網(wǎng)絡(luò)與信息安全專(zhuān)題報(bào)告

網(wǎng)站安全管理

2013年7月主題一、網(wǎng)絡(luò)安全問(wèn)題概述二、門(mén)戶(hù)網(wǎng)站主要安全威脅與對(duì)策三、門(mén)戶(hù)網(wǎng)站具體防護(hù)技術(shù)手段四、常用安全分析軟件介紹五、安全產(chǎn)品（硬件）介紹六、漏洞及攻擊演示

一、網(wǎng)絡(luò)安全問(wèn)題概述背景、安全問(wèn)題的嚴(yán)重性；漏洞威脅概念、種類(lèi)、安全問(wèn)題種類(lèi)及損失；衡量信息安全的標(biāo)準(zhǔn)；安全及安全防護(hù)的變化趨勢(shì)。背景網(wǎng)絡(luò)已全面融入生活、工作中網(wǎng)絡(luò)帶來(lái)巨大變革網(wǎng)絡(luò)是一把雙刃劍帶來(lái)巨大的威脅國(guó)內(nèi)安全形勢(shì)不容樂(lè)觀

2013年3月19日，中國(guó)互聯(lián)網(wǎng)應(yīng)急中心發(fā)布了《2012年我國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢(shì)綜述》2012年網(wǎng)站被植入后門(mén)等隱蔽性攻擊事件呈増長(zhǎng)態(tài)勢(shì)，網(wǎng)站用戶(hù)信息成為黑客竊取重點(diǎn)，2012年CNCERT共監(jiān)測(cè)發(fā)現(xiàn)我國(guó)境內(nèi)52324個(gè)網(wǎng)站被植入后門(mén)，其中政府網(wǎng)站3016個(gè)，較2011年月均分別增長(zhǎng)213.7%和93.1%。我國(guó)面臨的境外攻擊威脅依然嚴(yán)重。從控制服務(wù)器數(shù)量控制我國(guó)境內(nèi)主機(jī)的數(shù)量、釣魚(yú)網(wǎng)站托管地來(lái)看，美國(guó)均居首位?！澳涿摺钡群诳徒M織活動(dòng)頻繁，多次聲稱(chēng)或?qū)嵤┽槍?duì)我國(guó)政府網(wǎng)站的網(wǎng)絡(luò)攻擊。國(guó)內(nèi)安全形勢(shì)不容樂(lè)觀國(guó)內(nèi)安全形勢(shì)不容樂(lè)觀國(guó)內(nèi)安全形勢(shì)不容樂(lè)觀近1個(gè)月，網(wǎng)絡(luò)安全設(shè)備攔截了攻擊廳門(mén)戶(hù)網(wǎng)站和交易網(wǎng)共351次。Internet設(shè)計(jì)初衷：開(kāi)放、自由、無(wú)國(guó)界、無(wú)時(shí)間、空間限制；虛擬性；技術(shù)設(shè)計(jì)缺陷：TCP/IP、漏洞；攻擊（工具）軟件易獲得性；計(jì)算機(jī)運(yùn)算速度的加快:猜口令（8位小寫(xiě)字母及數(shù)字窮舉，時(shí)間通常不超過(guò)30小時(shí)）；應(yīng)用的復(fù)雜性；對(duì)網(wǎng)絡(luò)的依賴(lài)性增強(qiáng)；易安置后門(mén)。為什么如此脆弱后門(mén)與漏洞

后門(mén)：美國(guó)等西方發(fā)達(dá)國(guó)家的情報(bào)機(jī)構(gòu)，明確要求各大信息技術(shù)公司，在計(jì)算機(jī)通信、軟件研究開(kāi)發(fā)中，要按照他們的旨意設(shè)置后門(mén)和陷阱。windows計(jì)算機(jī)操作系統(tǒng)中都有可能預(yù)留了后門(mén)程序。

漏洞：IBM公司專(zhuān)家認(rèn)為大型軟件1000-4000行程序就存在一個(gè)漏洞，象windwos系統(tǒng)5000萬(wàn)源程序可能存在20000個(gè)漏洞；

