【5A版】网络信息安全培训—网站安全管理.pptxVIP

网站安全问题及策略 PPT模板下载：/moban//moban/ 321当前网站安全形式形势网站面临的主要安全威胁网站常见安全问题及整改策略 目 录1第一部分当前网站安全形势一、门户网站绩效评估 2016年全省政府网站绩效评估紧密围绕国务院办公厅和省政府办公厅政府网站建设有关文件的部署要求，以用户需求为中心，加强对网站政务公开、公共服务和政民互动等方面的考察，引导各级政府网站加强信息内容建设，进一步提升服务能力，解决政府网站存在的不及时、不准确、不回应、不实用等突出问题，加强对网站可用情况和更新维护情况的考察，确保网站健康发展。四个方面要求网站健康信息内容功能渠道保障能力二、网站安全背景以网站为载体的信息服务已全面融入生活、工作中带来巨大工作服务模式变革是一把双刃剑带来巨大的安全威胁三、全国网络安全态势三、全国网络安全态势三、全国网络安全态势四、全国网站安全态势被篡改网站数量为 3248 个，其中政府网站74个；被植入后门的网站数量为1919 个，其中政府网站48个。四、全国网站安全态势被篡改网站数量为 3248 个，其中政府网站86个；被植入后门的网站数量为1919 个，其中政府网站36个。四、全国网站安全态势五、行业网站安全态势网站受攻击情况 二季度，通报成员单位安全防护设备检测到的行业门户网站受攻击次数为3985786次，环比第一季度增加12.6%。 三季度，通报成员单位安全防护设备检测到的行业门户网站受攻击次数为3882306次，环比第二季度减少2.6%。网页篡改，挂马，暗链，数据泄漏公开渠道看到的仅仅只是冰山一角安全事件层出不穷安全观滞后于互联网发展普遍缺乏安全体系和人员无处不在的信息泄漏8.6亿条个人信息全泄露Hillary vs Trump希拉里使用私人邮件服务器处理工作邮件罗马尼亚出租车司机Lazar入侵希拉里邮件服务器民主党全国委员会（DNC）内部邮件泄漏数万封WikiLeaks 公开了大量敏感内部邮件，影响美国大选黑色产业链和专业攻击团队专业化低成本、高技术、高回报2第二部分网站面临的主要安全威胁一、网站安全威胁拒绝服务攻击（系统瘫痪、停止服务)跨站脚本（盗取、挂马）恶意代码（破坏、盗取）诚信？和谐？… …非法入侵（网页被篡改、被挂马)一、网站安全威胁 OWASP(开放Web软体安全项目- Open Web Application Security Project)是一个开放社群、/view/449763.htm非营利性组织，它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。其目的是协助个人、企业和机构来发现和使用可信赖软件。目前全球有130个分会近万名会员，其主要目标是研议协助解决Web软体安全之标准、工具与技术文件，长期 致力于协助政府或企业了解并改善网页应用程式与网页服务的安全性。一、网站安全威胁OWASP TOP 10-2010序号网站安全漏洞1?A1-注入2?A2-跨站脚本（XSS）3?A3-错误的认证和会话管理4?A4-不正确的直接对象引用5?A5-伪造跨站请求（CSRF）6?A6-安全性误配置7?A7-限制远程访问失败8?A8-未验证的重定向和传递9?A9-不安全的加密存储10?A10-不足的传输层保护二、网站安全威胁产生原因运营维护期缺乏代码的安全检查缺乏安全规划和意识的培养缺乏网站的安全测试规划阶段开发阶段测试阶段运行阶段网页存在代码漏洞缺乏对用户提交数据核查缺乏对返回网页内容过滤缺乏对被篡改网页的恢复二、网站安全威胁产生原因脆弱性(漏洞)风险(损害)威胁(攻击)内因结果外因密码窃取/突破授权/……文件操控信息探测弱口令安全功能不足缓冲区溢出安全架构不合理明文传输arp认证……Sniffer/arpspoof/……Tcp三次握手http无连接控制……网络(物理/链路/网络)对象资产(web服务系统)操作系统(windows/Linux)缓冲区溢出拒绝服务密码猜测应用软件(Iis/apache/sqlserver)非法入侵程序漏洞系统级别的漏洞TCP/IP协议的漏洞未经验证的输入拒绝服务攻击(syn/ack/icmp floodhttp get flood……)目录遍历攻击跨站脚本攻击Sql注入攻击Web程序(第三方/自开发)恶意代码跨站脚本三、网站面临的主要攻击风险三、网站面临的主要攻击风险网站入侵： 网站遭篡改、暗链、挂马，贴反动标语三、网站面临的主要攻击风险业务数据泄漏： 业务数据等敏感数据遭篡改、窃取，谋取商业利益重要信息泄密：重要信息系统防护不到位遭攻破、保密意识淡薄引发泄密三、网站面临的主要攻击风险DDos攻击：服务中断、无法正常提供服务案例： （1）猖獗的勒索软件　2016年勒索软件确实带来了很多麻烦，最广为人知的就是好莱坞长老会医学中心的事件。今年2月，攻击者通