PowerPoint 演示文稿 - PDF Free Download

厦门大学信息与网络中心郑海山 2017/12/01 浙江绍兴重大活动期间的高校积极信安实践

CONTENTS 目录 ABOUT 相关介绍 BEFORE 事前 ING 事中 AFTER 事后

THE FIRST PART 相关介绍 ABOUT

THE FIRST PART 相关介绍 ABOUT 1 许卓斌 11 月初在安全工作组会议分享的重点服务保障期间的安全实践 http://sec2017.eventdove.com/ 2 静态网页安全防护可看中国教育网络 2017 年 11 月 P55 页电子版暂缺 DNS 安全 : https://dog.xmu.edu.cn/images/paper/dnsquery-log-analysis-system-based-on-opensource-software.pdf 3 DevOps 在重大活动网站安全保障中的应用, 具体技术实现 https://dog.xmu.edu.cn/images/slide/devopssecurity-filtered.pptx

THE FIRST PART 相关介绍 ABOUT 网站传输路径 TRANSFER PATH 上海交通大学姜开达 : 网络安全的特点是攻防高度不对称, 黑客可以一点突破引发目标全线奔溃作为防护的一方, 全局体系任何一处都不能存在短板恐怖分子 : 失败了不要紧, 我们只要一次成功, 而你们必须每次都成功 STEP ONE STEP TWO STEP THREE STEP FOUR 用户端浏览器 -> hosts 文件 -> DNS -> 浏览器缓存 -> Safe Browsing -> 证书检查 -> 网关 / 无线 / 路由器 -> 代理 -> CDN -> 防火墙 -> IPS/IDS -> WAF -> 负载均衡 -> 虚拟化宿主机 -> 虚拟机 -> 操作系统 -> HTTP 服务器 -> HTTP 服务器 WAF -> URL 重写 -> 文件载入 -> 脚本解析 -> URL 路由分发 -> Cache -> 数据库 -> 渲染结果 -> 压缩 -> HTTPS 加密 -> 返回 - > 网络层分包 -> 重组包 -> 浏览器接收 - > 浏览器插件 -> JS 渲染 -> 字符集 -> 页面载入完成

THE FIRST PART 相关介绍 ABOUT 纵深防御通过设置多层重叠的安全防护系统而构成多道防线, 使得即使某一防线失效也能被其他防线弥补或纠正, 即通过增加系统的防御屏障或将各层之间的漏洞错开的方式防范差错发生的 https://baike.baidu.com/item/ 纵深防御纵深防御只适用于保护核心资产数据, 对于贴标语式的防御无效整体安全级别由木桶原理最短的那块木板决定奥卡姆剃刀原则 : 若无必要, 勿增实体引入安全设备可能引入安全风险 KISS(Keep It Simple, Stupid)

THE FIRST PART 相关介绍工作目标关开 1 THE FIRST PART 重大活动期间不出网络安全事件, 尤其需要确保对外有影响力的网站不被非法篡改 2 THE SECOND PART 重大活动期间维持学校正常运转, 维持核心业务系统与主要对外信息发布平台继续运作 3 THE THIRD PART 在安全前提下尽可能保障师生的网络应用需求 WIFI 认证关闭基于 MAC 匹配的无感知认证功能关闭边界的大部分端口, 限制外网对校园网的 SSH/Telnet/FTP 及常见远程控制端口关大部分网站和信息系统, 邮件 Web 端 WIFI 保留安全性较高的 802.1x 接入认证厦门大学主页网站群 DNS 邮件, 启用 SMTPS, POPS,IMAPS 利用双因素认证的 VPN 访问特殊业务系统

THE FIRST PART 相关介绍 ABOUT 通知页面的技巧 - 对于一些存在安全隐患而被暂时性下线的网站, 可使用应用交付设备或者把 DNS 导入到一个特定的通知页面, 以减少突然关闭对网站管理员和浏览者带来的不便 - 为避免临时性替换网站页面内容导致搜索引擎删除原有网站信息, 通知页面应当返回 503 HTTP 状态码, 也可根据恢复时间指定 Retry-After 返回值

THE FIRST PART 相关介绍 ABOUT 校内校外访问提示对于需要拨 VPN 访问的信息系统, 我们在前端加上 Nginx 负载均衡, 对于校外 IP, 访问会得到一个提示, 告知必须拨双因素认证的 VPN, 附上详细的说明, 而对于校内 IP 则直接可以访问

THE SECOND PART 事前 BEFORE

THE SECOND PART 事前落实信息安全等级保护制度等保提升了制度安全设备网络等整体安全性安全评估整改以及等级测评工作动员会议 (2017 年 1 月 6 日 ) 召开全校信息安全等级保护工作动员会各处级单位须指派具体负责网站管理等技术工作的人员一名参加校内网站备案信息更新 (2017 年 1 月 15 日 ), 在新备案系统登记, 信息填写完整后下载厦门大学网站备案申请表 PDF 文档并打印, 经加盖单位公章后提交信息与网络中心用户服务部确认系统定级及公安备案 (2017 年 3 月 31 日 ) 根据我校工作实际, 校内网站及信息系统中, 厦门大学信息化综合应用平台及厦门大学网站群系统定为三级系统, 其余系统均定为二级系统或一级系统各单位应配合做好系统等级认定工作, 提供定级及公安备案所需的各项 (2017 年 5 月 8 日 ) 各单位应按照信息安全等级保护工作要求, 协调组织信息系统管理人员及开发单位维护单位配合完成系统的评估整改及复测工作针对安全评估过程中发现的问题, 各单位应在 15 个工作日内完成整改工作信息