微軟windows操作系統(tǒng)已報(bào)道發(fā)現(xiàn)的缺陷達(dá)到2萬(wàn)余個(gè)，此外尚有未報(bào)道的漏洞。網(wǎng)絡(luò)安全存在的威脅網(wǎng)絡(luò)、信息系統(tǒng)內(nèi)部、外部泄密拒絕服務(wù)攻擊邏輯炸彈特洛伊木馬黑客攻擊計(jì)算機(jī)病毒信息丟失、篡改、銷(xiāo)毀后門(mén)、隱蔽通道蠕蟲(chóng)木桶原則最大容積取決于最短的木快攻擊者—“最易滲透原則”目標(biāo)：提高整個(gè)系統(tǒng)的“安全最低點(diǎn)”。動(dòng)態(tài)性原則安全是相對(duì)的，不可能一勞永逸；道高一尺，魔高一丈；安全策略不斷變化完善；安全投入不斷增加（總投入的20％－25%）。

二、門(mén)戶(hù)網(wǎng)站主要安全威脅與對(duì)策1、利用漏洞進(jìn)行入侵安全事件：2005年7月至10月，某某間諜情報(bào)機(jī)關(guān)曾對(duì)我境內(nèi)76所高校和研究單位所在的222個(gè)網(wǎng)段反復(fù)掃描，利用漏洞控制了北大、清華、北師大等高校的大量主機(jī)，從中搜獲、竊取了包括863課題研究計(jì)劃在內(nèi)的45份違規(guī)上互聯(lián)網(wǎng)的文件和數(shù)千份資料。

江蘇人陳某租住武漢，2007年7月，在網(wǎng)上找到黑客，委托其將某重點(diǎn)大學(xué)的招生網(wǎng)站上的數(shù)據(jù)庫(kù)中的11名學(xué)生信息刪除，同時(shí)非法追加另外8名學(xué)生。然后給家長(zhǎng)驗(yàn)證已被錄取。2008年12月5日，荊州市商務(wù)局網(wǎng)站，局領(lǐng)導(dǎo)變成一名三點(diǎn)式女郎。而局長(zhǎng)致辭則成了一封“為女朋友慶生喝酒”的召集函。1、利用漏洞進(jìn)行入侵防范對(duì)策：

定期備份和檢查相關(guān)訪問(wèn)和應(yīng)用日志；及時(shí)對(duì)計(jì)算機(jī)操作系統(tǒng)和應(yīng)用程序“打補(bǔ)丁”；安裝防火墻和殺毒軟件，并及時(shí)更新特征庫(kù)；關(guān)閉不必要的端口和服務(wù)。2、利用協(xié)議缺陷進(jìn)行DOS攻擊案例：

2009年5月19日全國(guó)大面積網(wǎng)絡(luò)故障，6月25日，湖北、湖南、廣西、海南和上海等全國(guó)多個(gè)省市區(qū)出現(xiàn)網(wǎng)絡(luò)緩慢或癱瘓現(xiàn)象。

2009年7月7日－9日韓國(guó)總統(tǒng)府、國(guó)防部、外交通商部等政府部門(mén)和主要銀行、媒體網(wǎng)站同時(shí)遭分布式拒絕服務(wù)（DDoS）攻擊。

美國(guó)財(cái)政部、特工處、聯(lián)邦貿(mào)易委員會(huì)和交通部網(wǎng)站7月４日起遭到黑客持續(xù)攻擊，截至當(dāng)?shù)貢r(shí)間７日仍處于不同程度癱瘓狀態(tài)。

兩國(guó)共有大約２５家網(wǎng)站受攻擊，其中１１家為韓國(guó)網(wǎng)站。韓國(guó)主要情報(bào)機(jī)構(gòu)說(shuō)，韓國(guó)１.２萬(wàn)臺(tái)個(gè)人電腦和國(guó)外８０００臺(tái)個(gè)人電腦遭黑客“俘虜”，成為傀儡主機(jī)，淪為攻擊工具。

利用協(xié)議缺陷進(jìn)行DOS攻擊什么是DOS攻擊：

攻擊者利用因特網(wǎng)上成百上千的“Zombie”(僵尸)-即被利用主機(jī)，對(duì)攻擊目標(biāo)發(fā)動(dòng)威力巨大的拒絕服務(wù)攻擊。DenialofService(DoS)

