打开不明电子邮件,尤其是不轻易打开邮件附件;3.不点击和打开陌生图片和网页;4.必须安装杀毒软件并及时升级更新,及时打补丁;5.所有外网PC安装360软件,定期查杀木马程序。4、利用“嗅探”技术窃密安全事件:某单位干部叶某,在联接互联网的计算机上处理涉密信息,被某间谍情报机关植入“嗅探”程序。致使其操作电脑的一举一动均被监控,并造成大量涉密信息被窃。4、利用“嗅探”技术窃密“嗅探”技术:“嗅探”是指秘密植入特定功能程序,用来记录诸如网络内部结构、键盘操作、口令密码等信息的窃密技术。攻击者首先利用漏洞或木马在计算机中植入“键盘记录程序”该程序会自动隐藏生成记录键盘信息的文件。一旦计算机重新联网,攻击者就可以从目标计算机下载键盘记录文件,并还原出编辑过的稳定内容。4、利用“嗅探”技术窃密防范对策:1.严禁将涉密计数机接入互联网;2.用户联接互联网的计算机,任何情况下不得处理涉密信息;3.定期对上网计算机操作系统进行重装处理;4.PC安装360软件,定期恶意代码程序。5、利用数据恢复技术安全事件:陈冠希:2006年曾托助手将其外壳彩色的手提电脑,送到中环一间计算机公司维修,其后有人把计算机中的照片制作成光盘,发放予朋友及其它人士观赏。5、利用数据恢复技术数据恢复技术:数据恢复是指运用软、硬件技术对删除或因介质损坏等丢失的数据予以还原的过程。U盘或计算机硬盘存储的数据即使已被删除或进行格式化处理,使用专用软件仍能将其恢复,这种方法也因此成为窃密的手段之一。例如,窃密者使用从互联网下载的恢复软件对目标计算机的已被格式化的U盘进行格式化恢复操作后,即可成功的恢复原有文件。5、利用数据恢复技术防范对策:1.严禁在接入互联网的计算机上使用处理过涉密信息的移动存储介质。2.涉密存储介质淘汰报废时必须进行彻底的物理销毁。3.严禁将秘密载体当做废品出售。6、利用口令破解攻击安全事件:2003年2月,有关部门检测发现某间谍情报机关利用口令破解技术,对我某重要网络进行了有组织的大规模攻击,控制了57台违规上互联网的涉密计算机,窃走1550余份文件资料。6、利用口令破解攻击口令破解:口令是计算机系统的第一道防线,计算机通过口令来验证身份。口令破解是指以口令为攻击目标,进行猜测破译,或避开口令验证,冒充合法用户潜入目标计算机,取得控制权的过程。即使计算机打了“补丁”,安装了病毒防护软件,设置了开机口令密码,黑客仍然可以通过口令破解进入你的计算机,从而达到破坏或窃密的目的。“暴力破解”是进行口令破解用得较多的方式,是指应用穷举法将建盘上的字母、数字、符号按照一定顺序进行排列组合实验,直至找到正确的口令。其过程是攻击者首先启用口令破译软件,输入目标计算机ip地址,对目标计算机进行口令破译、口令越长,口令组合越复杂,破译难度越大,所需时间越多。口令破解的时间Unix口令:6位小写字母穷举:36小时8位小写字母穷举:3年NT口令:8位小写字母及数字穷举,时间通常不超过30小时6、利用口令破解攻击防范对策:1.口令密码设置应当采用多种字符和数字混合编制,要有足够的长度(至少8位以上),并定期更换。2.涉密信息系统必须按照保密标准,采取符合要求的口令密码、智能卡或USBKey、生理特征的身份鉴别方式。三、门户网站具体防护手段1.保持Windows升级:你必须在第一时间及时地更新所有的升级,并为系统打好一切补丁。考虑将所有的更新下载到你网络上的一个专用的服务器上,并在该机器上以web的形式将文件发布出来。通过这些工作,你可以防止你的Web服务器接受直接的Internet访问2.如果你并不需要FTP和SMTP服务,请卸载它们:进入计算机的最简单途径就是通过FTP访问。FTP本身就是被设计满足简单读/写访问的,如果你执行身份认证,你会发现你的用户名和密码都是通过明文的形式在网络上传播的。SMTP是另一种允许到文件夹的写权限的服务。通过禁用这两项服务,你能避免更多的黑客攻击。3.设置复杂的密码:如果有用户使用弱密码,那么黑客能快速并简单的入侵这些用户的账号4.设置账号锁定的策略:通过设备windows自带的安全策略设置,可对非法暴力破解口令进行有效的控制,同时审计所有登陆成功和失败的事件5.使用NTFS安全:缺省地,你的NTFS驱动器使用的是EVERY0NE/完全控制权限,除非你手工关掉它们。关键是不要把自己锁定在外,不同的人需要不同的权限,管理员需要完全控制,后台管理账户也需要完全控制,系统和服务各自需要一种级别的访问权限,取决于不同的文件。最重要的文件夹是System32,这个文件夹的访问权限越小越好。在Web服务器上使用NTFS权限能帮助你保护重要的文件和应用程序。6.禁用多余的管理员账号:如果你已经安装IIS,你可能产生了一个TSInternetUser账户。除非你真正需要这个账户,则你应该禁用它。这个用户很容易被渗透,是黑客们的显著目标。为了帮助管理用户账户,确定你的本地安全策略没有问题。IUSR用户的权限也应该尽可能的小。7.网站目录权限最小化:在网站正常运行时:空间应该全部关闭写入权限,只保留需要写权限的某几个目录,同时被保留写权限的目录,必须要关闭执行权限。站点需要更新时:开放所有写入权限,更新完毕后立即关闭写入权限。原则是:•有写入权限的目录,不能有执行权限•有执行权限的目录,不能有写入权限这样最大限度的保证了站点的安全性8.移除缺省的Web站点:很多攻击者瞄准inetpub这个文件夹,并在里面放置一些偷袭工具,从而造成服务器的瘫痪。防止这种攻击最简单的方法就是在IIS里将缺省的站点禁用。如果是一个虚拟主机,并且服务器上放置了多个域名的站点,建议对不同的站点设置不同的账号权限(读取和执行)。这样可保证一个域名上的站点被黑,而不会影响到整个服务器上其它的站点9.定期备份数据和程序:至少以每周一次来定期的备份网站数据和程序,对大型数据库可使用专业的快速导出工具。建议使用WinRAR类型的压缩软件进行备份,并同时设定压缩密码的加密压缩方式。如果文件较多压缩时间可能会长,可使用计划任务自动执行或采取存储压缩方式对操作系统建议每月备份一次,可直接使用GHOST。对于特殊的服务器需要RAID驱动时,建议自制一个WinPE将RAID驱动加载在该系统中。(有一定难度,但很帮助特别是安装系统时无需引导盘)10.仔细检查*.bat和*.exe文件:每周搜索一次*.bat和*.exe文件,检查服务器上是否存在黑客最喜欢,而对你来说将是一场噩梦的可执行文件。在这些破坏性的文件中,也许有一些是*.reg文件。如果你右击并选择编辑,你可以发现黑客已经制造并能
本文标题:门户网站安全防护技术交流ppt-网络与信息安全专题报告
链接地址:https://www.777doc.com/doc-48746 .html