欢迎来到天天文库
浏览记录
ID:12540776
大小:5.07 MB
页数:33页
时间:2018-07-17
《门户网站安全安全防护体系》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、Web门户网站安全防护方案介、介绍案解决神州数码安全解决方案业务部2012-07国家互联网应急中心(CNCERT/CC)2011年发布的中国互联网安全报告中显示,目前我国互联网安全面临最严重的问题是网站被篡改和被挂马。黑客通过利用网站漏洞挂载恶意代码(通常是网页挂马),使得大量访问该网站的用户主机被黑客控制或丢失敏感信息。一、Web安全防护现状(为什么要做)国内安全现状2012年5月8日,“京东商城“2000余账户被盗事件嫌疑犯落网。其数据来源于2011年CSDN及天涯论坛泄露的数据。检方建议”京东商城”
2、全面落实国家信息安全等级保护制度,,加强技术安全防护措施。2011年6月,美国花旗银行系统遭黑客入侵,大批信用卡持有者的个人信息被非法窃取。2011年5月,索尼BMG的希腊网站遭到黑客入侵,数据库被攻破,大量的用户信息遭窃取;2011年4月,索尼的在线网站PSN(PlayStationNetwork)遭黑客入侵,接近1亿用户的信息被窃取;2011年4月2011年5月2011年6月2012年5月一、Web安全防护现状(为什么要做)国内外安全现状3.入侵Web系统的动机防火墙IDS/IPSDoS攻击端口扫描网
3、络层模式攻击已知Web服务器漏洞上传木马网页篡改恶意执行注入式攻击Web服务器数据库服务器Web应用应用服务器防火墙入侵防御(1)让Web服务瘫痪一、Web安全防护现状(为什么要做)Web攻击危害(2)篡改网页:修改网站的页面显示,是相对比较容易的,也是公众容易知道的攻击效果,对于攻击者来说,没有什么“实惠”好处,主要是炫耀自己,当然对于政府等网站,形象问题是很严重的。IntranetInternet危害损害政府形象公布虚假信息制造民众恐慌A地运营商数据中心多种攻击方式攻击者一、Web安全防护现状(为什么
4、要做)Web攻击危害(3)挂木马:这种入侵对访问网站的用户进行攻击,挂木马的最大“实惠”是收集僵尸网络的“肉鸡”,一个知名网站的首页传播木马的速度是爆炸式的。攻击者网页挂马各种页面访问僵尸网络肉鸡受控一、Web安全防护现状(为什么要做)Web攻击危害(4)篡改数据一、Web安全防护现状(为什么要做)Web攻击危害网站安全建设驱动因素网络环境现实网站安全事件安全管理需要业务发展需要政府监管部门要求合规安全管理需要一、Web安全防护现状(为什么要做)安全开发安全评估安全防护安全规划网站安全系统安全防计系统安全
5、管理渗透测试需求识别、分析用户身份认证安全加固安全漏洞弱点检查安全事件应急响应在线安全监控系统安全防护应用安全防护代码安全审计开发安全培训代码安全设计代码安全测试二、Web安全防护执行(怎么去做)Web安全防护内容IIIIII网站建设开始即考虑应用安全防护需求规划网站安全功能设计、系统安全防护设计、角色身份认证、系统安全管理。安全规划贯穿网站生命周期,即从网站制作、网站信息发布、运行维护、网站模块升级等阶段。安全规划二、Web安全防护执行(怎么去做)Web安全防护内容IIIIII在网站开发过程中,注重网站
6、开发应用安全标准、系统架构设计、安全编码设计、安全测试规范等。采取工具和服务结合方式进行代码开发安全审计、测试运行安全审计、人员安全培训。安全开发贯穿在网站建设、网站测试、网站升级阶段。安全开发二、Web安全防护执行(怎么去做)Web安全防护内容IIIIIIIV安全评估主要从管理安全、物理安全、网络安全、主机安全、应用安全、数据安全等方面进行。进行网站安全基线评估,采用人工评估和评估检查工具结合方式,分析网络、主机、应用、数据库存在的技术风险,分析业务运作和组织管理方面存在的安全缺陷安全评估以周、月、季度
7、为周期分别进行,配合安全防护设施,按周、按月提供门户网站信息安全风险审计监测监控周报。适时进行安全加固、安全整改,实现网站的可持续性安全防护。安全评估二、Web安全防护执行(怎么去做)Web安全防护内容IIIIIIIV安全防护在安全规划和安全开发基础上,提供管理安全和技术安全支撑。技术安全支撑实现对外部、内部的防御,通过安全工具来实现对网站及运行环境防护,包括服务器主机系统安全、网络安全、应用安全、物理安全、数据安全。采用安全运维审计、系统加固、应急预案、安全演练等服务措施确保对网站日常运行的状态监测和应
8、急响应处置。建立健全网站安全管理制度、规范网站维护流程,制订网站应急安全预案等措施。安全防护二、Web安全防护执行(怎么去做)Web安全防护内容基本安全~第一阶段~第二阶段提升安全建设全面安全建设基础安全建设~第三阶段主要任务是对网站安全整体防御体系的完善修补网站安全规划、网站安全开发环节的设计、审计机制的落实与完善,安全管理制度流程的修补升级,人员安全培训等安全防护和安全评估环节的安全演练、预案处置响应、安全技术升级等实现“
此文档下载收益归作者所有