資源描述:
《門戶網(wǎng)站安全安全防護(hù)體系》由會員上傳分享�����,免費(fèi)在線閱讀����,更多相關(guān)內(nèi)容在教育資源-天天文庫。
1���、Web門戶網(wǎng)站安全防護(hù)方案介����、介紹案解決神州數(shù)碼安全解決方案業(yè)務(wù)部2012-07國家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT/CC)2011年發(fā)布的中國互聯(lián)網(wǎng)安全報告中顯示,目前我國互聯(lián)網(wǎng)安全面臨最嚴(yán)重的問題是網(wǎng)站被篡改和被掛馬��。黑客通過利用網(wǎng)站漏洞掛載惡意代碼(通常是網(wǎng)頁掛馬)�����,使得大量訪問該網(wǎng)站的用戶主機(jī)被黑客控制或丟失敏感信息�。一、Web安全防護(hù)現(xiàn)狀(為什么要做)國內(nèi)安全現(xiàn)狀2012年5月8日��,“京東商城“2000余賬戶被盜事件嫌疑犯落網(wǎng)�。其數(shù)據(jù)來源于2011年CSDN及天涯論壇泄露的數(shù)據(jù)。檢方建議”京東商城”
2�����、全面落實國家信息安全等級保護(hù)制度�����,���,加強(qiáng)技術(shù)安全防護(hù)措施���。2011年6月,美國花旗銀行系統(tǒng)遭黑客入侵��,大批信用卡持有者的個人信息被非法竊取�����。2011年5月���,索尼BMG的希臘網(wǎng)站遭到黑客入侵�����,數(shù)據(jù)庫被攻破����,大量的用戶信息遭竊?����?����;2011年4月,索尼的在線網(wǎng)站PSN(PlayStationNetwork)遭黑客入侵���,接近1億用戶的信息被竊?���?����;2011年4月2011年5月2011年6月2012年5月一����、Web安全防護(hù)現(xiàn)狀(為什么要做)國內(nèi)外安全現(xiàn)狀3.入侵Web系統(tǒng)的動機(jī)防火墻IDS/IPSDoS攻擊端口掃描網(wǎng)
3、絡(luò)層模式攻擊已知Web服務(wù)器漏洞上傳木馬網(wǎng)頁篡改惡意執(zhí)行注入式攻擊Web服務(wù)器數(shù)據(jù)庫服務(wù)器Web應(yīng)用應(yīng)用服務(wù)器防火墻入侵防御(1)讓W(xué)eb服務(wù)癱瘓一�、Web安全防護(hù)現(xiàn)狀(為什么要做)Web攻擊危害(2)篡改網(wǎng)頁:修改網(wǎng)站的頁面顯示,是相對比較容易的��,也是公眾容易知道的攻擊效果�����,對于攻擊者來說�����,沒有什么“實惠”好處,主要是炫耀自己�����,當(dāng)然對于政府等網(wǎng)站�,形象問題是很嚴(yán)重的���。IntranetInternet危害損害政府形象公布虛假信息制造民眾恐慌A地運(yùn)營商數(shù)據(jù)中心多種攻擊方式攻擊者一�、Web安全防護(hù)現(xiàn)狀(為什么
4���、要做)Web攻擊危害(3)掛木馬:這種入侵對訪問網(wǎng)站的用戶進(jìn)行攻擊���,掛木馬的最大“實惠”是收集僵尸網(wǎng)絡(luò)的“肉雞”,一個知名網(wǎng)站的首頁傳播木馬的速度是爆炸式的��。攻擊者網(wǎng)頁掛馬各種頁面訪問僵尸網(wǎng)絡(luò)肉雞受控一�����、Web安全防護(hù)現(xiàn)狀(為什么要做)Web攻擊危害(4)篡改數(shù)據(jù)一�����、Web安全防護(hù)現(xiàn)狀(為什么要做)Web攻擊危害網(wǎng)站安全建設(shè)驅(qū)動因素網(wǎng)絡(luò)環(huán)境現(xiàn)實網(wǎng)站安全事件安全管理需要業(yè)務(wù)發(fā)展需要政府監(jiān)管部門要求合規(guī)安全管理需要一、Web安全防護(hù)現(xiàn)狀(為什么要做)安全開發(fā)安全評估安全防護(hù)安全規(guī)劃網(wǎng)站安全系統(tǒng)安全防計系統(tǒng)安全
