新媒体网站安全解决方案课件.ppt

1、专 业 务 实 学 以 致 用网络新媒体，安全新风险网络新媒体，安全新风险专 业 务 实 学 以 致 用4 4 网站安全建设方案网站安全建设方案1 1 媒体网站安全事件媒体网站安全事件3 3 攻击原理分析攻击原理分析2 2 事件影响分析事件影响分析专 业 务 实 学 以 致 用专 业 务 实 学 以 致 用专 业 务 实 学 以 致 用专 业 务 实 学 以 致 用2007年5月，allyes网站广告系统被攻击，使用该系统的网易、新浪、Tom、QQ等知名站点全部被挂马，中招者无数；专 业 务 实 学 以 致 用专 业 务 实 学 以 致 用威胁安全事件1网页挂马2蠕虫病毒3DDoS攻击4网上钓

2、鱼5垃圾邮件6黑客攻击数据泄露专 业 务 实 学 以 致 用直接发展收购肉鸡制造、控制，培训、租售学习、赚钱僵尸网络工具、病毒制作传播销售攻击工具漏洞研究、目标破解漏洞研究攻击实施者广告经纪人需求方、服务获取者、资金注入者培训我们在同一个地下产业体系对抗地下黑客攻击网络专 业 务 实 学 以 致 用依法打击网络犯罪。近年来，中国的网络犯罪呈上升趋势，各种传统犯罪与网络犯罪结合的趋势日益明显，网络诈骗、网络盗窃等侵害他人财产的犯罪增长迅互联网基础设施的建设和完善促进了互联网的普及和应用。截至2009年底，中国网民人数达到3.84亿，比1997年增长了618倍，年均增长 3，195万人，互联网普及

3、率达到28.9%，超过世界平均水平。中国境内网站达323万个，比1997年增长了2，152倍。中国拥有IPv4地址约 2.3亿个，已成为世界第二大IPv4地址拥有国。中国使用宽带上网的网民达到3.46亿人，使用手机上网的网民达到2.33亿人。中国网民上网方式已从最初以拨号上网为主，发展到以宽带和手机上网为主。中国互联网发展与普及水平居发展中国家前列。中国政府将继续致力于推动互联网的发展和普及，努力在未来5年使中国互联网的普及率达到45%，使更多人从互联网受益。速，制作传播计算机病毒、入侵和攻击计算机与网络的犯罪日趋增多，利用互联网传播淫秽色情及从事赌博等犯罪活动仍然突出。据统计，1998年公安

4、机关办理各类网络犯罪案件142起，2007年增长到2.9万起，2008年为3.5万起，2009年为4.8万起。为有效打击网络违法犯罪活动，中国法律规定，对利用互联网和针对互联网的犯罪行为，依照中华人民共和国刑法的相关规定追究刑事责任；对不构成犯罪的，依照中华人民共和国治安管理处罚法、计算机信息网络国际联网安全保护管理办法等法律法规予以行政处罚。反对任何形式的网络黑客攻击行为。中国同世界其他国家一样，面临黑客攻击、网络病毒等违法犯罪活动的严重威胁。中国是世界上黑客攻击的主要受害国之一。据不完全统计，2009年中国被境外控制的计算机IP地址达100多万个；被黑客篡改的网站达4.2万个；被“飞客”蠕

5、虫网络病毒感染的计算机每月达1，800万台，约占全球感染主机数量的30%。中国法律禁止任何形式的网络黑客行为。专 业 务 实 学 以 致 用专 业 务 实 学 以 致 用专 业 务 实 学 以 致 用媒体的特点媒体的特点一是具有时间的敏感性；二是信息流量大；三是要求保证业务稳定关的检测时间延迟过长而影响视频的收看；四是国家媒体有很多政治要求，一出问题就很麻烦。网网国新办国新办网络媒体的网络安全责任网络媒体的网络安全责任 互联网已成为国家重要的基础设施，网上信息是国家重要的战略资源，与人民群众生活密切相关。切实维护网络运行安全和网络信息安全流动，是保障国家安全和人民根本利益，促进经济发展和文化繁

