门户网站安全防护技术分享

门户网站安全防护技术交流湖北中网科技有限公司苏飞

2010年4月主题一、网络安全问题概述二、门户网站主要安全威胁与对策三、门户网站具体防护技术手段四、常用安全分析软件介绍五、安全产品（硬件）介绍六、漏洞及攻击演示

一、网络安全问题概述背景、安全问题的严重性；漏洞威胁概念、种类、安全问题种类及损失；衡量信息安全的标准；安全及安全防护的变化趋势。背景网络已全面融入生活、工作中网络带来巨大变革网络是一把双刃剑带来巨大的威胁国内安全形势不容乐观2007年，我国境内与互联网连接的用户有60%以上的用户受到境外用户的攻击。

仅2009年我国被境外控制的计算机ＩＰ地址就达100多万个，被黑客组织篡改的网站多达4．2万个；在受网络病毒威胁方面，去年我国仅被“飞客”蠕虫一种网络病毒感染的计算机数量每月就达1800万台，占全球感染主机总量的30％，位列全球第一。

漏洞多，木马、病毒猖獗；网络瘫痪、网站被篡改、系统被入侵；网银转款、网上诈骗等。

国内安全形势不容乐观Internet设计初衷：开放、自由、无国界、无时间、空间限制；虚拟性；技术设计缺陷：TCP/IP、漏洞；攻击（工具）软件易获得性；计算机运算速度的加快:猜口令（8位小写字母及数字穷举，时间通常不超过30小时）；应用的复杂性；对网络的依赖性增强；易安置后门。为什么如此脆弱后门与漏洞

后门：美国等西方发达国家的情报机构，明确要求各大信息技术公司，在计算机通信、软件研究开发中，要按照他们的旨意设置后门和陷阱。windows计算机操作系统中都有可能预留了后门程序。