5���、管理滲透測試需求識別�、分析用戶身份認(rèn)證安全加固安全漏洞弱點檢查安全事件應(yīng)急響應(yīng)在線安全監(jiān)控系統(tǒng)安全防護(hù)應(yīng)用安全防護(hù)代碼安全審計開發(fā)安全培訓(xùn)代碼安全設(shè)計代碼安全測試二���、Web安全防護(hù)執(zhí)行(怎么去做)Web安全防護(hù)內(nèi)容IIIIII網(wǎng)站建設(shè)開始即考慮應(yīng)用安全防護(hù)需求規(guī)劃網(wǎng)站安全功能設(shè)計���、系統(tǒng)安全防護(hù)設(shè)計、角色身份認(rèn)證�����、系統(tǒng)安全管理�。安全規(guī)劃貫穿網(wǎng)站生命周期,即從網(wǎng)站制作����、網(wǎng)站信息發(fā)布、運(yùn)行維護(hù)��、網(wǎng)站模塊升級等階段。安全規(guī)劃二����、Web安全防護(hù)執(zhí)行(怎么去做)Web安全防護(hù)內(nèi)容IIIIII在網(wǎng)站開發(fā)過程中,注重網(wǎng)站
6�����、開發(fā)應(yīng)用安全標(biāo)準(zhǔn)�����、系統(tǒng)架構(gòu)設(shè)計�、安全編碼設(shè)計�����、安全測試規(guī)范等�。采取工具和服務(wù)結(jié)合方式進(jìn)行代碼開發(fā)安全審計、測試運(yùn)行安全審計�、人員安全培訓(xùn)。安全開發(fā)貫穿在網(wǎng)站建設(shè)���、網(wǎng)站測試�����、網(wǎng)站升級階段����。安全開發(fā)二、Web安全防護(hù)執(zhí)行(怎么去做)Web安全防護(hù)內(nèi)容IIIIIIIV安全評估主要從管理安全��、物理安全���、網(wǎng)絡(luò)安全�����、主機(jī)安全�、應(yīng)用安全��、數(shù)據(jù)安全等方面進(jìn)行�。進(jìn)行網(wǎng)站安全基線評估,采用人工評估和評估檢查工具結(jié)合方式���,分析網(wǎng)絡(luò)���、主機(jī)、應(yīng)用、數(shù)據(jù)庫存在的技術(shù)風(fēng)險���,分析業(yè)務(wù)運(yùn)作和組織管理方面存在的安全缺陷安全評估以周�、月��、季度
7����、為周期分別進(jìn)行,配合安全防護(hù)設(shè)施�����,按周��、按月提供門戶網(wǎng)站信息安全風(fēng)險審計監(jiān)測監(jiān)控周報�����。適時進(jìn)行安全加固��、安全整改�,實現(xiàn)網(wǎng)站的可持續(xù)性安全防護(hù)����。安全評估二���、Web安全防護(hù)執(zhí)行(怎么去做)Web安全防護(hù)內(nèi)容IIIIIIIV安全防護(hù)在安全規(guī)劃和安全開發(fā)基礎(chǔ)上,提供管理安全和技術(shù)安全支撐���。技術(shù)安全支撐實現(xiàn)對外部���、內(nèi)部的防御,通過安全工具來實現(xiàn)對網(wǎng)站及運(yùn)行環(huán)境防護(hù)��,包括服務(wù)器主機(jī)系統(tǒng)安全�、網(wǎng)絡(luò)安全、應(yīng)用安全����、物理安全、數(shù)據(jù)安全�����。采用安全運(yùn)維審計��、系統(tǒng)加固���、應(yīng)急預(yù)案�、安全演練等服務(wù)措施確保對網(wǎng)站日常運(yùn)行的狀態(tài)監(jiān)測和應(yīng)
8、急響應(yīng)處置����。建立健全網(wǎng)站安全管理制度、規(guī)范網(wǎng)站維護(hù)流程�,制訂網(wǎng)站應(yīng)急安全預(yù)案等措施。安全防護(hù)二�����、Web安全防護(hù)執(zhí)行(怎么去做)Web安全防護(hù)內(nèi)容基本安全~第一階段~第二階段提升安全建設(shè)全面安全建設(shè)基礎(chǔ)安全建設(shè)~第三階段主要任務(wù)是對網(wǎng)站安全整體防御體系的完善修補(bǔ)網(wǎng)站安全規(guī)劃����、網(wǎng)站安全開發(fā)環(huán)節(jié)的設(shè)計、審計機(jī)制的落實與完善��,安全管理制度流程的修補(bǔ)升級����,人員安全培訓(xùn)等安全防護(hù)和安全評估環(huán)節(jié)的安全演練�����、預(yù)案處置響應(yīng)、安全技術(shù)升級等實現(xiàn)“
