门户网站安全安全防护体系.ppt

1、Web门户网站安全防护方案 介、介绍案解决,神州数码安全解决方案业务部,2012-07,国家互联网应急中心（CNCERT/CC）2011年发布的中国互联网安全报告中显示，目前我国互联网安全面临最严重的问题是网站被篡改和被挂马。 黑客通过利用网站漏洞挂载恶意代码（通常是网页挂马），使得大量访问该网站的用户主机被黑客控制或丢失敏感信息。,一、Web安全防护现状（为什么要做）,国内安全现状,一、Web安全防护现状（为什么要做）,国内外安全现状,3.入侵Web系统的动机,（1）让Web服务瘫痪,一、Web安全防护现状（为什么要做）,Web攻击危害,（2）篡改网页：修改网站的页面显示，是相对比较容易的，

2、也是公众容易知道的攻击效果，对于攻击者来说，没有什么“实惠”好处，主要是炫耀自己，当然对于政府等网站，形象问题是很严重的。,Intranet,Internet,危害 损害政府形象 公布虚假信息 制造民众恐慌,A地运营商数据中心,多种攻击方式,攻击者,一、Web安全防护现状（为什么要做）,Web攻击危害,（3）挂木马：这种入侵对访问网站的用户进行攻击，挂木马的最大“实惠”是收集僵尸网络的“肉鸡”，一个知名网站的首页传播木马的速度是爆炸式的。,攻击者,网页挂马,各种页面访问,僵尸网络,肉鸡,受控,一、Web安全防护现状（为什么要做）,Web攻击危害,（4）篡改数据,一、Web安全防护现状（为什么要

3、做）,Web攻击危害,网站安全建设 驱动因素,网络环境 现实网站安全事件,安全管理需要 业务发展需要,政府监管部门要求 合规安全管理需要,一、Web安全防护现状（为什么要做）,安全开发,安全评估,安全防护,安全规划,网站安全,系统安全防计,系统安全管理,渗透测试,需求识别、分析,用户身份认证,安全加固,安全漏洞弱点检查,安全事件应急响应,在线安全监控,系统安全防护,应用安全防护,代码安全审计,开发安全培训,代码安全设计,代码安全测试,二、Web安全防护执行（怎么去做）,Web安全防护内容,I,II,III,网站建设开始即考虑应用安全防护需求,规划网站安全功能设计、系统安全防护 设计、角色身份认

4、证、系统安全管理。,安全规划贯穿网站生命周期，即从网站 制作、网站信息发布、运行维护、网站 模块升级等阶段。,安全规划,二、Web安全防护执行（怎么去做）,Web安全防护内容,I,II,III,在网站开发过程中，注重网站开发应用 安全标准、系统架构设计、安全编码设 计、安全测试规范等。,采取工具和服务结合方式进行代码开发 安全审计、测试运行安全审计、人员安 全培训。,安全开发贯穿在网站建设、网站测试、网 站升级阶段。,安全开发,二、Web安全防护执行（怎么去做）,Web安全防护内容,I,II,III,IV,安全评估主要从管理安全、物理安全、网 络安全、主机安全、应用安全、数据安全 等方面进行。

5、,进行网站安全基线评估，采用人工评估和 评估检查工具结合方式，分析网络、主机 、应用、数据库存在的技术风险，分析业 务运作和组织管理方面存在的安全缺陷,安全评估以周、月、季度为周期分别进行 ，配合安全防护设施，按周、按月提供门 户网站信息安全风险审计监测监控周报。,适时进行安全加固、安全整改，实现网站 的可持续性安全防护。,安全评估,二、Web安全防护执行（怎么去做）,Web安全防护内容,I,II,III,IV,安全防护在安全规划和安全开发基础上， 提供管理安全和技术安全支撑。,技术安全支撑实现对外部、内部的防御， 通过安全工具来实现对网站及运行环境 防护，包括服务器主机系统安全、网络 安全、

6、应用安全、物理安全、数据安全。,采用安全运维审计、系统加固、应急预案 、安全演练等服务措施确保对网站日常运 行的状态监测和应急响应处置。,建立健全网站安全管理制度、规范网站维 护流程，制订网站应急安全预案等措施。,安全防护,二、Web安全防护执行（怎么去做）,Web安全防护内容,基本安全, 第一阶段, 第二阶段,提升安全 建设,全面安全 建设,基础安全 建设, 第三阶段,主要任务是对网站安全整体防御体系的完善修补 网站安全规划、网站安全开发环节的设计、审计机制的落实与完善，安全管理制度流程的修补升级，人员安全培训等 安全防护和安全评估环节的安全演练、预案处置响应、安全技术升级等 实现“防御全面