漏洞：IBM公司专家认为大型软件1000-4000行程序就存在一个漏洞，象windwos系统5000万源程序可能存在20000个漏洞；

微软Vista已报道发现的缺陷达到2万个。网络安全存在的威胁网络、信息系统内部、外部泄密拒绝服务攻击逻辑炸弹特洛伊木马黑客攻击计算机病毒信息丢失、篡改、销毁后门、隐蔽通道蠕虫木桶原则最大容积取决于最短的木快攻击者—“最易渗透原则”目标：提高整个系统的“安全最低点”。动态性性原则则安全是是相对对的，，不可可能一一劳永永逸；；道高一一尺，，魔高高一丈丈；安全策策略不不断变变化完完善；；安全投投入不不断增增加（（总投投入的的20％－25%）。二、门门户网网站主主要安安全威威胁与与对策策1、利用用漏洞洞进行行入侵侵安全事事件：：2005年7月至10月，某某某间间谍情情报机机关曾曾对我我境内内76所高校校和研研究单单位所所在的的222个网段段反复复扫描描，利利用漏漏洞控控制了了北大大、清清华、、北师师大等等高校校的大大量主主机，，从中中搜获获、窃窃取了了包括括863课题研研究计计划在在内的的45份违规规上互互联网网的文文件和和数千千份资资料。。江苏人人陈某某租住住武汉汉，2007年7月，在在网上上找到到黑客客，委委托其其将某某重点点大学学的招招生网网站上上的数数据库库中的的11名学生生信息息删除除，同同时非非法追追加另另外8名学生生。然然后给给家长长验证证已被被录取取。2008年12月5日，荆荆州市市商务务局网网站，，局领领导变变成一一名三三点式式女郎郎。而而局长长致辞辞则成成了一一封““为女女朋友友庆生生喝酒酒”的的召集集函。。1、利用用漏洞洞进行行入侵侵防范对对策：：定期备备份和和检查查相关关访问问和应应用日日志；；及时对对计算算机操操作系系统和和应用用程序序“打打补丁丁”；；安装防防火墙墙和杀杀毒软软件，，并及及时更更新特特征库库；关闭不不必要要的端端口和和服务务。2、利用用协议议缺陷陷进行行DOS攻击案例：：2009年5月19日全国国大面面积网网络故故障，，6月25日，湖湖北、、湖南南、广广西、、海南南和上上海等等全国国多个个省市市区出出现网网络缓缓慢或或瘫痪痪现象象。2009年7月7日－9日韩国国总统统府、、国防防部、、外交交通商商部等等政府府部门门和主主要银银行、、媒体体网站站同时时遭分分布式式拒绝绝服务务（DDoS）攻击击。美国财财政部部、特特工处处、联联邦贸贸易委委员会会和交交通部部网站站7月４日日起遭遭到黑黑客持持续攻攻击，，截至至当地地时间间７日日仍处处于不不同程程度瘫瘫痪状状态。。两国共共有大大约２２５家家网站站受攻攻击，，其中中１１１家为为韩国国网站站。韩韩国主主要情情报机机构说说，韩韩国１１.２万台台个人人电脑脑和国国外８８００００台台个人人电脑脑遭黑黑客““俘虏虏”，，成为为傀儡儡主机机，沦沦为攻攻击工工具。。利用协议议缺陷进进行DOS攻击什么是DOS攻击：攻击者利利用因特特网上成成百上千千的“Zombie”(僵尸)-即被利用用主机，，对攻击击目标发发动威力力巨大的的拒绝服服务攻击击。DenialofService(DoS)拒绝服务务攻击DistributedDenialofService(DDoS)分布式拒绝服服务攻击攻击者利用大大量的数据包包“淹没”目标主机，耗耗尽可用资源源乃至系统崩崩溃，而无法法对合法用户户作出响应。。DdoS攻击过程主控主机扫描程序黑客Internet非安全主机被控主机应用服务器2、利用协议缺缺陷进行DOS攻击防范措施：在门户网站前前面部署防DOS攻击设备。桌面机及时修修补漏洞，免免得受控成为为肉鸡。加强追查打击击力度。荆州人赵蓉的的网上银行帐帐户上的资金金被划走：：2004年7月，黑龙江人人付某使用了了一种木马程程序，挂在自自己的网站上上；荆州人赵蓉下下载付某的软软件，木马就就“进入”电电脑；屏幕上敲入的的信息通过邮邮件发出：账账户、密码；；付某成功划划出1万元；抓获付某时时，他已获获取7000多个全国各各地储户的的网上银行行密码。3、利用木马马进行攻击击安全事件：：付某：3、利用木马马进行攻击击生么是“木木马”？木马与传说说中的木马马一样,他们会在用用户毫不知知情的情况况下悄悄的的进入用户户的计算机机,进而反客为为主,窃取机密数数据,甚至控制系系统。