軟考-資訊安全工程師學習筆記-第22章網站安全需求分析與安全保護

網站安全威脅與需求分析

網站安全概念：網站是一個基于B/S技術架構的綜合資訊服務平台，主要提供網頁資訊及業務背景對外接口服務。網站安全主要是有關網站的機密性、完整性、可用性及可控性。

網站安全分析：網站面臨主要威脅：1.非授權通路。2.網頁篡改。3.資料洩露。4.惡意代碼。5.網站假冒。6.拒絕服務。常見的網站拒絕服務有UDP洪水、ICMP洪水、SYN洪水、HTTP洪水。7.網站背景管理安全威脅。

網站安全需求：主要包括實體環境、網絡通信、作業系統、資料庫、應用伺服器、Web服務軟體、Web應用程式、資料等安全威脅防護。同時，網站運作維護需要建立一個相應的組織管理體系以及相應的安全運維工具和平台。

Apache Web安全分析與增強

Apache Web概述：Apache Httpd是一個用于搭建Web伺服器的開源軟體。配置檔案如下：

1.http.conf。是Apache的主配置檔案，httpd程式啟動時會先讀取httpd.conf。該檔案設定Apcahe伺服器的一般的屬性、端口、執行者身份等。

2.conf/srm.conf。是資料配置檔案，不是必須的，可以完全在httpd.conf裡設定。

3.conf/access.conf。是負責基本的讀取檔案控制，可以在http.conf裡設定。

4.conf/mine.conf。設定Apcahe 所能辨識的MIME格式，一般而言，無須動此檔案。

Apache Web安全分析：主要面臨以下威脅：

1.Apache Web軟體程式威脅。Apache軟體包自身存在的安全隐患。

2.Apache Web軟體配置威脅。Apache網站管理配置漏洞，通路網站敏感資訊，執行個體有目錄索引、資源位置預測、資訊洩露。

3.Apache Web安全機制威脅。利用Apache安全機制的漏洞，執行個體有密碼暴力攻擊、授權不當、弱密碼恢複驗證。

4.Apache Web應用程式威脅。利用Apache應用程式漏洞來攻擊網站，執行個體有SQL注入、輸入驗證錯誤。

5.Apache Web服務通訊威脅。Apache一般情況下使用的HTTP協定是明文傳遞的，攻擊者可以通過監聽手段擷取Apache伺服器和浏覽器之間的通信内容。

6.Apache Web服務内容威脅。利用網絡服務的漏洞，修改網頁資訊或者釋出虛假資訊。執行個體有網頁惡意篡改和網絡釣魚。

7.Apache Web伺服器拒絕服務威脅。通過某些手段使伺服器拒絕對HTTP應答。這使得Apache對系統資源需求劇增，最終造成系統變慢甚至完全癱瘓。

Apache Web安全機制：

1.Apache Web本地檔案安全。Apache安裝後預設設定的檔案屬主和權限是比較合理與安全的。可通過chmod指令修改。

2.Apache Web子產品管理機制。Apache軟體采用子產品化結構，當Apache不需要某項功能時，就可以通過配置方式，禁止相應的子產品。

3.Apache Web認證機制。Apache提供了非常簡單友善的使用者認證機制。

4.連接配接耗盡應對機制。減少Apache逾時設定、增大MaxClients設定、限制同一IP的最大連接配接數、多線程下載下傳保護機制。

5.Apache Web自帶的通路機制。基于IP位址或域名的通路控制是Apache提供的一種根據客戶機的IP位址或域名資訊進行網站通路授權控制的措施。Apache的access.conf檔案負責設定檔案的通路權限，可以實作網際網路域名和IP位址的通路控制。

6.Apache Web審計和日志。記錄存放在access.log和error.log。access.log記錄對Web站點的每個進入請求。error.log記錄産生錯誤狀态的請求。

7.Apache Web伺服器防範DOS。

Apache Web安全增強：

1.及時安裝Apache Web更新檔。

2.啟用.htaccess檔案保護網頁。.htaccess功能包括設定網頁密碼、設定發生錯誤時出現的檔案、改變首頁的檔案名、禁止讀取檔案名、重新導向檔案、加上MIME類别、禁止列目錄下檔案等。

3.為Apache Web服務軟體設定專門的使用者群組按照最小特權原則。

4.隐藏Apache Web軟體版本号。方法是，修改配置檔案http.conf，找到關鍵字ServerSignature和Server Tokens，将其參數設為ServerSignture off和ServerTokens Prod，然後重新啟動Apache伺服器。

5.Apache Web目錄通路安全增強。⑴設定禁止使用目錄索引檔案。⑵禁止預設通路。⑶禁止使用者重載。

6.Apache Web檔案目錄保護。

7.删除Apache Web預設目錄或不必要的檔案。

8.使用第三方軟體安全增強Apache Web服務。⑴建構Apache Web伺服器“安全沙箱”，指通過chroo機制來更改某個軟體運作時所能看到的根目錄。⑵使用Open SSL來增強Apache Web安全通信。⑶增強Apache Web伺服器通路控制。

