网络应用安全检测和防护.pptVIP

通过脚本，攻击者劫持会话，破坏网站，插入恶意内容等。 电子政务的安全 * 电子政务的安全 * 电子政务的安全 * 电子政务的安全 * 电子政务的安全 * 电子政务的安全 * 电子政务的安全 * 电子政务的安全 * 一、赴检查点前，使用扫描工具在国家局远程扫描联网直报和门户网站等重要应用系统漏洞。 二、查看本次检查表格的填写情况和重要信息系统及网站等信息系统的落实信息安全等级保护制度要求情况，以及信息安全规划和建设等工作开展情况。 电子政务的安全 * 电子政务的安全 * 网站安全防护 一、管理层面 二、技术层面 1、硬件防护 2、软件防护 * 局数据管理中心安全管理处 * * 局数据管理中心安全管理处 * 网站攻击防护，如SQL注入、XSS攻击、CSRF攻击、网页木马、网站扫描、操作系统命令攻击、文件包含漏洞攻击、目录遍历攻击和信息泄露攻击 应用隐藏，用于隐藏应用服务器的版本信息，防止攻击者根据版本信息查找相应的漏洞 口令防护，用于防止攻击者暴力破解用户口令，获取用户权限 权限控制，用于防止上传恶意文件到服务器和对正在维护的URL目录进行保护 登录防护、HTTP异常检测、CC攻击防护、网站扫描防护、缓冲区溢出检测 DLP服务器数据防泄密，针对日益严重服务器数据泄密事件 网站安全防护内容 * 局数据管理中心安全管理处 * 1、替换整个网页 2、插入新链接 3、替换网站图片文件（最常见） 4、小规模编辑网页（仅精确） 5、因网站运行出错导致结构畸变 6、新增一个网页 7、删除一个网页 可能与网页篡改有关的网站变化 网页防篡改 * 局数据管理中心安全管理处 * 网页防篡改流程 第一步：抓取正常网页内容并缓存 第二步：对比客户获取网页与缓存网页 第三步：出现网页篡改 1.还原网站，客户访问的结果和原来一样 2.返回维护页面，维护页面可以默认的，或者自定义html页面，或者重定向篡改前页面或者重定向到某个站点 * 局数据管理中心安全管理处 * 目录 安全检查工作 《国家统计局办公室关于开展全国统计系统重要信息系统和重点网站安全检查工作的通知》 （国统办数管字〔2015〕39号）开展安全检查工作。 根据公安部《关于开展国家级重要信息系统和重点网站安全执法检查工作的通知》（公传发〔2015〕253号）要求，国家统计局将在全国统计系统组织开展国家级重要统计信息系统和重点网站安全检查工作。 * 局数据管理中心安全管理处 * * 局数据管理中心安全管理处 * 安全检查工作 安全检查工作 根据《国家统计局办公室关于开展全国统计系统重要信息系统和重点网站安全检查工作的通知》（国统办数管字〔2015〕39号）要求，国家统计局将组成检查组，对部分单位开展现场检查工作。 检查内容 通知的落实情况、自查工作的组织开展情况、等级保护工作开展和自查发现的问题及安全隐患等。 * 局数据管理中心安全管理处 * 安全检查工作 检查形式 （一）远程检查。 （二）现场检查。 * 局数据管理中心安全管理处 * 结束语 要清醒认识我们面临的威胁，搞清楚哪些是潜在的，哪些是现实的，哪些可能变成真正的攻击，哪些可以通过政治经济外交等手段予以化解；哪些需要密切监视防患于未然，哪些必须全力予以打击；哪些可能造成不可弥补的损失，哪些损失可以容忍，减少不计成本的过度防范。 * 局数据管理中心安全管理处 * * 局数据管理中心安全管理处 * 谢谢网站安全检查和防护，我们在历年的信息安全考核工作中已经加入了这方面的考核。可能在座的有些同事接触过，有些同事这方面可能接触的比较少，今天就由我给大家介绍一下网站安全检查和防护的情况。 电子政务的安全 * 电子政务的安全 * 电子政务的安全 * 电子政务的安全 * 电子政务的安全 * 电子政务的安全 * 1、部分政府、企事业单位重视网站建设和内容更新，对网站的安全重视不够，大部分自建网站疏于管理、托管的网站安全责任不清。 2、网站在上线运行前，没有前置安全审批，导致很多政府、企事业单位网站没有基本的安全保障就上线运行。尤其是目前中小政府和企事业网站众多，比较分散，安全管理难度大。 新的网站系统，或者改版后的网站，一定要进行上线前检查。 3、大部分地方政府部门，企事业单位的网络安全技术力量不够，网站安全管理制度和安全防火措施缺乏，安全漏洞和隐患多，常见的漏洞未及时修复加固，防入侵，防攻击、放篡改能力不强。 4、网站安全监测能力不强，网站被攻击后，应急恢复与保障不到位。 电子政务的安全 * 电子政务的安全 * 电子政务的安全 * 统计系统网站，在我们2015年4月对局、队、地市局的抽查中，有47%的网站存在漏洞，其中有28,4%的网站存在高危漏洞。 电子政务的安全 * 电子政务的安全 * 电子政务的安全