拒絕服務(wù)攻擊DistributedDenialofService(DDoS)分布式拒絕服務(wù)攻擊攻擊者利用大量的數(shù)據(jù)包“淹沒(méi)”目標(biāo)主機(jī)，耗盡可用資源乃至系統(tǒng)崩潰，而無(wú)法對(duì)合法用戶(hù)作出響應(yīng)。DdoS攻擊過(guò)程主控主機(jī)掃描程序黑客Internet非安全主機(jī)被控主機(jī)應(yīng)用服務(wù)器2、利用協(xié)議缺陷進(jìn)行DOS攻擊防范措施：

在門(mén)戶(hù)網(wǎng)站前面部署防DOS攻擊設(shè)備。桌面機(jī)及時(shí)修補(bǔ)漏洞，免得受控成為肉雞。加強(qiáng)追查打擊力度。荊州人趙蓉的網(wǎng)上銀行帳戶(hù)上的資金被劃走：2004年7月，黑龍江人付某使用了一種木馬程序，掛在自己的網(wǎng)站上；荊州人趙蓉下載付某的軟件，木馬就“進(jìn)入”電腦；屏幕上敲入的信息通過(guò)郵件發(fā)出：賬戶(hù)、密碼；付某成功劃出1萬(wàn)元；抓獲付某時(shí)，他已獲取7000多個(gè)全國(guó)各地儲(chǔ)戶(hù)的網(wǎng)上銀行密碼。3、利用木馬進(jìn)行攻擊安全事件：付某：3、利用木馬進(jìn)行攻擊生么是“木馬”？

木馬與傳說(shuō)中的木馬一樣,他們會(huì)在用戶(hù)毫不知情的情況下悄悄的進(jìn)入用戶(hù)的計(jì)算機(jī),進(jìn)而反客為主,竊取機(jī)密數(shù)據(jù),甚至控制系統(tǒng)。3、利用木馬進(jìn)行攻擊“木馬”的主要危害：

盜取文件資料；盜取用戶(hù)帳號(hào)和密碼；監(jiān)控用戶(hù)行為，獲取用戶(hù)重要資料；發(fā)送QQ、msn尾巴，騙取更多人訪問(wèn)惡意網(wǎng)站下載木馬；3、利用木馬進(jìn)行攻擊防范對(duì)策：嚴(yán)禁將涉密計(jì)數(shù)機(jī)接入互聯(lián)網(wǎng)；不隨意打開(kāi)不明電子郵件，尤其是不輕易打開(kāi)郵件附件；不點(diǎn)擊和打開(kāi)陌生圖片和網(wǎng)頁(yè)；必須安裝殺毒軟件并及時(shí)升級(jí)更新，及時(shí)打補(bǔ)??；所有外網(wǎng)PC安裝360軟件，定期查殺木馬程序。4、利用“嗅探”技術(shù)竊密安全事件：

某單位干部葉某，在聯(lián)接互聯(lián)網(wǎng)的計(jì)算機(jī)上處理涉密信息，被某間諜情報(bào)機(jī)關(guān)植入“嗅探”程序。致使其操作電腦的一舉一動(dòng)均被監(jiān)控，并造成大量涉密信息被竊。4、利用“嗅探”技術(shù)竊密“嗅探”技術(shù)：

“嗅探”是指秘密植入特定功能程序，用來(lái)記錄諸如網(wǎng)絡(luò)內(nèi)部結(jié)構(gòu)、鍵盤(pán)操作、口令密碼等信息的竊密技術(shù)。

攻擊者首先利用漏洞或木馬在計(jì)算機(jī)中植入“鍵盤(pán)記錄程序”該程序會(huì)自動(dòng)隱藏生成記錄鍵盤(pán)信息的文件。

一旦計(jì)算機(jī)重新聯(lián)網(wǎng)，攻擊者就可以從目標(biāo)計(jì)算機(jī)下載鍵盤(pán)記錄文件，并還原出編輯過(guò)的穩(wěn)定內(nèi)容。4、利用“嗅探”技術(shù)竊密防范對(duì)策：嚴(yán)禁將涉密計(jì)數(shù)機(jī)接入互聯(lián)網(wǎng)；用戶(hù)聯(lián)接互聯(lián)網(wǎng)的計(jì)算機(jī)，任何情況下不得處理涉密信息；定期對(duì)上網(wǎng)計(jì)算機(jī)操作系統(tǒng)進(jìn)行重裝處理；PC安裝360軟件，定期惡意代碼程序。5、利用數(shù)據(jù)恢復(fù)技術(shù)安全事件：

