网络信息安全培训——网站安全管理.pptx

PPT模板下载：/moban/ ;;3; 2016年全省政府网站绩效评估紧密围绕国务院办公厅和省政府办公厅政府网站建设有关文件的部署要求，以用户需求为中心，加强对网站政务公开、公共服务和政民互动等方面的考察，引导各级政府网站加强信息内容建设，进一步提升服务能力，解决政府网站存在的不及时、不准确、不回应、不实用等突出问题，加强对网站可用情况和更新维护情况的考察，确保网站健康发展。 ;以网站为载体的信息服务已全面融入生活、工作中 带来巨大工作服务模式变革 是一把双刃剑 带来巨大的安全威胁;三、全国网络安全态势;三、全国网络安全态势;三、全国网络安全态势;四、全国网站安全态势;四、全国网站安全态势;四、全国网站安全态势;五、行业网站安全态势;公开渠道看到的仅仅只是冰山一角;8.6亿条个人信息全泄露;希拉里使用私人邮件服务器处理工作邮件 罗马尼亚出租车司机Lazar入侵希拉里邮件服务器 民主党全国委员会（DNC）内部邮件泄漏数万封 WikiLeaks 公开了大量敏感内部邮件，影响美国大选;低成本、高技术、高回报;17;; OWASP(开放Web软体安全项目- Open Web Application Security Project)是一个开放社群、非营利性组织，它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。其目的是协助个人、企业和机构来发现和使用可信赖软件。目前全球有130个分会近万名会员，其主要目标是研议协助解决Web软体安全之标准、工具与技术文件，长期 致力于协助政府或企业了解并改善网页应用程式与网页服务的安全性。;OWASP TOP 10-2010;规划阶段;;三、网站面临的主要攻击风险;网站入侵： 网站遭篡改、暗链、挂马，贴反动标语;业务数据泄漏： 业务数据等敏感数据遭篡改、窃取，谋取商业利益 重要信息泄密：重要信息系统防护不到位遭攻破、保密意识淡薄引发泄密;DDos攻击：服务中断、无法正常提供服务;案例： （2）暴雪DDoS攻击 　　 今年4月，Lizard Squad组织对暴雪公司战网服务器发起DDoS攻击，包括《星际争霸2》、《魔兽世界》、《暗黑破坏神3》在内的重要游戏作品离线宕机，玩家无法登陆。名为“Poodle Corp”黑客组织也曾针对暴雪发起多次DDoS攻击，8月三起，另一起在9月。 ;案例： （3）美国大半个互联网下线事件 　　 今年10月21日，提供动态DNS服务的Dyn DNS遭到了大规模DDoS攻击，攻击主要影响其位于美国东区的服务。 　　此次攻击导致许多使用DynDNS服务的网站遭遇访问问题，其中包括 GitHub、Twitter、Airbnb、Reddit、Freshbooks、Heroku、SoundCloud,、Spotify 和 Shopify。攻击导致这些网站一度瘫痪，Twitter甚至出现了近24小时0访问的局面。 ;什么是DOS攻击： ;DdoS攻击过程;网站建设和管理不统一 内部建设各类网站数量多，建设部门杂，安全管理困难 网站日常维护缺失 网站重建设、重功能，日常安全维护较差，一些已公布的安全漏洞常常得不到修复 对网站安全不重视 由于网站的公益性 ，被入侵和篡改网页造成的损失不太明显，网站安全往往得不到重视 网站信息保护意识差 弱口令、信息泄露随处可见 软件系统漏洞 软件或系统漏洞没有及时打补丁或更新 服务器漏洞 技术能力不足或者服务商能力不足，服务器端安全服务差;五、网站面临的黑客攻击行为;五、网站面临的黑客攻击行为; 来自国内不法分子或敌对国家黑客的网络恶意攻击和入侵，列举可能的攻击情形如下： 1、针对WEB应用程序存在注入漏洞、跨站脚本漏洞、身份认证绕过等安全漏洞实施入侵攻击； 2、针对Web应用中间件（IIS、Apache、Tomcat、Jboss等）存在的安全漏洞实施入侵攻击； 3、针对网站服务器开放的其他网络端口实施入侵攻击，如21、445、3306、3389等应用服务端口；;4、针对网站服务器操作系统溢出漏洞、组件漏洞等实施攻击入侵； 5、针对WEB应用系统、中间件、数据库和操作系统的配置隐患导致的漏洞实施攻击； 6、针对网站系统周边存在的脆弱性，迂回实施攻击，如同一网段、同一主机等； 7、针对脆弱的网络协议和系统机制实施Dos，甚至DDos（分布式拒绝服务攻击），造成系统资源耗尽或网络堵塞，导致网站无法访问，甚至长时间无法恢复服务；;如何去理解黑客攻击行为？ ;黑客入侵网站的一般过程;1、踩点 踩点就是收集与目标（网站）有关的信息。比如IP地址