2021信息安全工程师学习笔记（二十二）

网站安全需求分析与安全保护工作

1、网络安全威胁与需求分析

网络安全：基于B/S技术架构的综合信息服务平台，主要提供网页信息及业务后台对外接口服务；有关网站的机密性、完整性、可用性及可控性；

网站安全分析：主要威胁如下：

• 非授权访问；
• 网页篡改；
• 数据泄露；
• 恶意代码；
• 网站假冒；
• 拒绝服务；
• 网站后台管理安全威胁；

2、Apache Web安全分析与增强

Apache Web概述：用于搭建Web服务器的开源软件；配置文件如下：

• httpd.conf：是Apache的主配置文件；
• conf/srm.conf：是数据配置文件；
• conf/access.conf：负责基本的读取文件控制；
• conf/mime.conf：设定Apache所能辨别的MME格式；

Apache Web安全威胁：

• Apache Web软件程序威胁；
• Apache Web软件配置威胁；
• Apache Web安全机制威胁；
• Apache Web应用程序威胁；
• Apache Web服务通信威胁；
• Apache Web服务内容威胁；
• Apache Web服务器拒绝服务威胁；

Apache Web主要有以下安全机制：

• Apache Web本地文件安全；
• Apache Web模块管理机制；
• Apache Web认证机制；
• 连接耗尽应对机制；
• Apache Web自带的访问机制：Apache的access.conf文件负责设置文件的访问权限，可以实现互联网域名和IP地址的访问控制；
• Apache Web审计和日志：请求记录存放在access.log和error,log，两个文件中；
• Apache Web服务器防范DoS；

针对连接耗尽应对机制的解决方法：

• 减少Apache超时（Timeout）设置，增大MaxClients设置。修改httpd.conf配置文件：Timeout 30，MaxClients 256；
• 限制同一IP的最大连接数；
• 多线程下载保护机制；

Apache Web安全增强：

• 及时安装Apache Web补丁；
• 启用 .htaccess文件保护网页；
• 为Apache Web服务软件设置专门的用户和组按照最小特权原则；
• 隐藏Apache Web软件的版本号；
• Apache Web目录访问安全增强：设定禁止使用目录索引文件、禁止默认访问、用户重载；
• Apache Web文件目录保护；
• 删除Apache Web默认目录或不必要的文件；
• 使用第三方软件安全增强Apache Web服务：构建Apache Web服务器“安全沙箱”、使用Open SSL增强Apache Web安全通信、增强Apache Web服务器访问控制；

3、IIS安全分析与增强

IIS概述：主要提供Web服务，协同处理HTTP请求过程；

IIS安全威胁：

• 非授权访问；
• 网络蠕虫；
• 网页篡改；
• 拒绝服务；
• IIS软件漏洞；

IIS安全机制：IIS认证机制、IIS访问机制、IIS日志审计；

IIS访问控制：具有请求过滤、URL授权控制、IP地址限制、文件授权；

IIS的访问控制流程：

• 用户浏览器所在计算机的IP地址是否限制？
• 用户身份验证是否通过？
• 在IIS中指定的Web权限是否允许用户访问？
• 用户正在进行的操作请求是否符合相应Web文件或文件夹的NTFS许可权限？
• 用户通过上述访问控制措施就可以访问其请求的资源；

IIS安全增强：

• 及时安装IIS补丁；
• 启用动态IP限制：用于减缓拒绝服务攻击及暴力口令猜测攻击；
• 启用URLScan；
• 启用IIS Web应用防火墙；
• 启用SSL服务；

4、Web应用漏洞分析与防护

常见的Web安全漏洞：技术安全漏洞、业务逻辑安全漏洞；

OWASP Top 10：

• A1-注入漏洞：将不受信任的数据作为命令或查询的一部分发送到解析器；
• A2-遭受破坏的认证；
• A3-敏感数据暴力漏洞；
• A4-XML外部实体引用漏洞；
• A5-受损害的访问控制漏洞；
• A6-安全配置错误；
• A7-跨站脚本漏洞；
• A8-非安全反序列化漏洞；
• A9-使用含有已知漏洞的组件；
• A10-非充分的日志记录和监控；

SQL注入漏洞分析与防护：

• 对应用程序输入进行安全过滤；
• 设置应用程序最小化权限；
• 屏蔽应用程序错误提示信息；
• 对开源Web应用程序做安全适应改造；

文件上传漏洞分析与防护：

• 将上传目录设置为不可执行，避免上传文件远程触发执行；
• 检查上传文件的安全性，阻断恶意文件上传；

5、网站安全保护机制与技术方案

网站安全保护机制：

• 身份鉴别；
• 访问控制；
• 网站内容安全；
• 网站数据安全；
• 网站安全防护；
• 网站安全审计与监控；
• 网站应急响应；
• 网站合规管理；
• 网站安全评测；
• 网站安全管理机制；

网站安全加固：

• 操作系统安全加固；
• 数据库系统安全加固；
• Web服务器软件安全加固；
• Web应用程序安全加固；
• Web通信安全加固；
• 网站域名服务安全加固；
• 网站后台管理安全加固；

网站攻击防护及安全监测：

• 防火墙：Web应用防火墙针对80、443端口；
• 漏洞扫描：端口扫描、Web漏洞扫描、WebShell恶意代码检测；
• 网站防篡改：利用操作系统的文件调用事件来检测网页文件的完整性；利用密码学的单向函数检测网站中的文件是否发生了改变；
• 网络流量清洗；
• 网站安全监测：目标是掌握网站的安全状态；

网站安全监测主要内容：

• 网站安全漏洞监测；
• 网站挂马监测；
• 网站ICP备案监测；
• 网站合规性监测；
• 网站性能监测；
• 网站DNS监测；
• 网站入侵检测；

6、网站安全综合应用案例分析

政务网站安全保护：网络安全保护涉及：

• 国家法律法规；
• 政策文件；
• 组织管理；
• 标准规范；
• 运行环境；
• 产品技术；
• 应用开发；
• 安全评测；
• 应急响应；

政府网站的信息安全等级原则上不应低于二级

政府网站安全防护方案：