3、利用木马马进行攻击击“木马”的主主要危害：：盗取文件资资料；盗取用户帐帐号和密码码；监控用户行行为，获取取用户重要要资料；发送QQ、msn尾巴，骗取取更多人访访问恶意网网站下载木木马；3、利用木马马进行攻击击防范对策：：严禁将涉密密计数机接接入互联网网；不随意打开开不明电子子邮件，尤尤其是不轻轻易打开邮邮件附件；；不点击和打打开陌生图图片和网页页；必须安装杀杀毒软件并并及时升级级更新，及及时打补丁丁；所有外网PC安装360软件，定期期查杀木马马程序。4、利用“嗅嗅探”技术术窃密安全事件：：某单位干部部叶某，在在联接互联联网的计算算机上处理理涉密信息息，被某间间谍情报机机关植入““嗅探”程程序。致使使其操作电电脑的一举举一动均被被监控，并并造成大量量涉密信息息被窃。4、利用“嗅嗅探”技术术窃密“嗅探”技术术：“嗅探”是指指秘密植入入特定功能能程序，用用来记录诸诸如网络内内部结构、、键盘操作作、口令密密码等信息息的窃密技技术。攻击者首先先利用漏洞洞或木马在在计算机中中植入“键键盘记录程程序”该程程序会自动动隐藏生成成记录键盘盘信息的文文件。一旦计算机机重新联网网，攻击者者就可以从从目标计算算机下载键键盘记录文文件，并还还原出编辑辑过的稳定定内容。4、利用“嗅嗅探”技术术窃密防范对策：：严禁将涉密密计数机接接入互联网网；用户联接互互联网的计计算机，任任何情况下下不得处理理涉密信息息；定期对上网网计算机操操作系统进进行重装处处理；PC安装360软件，定期期恶意代码码程序。5、利用数据据恢复技术术安全事件：：陈冠希：2006年曾托助手手将其外壳壳彩色的手手提电脑，，送到中环环一间计算算机公司维维修，其后后有人把计计算机中的的照片制作作成光盘，，发放予朋朋友及其它它人士观赏赏。5、利用数据据恢复技术术数据恢复技技术：数据恢复是是指运用软软、硬件技技术对删除除或因介质质损坏等丢丢失的数据据予以还原原的过程。。U盘或计算机机硬盘存储储的数据即即使已被删删除或进行行格式化处处理，使用用专用软件件仍能将其其恢复，这这种方法也也因此成为为窃密的手手段之一。。例如，窃密密者使用从从互联网下下载的恢复复软件对目目标计算机机的已被格格式化的U盘进行格式式化恢复操操作后，即即可成功的的恢复原有有文件。5、利用数据据恢复技术术防范对策：：严禁在接入入互联网的的计算机上上使用处理理过涉密信信息的移动动存储介质质。涉密存储介介质淘汰报报废时必须须进行彻底底的物理销销毁。严禁将秘密密载体当做做废品出售售。6、利用口令令破解攻击击安全事件：：2003年2月，，有有关关部部门门检检测测发发现现某某间间谍谍情情报报机机关关利利用用口口令令破破解解技技术术，，对对我我某某重重要要网网络络进进行行了了有有组组织织的的大大规规模模攻攻击击，，控控制制了了57台违违规规上上互互联联网网的的涉涉密密计计算算机机，，窃窃走走1550余份份文文件件资资料料。6、利用口令破破解攻击口令破解：口令是计算机机系统的第一一道防线，计计算机通过口口令来验证身身份。口令破解是指指以口令为攻攻击目标，进进行猜测破译译，或避开口口令验证，冒冒充合法用户户潜入目标计计算机，取得得控制权的过过程。即使计计算机打了““补丁”，安安装了病毒防防护软件，设设置了开机口口令密码，黑黑客仍然可以以通过口令破破解进入你的的计算机，从从而达到破坏坏或窃密的目目的。“暴力破解”是进行口令破破解用得较多多的方式，是是指应用穷举举法将建盘上上的字母、数数字、符号按按照一定顺序序进行排列组组合实验，直直至找到正确确的口令。其过程是攻击者首先启启用口令破译译软件，输入入目标计算机机ip地址，对目标标计算机进行行口令破译、、口令越长，，口令组合越越复杂，破译译难度越大，，所需时间越越多。口令破解的时时间Unix口令:6位小写字母穷穷举:36小时8位小写字母穷穷举:3年NT口令:8位小写写字母母及数数字穷穷举，，时间间通常常不超超过30小时6、利用用口令令破解解攻击击防范对对策：：口令密密码设设置应应当采采用多多种字字符和和数字字混合合编制制，要要有足足够的的长度度（至少少8位以上上），并定定期更更换。。涉密信信息系系统必必须按按照保保密标标准，，采取取符合合要求求的口口令密密码、、智能能卡或或USBKey、生理理特征征的身身份鉴鉴别方方式。。三、门门户网网站具具体防防护手手段1.保持Windows升级：你必须须在第第一时时间及及时地地更新新所有有的升升级，，并为为系统统打好好一切切补丁丁。考考虑将将所有有的更更新下下载到到你网网络上上的一一个专专用的的服务务器上上，并并在该该机器器上以以web的形式式将文文件发发布出出来。。