6、荣，维护社会和谐稳定的根本要求。从一定意义上讲，网络媒体传播力、影响力越大，对其安全性、可靠性的要求就越高，承担的网络安全责任就越大。我国网络媒体发展在世界上并不落后，提供的信息资讯极为丰富，拥有的受众十分庞大，未来的市场空间难以估量，网民对网络媒体的关注度、依赖度不断提高。网络媒体的信息流动安全，不仅关系到网络媒体自身的形象和声誉，而且关系到互联网产业的健康发展。维护网络安全，正是为了推动网络媒体和互联网更好地发展。网络媒体业界要充分认识保障网络安全的重大意义，不断增强责任感、紧迫感和使命感，采取切实有效措施，把网络安全提高到一个新水平。新兴媒体要切实担负起维护网络信息安全的责任，努力构建健

7、康文明、安全有序的网络环境。对新媒体的期待对新媒体的期待一是要更安全。信息流动是否安全，不仅关系新媒体的形象和声誉，而且关系互联网产业的健康发展。二是要更绿色。要推进文明办网、文明上网，把整治互联网和手机媒体淫秽色情及低俗信息专项行动引向深入，努力为未成年人健康成长创造绿色健康的网络环境。三是要更诚信。社会各界要共同努力，将法律规范、行业自律和社会教育结合起来，建立和完善网络诚信体系，形成诚信为本、守信光荣的良好风尚，把中国互联网建成安全网、绿色网、诚信网。络络媒体应从哪些方面落实网络安全责任？媒体应从哪些方面落实网络安全责任？一是要切实把提高网上舆论引导能力作为维护网络安全的重大举措。二是要

8、切实把规范网络传播秩序作为维护网络安全的关键环节。三是要切实把保护未成年人身心健康放在维护网络安全的突出位置。四是要切实把推进网络媒体行业自律作为维护网络安全的重要保证。五是要切实把推进网络诚信建设作为维护网络安全的重要基础。专 业 务 实 学 以 致 用WWW网络电视台评估评估加固加固测试测试监控监控响应响应协调协调报告报告人员保证人员保证眼睛是心灵的窗户眼睛是心灵的窗户眼睛里揉不得沙子要像人的眼睛一样保护起来要像人的眼睛一样保护起来媒体门户网站专 业 务 实 学 以 致 用媒体网站的特点在于，一是网页或信息不能被篡改，二是媒体网站的视频音频播放，甚至是直播服务要保证不被黑客攻击或DDoS攻

9、击而中断。信息安全应引起管理者的足够重视。对新媒体意味着什么？导致数据丢失导致观众流失导致新媒体声誉下降网站被第三方列入“黑名单”有可能网站被整体屏蔽影响正常的媒体传播工作被媒体主管单位通报批评对观众访问者则意味着什么？导致访问者不能访问被植入木马而受到黑客控制重要数据被窃取在线交易行为被偷窥网游、网银等账号信息被窃取虚拟财产被盗的威胁 对网络监管者意味着什么？大量计算机被控制也对互联网的安全运行带来潜在威胁影响互联网产业的健康发展专 业 务 实 学 以 致 用专 业 务 实 学 以 致 用拒绝服务攻击拒绝服务攻击（系统瘫痪、停止服务（系统瘫痪、停止服务)非法入侵非法入侵（网页被篡改、被挂马（

10、网页被篡改、被挂马)恶意代码恶意代码（破坏、盗取）（破坏、盗取）诚信？和谐？诚信？和谐？跨站脚本跨站脚本（盗取、挂马）（盗取、挂马）专 业 务 实 学 以 致 用网络(物理/链路/网络)操作系统(windows/unix)应用软件(Iis/apache/sqlserver)Web程序(第三方/自开发)脆弱性脆弱性(漏洞漏洞)明文传输arp认证威胁威胁(攻击攻击)缓冲区溢出密码猜测Sql注入攻击资产资产(web服务系统服务系统)对象对象内因内因外因外因拒绝服务攻击(syn/ack/icmp floodhttp get flood)TCP/IP协议的漏洞系统级别的漏洞Sniffer/arpspoo