陳冠希：2006年曾托助手將其外殼彩色的手提電腦，送到中環(huán)一間計(jì)算機(jī)公司維修，其后有人把計(jì)算機(jī)中已刪除的照片恢復(fù)后，制作成光盤(pán)，傳播給其他人。5、利用數(shù)據(jù)恢復(fù)技術(shù)數(shù)據(jù)恢復(fù)技術(shù)：

數(shù)據(jù)恢復(fù)是指運(yùn)用軟、硬件技術(shù)對(duì)刪除或因介質(zhì)損壞等丟失的數(shù)據(jù)予以還原的過(guò)程。U盤(pán)或計(jì)算機(jī)硬盤(pán)存儲(chǔ)的數(shù)據(jù)即使已被刪除或進(jìn)行格式化處理，使用專(zhuān)用軟件仍能將其恢復(fù)，這種方法也因此成為竊密的手段之一。

例如，竊密者使用從互聯(lián)網(wǎng)下載的恢復(fù)軟件對(duì)目標(biāo)計(jì)算機(jī)的已被格式化的U盤(pán)進(jìn)行格式化恢復(fù)操作后，即可成功的恢復(fù)原有文件。5、利用數(shù)據(jù)恢復(fù)技術(shù)防范對(duì)策：嚴(yán)禁在接入互聯(lián)網(wǎng)的計(jì)算機(jī)上使用處理過(guò)涉密信息的移動(dòng)存儲(chǔ)介質(zhì)。涉密存儲(chǔ)介質(zhì)淘汰報(bào)廢時(shí)必須進(jìn)行徹底的物理銷(xiāo)毀。嚴(yán)禁將秘密載體當(dāng)做廢品出售。

6、利用口令破解攻擊安全事件：

2003年2月，有關(guān)部門(mén)檢測(cè)發(fā)現(xiàn)某間諜情報(bào)機(jī)關(guān)利用口令破解技術(shù)，對(duì)我某重要網(wǎng)絡(luò)進(jìn)行了有組織的大規(guī)模攻擊，控制了57臺(tái)違規(guī)上互聯(lián)網(wǎng)的涉密計(jì)算機(jī)，竊走1550余份文件資料。6、利用口令破解攻擊口令破解：

口令是計(jì)算機(jī)系統(tǒng)的第一道防線，計(jì)算機(jī)通過(guò)口令來(lái)驗(yàn)證身份。

口令破解是指以口令為攻擊目標(biāo)，進(jìn)行猜測(cè)破譯，或避開(kāi)口令驗(yàn)證，冒充合法用戶(hù)潛入目標(biāo)計(jì)算機(jī)，取得控制權(quán)的過(guò)程。即使計(jì)算機(jī)打了“補(bǔ)丁”，安裝了病毒防護(hù)軟件，設(shè)置了開(kāi)機(jī)口令密碼，黑客仍然可以通過(guò)口令破解進(jìn)入你的計(jì)算機(jī)，從而達(dá)到破壞或竊密的目的。

“暴力破解”是進(jìn)行口令破解用得較多的方式，是指應(yīng)用窮舉法將建盤(pán)上的字母、數(shù)字、符號(hào)按照一定順序進(jìn)行排列組合實(shí)驗(yàn)，直至找到正確的口令。其過(guò)程是攻擊者首先啟用口令破譯軟件，輸入目標(biāo)計(jì)算機(jī)ip地址，對(duì)目標(biāo)計(jì)算機(jī)進(jìn)行口令破譯、口令越長(zhǎng)，口令組合越復(fù)雜，破譯難度越大，所需時(shí)間越多。6、利用口令破解攻擊防范對(duì)策：口令密碼設(shè)置應(yīng)當(dāng)采用大小寫(xiě)字母、字符和數(shù)字混合編制，要有足夠的長(zhǎng)度（至少16位以上），并定期更換（最長(zhǎng)3個(gè)月）。涉密信息系統(tǒng)必須按照保密標(biāo)準(zhǔn)，采取符合要求的口令密碼、智能卡或USBKey、生理特征的身份鑒別方式。7、數(shù)據(jù)庫(kù)注入攻擊安全事件：