通过过这些些工作作，你你可以以防止止你的的Web服务器器接受受直接接的Internet访问2.如果你你并不不需要要FTP和SMTP服务，，请卸卸载它它们：：进入计计算机机的最最简单单途径径就是是通过过FTP访问。。FTP本身就就是被被设计计满足足简单单读/写访问问的，，如果果你执执行身身份认认证，，你会会发现现你的的用户户名和和密码码都是是通过过明文文的形形式在在网络络上传传播的的。SMTP是另一一种允允许到到文件件夹的的写权权限的的服务务。通通过禁禁用这这两项项服务务，你你能避避免更更多的的黑客客攻击击。3.设置复复杂的的密码码：如果有有用户户使用用弱密密码，，那么么黑客客能快快速并并简单单的入入侵这这些用用户的的账号号4.设置账号锁锁定的策略略：通过设备windows自带的安全全策略设置置，可对非非法暴力破破解口令进进行有效的的控制，同同时审计所所有登陆成成功和失败败的事件5.使用NTFS安全：缺省地，你你的NTFS驱动器使用用的是EVERY0NE/完全控制权权限，除非非你手工关关掉它们。。关键是不不要把自己己锁定在外外，不同的的人需要不不同的权限限，管理员员需要完全全控制，后后台管理账账户也需要要完全控制制，系统和和服务各自自需要一种种级别的访访问权限，，取决于不不同的文件件。最重要要的文件夹夹是System32，这个文件件夹的访问问权限越小小越好。在在Web服务器上使使用NTFS权限能帮助助你保护重重要的文件件和应用程程序。6.禁用多余余的管理理员账号号：如果你你已经经安装装IIS，你可可能产产生了了一个个TSInternetUser账户。。除非非你真真正需需要这这个账账户，，则你你应该该禁用用它。。这个个用户户很容容易被被渗透透，是是黑客客们的的显著著目标标。为为了帮帮助管管理用用户账账户，，确定定你的的本地地安全全策略略没有有问题题。IUSR用户户的的权权限限也也应应该该尽尽可可能能的的小小。。7.网站站目目录录权权限限最最小小化化：：在网网站站正正常常运运行行时时：：空空间间应应该该全全部部关关闭闭写写入入权权限限，，只只保保留留需需要要写写权权限限的的某某几几个个目目录录，，同同时时被被保保留留写写权权限限的的目目录录，，必必须须要要关关闭闭执执行行权权限限。。站站点点需需要要更更新新时时：：开开放放所所有有写写入入权权限限，，更更新新完完毕毕后后立立即即关关闭闭写写入入权权限限。。原原则则是是：：有写写入入权权限限的的目目录录，，不不能能有有执执行行权权限限有执执行行权权限限的的目目录录，，不不能能有有写写入入权权限限这样样最最大大限限度度的的保保证证了了站站点点的的安安全全性性8.移除除缺缺省省的的Web站点点：：很多多攻攻击击者者瞄瞄准准inetpub这个个文文件件夹夹，，并并在在里里面面放放置置一一些些偷偷袭袭工工具具，，从从而而造造成成服服务务器器的的瘫瘫痪痪。。防防止止这这种种攻攻击击最最简简单单的的方方法法就就是是在在IIS里将将缺缺省省的的站站点点禁禁用用。。如如果果是是一一个个虚虚拟拟主主机机，，并并且且服服务务器器上上放放置置了了多多个个域域名名的的站站点点，，建建议议对对不不同同的的站站点点设设置置不不同同的的账账号号权权限限（（读读取取和和执执行行））。。这这样样可可保保证证一一个个域域名名上上的的站站点点被被黑黑，，而而不不会会影影响响到到整整个个服服务务器器上上其其它它的的站站点点9.定期期备备份份数数据据和和程程序序：：至少少以以每每周周一一次次来来定定期期的的备备份份网网站站数数据据和和程程序序，，对对大大型型数数据据库库可可使使用用专专业业的的快快速速导导出出工工具具。。建建议议使使用用WinRAR类型型的的压压缩缩软软件件进进行行备备份份，，并并同同时时设设定定压压缩缩密密码码的的加加密密压压缩缩方方式式。。如如果果文文件件较较多多压压缩缩时时间间可可能能会会长长，，可可使使用用计计划划任任务务自自动动执执行行或或采采取取存存储储压压缩缩方方式式对操作系系统建议议每月备备份一次次，可直直接使用用GHOST。对于特特殊的服服务器需需要RAID驱动时，，建议自自制一个个WinPE将RAID驱动加载载在该系系统中。。（有一一定难度度，但很很帮助特特别是安安装系统统时无需需引导盘盘）10.仔细检查查*.bat和*．exe文件：每周搜索索一次*.bat和*.exe文件，检检查服务务器上是是否存在在黑客最最喜欢，，而对你你来说将将是一场场噩梦的的可执行行文件。。在这些些破坏性性的文件件中，也也许有一一些是*．