番茄花园-漳州校区教育技术办吴飞杰.ppt

漳州校区校园网络信息安全培训（初级）,漳州校区教育技术办 吴飞杰,一、网络安全包括哪些方面,信息安全 发布到网站的信息 目前主要有两种形式： 信息员发邮件给管理员，管理员统一发布到网站（推荐） 信息员自行登录系统并发布信息 无论采用哪种形式都必须要有一个审核的步骤。目前各个单位采用的网站系统五花八门，用户系统存在各种各样的漏洞，建议统一采用第一种方式发布信息。 病毒流行新趋势：很多网站管理系统的后台编辑器都是支持html的，有些病毒在感染网站管理员的个人电脑后会利用在线编辑器，自动在发布的信息中加入病毒代码，从而造成病毒的更广泛传播。这从一个侧面反应出做好个人电脑防毒工作的重要性,交互式信息 什么是交互式信息 普通用户自行发布到网站前台的信息。有交互式功能的网站包括论坛、BBS、聊天室、留言板、博客(Blog)、维客（Wiki）、带有共享功能的网络硬盘（WebDisk）等。 特别注意：很多网站系统默认都带有留言、评论模块，很容易被忽视，必须禁用。推荐使用在线发送邮件的方式和用户互动。,学校关于交互式信息管理的规定 特别强调：论坛类子网站、博客托管（BSP）和主页空间提供不宜过于随便。要严格遵守学校规定，经校党委宣传部批准并向校网络中心备案后才能上线。只要是冠以厦门大学校名、或者使用厦大域名、厦大校园网络的网站都在此约束之下。,网站安全 没有一个网站是绝对安全的，只有相对安全，技术一直在发展，漏洞在所难免。网站管理员的任务是把安全风险降低到最低限度，减小被入侵的概率。 网站程序安全 网站的程序和Windows一样要打补丁。网络技术的发展日新月异，网站系统的功能越来越强大，各种各样的漏洞也层出不穷。现在没有漏洞并不代表以后也没有问题。 网站密码安全 网站的密码要和管理员的私人密码不同，并且必须是“强壮”的,使用相同密码造成密码泄露的案例： 网站管理员在某论坛注册一个帐号，所使用的密码和网站密码相同，不法分子从其他渠道得知管理员在论坛上的帐号，并非法入侵了该论坛，获得所有用户的密码（包括该管理员），从而得到网站密码,安全的密码策略： 一个健壮的密码必须由字母、数字和特殊字符组成，并且字母不能组成常见单词、缩略词或拼音组合，数字不能连续。 常见的弱密码： 123456 asdfg admin Zzxq zhangzhou 一个健壮的密码范例： qPzm#!xnOw,网站被入侵后的可能表现,首页被篡改,建立警告页面,文件被删除 在网页中加入木马代码,二、网站的规范化管理,网站建成后的安全检测 很多单位的网站是请学生建设的，通常是使用从网络下载的免费程序。如果选择不当，很容易产生漏洞，所以有必要在验收时进行全面的安全检测。 网站的权限分配 网站的管理权限大致可划分为超级管理员和普通管理员，超级管理员的权限最大，其数目应该严格控制，只在需要的时候使用。普通管理员虽然权限较低，但也应该做到专人专用，尽量避免多人共同使用一个帐号。,网站信息的审核和发布 发布到网上的信息需要由分管领导把关。涉及版权问题的内容务必限制校内IP访问。切勿把教育网内的资源（如FTP账号密码等公布到公众网络可以访问到的页面） 注意：网页上的非教育网链接应注意其有效性，尽可能避免对此类网站做链接：近期外校出现内部网站上正常链接中的非教育网网站因域名过期被境外抢注，且被发布有害信息的情况，造成严重不良影响。如果是属于本单位在公众网注册的域名，要切实保证其有效期，以防过期后被别有用心者抢注。,网站管理员的交接 参考厦门大学单位网站管理员交接工作须知 /1/1_2005_4.htm 针对漳州校区学生管理员流动性大的特点，网站管理员的交接工作更应该重视，特提出以下注意事项： 网站的移交工作应该在大二学生回本部前全部完成，最好能有一个过渡期，由老管理员带新管理员逐渐熟悉网站的管理。 交接时由新管理员当场修改管理员密码，老管理员回本部后不再插手网站事务。 办理交接手续时需交接双方和分管领导同时在场完成。 下载厦门大学单位网站管理员工作交接登记表 （/4/webmaster.doc）并认真填写，最后存档。,其他注意事项 设立网站工作日志 很多网站是由学生团队维护的，团队里面又有技术、采编的分工，建议设一个专门的日记本（纸质），以日志形式记录网站建设、维护过程中发生的事件和注意事项、备注等。 网站的各种文档、表格归档保存 网站说明书、历届网站管理员资料、网站管理员工作交接登记表等。,建立网站内部通讯录 出现问题时可以随时找到相关负责人，尤其是技术管理员，要有24小时联系方式。 不要轻易改版 很多管理员在接手后很喜欢对网站做彻底的重建，这个习惯是危险的，老版本的网站程序经过很长时间的考验，证明可能是安全的，轻易的重建或许会产生新的漏洞。在原有程序没有太大问题的情况下，应尽量只对前台界面的美化做出改进。,三、网站的日常维护,天天关注你负责的网站 把你管理的网站设为浏览器的首页，每天至少看三次，残酷地说，管理员没有节假日，因为节假日恰恰是攻击的高发时段。 监控的方法：不仅仅是简单的看网站能否正常访问，应该全面仔细的看整个页面，有没有异常的信息。有些入侵者会在标题栏或者网页内留下警告信息。 审核投稿，添加文章,定期备份网站 经常备份是一个好习惯，备份的频率取决于网站的更新速度。 通常是在网站建成后备份所有文件，平时只要备份数据库和上传的 文件。 一旦对网站的程序文件做了修改，请马上重新备份所有文件。 备份时注意不能单纯的把ftp上面的文件下载下来，覆盖原先的备 份。如果在你备份前网站已经被入侵，而你又失去了原先备份的 文件，无形中增加了恢复的难度。这里建议保留一个月的备份。,四、如何应对网络安全事件,联系网站的技术管理员 描述详细的状况，包括以下信息： 最后一次正常访问的时间，发现问题的时间、具体发生了什么问题（首页被替换？被加入木马？） 及时留存证据 如果有ftp权限，下载整个网站。 报告分管领导 在初步处理完后，把损失情况和处理结果报告分管领导 协助恢复网站的正常运行 总结经验教训 吃一堑长一智，没有任何一个网站是永远安全的，我们不怕出错，只怕一错再错。,五、个人电脑安全技巧,安装杀毒软件 推荐Mcafee8.5i简体中文企业版，定期更新病毒库 08/softdown/SoftView.Asp?SoftID=7702 杀毒软件和Windows防火墙配合使用效果更好,系统帐户设密码 密码策略见网站密码安全。 某些病毒会自动猜解空的或者简单常见的系统密码，获得系统权限后可以进行盗取信息等破坏活动,定期打Windows系统补丁 推荐360安全卫士 http:/360,不从来历不明的网站下载软件 推荐软件下载站鹭图、天空、华军 有些不正