IIS安全分析與增強

IIS概述：是Microsoft公司的Web服務軟體的簡稱，主要是提供Web服務。

IIS安全分析與增強

IIS典型安全威脅：非授權通路、網絡蠕蟲、網頁篡改、拒絕服務、IIS軟體漏洞。

IIS安全機制：IIS認證機制、IIS通路控制、IIS日志審計。

1.IIS認證方式：匿名認證、基本驗證、證書認證、數字簽名認證、IIS證書認證、Windows認證

2.IIS通路控制。IIS具有請求過濾、URL授權控制、IP位址現在、檔案授權等通路控制措施。IIS的通路控制流程步驟：1.使用者浏覽器所在計算機的IP位址是否限制？2.使用者身份驗證是否通過？3.在IIS中指定的Web權限是否運作使用者通路？4.使用者正在進行的操作請求是否符合相應Web檔案或檔案夾的NTFS許可權限？5.使用者通過上述通路控制措施就可以通路其請求的資源。

3.IIS日志審計。能夠記錄Web通路情況，IIS相關的日志審計還有作業系統、資料庫、應用服務。

IIS安全增強：

1.技術安裝IIS更新檔。2.啟動動态IP限制，用于減緩拒絕服務攻擊及暴力密碼猜測攻擊。3.啟用URLScan，限制特定的HTTP請求，可以防止有害的HTTP請求危及網站的應用。4.啟用IIS Web應用防火牆，可以識别和阻擋SQL注入、Dos、CSRF/XSRF、XSS等Web應用威脅，還提供基于行為的入侵防護以識别零日攻擊與目标定向攻擊。5.啟用SSL服務。IIS的網站資訊傳遞在通常情形下是明文傳遞的，啟用SSL服務後，可以保障IIS Web網絡通信安全。

Web應用漏洞分析與防護

Web應用安全概述：常見的Web安全漏洞有兩個方面：一是技術安全漏洞，如SQL注入漏洞、跨站腳本（XSS）、惡意檔案執行、非安全對象引用等。二是業務邏輯安全漏洞，來源于業務工作流程及處理上因安全考慮不周或處理不當而産生的安全隐患。

OWASP Top 10是國際開放Web應用安全項目組推出的前10個Web應用漏洞排名。

Web應用漏洞防護：

1.SQL注入漏洞分析與防護防範方法：

⑴對應用程式輸入進行安全過濾，禁止一切非預期的參數傳遞到背景資料庫伺服器。過濾方法有建立程式輸入黑名單和白名單。

⑵設定應用程式最小化權限。

⑶屏蔽應用程式錯誤提示資訊。

⑷對開源Web應用程式做安全适應性改造。利用開源網站應用程式進行安全增強，避免攻擊者無須猜測就可以知道網站背景資料庫的類型以及各種表結構，進而較容易地進行SQL注入攻擊。

2.檔案上傳漏洞防護措施：将上傳目錄設定為不可執行，避免上傳檔案遠端觸發執行。檢查上傳檔案的安全性，阻斷惡意檔案上傳。

3.跨站腳本攻擊。

網站安全保護機制與技術方案

網站安全保護機制：

1.身份鑒别。常見的身份鑒别技術措施有使用者名/密碼、U盾、人臉識别以及基于證書的統一使用者身份管理。

2.通路控制。常見的網站通路控制技術措施是防火牆、資料加密以及作業系統、資料庫、Web軟體、Web應用程式等内置的通路控制措施綜合內建實作。

3.網站内容安全。技術措施主要是網站文字内容安全檢查、網頁防篡改、敏感詞彙過濾。

4.網站資料安全。技術措施有使用者資料隔離、資料加密、SSL、資料備份以及隐私保護。

5.網站安全防護。

6.網站安全審計與監控。技術措施主要有SysLog、Web流量截取、網頁篡改或挂馬檢查、Web入侵監測、電子驗證等。

7.網站應急響應。技術措施有網頁防篡改、網站域名服務災備、網絡流量情形、災備中心、網絡攻擊驗證。

8.網站合規管理。網站備案、網站防僞辨別、網站等保測評等。

9.網站安全測評。技術措施有漏洞掃描、滲透測試、代碼審查、風險分析。

10.網站安全管理機制。

網站構成元件安全加強：作業系統安全加強、資料庫系統安全加強、Web伺服器軟體安全加強、Web應用程式安全加強、Web通訊安全加強、網站域名服務安全加強、網站背景管理安全加強。

網站攻擊防護及安全監測：1.防火牆。2.漏洞掃描。3.網站防篡改。4.網絡流量清洗。5.網站安全監測包括網站安全漏洞檢測、網站挂馬監測、網站ICP備案監測、網站合規性監測、網站性能監測、網站DNS監測、網站入侵檢測。

網站安全綜合應用案例分析

政務網站安全保護：網站安全保護涉及國家法律法規、政策檔案、組織管理、标準規範、運作環境、産品技術、應用開發、安全測評、應急響應等多個方面的内容。

政府網站的資訊安全等級原則上不應低于二級。三級網站每年應測評一次，二級網站每兩年測評一次。

政府網站安全防護方案：

1.DDOS防禦。2.網絡通路控制。3.網頁防篡改。4.網站應用防護。5.入侵防禦和病毒防護。6.網絡/資料庫審計。7.網站安全監控。