门户网站安全防护技术交流.docx

1、门户网站安全防护技术交流门户网站安全防护技术交流 门户网站安全防护技术交流主题一、网络安全问题概述二、门户网站主要安全威胁与对策三、门户网站具体防护技术手段四、常用安全分析软件介绍五、安全产品（硬件）介绍六、漏洞及攻击演示一、网络安全问题概述背景、安全问题的严重性漏洞威胁概念、种类、安全问题种类及损失衡量信息安全的标准安全及安全防护的变化趋势。 背景网络已全面融入生活、工作中网络带来巨大变革网络是一把双刃剑带来巨大的威胁国内安全形势不容乐观年我国境内与互联网连接的用户有以上的用户受到境外用户的攻击。 仅年我国被境外控制的计算机地址就达多万个被黑客组织篡改的网站多达万个在受网络病毒威胁方面去年我

2、国仅被“飞客”蠕虫一种网络病毒感染的计算机数量每月就达万台占全球感染主机总量的位列全球第一。 漏洞多木马、病毒猖獗网络瘫痪、网站被篡改、系统被入侵网银转款、网上诈骗等。 国内安全形势不容乐观Internet设计初衷：开放、自由、无国界、无时间、空间限制虚拟性技术设计缺陷：TCPIP、漏洞攻击（工具）软件易获得性计算机运算速度的加快:猜口令（位小写字母及数字穷举时间通常不超过小时）应用的复杂性对网络的依赖性增强易安置后门。 为什么如此脆弱后门与漏洞后门：美国等西方发达国家的情报机构明确要求各大信息技术公司在计算机通信、软件研究开发中要按照他们的旨意设置后门和陷阱。 windows计算机操作系统中

3、都有可能预留了后门程序。 漏洞：IBM公司专家认为大型软件行程序就存在一个漏洞象windwos系统万源程序可能存在个漏洞微软Vista已报道发现的缺陷达到万个。 网络安全存在的威胁网络、信息系统内部、外部泄密拒绝服务攻击逻辑炸弹特洛伊木马黑客攻击计算机病毒信息丢失、篡改、销毁后门、隐蔽通道蠕虫木桶原则最大容积取决于最短的木快攻击者“最易渗透原则”目标：提高整个系统的“安全最低点”。 动态性原则安全是相对的不可能一劳永逸道高一尺魔高一丈安全策略不断变化完善安全投入不断增加（总投入的）。 二、门户网站主要安全威胁与对策、利用漏洞进行入侵安全事件：年月至月某某间谍情报机关曾对我境内所高校和研究单位所

4、在的个网段反复扫描利用漏洞控制了北大、清华、北师大等高校的大量主机从中搜获、窃取了包括课题研究计划在内的份违规上互联网的文件和数千份资料。 江苏人陈某租住武汉年月在网上找到黑客委托其将某重点大学的招生网站上的数据库中的名学生信息删除同时非法追加另外名学生。 然后给家长验证已被录取。 年月日荆州市商务局网站局领导变成一名三点式女郎。 而局长致辞则成了一封“为女朋友庆生喝酒”的召集函。 、利用漏洞进行入侵防范对策：定期备份和检查相关访问和应用日志及时对计算机操作系统和应用程序“打补丁”安装防火墙和杀毒软件并及时更新特征库关闭不必要的端口和服务。 、利用协议缺陷进行DOS攻击案例：年月日全国大面积网

5、络故障月日湖北、湖南、广西、海南和上海等全国多个省市区出现网络缓慢或瘫痪现象。 年月日日韩国总统府、国防部、外交通商部等政府部门和主要银行、媒体网站同时遭分布式拒绝服务（DDoS）攻击。 美国财政部、特工处、联邦贸易委员会和交通部网站月日起遭到黑客持续攻击截至当地时间日仍处于不同程度瘫痪状态。 两国共有大约家网站受攻击其中家为韩国网站。 韩国主要情报机构说韩国万台个人电脑和国外台个人电脑遭黑客“俘虏”成为傀儡主机沦为攻击工具。 利用协议缺陷进行DOS攻击什么是DOS攻击：攻击者利用因特网上成百上千的“Zombie”(僵尸)即被利用主机对攻击目标发动威力巨大的拒绝服务攻击。 DenialofSe

