门户网站安全防护技术交流PPT课件

1 门户网站安全防护技术交流 2 主题 一 网络安全问题概述二 门户网站主要安全威胁与对策三 门户网站具体防护技术手段四 常用安全分析软件介绍五 安全产品 硬件 介绍六 漏洞及攻击演示 3 一 网络安全问题概述 背景 安全问题的严重性 漏洞威胁概念 种类 安全问题种类及损失 衡量信息安全的标准 安全及安全防护的变化趋势 4 背景 网络已全面融入生活 工作中网络带来巨大变革网络是一把双刃剑带来巨大的威胁 5 国内安全形势不容乐观 2007年 我国境内与互联网连接的用户有60 以上的用户受到境外用户的攻击 仅2009年我国被境外控制的计算机 地址就达100多万个 被黑客组织篡改的网站多达4 2万个 在受网络病毒威胁方面 去年我国仅被 飞客 蠕虫一种网络病毒感染的计算机数量每月就达1800万台 占全球感染主机总量的30 位列全球第一 漏洞多 木马 病毒猖獗 网络瘫痪 网站被篡改 系统被入侵 网银转款 网上诈骗等 6 国内安全形势不容乐观 7 Internet设计初衷 开放 自由 无国界 无时间 空间限制 虚拟性 技术设计缺陷 TCP IP 漏洞 攻击 工具 软件易获得性 计算机运算速度的加快 猜口令 8位小写字母及数字穷举 时间通常不超过30小时 应用的复杂性 对网络的依赖性增强 易安置后门 为什么如此脆弱 8 后门与漏洞 后门 美国等西方发达国家的情报机构 明确要求各大信息技术公司 在计算机通信 软件研究开发中 要按照他们的旨意设置后门和陷阱 windows计算机操作系统中都有可能预留了后门程序 漏洞 IBM公司专家认为大型软件1000 4000行程序就存在一个漏洞 象windwos系统5000万源程序可能存在20000个漏洞 微软Vista已报道发现的缺陷达到2万个 9 网络安全存在的威胁 网络 信息系统 内部 外部泄密 拒绝服务攻击 逻辑炸弹 特洛伊木马 黑客攻击 计算机病毒 信息丢失 篡改 销毁 后门 隐蔽通道 蠕虫 10 木桶原则 最大容积取决于最短的木快攻击者 最易渗透原则 目标 提高整个系统的 安全最低点 11 动态性原则 安全是相对的 不可能一劳永逸 道高一尺 魔高一丈 安全策略不断变化完善 安全投入不断增加 总投入的20 25 12 二 门户网站主要安全威胁与对策 13 1 利用漏洞进行入侵 安全事件 2005年7月至10月 某某间谍情报机关曾对我境内76所高校和研究单位所在的222个网段反复扫描 利用漏洞控制了北大 清华 北师大等高校的大量主机 从中搜获 窃取了包括863课题研究计划在内的45份违规上互联网的文件和数千份资料 江苏人陈某租住武汉 2007年7月 在网上找到黑客 委托其将某重点大学的招生网站上的数据库中的11名学生信息删除 同时非法追加另外8名学生 然后给家长验证已被录取 2008年12月5日 荆州市商务局网站 局领导变成一名三点式女郎 而局长致辞则成了一封 为女朋友庆生喝酒 的召集函 14 1 利用漏洞进行入侵 防范对策 定期备份和检查相关访问和应用日志 及时对计算机操作系统和应用程序 打补丁 安装防火墙和杀毒软件 并及时更新特征库 关闭不必要的端口和服务 15 2 利用协议缺陷进行DOS攻击 案例 2009年5月19日全国大面积网络故障 6月25日 湖北 湖南 广西 海南和上海等全国多个省市区出现网络缓慢或瘫痪现象 2009年7月7日 9日韩国总统府 国防部 外交通商部等政府部门和主要银行 媒体网站同时遭分布式拒绝服务 DDoS 攻击 美国财政部 特工处 联邦贸易委员会和交通部网站7月 日起遭到黑客持续攻击 截至当地时间 日仍处于不同程度瘫痪状态 两国共有大约 家网站受攻击 其中 家为韩国网站 韩国主要情报机构说 韩国 万台个人电脑和国外 台个人电脑遭黑客 俘虏 成为傀儡主机 沦为攻击工具 16 利用协议缺陷进行DOS攻击 什么是DOS攻击 攻击者利用因特网上成百上千的 