DevOps在重大活动网站安全保障中的应用.PDF

DevOps在重大活动网站安全保障中的应用 厦门大学 郑海山 2017/11/24 武汉大学 CONTENT 01 静态网站安全性 02 DevOps介绍 03 应用和落地 JINGTAI WANGZHAN ANQUAN XIN SUIBIAN LUANXIE NI MEIYOU ZHUYI DAO BA 01 静态网站安全性 SECURITY OF STATIC WEBSITES 01 静态网站安全性 介绍 相关信息 • 在金砖会晤和十九大期间，我们整个保障措施可以看许卓斌月初在安全工作组 会议分享的 《重点服务保障期间的安全实践》 / • 静态网页安全防护可看 《中国教育网络》2017年11月 P55页。电子版暂缺。 • DNS 安全：/images/paper/dns-query-log- analysis-system-based-on-open-source-software.pdf 01 静态网站安全性 网页传输路径 姜开达：网络安全的特点是攻防高度不对称，黑客可以一点突破引发目标全线奔溃。作为防护的一方， 全局体系任何一处都不能存在短板。 用户端浏览器 - hosts文件 - DNS - 浏览器缓存 - Safe Browsing - 证书 检查 -网关/无线/路由器 - 代理 - CDN - 防火墙 - IPS/IDS - WAF - 负载均衡 - 虚拟化宿主机 - 虚拟机 - 操作系统 - HTTP服务器 - HTTP服 务器 WAF - URL重写 - 文件载入 - 脚本解析 - URL路由分发 - Cache - 数据库 - 渲染结果 - 压缩 - HTTPS加密 - 返回 - 网络层分包 - 重组 包 - 浏览器接收 - 浏览器插件 - JS渲染 - 字符集 - 页面载入完成 《Westworld》Teddy 01 静态网站安全性 简单还是冗余 简单和冗余的平衡 漏洞扫描 /FW/WAF/IPS/IDS/DDOS/ Lynis/OpenScap/ nmap/ClamAV/chkrookit/ RootKit Hunter/Fail2ban/mod_evasive/ mod_reqtimeout/ mod_qos/OSSEC/mod_security 纵深防御 奥卡姆剃刀原则：若无必要，勿增实体 KISS （Keep It Simple, Stupid） 01 静态网站安全性 用户的问题 怼用户：你的问题，不是我的问题 云DNS投毒、CDN投毒、客户端本身ARP攻击、 客户端接入商随意插入广告甚至被人截图后PS 修改等。如发现应当及时下线，并执行检查， 如果确定非自身因素则应当及时上线，并在页 面上显著位置公布以消除不良影响。 01 静态网站安全性 通知页面 通知页面的技巧 - 对于一些存在安全隐患而被暂时性下线 的网站，可使用应用交付设备或者把 DNS导入到一个特定的通知页面，以减 少突然关闭对网站管理员和浏览者带来 的不便。 - 为避免临时性替换网站页面内容导致