6、rvice(DoS)拒绝服务攻击DistributedDenialofService(DDoS)分布式拒绝服务攻击攻击者利用大量的数据包“淹没”目标主机耗尽可用资源乃至系统崩溃而无法对合法用户作出响应。 DdoS攻击过程非安全主机被控主机、利用协议缺陷进行DOS攻击防范措施：在门户网站前面部署防DOS攻击设备。 桌面机及时修补漏洞免得受控成为肉鸡。 加强追查打击力度。 荆州人赵蓉的网上银行帐户上的资金被划走：年月黑龙江人付某使用了一种木马程序挂在自己的网站上荆州人赵蓉下载付某的软件木马就“进入”电脑屏幕上敲入的信息通过邮件发出：账户、密码付某成功划出万元抓获付某时他已获取多个全国各地储户的网上

7、银行密码。 、利用木马进行攻击安全事件：付某：、利用木马进行攻击生么是“木马”？木马与传说中的木马一样,他们会在用户毫不知情的情况下悄悄的进入用户的计算机,进而反客为主,窃取机密数据,甚至控制系统。 、利用木马进行攻击“木马”的主要危害：盗取文件资料盗取用户帐号和密码监控用户行为获取用户重要资料发送QQ、msn尾巴骗取更多人访问恶意网站下载木马、利用木马进行攻击防范对策：严禁将涉密计数机接入互联网不随意打开不明电子邮件尤其是不轻易打开邮件附件不点击和打开陌生图片和网页必须安装杀毒软件并及时升级更新及时打补丁所有外网PC安装软件定期查杀木马程序。 、利用“嗅探”技术窃密安全事件：某单位干部叶某在

8、联接互联网的计算机上处理涉密信息被某间谍情报机关植入“嗅探”程序。 致使其操作电脑的一举一动均被监控并造成大量涉密信息被窃。 、利用“嗅探”技术窃密“嗅探”技术：“嗅探”是指秘密植入特定功能程序用来记录诸如网络内部结构、键盘操作、口令密码等信息的窃密技术。 攻击者首先利用漏洞或木马在计算机中植入“键盘记录程序”该程序会自动隐藏生成记录键盘信息的文件。 一旦计算机重新联网攻击者就可以从目标计算机下载键盘记录文件并还原出编辑过的稳定内容。 、利用“嗅探”技术窃密防范对策：严禁将涉密计数机接入互联网用户联接互联网的计算机任何情况下不得处理涉密信息定期对上网计算机操作系统进行重装处理PC安装软件定期恶

9、意代码程序。 、利用数据恢复技术安全事件：陈冠希：年曾托助手将其外壳彩色的手提电脑送到中环一间计算机公司维修其后有人把计算机中的照片制作成光盘发放予朋友及其它人士观赏。 、利用数据恢复技术数据恢复技术：数据恢复是指运用软、硬件技术对删除或因介质损坏等丢失的数据予以还原的过程。 U盘或计算机硬盘存储的数据即使已被删除或进行格式化处理使用专用软件仍能将其恢复这种方法也因此成为窃密的手段之一。 例如窃密者使用从互联网下载的恢复软件对目标计算机的已被格式化的U盘进行格式化恢复操作后即可成功的恢复原有文件。 、利用数据恢复技术防范对策：严禁在接入互联网的计算机上使用处理过涉密信息的移动存储介质。 涉密存

10、储介质淘汰报废时必须进行彻底的物理销毁。 严禁将秘密载体当做废品出售。 、利用口令破解攻击安全事件：年月有关部门检测发现某间谍情报机关利用口令破解技术对我某重要网络进行了有组织的大规模攻击控制了台违规上互联网的涉密计算机窃走余份文件资料。 、利用口令破解攻击口令破解：口令是计算机系统的第一道防线计算机通过口令来验证身份。 口令破解是指以口令为攻击目标进行猜测破译或避开口令验证冒充合法用户潜入目标计算机取得控制权的过程。 即使计算机打了“补丁”安装了病毒防护软件设置了开机口令密码黑客仍然可以通过口令破解进入你的计算机从而达到破坏或窃密的目的。 “暴力破解”是进行口令破解用得较多的方式是指应用穷举