Zombie 僵尸 即被利用主机 对攻击目标发动威力巨大的拒绝服务攻击 DenialofService DoS 拒绝服务攻击 DistributedDenialofService DDoS 分布式拒绝服务攻击 攻击者利用大量的数据包 淹没 目标主机 耗尽可用资源乃至系统崩溃 而无法对合法用户作出响应 17 DdoS攻击过程 主控主机 扫描程序 黑客 Internet 非安全主机 被控主机 应用服务器 18 2 利用协议缺陷进行DOS攻击 防范措施 在门户网站前面部署防DOS攻击设备 桌面机及时修补漏洞 免得受控成为肉鸡 加强追查打击力度 19 荆州人赵蓉的网上银行帐户上的资金被划走 2004年7月 黑龙江人付某使用了一种木马程序 挂在自己的网站上 荆州人赵蓉下载付某的软件 木马就 进入 电脑 屏幕上敲入的信息通过邮件发出 账户 密码 付某成功划出1万元 抓获付某时 他已获取7000多个全国各地储户的网上银行密码 3 利用木马进行攻击 安全事件 付某 20 3 利用木马进行攻击 生么是 木马 木马与传说中的木马一样 他们会在用户毫不知情的情况下悄悄的进入用户的计算机 进而反客为主 窃取机密数据 甚至控制系统 21 3 利用木马进行攻击 木马 的主要危害 盗取文件资料 盗取用户帐号和密码 监控用户行为 获取用户重要资料 发送QQ msn尾巴 骗取更多人访问恶意网站下载木马 22 3 利用木马进行攻击 防范对策 严禁将涉密计数机接入互联网 不随意打开不明电子邮件 尤其是不轻易打开邮件附件 不点击和打开陌生图片和网页 必须安装杀毒软件并及时升级更新 及时打补丁 所有外网PC安装360软件 定期查杀木马程序 23 4 利用 嗅探 技术窃密 安全事件 某单位干部叶某 在联接互联网的计算机上处理涉密信息 被某间谍情报机关植入 嗅探 程序 致使其操作电脑的一举一动均被监控 并造成大量涉密信息被窃 24 4 利用 嗅探 技术窃密 嗅探 技术 嗅探 是指秘密植入特定功能程序 用来记录诸如网络内部结构 键盘操作 口令密码等信息的窃密技术 攻击者首先利用漏洞或木马在计算机中植入 键盘记录程序 该程序会自动隐藏生成记录键盘信息的文件 一旦计算机重新联网 攻击者就可以从目标计算机下载键盘记录文件 并还原出编辑过的稳定内容 25 4 利用 嗅探 技术窃密 防范对策 严禁将涉密计数机接入互联网 用户联接互联网的计算机 任何情况下不得处理涉密信息 定期对上网计算机操作系统进行重装处理 PC安装360软件 定期恶意代码程序 26 5 利用数据恢复技术 安全事件 陈冠希 2006年曾托助手将其外壳彩色的手提电脑 送到中环一间计算机公司维修 其后有人把计算机中的照片制作成光盘 发放予朋友及其它人士观赏 27 5 利用数据恢复技术 数据恢复技术 数据恢复是指运用软 硬件技术对删除或因介质损坏等丢失的数据予以还原的过程 U盘或计算机硬盘存储的数据即使已被删除或进行格式化处理 使用专用软件仍能将其恢复 这种方法也因此成为窃密的手段之一 例如 窃密者使用从互联网下载的恢复软件对目标计算机的已被格式化的U盘进行格式化恢复操作后 即可成功的恢复原有文件 28 5 利用数据恢复技术 防范对策 严禁在接入互联网的计算机上使用处理过涉密信息的移动存储介质 涉密存储介质淘汰报废时必须进行彻底的物理销毁 严禁将秘密载体当做废品出售 29 6 利用口令破解攻击 安全事件 2003年2月 有关部门检测发现某间谍情报机关利用口令破解技术 对我某重要网络进行了有组织的大规模攻击 控制了57台违规上互联网的涉密计算机 窃走1550余份文件资料 30 6 利用口令破解攻击 口令破解 口令是计算机系统的第一道防线 计算机通过口令来验证身份 口令破解是指以口令为攻击目标 进行猜测破译 或避开口令验证 冒充合法用户潜入目标计算机 取得控制权的过程 即使计算机打了 补丁 安装了病毒防护软件 设置了开机口令密码 