欢迎来到天天文库
浏览记录
ID:32142182
大小:8.75 MB
页数:113页
时间:2019-01-31
《【5A版】网络信息安全培训—网站安全管理.pptx》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、PPT模板下载:www.1ppt.com/moban/网站安全问题及策略目录1当前网站安全形式形势2网站面临的主要安全威胁3网站常见安全问题及整改策略3当前网站安全形势1第一部分2016年全省政府网站绩效评估紧密围绕国务院办公厅和省政府办公厅政府网站建设有关文件的部署要求,以用户需求为中心,加强对网站政务公开、公共服务和政民互动等方面的考察,引导各级政府网站加强信息内容建设,进一步提升服务能力,解决政府网站存在的不及时、不准确、不回应、不实用等突出问题,加强对网站可用情况和更新维护情况的考察,确保网站健康发展。网站健康信息内容功能渠道保障能力四个方面要求一、门户
2、网站绩效评估以网站为载体的信息服务已全面融入生活、工作中带来巨大工作服务模式变革是一把双刃剑带来巨大的安全威胁二、网站安全背景三、全国网络安全态势三、全国网络安全态势三、全国网络安全态势四、全国网站安全态势被篡改网站数量为3248个,其中政府网站74个;被植入后门的网站数量为1919个,其中政府网站48个。四、全国网站安全态势被篡改网站数量为3248个,其中政府网站86个;被植入后门的网站数量为1919个,其中政府网站36个。四、全国网站安全态势五、行业网站安全态势网站受攻击情况二季度,通报成员单位安全防护设备检测到的行业门户网站受攻击次数为3985786次,环
3、比第一季度增加12.6%。三季度,通报成员单位安全防护设备检测到的行业门户网站受攻击次数为3882306次,环比第二季度减少2.6%。公开渠道看到的仅仅只是冰山一角网页篡改,挂马,暗链,数据泄漏安全事件层出不穷安全观滞后于互联网发展普遍缺乏安全体系和人员8.6亿条个人信息全泄露无处不在的信息泄漏希拉里使用私人邮件服务器处理工作邮件罗马尼亚出租车司机Lazar入侵希拉里邮件服务器民主党全国委员会(DNC)内部邮件泄漏数万封WikiLeaks公开了大量敏感内部邮件,影响美国大选HillaryvsTrump低成本、高技术、高回报黑色产业链和专业攻击团队专业化17网站面
4、临的主要安全威胁2第二部分拒绝服务攻击(系统瘫痪、停止服务)一、网站安全威胁非法入侵(网页被篡改、被挂马)恶意代码(破坏、盗取)诚信?和谐?……跨站脚本(盗取、挂马)OWASP(开放Web软体安全项目-OpenWebApplicationSecurityProject)是一个开放社群、非营利性组织,它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。其目的是协助个人、企业和机构来发现和使用可信赖软件。目前全球有130个分会近万名会员,其主要目标是研议协助解决Web软体安全之标准、工具与技术文件,长期致力于协助政府或企业了解并改善网页应用程式与网页服务
5、的安全性。一、网站安全威胁OWASPTOP10-2010序号网站安全漏洞1A1-注入2A2-跨站脚本(XSS)3A3-错误的认证和会话管理4A4-不正确的直接对象引用5A5-伪造跨站请求(CSRF)6A6-安全性误配置7A7-限制远程访问失败8A8-未验证的重定向和传递9A9-不安全的加密存储10A10-不足的传输层保护一、网站安全威胁规划阶段开发阶段测试阶段运行阶段缺乏安全规划和意识的培养缺乏代码的安全检查缺乏网站的安全测试网页存在代码漏洞缺乏对用户提交数据核查缺乏对返回网页内容过滤缺乏对被篡改网页的恢复运营维护期二、网站安全威胁产生原因网络(物理/链路/网络
6、)操作系统(windows/Linux)应用软件(Iis/apache/sqlserver)Web程序(第三方/自开发)脆弱性(漏洞)明文传输arp认证……威胁(攻击)缓冲区溢出密码猜测Sql注入攻击资产(web服务系统)对象内因外因拒绝服务攻击(syn/ack/icmpfloodhttpgetflood……)TCP/IP协议的漏洞系统级别的漏洞Sniffer/arpspoof/……程序漏洞跨站脚本攻击目录遍历攻击密码窃取/突破授权/……信息探测文件操控安全架构不合理安全功能不足Tcp三次握手http无连接控制……弱口令缓冲区溢出未经验证的输入风险(损害)结果拒
7、绝服务恶意代码跨站脚本非法入侵二、网站安全威胁产生原因网站入侵网页篡改、SQL注入、跨站脚本、钓鱼、黑链等数据泄密风险敏感数据泄密可用性风险DDOS攻击三、网站面临的主要攻击风险网站入侵:网站遭篡改、暗链、挂马,贴反动标语三、网站面临的主要攻击风险业务数据泄漏:业务数据等敏感数据遭篡改、窃取,谋取商业利益重要信息泄密:重要信息系统防护不到位遭攻破、保密意识淡薄引发泄密三、网站面临的主要攻击风险DDos攻击:服务中断、无法正常提供服务三、网站面临的主要攻击风险案例:(1)猖獗的勒索软件2016年勒索软件确实带来了很多麻烦,最广为人知的就是好莱坞长老会医学中心的事件
8、。今年2月,攻击者通过勒
此文档下载收益归作者所有