三明教育系统网站安全会议v

三明教育系统

网站安全威胁报告及应对措施福建省海峡信息技术有限公司资深安全顾问

杨业良158602898392016年07月December11,2023SiInfoTechWedoprofessionalwork检查汇总SiInfoTech2016年三明教育系统网站监控扫描结果汇总Wedoprofessionalwork结果汇总之一：高危网站比例之大SiInfoTechSiInfoTech25个网站中19个网站存在高危漏洞!!!WedoprofessionalworkSiInfoTech结果汇总之二：高危漏洞数量之多December11,20235WedoprofessionalworkSiInfoTech结果汇总之一：高危漏洞危害之深-SQL注入December11,20236WedoprofessionalworkSiInfoTech结果汇总之二：高危漏洞危害之深-XSS脚本December11,20237WedoprofessionalworkSiInfoTech结果汇总之三：高危漏洞危害-IIS目录泄露December11,20238WedoprofessionalworkSiInfoTech结果汇总之四：高危漏洞危害-暗链网站高危漏洞被入侵后危害总结December11,20239网站被篡改，损害学校形象、毒害学生身心、增加政治风险网站被挂马危害访问者（家长，老师，学生）的经济利益网站服务器成肉鸡，危害互联网安全网站数据库被窃取、篡改，影响学生录取和毕业网站敏感数据泄露，学生教师信息被贩卖，社会危害大Wedoprofessionalwork原因分析SiInfoTech原因剖析1—层出不穷的漏洞使数据轻易暴露在攻击者面前Wedoprofessionalwork原因分析SiInfoTech原因剖析2—应用安全黑客的阵地已经转移到应用层上黑客的阵地已经转移到应用层上网络边界防护日趋完善，应用软件却漏洞百出应用软件漏洞根源来自于开发代码不完善观点二：

应用层攻击占了黑客攻击的85%网站开发者界面是否美观功能是否完善用户体验。。。微软的漏洞好补、自己开发应用漏洞怎么补？Wedoprofessionalwork原因分析SiInfoTech原因剖析3—安全管理难以落实安全配置不当成了害群之马

冰冷的设备只能抵御部分攻击不合适配置的设备只是一堆废铁安全管理1.服务运维配置不当2.缺乏专业人员3.远程管理4.应用程序配置不当5.系统认证薄弱/弱口令6.权限认证不当/越权访问7.安全意识薄弱8。。。。。Wedoprofessionalwork原因分析SiInfoTech原因剖析4—安全措施不足现有措施防火墙：针对端口、服务、IP地址过滤网页防篡改：篡改后恢复仅此够安全了吗？观点四：

安全措施过于薄弱无法适应互联网的动态威胁变化及攻击互联网漏洞攻击280端口HTTP请求5/web/n2/productview.asp?id=975SQL注入攻击过程演示(1)IDS局域网交换机防火墙Web服务器DB服务器3Select*fromproductwhereid=9714……AK47M188DBS003……typeDevicenameDeviceNo正常访问流程Wedoprofessionalwork原因分析SiInfoTech互联网漏洞攻击580端口HTTP请求25/web/n2/productview.asp?id=97;drop%20table%20dbappsecurity_new--SQL注入攻击过程演示(2)IDS局域网交换机防火墙Web服务器DB服务器3Select*fromproductwhereid=97；Droptabledbappsecurity_newSQL注入攻击流程1……AK47M188DBS003……typeDevicenameDeviceNo4命令已执行成功Wedoprofessionalwork原因分析SiInfoTechWedoprofessionalwork原因分析SiInfoTech原因剖析5—安全问题是“人与人”之间的较量每个安全事件的背后，都是拥有智慧的“人”

内部人员、运维人员、开发人员的安全意识不强，需要加强培训。赢得安全的先机，必须引入“专家队伍”来进行公平对抗观点五：安全对抗是“人与人”的智慧较量答案在哪，如何应对？Wedoprofessionalwork安全保障SiInfoTech如何防范于未然？2023/12/1118《互联网安全保护技术措施规定》（公安部第82号令）第七条：互联网服务提供者和联网使用单位应当落实以下互联网安全保护技术措施：