reg文件。如如果你右右击并选选择编辑辑，你可可以发现现黑客已已经制造造并能让让他们能能进入你你系统的的注册表表文件。。你可以以删除这这些没任任何意义义但却会会给入侵侵者带来来便利的的主键。。或定期生生成一份份主机的的文件列列表，然然后再进进行文件件比对最简单的的使用一一条DOS命令:Dirc:/s/a>c:\files20100415.txtFcc:\files20100415.txtc:\files201000301.txt11.定期检检查访访问日日志对于IIS，其默默认记记录存存放在在c:\winnt\system32\logfiles\w3svc1，文件件名就就是当当天的的日期期，记记录格格式是是标准准的W3C扩展记记录格格式，，可以以被各各种记记录分分析工工具解解析，，默认认的格格式包包括时时间、、访问问者IP地址、、访问问的方方法（（GETorPOST…）、请请求的的资源源、HTTP状态（（用数数字表表示））等。。建议议定期期使用用专业业的日日志分分析工工具来来进行行审计计检查查异常常的访访问现现象。。四、常常用安安全分分析软软件介介绍工欲善善其事事,必先利利其器器！autoruns:微软公公司出出的查查看Windows启动或或登录录时自自动运运行的的程序序它们们CCleaner225:系统优优化和和隐私私保护护工具具、清清除无无用文文件及及垃圾圾文件件HiJackThis:找恶意意程序序“劫劫持””浏览览器的的入口口go_IceSword:冰刃,检查非非法进进程procexp:查看进进程和和DLL模块DwShark230:自动分分析系系统到到处文文本RegistryCleanExpert:注册表表清理理ComboFix:完全只只能的的修复复系统统工具具（比比360更强））go_RKUnhooker:看系统统hook的go_RootkitRevealer:也是分分析系系统的的msicuu2:WindowsInstaller清理实实用工工具PortableUnlocker:绿色unlock，解文文件锁锁的工工具Tcpview:xp上看端端口WinsockXPFix:修复tcp协议ethereal嗅探Windows自带命命令netstat-anTCPView工具检查其其它已已开放放的端端口强制关关闭顽顽固病病毒或或可疑疑进程程IceSword检查和和关闭闭可疑疑的驱驱动Windows自带的的驱动动查看看器检查和和关闭闭可疑疑的驱驱动RKUnhooker企业级级修复复系统统漏洞洞WSUS是个微微软推推出的的网络络化的的补丁丁分发发方案案，是是免费费的，，可以以在微微软网网站上上去下下载嗅探听听包Ethereal五、安安全产产品（（硬件件）介介绍第一代安全产品防火墙、防病毒、IDS第二代安全产品抗dos、漏洞扫描、VPN、存储备份、主页防篡改、内核加固、流量管理、负载均衡、网管第三代安全产品网闸、IPS、WEB应用防护、系统保护盾（应急保护)、容灾备份、UTM、数据库加密、审计、上网行为管理、桌面安全管理、安全管理平台用于隔隔离两两个网网络，，达到到近似似于物物理隔隔断的的效果果，同同时又又要实实现数数据的的安全全交换换的隔隔离设设备。。什么是是网闸闸网闸的的组成成及工工作原原理硬件组组成：内网机；外网机；控制开关系系统；两个网卡：分别连接接在内网机机和外网机机的主板上上，用于内内网机和外外网机的输输入输出。。软件组成：开关控制软软件：快速的在在两个处理理单元之间间交换数据据。外部单边代代理：接收外部部的请求，，解析出应应用协议，，过滤数据据内容，保保证数据中中不包含危危险命令。。内部单边代代理：通过传输输层软件模模块接收外外部处理单单元传入的的请求和数数据，解析析出应用协协议，过滤滤数据内容容，保证数数据中不包包含危险命命令。可信任网可信任网（（IntranetIntranet））K1K1K2K2开关系统是是通过SCSI控制系统来来实现的。。电子开关控控制系统由于外网与与内网是永永远断开的的，加上采采用单边计计算机主机机模式，中中断了TCP/IP，中断了应应用连接，，屏蔽了内内部的网络络拓扑结构构，屏蔽了了内部主机机的操作系系统漏洞，，使基于网网络的攻击击无机可乘乘。无法ping内网的任何何主机；无法穿透网网闸来追踪踪路由（traceroute）；无法扫描内内部网络；；无法发现内内网的任何何主机信息息；无法发现内内网主机的的操作系统统信息；无法发现内内网应用信信息；无法发现内内网内部主