黑客仍然可以通过口令破解进入你的计算机 从而达到破坏或窃密的目的 暴力破解 是进行口令破解用得较多的方式 是指应用穷举法将建盘上的字母 数字 符号按照一定顺序进行排列组合实验 直至找到正确的口令 其过程是攻击者首先启用口令破译软件 输入目标计算机ip地址 对目标计算机进行口令破译 口令越长 口令组合越复杂 破译难度越大 所需时间越多 口令破解的时间Unix口令 6位小写字母穷举 36小时8位小写字母穷举 3年NT口令 8位小写字母及数字穷举 时间通常不超过30小时 31 6 利用口令破解攻击 防范对策 口令密码设置应当采用多种字符和数字混合编制 要有足够的长度 至少8位以上 并定期更换 涉密信息系统必须按照保密标准 采取符合要求的口令密码 智能卡或USBKey 生理特征的身份鉴别方式 32 三 门户网站具体防护手段 33 1 保持Windows升级 你必须在第一时间及时地更新所有的升级 并为系统打好一切补丁 考虑将所有的更新下载到你网络上的一个专用的服务器上 并在该机器上以web的形式将文件发布出来 通过这些工作 你可以防止你的Web服务器接受直接的Internet访问 34 2 如果你并不需要FTP和SMTP服务 请卸载它们 进入计算机的最简单途径就是通过FTP访问 FTP本身就是被设计满足简单读 写访问的 如果你执行身份认证 你会发现你的用户名和密码都是通过明文的形式在网络上传播的 SMTP是另一种允许到文件夹的写权限的服务 通过禁用这两项服务 你能避免更多的黑客攻击 35 3 设置复杂的密码 如果有用户使用弱密码 那么黑客能快速并简单的入侵这些用户的账号 36 4 设置账号锁定的策略 通过设备windows自带的安全策略设置 可对非法暴力破解口令进行有效的控制 同时审计所有登陆成功和失败的事件 37 5 使用NTFS安全 缺省地 你的NTFS驱动器使用的是EVERY0NE 完全控制权限 除非你手工关掉它们 关键是不要把自己锁定在外 不同的人需要不同的权限 管理员需要完全控制 后台管理账户也需要完全控制 系统和服务各自需要一种级别的访问权限 取决于不同的文件 最重要的文件夹是System32 这个文件夹的访问权限越小越好 在Web服务器上使用NTFS权限能帮助你保护重要的文件和应用程序 38 6 禁用多余的管理员账号 如果你已经安装IIS 你可能产生了一个TSInternetUser账户 除非你真正需要这个账户 则你应该禁用它 这个用户很容易被渗透 是黑客们的显著目标 为了帮助管理用户账户 确定你的本地安全策略没有问题 IUSR用户的权限也应该尽可能的小 39 7 网站目录权限最小化 在网站正常运行时 空间应该全部关闭写入权限 只保留需要写权限的某几个目录 同时被保留写权限的目录 必须要关闭执行权限 站点需要更新时 开放所有写入权限 更新完毕后立即关闭写入权限 原则是 有写入权限的目录 不能有执行权限有执行权限的目录 不能有写入权限这样最大限度的保证了站点的安全性 40 8 移除缺省的Web站点 很多攻击者瞄准inetpub这个文件夹 并在里面放置一些偷袭工具 从而造成服务器的瘫痪 防止这种攻击最简单的方法就是在IIS里将缺省的站点禁用 如果是一个虚拟主机 并且服务器上放置了多个域名的站点 建议对不同的站点设置不同的账号权限 读取和执行 这样可保证一个域名上的站点被黑 而不会影响到整个服务器上其它的站点 41 9 定期备份数据和程序 至少以每周一次来定期的备份网站数据和程序 对大型数据库可使用专业的快速导出工具 建议使用WinRAR类型的压缩软件进行备份 并同时设定压缩密码的加密压缩方式 如果文件较多压缩时间可能会长 可使用计划任务自动执行或采取存储压缩方式对操作系统建议每月备份一次 可直接使用GHOST 对于特殊的服务器需要RAID驱动时 建议自制一个WinPE将RAID驱动加载在该系统中 有一定难度 但很帮助特别是安装系统时无需引导盘 42 