11、法将建盘上的字母、数字、符号按照一定顺序进行排列组合实验直至找到正确的口令。 其过程是攻击者首先启用口令破译软件输入目标计算机ip地址对目标计算机进行口令破译、口令越长口令组合越复杂破译难度越大所需时间越多。 口令破解的时间Unix口令:位小写字母穷举:小时位小写字母穷举:年NT口令:位小写字母及数字穷举时间通常不超过小时一旦找到正确的口令软件就会提示破译成功攻击者即可利用得到的口令登陆目标计算机而后就可以为所欲为的进行文件拷贝、数据篡改、窃取破坏活动。 *、利用口令破解攻击防范对策：口令密码设置应当采用多种字符和数字混合编制要有足够的长度（至少位以上）并定期更换。 涉密信息系统必须按照保密标

12、准采取符合要求的口令密码、智能卡或USBKey、生理特征的身份鉴别方式。 三、门户网站具体防护手段保持Windows升级：你必须在第一时间及时地更新所有的升级并为系统打好一切补丁。 考虑将所有的更新下载到你网络上的一个专用的服务器上并在该机器上以web的形式将文件发布出来。 通过这些工作你可以防止你的Web服务器接受直接的Internet访问如果你并不需要FTP和SMTP服务请卸载它们：进入计算机的最简单途径就是通过FTP访问。 FTP本身就是被设计满足简单读写访问的如果你执行身份认证你会发现你的用户名和密码都是通过明文的形式在网络上传播的。 SMTP是另一种允许到文件夹的写权限的服务。 通过

13、禁用这两项服务你能避免更多的黑客攻击。 设置复杂的密码：如果有用户使用弱密码那么黑客能快速并简单的入侵这些用户的账号设置账号锁定的策略：通过设备windows自带的安全策略设置可对非法暴力破解口令进行有效的控制同时审计所有登陆成功和失败的事件使用NTFS安全：缺省地你的NTFS驱动器使用的是EVERYNE完全控制权限除非你手工关掉它们。 关键是不要把自己锁定在外不同的人需要不同的权限管理员需要完全控制后台管理账户也需要完全控制系统和服务各自需要一种级别的访问权限取决于不同的文件。 最重要的文件夹是System这个文件夹的访问权限越小越好。 在Web服务器上使用NTFS权限能帮助你保护重要的文件

14、和应用程序。 禁用多余的管理员账号：如果你已经安装IIS你可能产生了一个TSInternetUser账户。 除非你真正需要这个账户则你应该禁用它。 这个用户很容易被渗透是黑客们的显著目标。 为了帮助管理用户账户确定你的本地安全策略没有问题。 IUSR用户的权限也应该尽可能的小。 网站目录权限最小化：在网站正常运行时：空间应该全部关闭写入权限只保留需要写权限的某几个目录同时被保留写权限的目录必须要关闭执行权限。 站点需要更新时：开放所有写入权限更新完毕后立即关闭写入权限。 原则是：有写入权限的目录不能有执行权限有执行权限的目录不能有写入权限这样最大限度的保证了站点的安全性移除缺省的Web站点：很

15、多攻击者瞄准inetpub这个文件夹并在里面放置一些偷袭工具从而造成服务器的瘫痪。 防止这种攻击最简单的方法就是在IIS里将缺省的站点禁用。 如果是一个虚拟主机并且服务器上放置了多个域名的站点建议对不同的站点设置不同的账号权限（读取和执行）。 这样可保证一个域名上的站点被黑而不会影响到整个服务器上其它的站点定期备份数据和程序：至少以每周一次来定期的备份网站数据和程序对大型数据库可使用专业的快速导出工具。 建议使用WinRAR类型的压缩软件进行备份并同时设定压缩密码的加密压缩方式。 如果文件较多压缩时间可能会长可使用计划任务自动执行或采取存储压缩方式对操作系统建议每月备份一次可直接使用GHOST