2011年12月21日,中國(guó)最大的軟件開(kāi)發(fā)者技術(shù)社區(qū)CSDN(Chinesesoftwaredevelopnet,中國(guó)軟件開(kāi)發(fā)聯(lián)盟)后臺(tái)數(shù)據(jù)庫(kù)被黑客惡意發(fā)布到互聯(lián)網(wǎng)上并提供下載,此數(shù)據(jù)庫(kù)中包含了642萬(wàn)多個(gè)用戶(hù)的帳號(hào)、密碼等信息,嚴(yán)重威脅了相關(guān)用戶(hù)的信息安全。7、數(shù)據(jù)庫(kù)注入攻擊數(shù)據(jù)庫(kù)注入：用戶(hù)可以向網(wǎng)站提交一段數(shù)據(jù)庫(kù)查詢(xún)代碼，根據(jù)程序返回的結(jié)果，獲得某些他想得知的數(shù)據(jù)，這就是所謂的數(shù)據(jù)庫(kù)注入。7、數(shù)據(jù)庫(kù)注入攻擊防范對(duì)策：在服務(wù)端正式處理之前對(duì)提交數(shù)據(jù)的合法性進(jìn)行檢查；封裝客戶(hù)端提交信息；替換或刪除敏感字符/字符串屏蔽出錯(cuò)信息。8、跨站腳本攻擊安全事件：