11、f/程序漏洞跨站脚本攻击目录遍历攻击密码窃取/突破授权/信息探测文件操控安全架构不合理安全功能不足Tcp三次握手http无连接控制弱口令缓冲区溢出未经验证的输入风险风险(损害损害)结果结果专 业 务 实 学 以 致 用什么是什么是 SQL 注入注入 SQL 注入是攻击者通过输入恶意的请求直接操作数据库服务器的攻击技巧SQL 注入产生原因注入产生原因应用开发过程中没有对用户输入进行校验和过滤SQL 注入的危害注入的危害机密数据泄漏服务器被控制 网站数据的恶意破坏 网页挂马专 业 务 实 学 以 致 用FirewallHardened OSWeb ServerApp ServerFirewallD

12、atabasesLegacy SystemsWeb ServicesDirectoriesHuman ResrcsBillingCustom CodeAPPLICATIONATTACKNetwork LayerApplication LayerAccountsFinanceAdministrationTransactionsCommunicationKnowledge MgmtE-CommerceBus.FunctionsHTTP requestSQL queryDB Table HTTP response SELECT*FROM accounts WHERE acct=OR 1=1-1.通过

13、扫描和手动探测发现应用程序包含注入点2.攻击者通过应用程序发送恶意指令3.应用程序把攻击者的输入递交给数据库查询Account SummaryAcct:5424-6066-2134-4334Acct:4128-7574-3921-0192Acct:5424-9383-2039-4029Acct:4128-0004-1234-02934.数据库运行查询指令并返回给应用程序5.应用程序把结果呈现给攻击者Account:SKU:Account:SKU:6.篡改或删除网站数据专 业 务 实 学 以 致 用专 业 务 实 学 以 致 用规划阶段开发阶段测试阶段运行阶段缺乏安全规划和意识的培养缺乏代码的安

14、全检查缺乏网站的安全测试安全规划与培训代码审计（白盒测试）黑盒/渗透测试网页存在代码漏洞缺乏对用户提交数据核查缺乏对返回网页内容过滤缺乏对被篡改网页的恢复运营维护期专 业 务 实 学 以 致 用风险事件损失恢复资产威胁影响脆弱性暴露/缓解概率事态知识预防保护风险评估资产管理威胁管理脆弱性管理访问控制监测响应事态管理事件管理问题管理响应恢复业务持续性计划（应急灾备）绿盟专家知识专 业 务 实 学 以 致 用绿盟网站安全绿盟网站安全监测服务监测服务漏洞扫描漏洞扫描挂马检测挂马检测敏感内容敏感内容平稳度监测平稳度监测网页篡改网页篡改监测站点内容，避免监测站点内容，避免法律风险法律风险监控站点运营状况

15、，监控站点运营状况，提升访问者满意度提升访问者满意度预防恶意篡改，维护形预防恶意篡改，维护形象，增强站点公信力象，增强站点公信力深入检测深入检测Web应用，直观应用，直观呈现呈现Web网站漏洞风险网站漏洞风险检索检索Web应用各个页面，挖应用各个页面，挖掘隐藏木马掘隐藏木马专 业 务 实 学 以 致 用专 业 务 实 学 以 致 用WAF部署在DMZ区：u在线双向WEB应用内容清洗，有效应对OWASP Top10（SQL注入/跨站脚本等）u事前预防+事中防护+事后补偿的网页篡改防护综合解决方案u应用层DDoS防护uWEB应用加速，优化业务资源WAF部署在媒体数据中心：u抵御WEB攻击，保护核心