16、。 对于特殊的服务器需要RAID驱动时建议自制一个WinPE将RAID驱动加载在该系统中。 （有一定难度但很帮助特别是安装系统时无需引导盘）仔细检查*bat和*exe文件：每周搜索一次*bat和*exe文件检查服务器上是否存在黑客最喜欢而对你来说将是一场噩梦的可执行文件。 在这些破坏性的文件中也许有一些是*reg文件。 如果你右击并选择编辑你可以发现黑客已经制造并能让他们能进入你系统的注册表文件。 你可以删除这些没任何意义但却会给入侵者带来便利的主键。 或定期生成一份主机的文件列表然后再进行文件比对最简单的使用一条DOS命令:Dirc:sac:filestxtFcc:filestxtc:fil

17、estxt定期检查访问日志对于IIS其默认记录存放在c:winntsystemlogfileswsvc文件名就是当天的日期记录格式是标准的WC扩展记录格式可以被各种记录分析工具解析默认的格式包括时间、访问者IP地址、访问的方法（GETorPOST）、请求的资源、HTTP状态（用数字表示）等。 建议定期使用专业的日志分析工具来进行审计检查异常的访问现象。 四、常用安全分析软件介绍工欲善其事,必先利其器！autoruns:微软公司出的查看Windows启动或登录时自动运行的程序它们CCleaner:系统优化和隐私保护工具、清除无用文件及垃圾文件HiJackThis:找恶意程序“劫持”浏览器的入口g

18、oIceSword:冰刃,检查非法进程procexp:查看进程和DLL模块DwShark:自动分析系统到处文本RegistryCleanExpert:注册表清理ComboFix:完全只能的修复系统工具（比更强）goRKUnhooker:看系统hook的goRootkitRevealer:也是分析系统的msicuu:WindowsInstaller清理实用工具PortableUnlocker:绿色unlock解文件锁的工具Tcpview:xp上看端口WinsockXPFix:修复tcp协议ethereal嗅探Windows自带命令netstatanTCPView工具检查其它已开放的端口强制关闭顽

19、固病毒或可疑进程IceSword检查和关闭可疑的驱动Windows自带的驱动查看器检查和关闭可疑的驱动RKUnhooker企业级修复系统漏洞WSUS是个微软推出的网络化的补丁分发方案是免费的可以在微软网站上去下载 嗅探听包Ethereal五、安全产品（硬件）介绍第一代安全产品防火墙、防病毒、IDS第二代安全产品抗dos、漏洞扫描、VPN、存储备份、主页防篡改、内核加固、流量管理、负载均衡、网管第三代安全产品网闸、IPS、WEB应用防护、系统保护盾（应急保护)、容灾备份、UTM、数据库加密、审计、上网行为管理、桌面安全管理、安全管理平台用于隔离两个网络达到近似于物理隔断的效果同时又要实现数据的安

20、全交换的隔离设备。 什么是网闸*学术界一般认为最早提出物理隔离技术的应该是以色列和美国的军方。 但是到目前为止并没有完整的关于物理隔离技术的定义和标准。 从不同时期的用词也可以看出物理隔离技术一直在演变和发展。 较早的用词为PhysicalDisconnectionDisconnection有使断开切断不连接的意思直译为物理断开。 这种情况是完全可以理解保密网与互联网连接后出现很多问题在没有解决安全问题或没有解决问题的技术手段之前先断开再说。 后来有PhysicalSeparationSeparation有分开分离间隔和距离的意思直译为物理分开。 后期发现完全断开也不是办法互联网总还是要用的采

21、取的策略多为该连的连不该连的不连。 这样的该连的部分与不该连的部分要分开。 也有PhysicalIsolationIsolation有孤立隔离封闭绝缘的意思直译为物理封闭。 事实上没有与互联网相连的系统不多互联网的用途还是很大因此希望能将一部分高安全性的网络隔离封闭起来。 再后来多使用PhysicalGapGap有豁口裂口缺口和差异的意思直译为物理隔离意为通过制造物理的豁口来达到隔离的目的。 到这个时候Physical这个词显得非常僵硬于是有人用AirGap来代替PhysicalGap。 AirGap意为空气豁口很明显在物理上是隔开的。 但有人不同意理由是空气豁口就“物理隔离”了吗？没有电磁辐