（三）记录并留存用户登录和退出时间、主叫号码、账号、互联网地址或域名、系统维护日志的技术措施；

第九条：提供互联网信息服务的单位除落实本规定第七条规定的互联网安全保护技术措施外，还应当落实具有以下功能的安全保护技术措施：

（三）开办门户网站、新闻网站、电子商务网站的，能够防范网站、网页被篡改，被篡改后能够自动恢复；

2023/12/1119SiInfoTech第二十五条

国家建设网络与信息安全保障体系，提升网络与信息安全保护能力，加强网络和信息技术的创新研究和开发应用，实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控；加强网络管理，防范、制止和依法惩治网络攻击、网络入侵、网络窃密、散布违法有害信息等网络违法犯罪行为，维护国家网络空间主权、安全和发展利益。第二百八十六条之一：“网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，有下列情形之一的，处三年以下有期徒刑、拘役或者管制，并处或者单处罚金：“(一)致使违法信息大量传播的；“(二)致使用户信息泄露，造成严重后果的；“(三)致使刑事案件证据灭失，情节严重的；“(四)有其他严重情节的。“单位犯前款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照前款的规定处罚。“有前两款行为，同时构成其他犯罪的，依照处罚较重的规定定罪处罚。”SiInfoTech三分技术七分管理2023/12/1120SiInfoTech七分管理-管理前提《商学院》的一篇文章，《别忘了关门》

信息安全除了是故事中的围栏之外，还是那道千万别忘记关的门，还有那颗别忘了关门的心———

安全意识安全意识-管理的前提212023/12/111.网络管理Wedoprofessionalwork安全保障SiInfoTech1.1.远程管理及维护非许可IP登录访问远程访问非默认端口如3389非许可IP登录FTP访问安全设备暴露在互联网访问弱口令MAC绑定临时申请IP访问1.2.技术措施及管理是否配备防火墙、web墙、防篡改等措施；防火墙策略是否合理WAF是否生效，测试上传、SQL注入、XSS测试防篡改策略、篡改恢复时间、日常维护是否从后端操作；开放端口Wedoprofessionalwork安全保障SiInfoTech2.1服务器管理网站前后台未分离服务器配置不当，权限过大安装杀毒软件2.2日常维护操作系统是否开启日志记录；定期检查记录多余帐号处理管理员帐号弱口令杀毒软件病毒库定期更新系统补丁及时更新2.系统管理及维护Wedoprofessionalwork安全保障SiInfoTech3.Web应用管理及维护3.1.web管理Web渗透测试/漏洞挖掘上线测试（病态运行）网站后台管理删除测试或已停用的旧网站3.2.日常维护定期web漏洞扫描并加固根目录是否存在备份文件网站后台是否为弱口令IIS/apache是否开启日志3.Web应用管理及维护Wedoprofessionalwork安全保障SiInfoTech人员管理专业培训意识培训责任管理：明确“谁发布，谁负责”制度安全责任书网站系统年检，纳入考核制度规范安全事件报告处置应急预案、应急演练机房制度、校园网制度、计算机教室管理制度5.安全管理SiInfoTech三分技术七分管理2023/12/1126网站群等级保护安全防护WedprofessionalworkSiInfoTech…..前置服务器门户网站WEB服务器群数据库服务器其它安全区域边界防护区服务器区WEBWEBInternet*WEB应用防护抗攻击防火墙：访问控制WEB应用防护抗攻击系统：主动防御网页防篡改：被动防御安全服务*防火墙运维审计网络管理*网页防篡改安全运维区海峡信息远程漏洞扫描7.X24小时监控网站可用性监控挂马、暗链监控构建主动加被动的防御体系！堡垒机VPN远程运维2023/12/1128SiInfoTech统一建设网站群收益第一：网