2011年6月28日晚，新浪微博出現(xiàn)了一次比較大的XSS攻擊事件。大量用戶(hù)自動(dòng)發(fā)送諸如：“郭美美事件的一些未注意到的細(xì)節(jié)”，“建黨大業(yè)中穿幫的地方”，“讓女人心動(dòng)的100句詩(shī)歌”，“這是傳說(shuō)中的神仙眷侶啊”等等微博和私信，并自動(dòng)關(guān)注一位名為hellosamy的用戶(hù)。事件的經(jīng)過(guò)線索如下：20:14，開(kāi)始有大量帶V的認(rèn)證用戶(hù)中招轉(zhuǎn)發(fā)蠕蟲(chóng)20:30，某網(wǎng)站中的病毒頁(yè)面無(wú)法訪問(wèn)20:32，新浪微博中hellosamy用戶(hù)無(wú)法訪問(wèn)21:02，新浪漏洞修補(bǔ)完畢8、跨站腳本攻擊跨站腳本攻擊：跨站腳本攻擊（也稱(chēng)為XSS）指利用網(wǎng)站漏洞從用戶(hù)那里惡意盜取信息。用戶(hù)在瀏覽網(wǎng)站、使用即時(shí)通訊軟件、甚至在閱讀電子郵件時(shí)，通常會(huì)點(diǎn)擊其中的鏈接。攻擊者通過(guò)在鏈接中插入惡意代碼，就能夠盜取用戶(hù)信息。攻擊者通常會(huì)用十六進(jìn)制（或其他編碼方式）將鏈接編碼，以免用戶(hù)懷疑它的合法性。網(wǎng)站在接收到包含惡意代碼的請(qǐng)求之后會(huì)產(chǎn)成一個(gè)包含惡意代碼的頁(yè)面，而這個(gè)頁(yè)面看起來(lái)就像是那個(gè)網(wǎng)站應(yīng)當(dāng)生成的合法頁(yè)面一樣。許多流行的留言本和論壇程序允許用戶(hù)發(fā)表包含HTML和javascript的帖子。假設(shè)用戶(hù)甲發(fā)表了一篇包含惡意腳本的帖子，那么用戶(hù)乙在瀏覽這篇帖子時(shí)，惡意腳本就會(huì)執(zhí)行，盜取用戶(hù)乙的session信息。8、跨站腳本攻擊防范對(duì)策：輸入驗(yàn)證：某個(gè)數(shù)據(jù)被接受為可被顯示或存儲(chǔ)之前，使用標(biāo)準(zhǔn)輸入驗(yàn)證機(jī)制，驗(yàn)證所有輸入數(shù)據(jù)的長(zhǎng)度、類(lèi)型、語(yǔ)法以及業(yè)務(wù)規(guī)則；輸出編碼：數(shù)據(jù)輸出前，確保用戶(hù)提交的數(shù)據(jù)已被正確進(jìn)行entity編碼，建議對(duì)所有字符進(jìn)行編碼而不僅局限于某個(gè)子集；明確指定輸出的編碼方式：不要允許攻擊者為你的用戶(hù)選擇編碼方式(如ISO8859-1或UTF8)；注意黑名單驗(yàn)證方式的局限性：僅僅查找或替換一些字符(如“<”“>”或類(lèi)似“script”的關(guān)鍵字)，很容易被XSS變種攻擊繞過(guò)驗(yàn)證機(jī)制；警惕規(guī)范化錯(cuò)誤：驗(yàn)證輸入之前，必須進(jìn)行解碼及規(guī)范化以符合應(yīng)用程序當(dāng)前的內(nèi)部表示方法。請(qǐng)確定應(yīng)用程序?qū)ν惠斎氩蛔鰞纱谓獯a。9、CSRF攻擊安全事件：菲律賓槍殺臺(tái)灣漁民而發(fā)生的“臺(tái)菲黑客大戰(zhàn)”中，臺(tái)灣黑客使用CSRF攻擊技術(shù)，一度攻陷菲律賓政府的DNS服務(wù)器，迫使菲律賓黑客公開(kāi)“求饒”。9、CSRF攻擊CSRF攻擊：CSRF（Cross-siterequestforgery跨站請(qǐng)求偽造，也被稱(chēng)成為“oneclickattack”或者sessionriding，通?？s寫(xiě)為CSRF或者XSRF，是一種對(duì)網(wǎng)站的惡意利用。盡管聽(tīng)起來(lái)像跨站腳本（XSS），但它與XSS非常不同，并且攻擊方式幾乎相左。XSS利用站點(diǎn)內(nèi)的信任用戶(hù)，而CSRF則通過(guò)偽裝來(lái)自受信任用戶(hù)的請(qǐng)求來(lái)利用受信任的網(wǎng)站。與XSS攻擊相比，CSRF攻擊往往不大流行（因此對(duì)其進(jìn)行防范的資源也相當(dāng)稀少）和難以防范，所以被認(rèn)為比XSS更具危險(xiǎn)性。9、CSRF攻擊防范對(duì)策：限制驗(yàn)證cookie的到期時(shí)間。這些cookie的合法時(shí)間越短，黑客利用你的Web應(yīng)用程序的機(jī)會(huì)就越?。粓?zhí)行重要業(yè)務(wù)之前，要求用戶(hù)提交額外的信息。要求用戶(hù)在進(jìn)行重要業(yè)務(wù)前輸入口令；使用無(wú)法預(yù)測(cè)的驗(yàn)證符號(hào)；使用定制的HTTP報(bào)頭；檢查訪問(wèn)源的報(bào)頭。三、門(mén)戶(hù)網(wǎng)站具體防護(hù)手段1.保持Windows升級(jí)：你必須在第一時(shí)間及時(shí)地更新所有的升級(jí)，并為系統(tǒng)打好一切補(bǔ)丁。考慮將所有的更新下載到你網(wǎng)絡(luò)上的一個(gè)專(zhuān)用的服務(wù)器上，并在該機(jī)器上以web的形式將文件發(fā)布出來(lái)。通過(guò)這些工作，你可以防止你的Web服務(wù)器接受直接的Internet訪問(wèn)

2.如果你并不需要FTP和SMTP服務(wù)，請(qǐng)卸載它們：

進(jìn)入計(jì)算機(jī)的最簡(jiǎn)單途徑就是通過(guò)FTP訪問(wèn)。FTP本身就是被設(shè)計(jì)滿足簡(jiǎn)單讀/寫(xiě)訪問(wèn)的，如果你執(zhí)行身份認(rèn)證，你會(huì)發(fā)現(xiàn)你的用戶(hù)名和密碼都是通過(guò)明文的形式在網(wǎng)絡(luò)上傳播的。SMTP是另一種允許到文件夾的寫(xiě)權(quán)限的服務(wù)。通過(guò)禁用這兩項(xiàng)服務(wù)，你能避免更多的黑客攻擊。3.設(shè)置復(fù)雜的密碼：

