0高校网站安全建设方案.pptVIP

? 2010 绿盟科技 教育网站安全建设方案 绿盟科技 2010 年 6 月 限制分发 ——网站安全专家 4 网站安全建设方案 1 教育网站安全事件 3 攻击原理分析 2 事件影响分析 1 、教育网站安全事件 Case1: 国内某知名大学网站被篡改 骗子忽悠考生家长可以帮忙进入理想高校 骗子收取家长手续费 骗子造假录取通知书发给考生 骗子雇佣黑客篡改招生网数据，修改考生 录取信息 最终骗子被武汉警方抓获 Case2: 武汉某高校招生网被篡改 Case3 ：政府网上验证事件 入侵 网站 修改数 据库 办理 假证 贩卖 假证 使用 假证 办理从 业许可 证 2008 年 6 月，某省政务网站使用单位向监管部门报案，他们的网站数据库被人篡改，有 人借此造假、牟取暴利。犯罪团伙利用网站存在的漏洞，使用黑客工具攻击政府部门网 站，篡改多个省份政府网站数据库资料，其中一人两个月牟利达 200 多万元 。 先后入侵了江西省卫生厅、湖 北省卫生厅、贵州省人事厅、 四川省人事厅、江苏省教育厅、 辽宁省建设厅、湖北省荆州市 人事局等 11 个网站；每开一个 “后门” 2700 元的价格成交 修改相关数据 700 余个 . 每上 传一个客户的信息数据 , 就收 取 1200 至 2000 元不等费用 《四、六级英语考试成绩单》 《医师资格证书》 《建筑师证书》 《教师资格证》 高考前后挂马严重 2 、事件影响分析 教育主题网站 学校门户网站很重要 电子 教务 眼睛是心灵的窗户 眼睛里揉 不得 沙子 要像人的眼睛一样保护起来 学校 门户 网站 被攻击后果很严重 高校网站被挂马是个比较普遍的现象， 占挂马网站总量的 20% 以 上 。高校网站频繁被黑客入侵，应引起校方的足够重视。 对学校意味着什么？ 导致数据丢失 导致学校声誉下降 丧失评优资格 网站被第三方列入“黑名单” 有可能网站被整体屏蔽 影响正常的招生工作 被教育主管单位通报批评 对访问者则意味着什么？ 导致学生和其他访问者中毒 被植入木马而受到黑客控制 重要数据被窃取 在线交易行为被偷窥 网游、网银等账号信息被窃取 虚拟财产被盗的威胁 对网络监管者意味着什么？ 大量计算机被控制也对互联网的安全运行带来潜在威胁 教育部很重视教育信息安全 第十八条 教育网站和网校应遵循国家有关法律、法规，不得在网络上制作、发布、传播下列信息 内容： （一）泄露国家秘密危害国家安全的； （二）违反国家民族、宗教与教育政策的； （三）煽动暴力，宣扬封建迷信、邪教、黄色淫秽制品、违反社会公德、以及赌博和教唆犯罪等； （四）煽动暴力 ; （五）散布谣言、扰乱社会秩序、鼓动聚众滋事； （六）暴露个人隐私和攻击他人与损害他人合法权益； （七）损害社会公共利益； （八）计算机病毒； （九）法律和法规禁止的其他有害信息。 如发现上述有害信息内容，应及时向有关主管部门报告，并采取有效措施制止其扩散。 安徽省教育网络安全通知 六、加强教育网络技术规范和运行管理。 全省教育网络应以安徽教育网（ ）为基础，面向全省教育 系统，形成统一、规范的教育网站基本构架 。厅内各种网站全部集成于门户网站 之内，并与市、县教育网站和各级各类学校网站链接，形成安徽教育网络集群。 全省教育系统的域名全部规范到 . 系统下，由安徽教育网负责统一 设计、注册和引导。 教育网站不得以营利为目的，严禁与非法的网站建立链接，严禁从事影响教育形 象的活动。教育网页设计应当庄重、典雅、大方和美观，体现政府形象、教育形 象。 教育网站应保证工作日和节假日 24 小时开通，方便公众访问。 3 、攻击原理分析 拒绝服务攻击 （系统瘫痪、停止服务 ) 网站所面临的各种挑战 非法入侵 （网页被篡改、被挂马 ) 恶意代码 （破坏、盗取） 诚信？和谐？… … 跨站脚本 （盗取、挂马） Mapping from 2007 to 2010 Top 10 OWASP Top 10 – 2007 (Previous) OWASP Top 10 – 2010 (New) A2 – Injection Flaws A1 – Injection A1 – Cross Site Scripting (XSS) A2