16、WEB应用和敏感数据uWEB应用交付方面，降低服务响应时间、显著改善终端用户体验，提高数据中心的效率和服务器的投资回报率(ROI)WEB客户端媒体网络边界DMZ区媒体数据中心基于WEB的应用服务器集群WEB服务器集群WAFWAF防火墙端口端口80/44380/443专 业 务 实 学 以 致 用集成领先集成领先WEBWEB应用漏洞扫描技术，提供预防解决方案应用漏洞扫描技术，提供预防解决方案应用多维防护体系，有效应对应用多维防护体系，有效应对SQLSQL注入、跨站脚本及应用层注入、跨站脚本及应用层DDoSDDoS攻击攻击实时检测网页篡改，降低网站安全风险实时检测网页篡改，降低网站安全风险提供挂马

17、检测功能，维护网站公信度提供挂马检测功能，维护网站公信度提供提供High AvailabilityHigh Availability（HAHA）和）和BypassBypass，有效避免网络单点故障，有效避免网络单点故障网络网络OSWeb Server应用应用威胁威胁pOWASP Top 10 OWASP Top 10 p网页挂马网页挂马p网页篡改网页篡改p恶意扫描恶意扫描pHTTP FloodHTTP Floodp传统攻击传统攻击p“0 0”dayday攻击攻击 p网络层抗网络层抗DDoSDDoSpARPARP欺骗防护欺骗防护Tier合规合规p日志日志/监控监控p报表系统报表系统可用性可用性p

18、CachingCachingp压缩压缩pSSLSSL加速及卸载加速及卸载pHAHAp软软/硬硬BypassBypassWeb客户端防火墙防火墙端口端口80/44380/443WEB服务器群内容安全模块在线防护引擎WAFWAF目录遍历目录遍历缓存溢出缓存溢出Apache/IISApache/IIS漏洞利用漏洞利用恶意远程文件执行恶意远程文件执行XSSXSSSQLSQL注入注入跨站请求伪造跨站请求伪造网络爬虫网络爬虫网页盗链网页盗链HTTPHTTP FloodFlood恶意扫描恶意扫描蠕虫蠕虫CookieCookie篡改篡改出错信息出错信息恶意内容恶意内容违规信息违规信息WAF专 业 务 实 学

19、以 致 用要点要点流程应合理具有可操作性责任落实到人减少损失减少损失28拒绝服务攻击事件非法入侵事件恶意代码事件跨站脚本事件其他信息安全事件一般较大重大特别重大一级响应二级响应 专 业 务 实 学 以 致 用满足监管部门的安全要求，通过安全检查；满足监管部门的安全要求，通过安全检查；保证重大事件（国庆）期间的网站安全；保证重大事件（国庆）期间的网站安全；保证保证SLASLA，提高访问者满意度，留住现有客户，吸引新客户；，提高访问者满意度，留住现有客户，吸引新客户；保护新媒体的形象和声誉；保护新媒体的形象和声誉；提高运维效率和降低经济损失；提高运维效率和降低经济损失；协助安全事件取证以及事后追溯

20、；通过检查，维护用户，保护形象，事通过检查，维护用户，保护形象，事后追查后追查专 业 务 实 学 以 致 用2008年合肥在线网络安全采购项目合肥在线2009年国家新闻出版署安全产品采购合同国家新闻出版总署2009年人民日报信息管理系统安全产品采购人民日报2009年中国网2008年度设备采购项目（国际互联网络新闻宣传系统工程）中国互联网新闻中心2009年新华网SG2010UB采购新华通讯社通信技术局2009年广东电视台Web安全防护系统设备采购项目广东电视台2009年中安在线设备采购项目中安在线2009年浙江广电集团2009年网络信息安全加固产品项目浙江省广播电视集团2009年安徽电视网刀片服务器、磁盘阵列、网络设备采购项目安徽省电视台2009年合肥有线台防火墙采购项目合肥有线电视2009年电视台内网安全管理系统采购河南省电视台2009年湖北省新闻出版局电子政务项目湖北省新闻出版局2009年湖南广电安全项目湖南省广播影视集团2010年兰州电视台WAF采购项目兰州市广播电视总台2010年长春电视台web应用防护系统采购长春电视台2010年河南省新闻出版局金版大厦网络集成项目河南省新闻出版局