02高校网站安全建设方案.pptx

教育网站安全建设方案——网站安全专家绿盟科技2010年6月限制分发1 教育网站安全事件2 事件影响分析3 攻击原理分析4 网站安全建设方案1、教育网站安全事件Case1:国内某知名大学网站被篡改 Case2:武汉某高校招生网被篡改Case3：政府网上验证事件2008年6月，某省政务网站使用单位向监管部门报案，他们的网站数据库被人篡改，有人借此造假、牟取暴利。犯罪团伙利用网站存在的漏洞，使用黑客工具攻击政府部门网站，篡改多个省份政府网站数据库资料，其中一人两个月牟利达200多万元 。修改相关数据700余个.每上传一个客户的信息数据,就收取 1200至2000元不等费用《四、六级英语考试成绩单》《医师资格证书》《建筑师证书》《教师资格证》先后入侵了江西省卫生厅、湖北省卫生厅、贵州省人事厅、四川省人事厅、江苏省教育厅、辽宁省建设厅、湖北省荆州市人事局等11个网站；每开一个“后门”2700元的价格成交高考前后挂马严重2、事件影响分析教育主题网站学校门户网站很重要SolarisLinuxWindowsUnixWWWDatabaseUser AppsCGI ASP评估人员保证加固学校门户网站电子教务报告测试协调监控响应眼睛是心灵的窗户眼睛里揉不得沙子要像人的眼睛一样保护起来被攻击后果很严重 高校网站被挂马是个比较普遍的现象，占挂马网站总量的20%以上。高校网站频繁被黑客入侵，应引起校方的足够重视。　对访问者则意味着什么？导致学生和其他访问者中毒被植入木马而受到黑客控制重要数据被窃取在线交易行为被偷窥网游、网银等账号信息被窃取虚拟财产被盗的威胁 对学校意味着什么？导致数据丢失导致学校声誉下降丧失评优资格网站被第三方列入“黑名单”有可能网站被整体屏蔽影响正常的招生工作被教育主管单位通报批评 对网络监管者意味着什么？大量计算机被控制也对互联网的安全运行带来潜在威胁教育部很重视教育信息安全第十八条 教育网站和网校应遵循国家有关法律、法规，不得在网络上制作、发布、传播下列信息内容：（一）泄露国家秘密危害国家安全的；（二）违反国家民族、宗教与教育政策的；（三）煽动暴力，宣扬封建迷信、邪教、黄色淫秽制品、违反社会公德、以及赌博和教唆犯罪等；（四）煽动暴力;（五）散布谣言、扰乱社会秩序、鼓动聚众滋事；（六）暴露个人隐私和攻击他人与损害他人合法权益；（七）损害社会公共利益；（八）计算机病毒；（九）法律和法规禁止的其他有害信息。如发现上述有害信息内容，应及时向有关主管部门报告，并采取有效措施制止其扩散。安徽省教育网络安全通知3、攻击原理分析网站所面临的各种挑战Mapping from 2007 to 2010 Top 10OWASP Top 10 – 2007 (Previous)OWASP Top 10 – 2010 (New)A2 – Injection FlawsA1 – InjectionA1 – Cross Site Scripting (XSS)A2 – Cross Site Scripting (XSS)A7 – Broken Authentication and Session ManagementA3 – Broken Authentication and Session ManagementA4 – Insecure Direct Object ReferenceA4 – Insecure Direct Object ReferencesA5 – Cross Site Request Forgery (CSRF)A5 – Cross Site Request Forgery (CSRF)was T10 2004 A10 – Insecure Configuration ManagementA6 – Security Misconfiguration (NEW)A10 – Failure to Restrict URL AccessA7 – Failure to Restrict URL Accessnot in T10 2007A8 – Unvalidated Redirects and Forwards (NEW)A8 – Insecure Cryptographic StorageA9 – Insecure Cryptographic StorageA9 – Insecure CommunicationsA10 – Insufficient Transport Layer ProtectionA3 – Malicious File Executiondropped from T10 2010A6 – Information Leakage and Improper Error Handlingdropped from T10