网站安全防护与等保测评

1、网站安全防护与等保测评,2011.3.13,培训内容,一、网站面临的安全威胁 二、网站安全的需求 三、网站安全防护产品 四、一站式网站安全服务 五、网站安全服务与等保测评,一、网站面临的安全威胁,随着互联网应用的普及，信息的获取越来越依赖于网络，从而进一步推动了互联网应用和网站建设。 随着网站建设的规模化，网站安全问题日趋严峻。根据2008年初国家计算机网络应急技术处理协调中心（简称CNCERT/CC）的统计报告，在目前所有造成严重危害的网络攻击事件中，网页篡改占到总数量的74%。 从近几年CNCERT/CC的报告可以看出，针对网站的攻击，尤其是网站篡改事件迅猛膨胀，已经成为目前危害最为严重的

2、网络安全问题，这一点从CNCERT/CC年初的报告可以看出。,一、网站面临的安全威胁,一、网站面临的安全威胁,一、网站面临的安全威胁,国家互联网应急中心(CNCERT)3月9日发布2010年互联网安全报告。 报告指出，虽然去年我国未发生重大网络安全事件，但政府网站安全防护薄弱，金融行业网站成为不法分子攻击重点目标等现象比较严重。 据CNCERT监测，2010年中国大陆有近3.5万个网站被黑客篡改，数量较2009年下降21.5%，但其中被篡改的政府网站高达4635个，比2009年上升67.6%。约60%的部委级网站存在不同程度的安全隐患。 境内近500万个主机IP地址感染木马和僵尸程序。,一、网

3、站面临的安全威胁,1、网站程序漏洞，导致受到攻击 2、网站断线 3、操作系统及网站系统弱口令 4、拒绝服务攻击 5、非法内容 ,二、网站安全的需求,在这种情况下，为了保障网站安全及互联网信息的正确可信，公安部于2005年12月1号正式颁布了互联网安全保护技术措施规定，即公安部第82号令，并要求于2006年3月1号起开始实施。 该规定在第九条第三款中明确指出：“开办门户网站、新闻网站、电子商务网站的，能够防范网站、网页被篡改，被篡改后能够自动恢复”。,二、网站安全的需求,二、网站的安全需求,发改委、公安部、国家保密局联合下发通知，要求加强和规范国家电子政务工程建设项目信息安全风险评估工作。 3部

4、委要求，国家的电子政务网络、重点业务信息系统、基础信息库以及相关支撑体系等国家电子政务工程建设项目，必须进行完整信息安全风险评估工作。 评估的主要内容包括：分析信息系统资产的重要程度，评估信息系统面临的安全威胁、存在的脆弱性、已有的安全措施和残余风险的影响等 电子政务项目涉密信息系统的信息安全风险评估，由国家保密局涉密信息系统安全保密测评中心承担。非涉密信息系统的信息安全风险评估，由国家信息技术安全研究中心、中国信息安全测评中心、公安部信息安全等级保护评估中心等三家专业测评机构承担,二、网站安全的需求,1、网站页面是否被篡改？ 2、网站是否可以访问？ 3、网站资源利用是否正常？ 4、网站服务器

5、的安全配置合理？ 5、网站有哪些攻击，这些攻击来自哪里？ 6、网站服务器的端口、进程是否正常？ ,二、网站安全的需求,二、网站安全的需求,目前，网站安全主要是由防火墙、入侵检测构成的两层防护体系，且信息来源及防御范围主要是针对网络层。当前日益严峻的网站安全问题充分说明了该体系对于网站攻击防范的局限性。 国际权威调研机构Gartner 的最新调查显示：互联网信息安全攻击有75%都是发生在 Web 应用而非网络层面上，即Web 应用是黑客攻击的主要目标。 同时，数据也显示三分之二的 Web 站点都相当脆弱，易受攻击。然而现实却是绝大多数企业将大量的投资花费在网络和服务器的安全上，没有对Web 应用

6、安全给予足够的重视，从而给黑客以可乘之机。,二、网站的安全需求,二、网站安全需求,二、网站安全的需求,从设计思想的角度分析，防火墙、入侵检测/漏洞扫描等安全类产品都需要依赖于特定的规则库来识别威胁，由于规则的形成或升级必然落后于攻击手段的变更，这在一定程度上为网站攻击提供了时间的空隙，从目前发生的大多数网站/网页被篡改的案例分析，主要是借助这个时间差进行的。 因此，基于特征库的进行安全防范的产品或系统是无法确保网站内容安全的。,二、网站安全的需求,从技术实现的角度分析，防火墙、入侵检测/漏洞扫描等安全类产品主要是针对链路层、网络层信息进行威胁识别。 然而，从近几年网站篡改的大量案例来看，攻击过