10 仔细检查 bat和 exe文件 每周搜索一次 bat和 exe文件 检查服务器上是否存在黑客最喜欢 而对你来说将是一场噩梦的可执行文件 在这些破坏性的文件中 也许有一些是 reg文件 如果你右击并选择编辑 你可以发现黑客已经制造并能让他们能进入你系统的注册表文件 你可以删除这些没任何意义但却会给入侵者带来便利的主键 或定期生成一份主机的文件列表 然后再进行文件比对 最简单的使用一条DOS命令 Dirc s a c files20100415 txtFcc files20100415 txtc files201000301 txt 43 11 定期检查访问日志对于IIS 其默认记录存放在c winnt system32 logfiles w3svc1 文件名就是当天的日期 记录格式是标准的W3C扩展记录格式 可以被各种记录分析工具解析 默认的格式包括时间 访问者IP地址 访问的方法 GETorPOST 请求的资源 HTTP状态 用数字表示 等 建议定期使用专业的日志分析工具来进行审计检查异常的访问现象 44 四 常用安全分析软件介绍 45 工欲善其事 必先利其器 autoruns 微软公司出的查看Windows启动或登录时自动运行的程序它们CCleaner225 系统优化和隐私保护工具 清除无用文件及垃圾文件HiJackThis 找恶意程序 劫持 浏览器的入口go IceSword 冰刃 检查非法进程procexp 查看进程和DLL模块DwShark1 0 0 3230 自动分析系统到处文本RegistryCleanExpert 注册表清理ComboFix 完全只能的修复系统工具 比360更强 go RKUnhooker 看系统hook的go RootkitRevealer 也是分析系统的msicuu2 WindowsInstaller清理实用工具PortableUnlocker 绿色unlock 解文件锁的工具Tcpview xp上看端口WinsockXPFix 修复tcp协议ethereal嗅探 46 Windows自带命令netstat an TCPView工具 检查其它已开放的端口 47 强制关闭顽固病毒或可疑进程 IceSword 48 检查和关闭可疑的驱动 Windows自带的驱动查看器 49 检查和关闭可疑的驱动 RKUnhooker 50 企业级修复系统漏洞 WSUS是个微软推出的网络化的补丁分发方案 是免费的 可以在微软网站上去下载 51 嗅探听包 Ethereal 52 五 安全产品 硬件 介绍 53 用于隔离两个网络 达到近似于物理隔断的效果 同时又要实现数据的安全交换的隔离设备 什么是网闸 54 网闸的组成及工作原理 硬件组成 内网机 外网机 控制开关系统 两个网卡 分别连接在内网机和外网机的主板上 用于内网机和外网机的输入输出 软件组成 开关控制软件 快速的在两个处理单元之间交换数据 外部单边代理 接收外部的请求 解析出应用协议 过滤数据内容 保证数据中不包含危险命令 内部单边代理 通过传输层软件模块接收外部处理单元传入的请求和数据 解析出应用协议 过滤数据内容 保证数据中不包含危险命令 55 开关系统是通过SCSI控制系统来实现的 电子开关控制系统 56 由于外网与内网是永远断开的 加上采用单边计算机主机模式 中断了TCP IP 中断了应用连接 屏蔽了内部的网络拓扑结构 屏蔽了内部主机的操作系统漏洞 使基于网络的攻击无机可乘 无法ping内网的任何主机 无法穿透网闸来追踪路由 traceroute 无法扫描内部网络 无法发现内网的任何主机信息 无法发现内网主机的操作系统信息 无法发现内网应用信息 无法发现内网内部主机的漏洞 无法发现内网应用的漏洞 无法同内网的主机建立通信连接 无法向内网发送IP包 无法同内网的任何主机建立TCP UDP ICMP连接 无法同内网建立网络连接 无法同内网的任何主机建立应用连接