22、射无线网络卫星等都是空气豁口却没有物理隔离甚至连逻辑上都没有隔离。 于是EGapNetgapXGap等都出来了。 现在一般称GapTechnology意为物理隔离称为互联网上一个专用名词。 *网闸的组成及工作原理硬件组成：内网机外网机控制开关系统两个网卡：分别连接在内网机和外网机的主板上用于内网机和外网机的输入输出。 软件组成：开关控制软件：快速的在两个处理单元之间交换数据。 外部单边代理：接收外部的请求解析出应用协议过滤数据内容保证数据中不包含危险命令。 内部单边代理：通过传输层软件模块接收外部处理单元传入的请求和数据解析出应用协议过滤数据内容保证数据中不包含危险命令。 开关系统是通过SCS

23、I控制系统来实现的。 电子开关控制系统由于外网与内网是永远断开的加上采用单边计算机主机模式中断了TCPIP中断了应用连接屏蔽了内部的网络拓扑结构屏蔽了内部主机的操作系统漏洞使基于网络的攻击无机可乘。 无法ping内网的任何主机无法穿透网闸来追踪路由（traceroute）无法扫描内部网络无法发现内网的任何主机信息无法发现内网主机的操作系统信息无法发现内网应用信息无法发现内网内部主机的漏洞无法发现内网应用的漏洞无法同内网的主机建立通信连接无法向内网发送IP包无法同内网的任何主机建立TCPUDPICMP连接无法同内网建立网络连接无法同内网的任何主机建立应用连接（CS或BS）。 主要安全效果分析省电

24、子政务网网闸局域网应用服务器前置服务器禁止访问允许单向数据摆渡接入单位内部局域网交换机合法访问非法访问保护核心服务器入侵预防护系统(IPS:IntrusionPreventionSystem)是电脑网路安全设施是对防病毒软体和防火墙的补充。 入侵预防系统是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。 什么是IPS*学术界一般认为最早提出物理隔离技术的应该是以色列和美国的军方。 但是到目前为止并没有完整的关于物理隔离技术的定义和标准。 从不同时期的用词也可以看出物理隔离技术一直在演变和发展。 较早的用词为P

25、hysicalDisconnectionDisconnection有使断开切断不连接的意思直译为物理断开。 这种情况是完全可以理解保密网与互联网连接后出现很多问题在没有解决安全问题或没有解决问题的技术手段之前先断开再说。 后来有PhysicalSeparationSeparation有分开分离间隔和距离的意思直译为物理分开。 后期发现完全断开也不是办法互联网总还是要用的采取的策略多为该连的连不该连的不连。 这样的该连的部分与不该连的部分要分开。 也有PhysicalIsolationIsolation有孤立隔离封闭绝缘的意思直译为物理封闭。 事实上没有与互联网相连的系统不多互联网的用途还是很大

26、因此希望能将一部分高安全性的网络隔离封闭起来。 再后来多使用PhysicalGapGap有豁口裂口缺口和差异的意思直译为物理隔离意为通过制造物理的豁口来达到隔离的目的。 到这个时候Physical这个词显得非常僵硬于是有人用AirGap来代替PhysicalGap。 AirGap意为空气豁口很明显在物理上是隔开的。 但有人不同意理由是空气豁口就“物理隔离”了吗？没有电磁辐射无线网络卫星等都是空气豁口却没有物理隔离甚至连逻辑上都没有隔离。 于是EGapNetgapXGap等都出来了。 现在一般称GapTechnology意为物理隔离称为互联网上一个专用名词。 *产品核心功能典型部署网络接口具有硬

27、件BYPASS功能当出现设备软件、硬件、电源故障时设备能够快速、自动切换到网络直通状态保证网络可用性*WEB应用防火墙针对各类机构的WEB业务系统提供WEB安全和WEB应用交付的融合解决方案确保WEB业务在安全和性能两方面的收益最大化。 什么是WAF*学术界一般认为最早提出物理隔离技术的应该是以色列和美国的军方。 但是到目前为止并没有完整的关于物理隔离技术的定义和标准。 从不同时期的用词也可以看出物理隔离技术一直在演变和发展。 较早的用词为PhysicalDisconnectionDisconnection有使断开切断不连接的意思直译为物理断开。 这种情况是完全可以理解保密网与互联网连接后出现