7、程所包含的信息内容在链路层、网络层都是合法的，问题其实主要出现在应用层，因此传统的安全防护体系对此类攻击的防范效果不甚理想。,三、网站的安全防护产品,为了实现针对Web应用的防护，Web应用防火墙应运而生。虽然Web应用防火墙的名字中有“防火墙”三个字，但Web应用防火墙和传统防火墙是完全不同的产品。 传统防火墙只是针对一些底层（网络层、传输层）的信息进行阻断，而Web应用防火墙则深入到应用层，对所有应用信息进行过滤，这是Web应用防火墙和传统防火墙的本质区别。,三、网站的安全防护产品,Web应用防火墙作为一种专业的Web安全防护工具，基于对HTTP/HTTPS流量的双向解码和分析，可应对HT

8、TP/HTTPS应用中的各类安全威胁，如SQL注入、XSS、跨站请求伪造攻击（CSRF）、Cookie篡改以及应用层DDoS（CC攻击）等，能有效解决网页篡改、网页挂马、敏感信息泄露等安全问题，充分保障Web应用的高可用性和可靠性。 Web应用防火墙位于Web客户端和Web服务器之间，分析应用程序层的通信，从而发现违反预先定义好的安全策略的行为。 目前市场上既有硬件的、也有软件的Web应用防火墙，如 飞塔、梭子鱼、F5等、国内的如安恒、铱迅、中创等。,三、网站的安全防护产品,一些安全设备厂商也推出了利用其产品针对网站的7*24小时远程安全监测的专业安全服务。通过不间断的远程监测，为客户网站提供

9、安全检查、安全事件监测、实时响应和安全趋势分析等服务，当监测到用户网站遇到风险状况后，这些厂商会在第一时间确认并通知用户，同时提供专业的解决方案建议。 目前提供此类服务的厂商有绿盟、 知道创宇等。,三、网站的安全防护产品,但上述方式也有对用户不方便之处，Web应用防火墙可以提供对Web应用的检测、过滤和防护，但是需要专业人员的维护，并且对未知的异常事件检测能力不足；而厂商的远程安全监测服务可以提供定期的远程网站安全检查和实时响应、趋势分析等，但是不能实时的阻断对网站的攻击和入侵。 若能结合这2者的优点，取长补短，则能给网站提供全面、立体的安全防护体系一站式网站安全服务。,四、一站式网站安全服务

10、,四、一站式网站安全服务,网站安全监测平台结合网站端自动安全防护和监测端7*24小时实时监测，监测范围包括网站服务器系统资源利用情况、系统安全事件、应用层安全事件、网站页面正常情况、Web服务器状态等。对网站提供双重保护，在应用层拦截针对网站的各种攻击，实时监测、及时告警。,四、一站式网站安全服务,主要功能模块,网站安全保护系统,URL 攻击 过滤,性能监测,安全扫描,端口进程分析,文件防篡改,安全日志采集,授权注册,黑名单,四、一站式网站安全服务,在线注册申请,客户,监控中心审核人,客户 Web server,WAPSPS 服务端,WAPSPS DB,WAPSPS 控制台,攻击动画展示,注册

11、内容合法吗？,OK,WAPSPS统一授权平台,日志Web发布平台,WAPSPS 客户端安装激活,WAPSPS 客户端,正版?,是正版,下载客户端及授权文件,控制台添加客户信息,黑客攻击,控制台攻击告警,动画攻击告警,攻击告警,攻击日志发布,统计报表,四、一站式网站安全服务,四、一站式网站安全服务,何谓一站式服务？ 把网站系统的安全评估、渗透测试、7*24小时的安全监测、应急响应都打包在安全服务的套餐里，为用户提供真正贴心的、一条龙的信息安全服务，其方案比较彻底、完善地解决了目前网站的多层次安全需求。,五、网站安全服务与等保测评,五、网站安全服务与等保测评,等保测评主要科目 安全技术：物理安全、网络安全、 主机安全、应用安全、数据安全 安全管理：安全管理机构、安全管 理制度、人员安全管理、系统建设 管理、系统运维管理,五、网站安全服务与等保测评,安全技术测评 配置核查：利用上机验证的方式检查应用系统、主机系统、数据库系统以及网络设备的配置是否正确 工具测试：利用技术工具对系统进行测试，包括基于网络探测和基于主机审计的漏洞扫描、渗透测试、性能测试、入侵检测和协议分析等,五、网站安全服务与等保测评,网站安全一站式服务 A类：扫描+核查+渗透测试+服务器加固 +应急响应+网