高校网站安全建设方案资料.ppt

* 十六个字：通过检查，留住用户，保护形象，事后免责 * * * 专业WEB防护功能 集成领先WEB应用漏洞扫描技术，提供预防解决方案 应用多维防护体系，有效应对SQL注入、跨站脚本及应用层DDoS攻击 实时检测网页篡改，降低网站安全风险 提供挂马检测功能，维护网站公信度 提供High Availability（HA）和Bypass，有效避免网络单点故障 网络 OS Web Server 应用 威胁 OWASP Top 10 网页挂马 网页篡改 恶意扫描 HTTP Flood 传统攻击 “0”day攻击 网络层抗DDoS ARP欺骗防护 Tier 合规 日志/监控 报表系统 可用性 Caching 压缩 SSL加速及卸载 HA 软/硬Bypass Web客户端 WEB服务器群 内容安全模块 在线防护引擎 WAF 目录遍历 缓存溢出 Apache/IIS漏洞利用 恶意远程文件执行 XSS SQL注入 跨站请求伪造 网络爬虫 网页盗链 HTTP Flood 恶意扫描 蠕虫 Cookie篡改 出错信息 恶意内容 违规信息 WAF降低OWASP风险因素 网站安全风险 评估可能性因素 评估影响性因素 攻击者因素 漏洞因素 技术影响性 机会 群体 发现难易度 利用难易度 入侵检测 察觉度 损失保密性 损失完整性 损失可用性 损失审计机制 网络访问控制 网络访问控制 扫描防护 SQL注入防护 日志 扫描网站 WEB内容防护 防篡改 防篡改的缓存机制 实时监控 URL访问控制 URL访问控制 爬虫防护 跨站脚本攻击防护 实时监控 　 PCIDSS合规 网页挂马扫描 　 日志 　 　 信息安全防护 CSRF防护 　 　 HTTPS通道 　 　 　 　 　 　 Cookie安全防护 　 　 　 　 　 　 　 　 　 TCP Flood防护 　 　 　 　 　 　 　 　 　 HTTP Flood防护 　 　 　 　 　 　 　 　 　 ARP防护 　 　 　 　 　 　 　 　 　 HTTP协议防护 　 　 　 　 　 　 　 　 　 盗链防护 　 　 　 　 　 　 　 　 　 WEB内容防护 　 　 　 　 　 　 * 事后响应-应急支持体系 拒绝服务攻击事件 非法入侵事件 恶意代码事件 跨站脚本事件 其他信息安全事件 一般 较大 重大 特别重大 一级响应 二级响应 … … 要点 流程应合理 具有可操作性 责任落实到人 减少损失 网站安全的价值 满足监管部门的安全要求，通过安全检查； 保证重大事件（高考）期间的网站安全； 保证SLA，提高访问者满意度，留住现有客户，吸引新客户； 保护学校的形象和声誉； 提高运维效率和降低经济损失； 协助安全事件取证以及事后追溯； 教育网站成功用户 日期 用户 行业 产品 型号 2010/1/29 吉林省人事厅干部考试中心 教育 WAF 600 2010/2/2 广西师范学院 教育 WAF 200 2010/3/17 厦门理工学院 教育 WAF 600 2010/4/23 四川农业大学 教育 WAF 200 2009/3/16 福建工程学院 教育 WAF 600 2009/3/18 大兴区教委信息中心 教育 WAF 1200 2009/8/18 佳木斯大学 教育 WAF 200 2009/11/3 江苏教育学院 教育 WAF 200 2009/12/18 海淀区教育信息中心 教育 WAF 1200 2009/12/24 西北大学 教育 WAF 600 2009/12/31 上海市金山教育局 教育 WAF 1200 2008/11/19 广西壮族自治区人才市场 教育 WAF 200 2008/10/23 鞍山教育信息中心 教育 WAF 200 谢 谢 ！ * * * 2008年8月24日国内知名学府清华大学网站遭到攻击，攻击者捏造了一篇清华大学校长顾秉林接受采访的新闻报道，批评现行教育制度，直指“现在的各高校，包括清华与北大在内，已经没有将培养人才作为大学教育的目标”。 * 　　（2008年10月10日）武汉部分高校招生信息遭篡改，考生被骗高额手续费 　　校园网上惊现招生诈骗 　　9月底，在湖北省高职高专补录阶段，中国地质大学（武汉）校园网上的招生信息被恶意篡改。无独有偶，中南财经政法大学学生信息查询系统被人“克隆”，有考生和家长因轻信不法分子“补录”的蛊惑，交纳了几万到十几万不等的所谓“手续费”，向校方核实后才发现自己上当受骗了。 　　黑客恶意添加录取信息 　　记者调查发现，近年来，高校校园网频繁遭遇黑客等不法分子的侵袭。 　　近日，中国地质大学（武汉）招生办在对该校的招生数据进行检查时发现，一名叫“赵横森”的考生录取信息，被黑客恶意添加在录取查询信息中。这引起校方的高度重视