7、化、安检定期化、服务常态化”积极探索研究主动防御体系思路,首要的任务是解决来自于外部的安全威胁 主要防范对象是互联网用户 相关基础安全措施包括，WEB应用防护（含网页防篡改及恢复）、网站安全运维服务平台系统（含漏扫安全服务）等,逐步加强对内部安全的防御控制：如内部安全域划分、人员权限访问控制、数据冗灾备份、服务器安全加固、网站应急预案处置等 根据电子商务业务的发展需要，适时调整完善外部安全防御措施，如网站多链路负载均衡、网站反钓鱼、网站安全监测监控等,全面安全,提升安全,安全防护水平,安全防护建设步骤,二、Web安全防护执行（怎么去做）,Web安全防护规划,基础关键安全防御,管理,流程,主动防

8、御,持续性整改,积极防御,安全建设第三步骤,12个月,安全建设第一步骤,评估,安全评估,技术,安全建设第二步骤,6个月,6个月,Web门户安全防御建设,二、Web安全防护执行（怎么去做）,Web安全防护规划,网页防篡改 及网站恢复,Web访问控制l,Web服务器加固,防挂马、攻击源定位,Web防攻击、防盗链,Web运营状态监测,漏洞监测与修复,Web运营数据统计,Web运营日志分析,Web安全运维响应,基础建设 安全设施,Web应用 安全防火 墙（WAF）,SSP安全运 维服务管理（WebSOC）,第一阶段 ：基础防御,二、Web安全防护执行（怎么去做）,Web安全防护阶段建设内容,安全域划分

9、,数据库安全审计,网络安全审计,流量监测与整形,数据备份与恢复,主机系统加固,安全评估与设施升级,统一认证鉴权 （业务堡垒）,安全管理体系建设,安全应急响应处置,全面建设 安全设施,第二阶段 ：完全防御,二、Web安全防护执行（怎么去做）,Web安全防护阶段建设内容,数据容灾体系建设,数据安全管理l,边界多业务安全,防火墙/ids升级,网站反钓鱼,安全应急预案,安全演练,链路负载均衡,安全定期检查,安全管理体系完善,提升建设 安全设施,第三阶段 ：提升防御,二、Web安全防护执行（怎么去做）,Web安全防护阶段建设内容,三、Web安全防护建设效果,2012,web应用防护（WFA） 安全运维平

10、台（SSP）,数据容灾系统建设 数据安全管理 边界多业务安全防御 网站反钓鱼 链路负载均衡 安全管理体系建设,1,2,3,数据库安全审计系统 网络安全审计系统 安全域划分 流量清洗设备 数据备份系统 安全评估、渗透测试 其它安全建设,防范黑客攻击 防范信息泄露 防暗链防盗链 防挂马防爬虫 防篡改及恢复 攻击源定位 安全信息采集 安全状态监测 漏洞扫描修补 日志审计分析 事件关联分析,数据库安全审计 网络行为审计 异常流量监测 数据安全备份 系统安全加固 应急预案处置 安全风险评估 管理体系建设,数据异地容灾 数据存储、传输加密 安全域隔离控制 网络钓鱼欺骗 Web访问链路均衡 安全制度、流程优

11、化,建设内容,建设内容,建设内容,建设 效果,2013,2014,Web安全防护效果,三、Web安全防护建设效果,Web安全防护,四、Web安全防护基础防御（第一阶段工作）,1、Web网站 2、服务器系统 3、数据库系统 4、互联网边界,1、主机安全 2、网络安全 3、应用安全,1、抵御互联网攻击 2、Web自身防护 3、运营/计算环境防护,防御层次,防御重点,防御效果,基础关键安全防御,四、Web安全防护基础防御（第一阶段工作）,WEB应用安全防火墙（WAF）,四、Web安全防护基础防御（第一阶段工作）,第一阶段建设系统软硬件,WEB应用安全防火墙（WAF）,四、Web安全防护基础防御（第一阶段工作）,第一阶段建设系统软硬件,WEB应用安全防火墙（WAF）,四、Web安全防护基础防御（第一阶段工作）,第一阶段建设系统软硬件,WEB应用安全防火墙（WAF）,第一阶段建设系统软硬件,四、Web安全防护基础防御（第一阶段工作）,WEB安全运维服务平台,四、Web安全防护基础防御（第一阶段工作）,第一阶段建设系统软硬件,WEB安全运维服务平台,四、Web安全防护基础防御（第一阶段工作）,第一阶段建设系统软硬件,WEB安全运维服务平台,四、Web安全防护基础防御