如果有用戶(hù)使用弱密碼，那么黑客能快速并簡(jiǎn)單的入侵這些用戶(hù)的賬號(hào)4.設(shè)置賬號(hào)鎖定的策略：

通過(guò)設(shè)備windows自帶的安全策略設(shè)置，可對(duì)非法暴力破解口令進(jìn)行有效的控制，同時(shí)審計(jì)所有登陸成功和失敗的事件5.使用NTFS安全：

缺省地，你的NTFS驅(qū)動(dòng)器使用的是EVERY0NE/完全控制權(quán)限，除非你手工關(guān)掉它們。關(guān)鍵是不要把自己鎖定在外，不同的人需要不同的權(quán)限，管理員需要完全控制，后臺(tái)管理賬戶(hù)也需要完全控制，系統(tǒng)和服務(wù)各自需要一種級(jí)別的訪問(wèn)權(quán)限，取決于不同的文件。最重要的文件夾是System32，這個(gè)文件夾的訪問(wèn)權(quán)限越小越好。在Web服務(wù)器上使用NTFS權(quán)限能幫助你保護(hù)重要的文件和應(yīng)用程序。6.禁用多余的管理員賬號(hào)：

如果你已經(jīng)安裝IIS，你可能產(chǎn)生了一個(gè)TSInternetUser賬戶(hù)。除非你真正需要這個(gè)賬戶(hù)，則你應(yīng)該禁用它。這個(gè)用戶(hù)很容易被滲透，是黑客們的顯著目標(biāo)。為了幫助管理用戶(hù)賬戶(hù)，確定你的本地安全策略沒(méi)有問(wèn)題。IUSR用戶(hù)的權(quán)限也應(yīng)該盡可能的小。7.網(wǎng)站目錄權(quán)限最小化：在網(wǎng)站正常運(yùn)行時(shí)：空間應(yīng)該全部關(guān)閉寫(xiě)入權(quán)限，只保留需要寫(xiě)權(quán)限的某幾個(gè)目錄，同時(shí)被保留寫(xiě)權(quán)限的目錄，必須要關(guān)閉執(zhí)行權(quán)限。站點(diǎn)需要更新時(shí)：開(kāi)放所有寫(xiě)入權(quán)限，更新完畢后立即關(guān)閉寫(xiě)入權(quán)限。原則是：有寫(xiě)入權(quán)限的目錄，不能有執(zhí)行權(quán)限有執(zhí)行權(quán)限的目錄，不能有寫(xiě)入權(quán)限

這樣最大限度的保證了站點(diǎn)的安全性8.移除缺省的Web站點(diǎn)：

很多攻擊者瞄準(zhǔn)inetpub這個(gè)文件夾，并在里面放置一些偷襲工具，從而造成服務(wù)器的癱瘓。防止這種攻擊最簡(jiǎn)單的方法就是在IIS里將缺省的站點(diǎn)禁用。

如果是一個(gè)虛擬主機(jī)，并且服務(wù)器上放置了多個(gè)域名的站點(diǎn)，建議對(duì)不同的站點(diǎn)設(shè)置不同的賬號(hào)權(quán)限（讀取和執(zhí)行）。這樣可保證一個(gè)域名上的站點(diǎn)被黑，而不會(huì)影響到整個(gè)服務(wù)器上其它的站點(diǎn)9.定期備份數(shù)據(jù)和程序：

至少以每周一次來(lái)定期的備份網(wǎng)站數(shù)據(jù)和程序，對(duì)大型數(shù)據(jù)庫(kù)可使用專(zhuān)業(yè)的快速導(dǎo)出工具。建議使用WinRAR類(lèi)型的壓縮軟件進(jìn)行備份，并同時(shí)設(shè)定壓縮密碼的加密壓縮方式。如果文件較多壓縮時(shí)間可能會(huì)長(zhǎng)，可使用計(jì)劃任務(wù)自動(dòng)執(zhí)行或采取存儲(chǔ)壓縮方式對(duì)操作系統(tǒng)建議每月備份一次，可直接使用GHOST。對(duì)于特殊的服務(wù)器需要RAID驅(qū)動(dòng)時(shí)，建議自制一個(gè)WinPE將RAID驅(qū)動(dòng)加載在該系統(tǒng)中。（有一定難度，但很幫助特別是安裝系統(tǒng)時(shí)無(wú)需引導(dǎo)盤(pán)）10.仔細(xì)檢查*.bat和*．exe文件：