28、很多问题在没有解决安全问题或没有解决问题的技术手段之前先断开再说。 后来有PhysicalSeparationSeparation有分开分离间隔和距离的意思直译为物理分开。 后期发现完全断开也不是办法互联网总还是要用的采取的策略多为该连的连不该连的不连。 这样的该连的部分与不该连的部分要分开。 也有PhysicalIsolationIsolation有孤立隔离封闭绝缘的意思直译为物理封闭。 事实上没有与互联网相连的系统不多互联网的用途还是很大因此希望能将一部分高安全性的网络隔离封闭起来。 再后来多使用PhysicalGapGap有豁口裂口缺口和差异的意思直译为物理隔离意为通过制造物理的豁口来达

29、到隔离的目的。 到这个时候Physical这个词显得非常僵硬于是有人用AirGap来代替PhysicalGap。 AirGap意为空气豁口很明显在物理上是隔开的。 但有人不同意理由是空气豁口就“物理隔离”了吗？没有电磁辐射无线网络卫星等都是空气豁口却没有物理隔离甚至连逻辑上都没有隔离。 于是EGapNetgapXGap等都出来了。 现在一般称GapTechnology意为物理隔离称为互联网上一个专用名词。 *集成领先WEB应用漏洞扫描技术提供预防解决方案应用多维防护体系有效应对SQL注入、跨站脚本及应用层DDoS攻击实时检测网页篡改降低网站安全风险提供挂马检测功能维护网站公信度提供HighAv

30、ailability（HA）有效避免网络单点故障产品原理有效应对各种威胁WEB应用安全威胁ICEYEWAFICEYEWAFSQL注入XSS远程非法命令执行缓冲区溢出目录遍历CGI信息扫描HTTPGetFloodCC网络爬虫网页盗链DMZ区办公区域服务器区WEB事前预防事中识别、阻断攻击手段事后网页篡改挂马诊断典型部署网络接口具有硬件BYPASS功能当出现设备软件、硬件、电源故障时设备能够快速、自动切换到网络直通状态保证网络可用性*六、漏洞及攻击演示SQL注入攻击（现场演示）通过一段特殊的URL（网址）即可非法篡改网站数据库数据以及非法修改管理员的登陆密码Cookie欺骗（现场演示）通过嗅探工具

31、获取他人登陆QQ农场的网络数据然后通过一种特殊的欺骗方式来伪数据以非法方式登陆他人空间湖北中网科技有限公司苏飞：Email:modenhbzwnetTEL:报告完毕谢谢!一旦找到正确的口令软件就会提示破译成功攻击者即可利用得到的口令登陆目标计算机而后就可以为所欲为的进行文件拷贝、数据篡改、窃取破坏活动。 *学术界一般认为最早提出物理隔离技术的应该是以色列和美国的军方。 但是到目前为止并没有完整的关于物理隔离技术的定义和标准。 从不同时期的用词也可以看出物理隔离技术一直在演变和发展。 较早的用词为PhysicalDisconnectionDisconnection有使断开切断不连接的意思直译为物

32、理断开。 这种情况是完全可以理解保密网与互联网连接后出现很多问题在没有解决安全问题或没有解决问题的技术手段之前先断开再说。 后来有PhysicalSeparationSeparation有分开分离间隔和距离的意思直译为物理分开。 后期发现完全断开也不是办法互联网总还是要用的采取的策略多为该连的连不该连的不连。 这样的该连的部分与不该连的部分要分开。 也有PhysicalIsolationIsolation有孤立隔离封闭绝缘的意思直译为物理封闭。 事实上没有与互联网相连的系统不多互联网的用途还是很大因此希望能将一部分高安全性的网络隔离封闭起来。 再后来多使用PhysicalGapGap有豁口裂口缺口和差异的意思直译为物理隔离意为通过制造物理的豁口来达到隔离的目的。 到这个时候Phys