- 1、本文档共17页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
构建完善的web服务安全体系民生银行科技部李立中[DCM]
一、遵循的安全原则2、开放端口最小化,开放80或443端口4、动态脚本提交数据严格过滤
一、遵循的安全原则5、数据库传输要过滤,尽量不用access必须使用的时候,使用odbc方式指到web的外部空间6、传输管理只使用VPN,不能为了方便自己开后门7、内网不是篱笆墙,一视同仁保障安全8、尽量不使用开源的网站代码如果使用要修改验证部分和session的构造方法
一、遵循的安全原则9、高级别的安全需要使用身份验证网关10、及时跟踪弥补web服务组件的安全漏洞12、结合实际情况建立完善的管理制度最终上升为完整的web安全体系
二、依据安全原则建立web安全模型WEB服务器Web内容放在可写保护的U盘上安装后开启写保护为了高级别的物理安全可以使用全盘加密软件或结合硬件的加密产品10.1.1.1:80端口在防火墙映射内网80端口10.1.1.1:80端口在防火墙映射公网80端口防火墙防DoS网关路由器外部浏览身份认证服务器短信报警系统入侵检测系统日志服务器
三、现有的攻击模式对这个模型的影响(一)模拟物理攻击物理数据使用全盘加密软件或使用身份验证的硬件和磁盘加密联动进行防护。这样可以防御物理拿到硬盘进行读取、分析、篡改数据。
三、现有的攻击模式对这个模型的影响(二)模拟网络攻击1、动态cgi、asp、php、jsp、aspx动态web文件的权限控制和代码比对检测不合理造成入侵隐患,如:注入、上传网马、暴库、泄露服务器关键信息等
三、现有的攻击模式对这个模型的影响(二)模拟网络攻击物理上只读确保不被篡改无法上传木马,提交脚本的过滤可以防止注入,单一的web网站服务防止旁注。暴库、泄露服务器关键信息对于这个模型无效。找到了也无法连上或得到文件。跨站只要session的构造方法绑定ip,cookie算法自建基本上就没问题了。
三、现有的攻击模式对这个模型的影响(二)模拟网络攻击2、数据库与web在同一个主机,数据库开放对外的连接造成主机漏洞,通过数据库打开其它服务或建立账号导致web服务器不安全。例如mysql、sqlserver等等本模型对外只有一个端口这些大量的漏洞安全都可以忽略。
三、现有的攻击模式对这个模型的影响(三)模拟对系统和其他应用进行攻击操作系统和系统开启的其他服务出现漏洞对其进行攻击。本模型对外只有一个端口这些大量的漏洞安全都可以忽略。
三、现有的攻击模式对这个模型的影响(四)模拟对web应用服务漏洞进行攻击web应用服务出现漏洞对其进行攻击。web服务程序只要找相应的安全团队及时跟踪就可以确保安全,而且大部分的漏洞也不能危害这个模型的安全。
四、依据安全原则建立高投入web安全模型Cache服务器SSL服务器WEB服务器:10.1.1.1负载均衡器防火墙防DoS网关路由器外部浏览身份认证服务器短信报警系统入侵检测系统日志服务器
五、如何结合技术制定管理办法(一)安全管理原则偏重技术结合管理–可以使用技术的情况下尽量使用技术来进行安全控制。因为人是最不好限制的,即使技术上限制还有人想办法突破限制。不能把技术上能解决的问题放到管理上,既增加企业的管理成本,也带来了安全隐患。
五、如何结合技术制定管理办法(二)安全管理规范按照模型-〉合适的安全服务团队-〉完善的风险管理流程-〉健全的信息安全制度和标准-〉不断提升基础设施的安全性-〉最后要有定期的审计流程
六、安全服务建设技术流程安全网络设计tes安全检查安全实施安全产品测评安全培训安全制度日志系统分析安全运维或代维
七、安全体系的建立组织网络安全模型核心角色和职责安全等级定义概念层应用安全开发模型安全运作控制框架信息安全服务架构制度与标准层次结构安全技术控制框架组网络安全域划分与防护策略织机岗位岗位能力模型安全等级定级方法与职责模构模型逻辑层应用安全设计模式型流程模型与活动描述等级保护控制要求安全服务组件模型与实现机制制度与标准体系框架基础设施的安全部署与配置组织的人员配备和职责安全等级定级结果应用系统安全工作流程图实现层开发规范、工具和方法安全服务的实施技术视角安全控制策略具体制度与标准控制视角
您可能关注的文档
- 材力剪切与扭转b课件.ppt
- 机械制图投影法及三视图课件.ppt
- 术中肌松监测课件.ppt
- 2024年江西省赣州上犹县公开招聘事业单位工作人员43人历年【综合基础知识500题】高频考点模拟试题及参考答案解析.docx
- 2024年江西省赣州信丰县税务局招聘2人历年【综合基础知识500题】高频考点模拟试题及参考答案解析.docx
- 2024年江西省赣州兴国县招募兴国县地区能人小组成员80人历年【综合基础知识500题】高频考点模拟试题及参考答案解析.docx
- 2024年江西省赣州大余县事业单位招聘(179人)【综合基础知识500题】高频考点模拟试题及参考答案解析.docx
- 2024年江西省赣州宁都县事业单位招聘考试笔试【综合基础知识500题】高频考点模拟试题及参考答案解析.docx
- 2024年江西省赣州定南第七次全国人口普查领导小组办公室招聘200人历年【综合基础知识500题】高频考点模拟试题及参考答案解析.docx
- 2024年江西省赣州崇义县自主公开招聘5人历年【综合基础知识500题】高频考点模拟试题及参考答案解析.docx
文档评论(0)