每周搜索一次*.bat和*.exe文件，檢查服務(wù)器上是否存在黑客最喜歡，而對(duì)你來(lái)說(shuō)將是一場(chǎng)噩夢(mèng)的可執(zhí)行文件。在這些破壞性的文件中，也許有一些是*．reg文件。如果你右擊并選擇編輯，你可以發(fā)現(xiàn)黑客已經(jīng)制造并能讓他們能進(jìn)入你系統(tǒng)的注冊(cè)表文件。你可以刪除這些沒(méi)任何意義但卻會(huì)給入侵者帶來(lái)便利的主鍵。

或定期生成一份主機(jī)的文件列表，然后再進(jìn)行文件比對(duì)最簡(jiǎn)單的使用一條DOS命令:Dirc:/s/a>c:\files20100415.txtFcc:\files20100415.txtc:\files201000301.txt11.定期檢查訪問(wèn)日志

對(duì)于IIS，其默認(rèn)記錄存放在c:\winnt\system32\logfiles\w3svc1，文件名就是當(dāng)天的日期，記錄格式是標(biāo)準(zhǔn)的W3C擴(kuò)展記錄格式，可以被各種記錄分析工具解析，默認(rèn)的格式包括時(shí)間、訪問(wèn)者IP地址、訪問(wèn)的方法（GETorPOST…）、請(qǐng)求的資源、HTTP狀態(tài)（用數(shù)字表示）等。建議定期使用專(zhuān)業(yè)的日志分析工具來(lái)進(jìn)行審計(jì)檢查異常的訪問(wèn)現(xiàn)象。

四、常用安全分析軟件介紹工欲善其事,必先利其器！autoruns:微軟公司出的查看Windows啟動(dòng)或登錄時(shí)自動(dòng)運(yùn)行的程序它們CCleaner225:系統(tǒng)優(yōu)化和隱私保護(hù)工具、清除無(wú)用文件及垃圾文件HiJackThis:找惡意程序“劫持”瀏覽器的入口go_IceSword:冰刃,檢查非法進(jìn)程procexp:查看進(jìn)程和DLL模塊DwShark230:自動(dòng)分析系統(tǒng)到處文本RegistryCleanExpert:注冊(cè)表清理ComboFix:完全智能的修復(fù)系統(tǒng)工具（比360更強(qiáng)）go_RKUnhooker:看系統(tǒng)hook的go_RootkitRevealer:也是分析系統(tǒng)的msicuu2:WindowsInstaller清理實(shí)用工具PortableUnlocker:綠色unlock，解文件鎖的工具Tcpview:xp上看端口WinsockXPFix:修復(fù)tcp協(xié)議ethereal嗅探Windows自帶命令netstat-an檢查其它已開(kāi)放的端口強(qiáng)制關(guān)閉頑固病毒或可疑進(jìn)程IceSword檢查和關(guān)閉可疑的驅(qū)動(dòng)Windows自帶的驅(qū)動(dòng)查看器檢查和關(guān)閉可疑的驅(qū)動(dòng)RKUnhooker企業(yè)級(jí)修復(fù)系統(tǒng)漏洞WSUS是個(gè)微軟推出的網(wǎng)絡(luò)化的補(bǔ)丁分發(fā)方案，是免費(fèi)的，可以在微軟網(wǎng)站上去下載

嗅探聽(tīng)包Ethereal五、安全產(chǎn)品（硬件）介紹第一代安全產(chǎn)品防火墻、防病毒、IDS第二代安全產(chǎn)品抗dos、漏洞掃描、VPN、存儲(chǔ)備份、主頁(yè)防篡改、內(nèi)核加固、流量管理、負(fù)載均衡、網(wǎng)管第三代安全產(chǎn)品防篡改、WAF、系統(tǒng)保護(hù)盾（應(yīng)急保護(hù))、容災(zāi)備份、UTM、數(shù)據(jù)庫(kù)加密、審計(jì)、上網(wǎng)行為管理、桌面安全管理、安全管理平臺(tái)防篡改防護(hù)功能主要由安裝在Web服務(wù)器上的客戶(hù)端實(shí)現(xiàn)，分為兩大模塊：靜態(tài)防護(hù)模塊及動(dòng)態(tài)防護(hù)模塊。靜態(tài)防護(hù)模塊負(fù)責(zé)對(duì)網(wǎng)