THE SECOND PART 事前网站治理 : 定义和定位 1 僵尸网站教育部对僵尸网站给出明确定义和治理要求其指标为 :1) 年访问量 1000 人次以下 ;2) 网站 180 天以上未更新 ;3) 系统每年录入的信息在 100 条以下 ;4) 专题网站使命完成, 网站系统无人运维或者运维缺少基本保障 http://mp.163.com/v2/article/detail/d0l5ccij0511ckt4.html 2 双非网站指主体为学校但是 IP 地址和域名均不是学校的网站和信息系统管理手段技术手段 : 搜索引擎 http://icp.chinaz.com/conditions 3 寄生网站指依附在已经开放了校外访问权限的服务器上 ( 萧德洪 ) 流量分析

THE SECOND PART 事前备案系统所有站点均需在备案系统备案, 以便出现安全问题时可以联系到责任人建立年审机制, 杜绝僵尸网站和责任人变换 SRC 平台功能, 实现漏洞的全生命周期管理, 从各个平台 ( 补天漏洞盒子 VulTracker SRC.edu-info 教育部 CNVD 赛尔福建省厦门市网安漏扫工具 ) 过来的漏洞录入到平台, 通过邮件跟踪进度, 通过技术手段封禁没有修复的站点实现漏洞从通知, 认领, 修复, 验证, 完成的管理基于备案记录实现各种扩展 : 网址导航, 截图,DNS 记录比对, 漏扫, 监控, 站点分类导出网站列表到 IPDB 等

THE SECOND PART 事前利用 Ticket 系统管理台账

THE SECOND PART 事前网站群总体原则 : 将新闻发布为主的宣传性质网站和信息系统分开安全级别不同 : 新闻发布网站 : 需要对所有人开放, 需要常年开放信息系统 : 可以限制在校内, 通过 VPN 访问可以在业务期外关闭新闻发布性质的大部分迁移到网站群, 二级院系无需关注代码和操作系统安全管理方面还存在安全隐患 : 管理员密码泄露, 管理员离职, 公示与隐私的关系

THE SECOND PART 事前开放漏扫工具开放漏扫工具给二级学院管理员请只对自己的服务器和网站发起漏洞扫描, 对未授权的网站发起扫描等尝试攻击也是违法的请勿对厦门大学 IP 以外的任何网站发动扫描漏洞扫描的账户名和密码请勿共享给任何人系统管理员可能不定期回收账户为防止对网站正常访问造成影响, 请在网站访问量较低时扫描, 比如下班后由于可能有多个用户同时在执行扫描, 为减轻漏洞扫描服务器压力, 请一次只扫描一个 IP 或者网站扫描时间较长, 请耐心等待漏洞扫描有可能对数据造成破坏, 请在扫描之前备份自己服务器的数据漏洞扫描可能被服务器的安全软件拦截, 请尝试给安全软件加白名单扫描和不加白名单分别扫描扫描完请尽快下载 HTML 或者 Word 报告保存, 系统管理员有可能不定期清理任务漏洞扫描结果可能误报, 扫描结果仅供参考, 扫描结果为安全也不一定确实安全

THE THIRD PART 事中 ING

THE THIRD PART 事中厦门大学主页的防护 DNS 系统 4 台,3 台 Log 分析服务器 7 台测试服务器共 14 台服务器厦门大学主页 1 台动态服务器,1 台静态服务器,1 台通知帮助服务器,3 台测试服务器共 6 台服务器基础架构代码化, 使用 Ansible 一键部署使用自动化脚本快速更新动态服务器变更到静态服务器

THE THIRD PART 事中一键断网准备演练厦门大学主页一键断网, 一键断网可以从传输的各个层面上执行在操作系统增加防火墙关机在 Web 服务器设定访问某个特定页面自动关闭服务器 ; 虚拟机关闭网络 ; 实体机拔掉网线 ; 网络层面 WAF IPS 防火墙拦截网关使用 ACL 控制网关关机 ;

THE THIRD PART 事中 7*24 小时巡检海恩法则 : 每一起严重事故的背后, 必然有 29 次轻微事故和 300 起未遂先兆以及 1000 起事故隐患

THE THIRD PART 事中 7*24 小时巡检巡检内容 : 所有做过的安全防护软件运行情况, 系统更新状态检查各个软件的运行状态和结果分析, 检查系统账户性能进程端口启动项病毒后门漏洞扫描结果 WAF 和 IPS 拦截日志查看日志传输是否完整, 备份是否正常各个服务器的通常运行状况检查所有软件和安全设备的软硬件工作状态, 配置更改情况对攻击 IP 进行封禁等并做好配置变更和巡检报告巡检巡检程序是否正常运行

THE THIRD PART 事中攻击溯源应对攻击溯源安全措施无法做到百分百安全在攻击发生后, 为了为下一次工作积累经验, 同时固定犯罪证据, 应当做好攻击溯源准备应当保存好所有相关日志比如网络设备日志安全设备日志主机日志等所有的日志应当进入专门的远程日志服务器服务器做到分钟级别的备份以防止攻击者擦除攻击痕迹

THE THIRD PART 事中调整, 需求是用来变更的主页新闻临时发布教育部公文接收系统突然的视频会议需求突发的科学计算需求

THE FOURTH PART 事后 AFTER

THE FOURTH PART 事后 ABOUT OUR BUSINESS 总结经验, 为下次做准备保留各种白名单黑名单中山大学张永强 : 抓住机遇上台阶网络安全重视程度加大建立 7*24 小时值班制度网站治理继续推进

THE End 总结 SUMARRY TITLE TITLE TITLE TITLE 1 2 3 4 积极提前做好网站治理等前期准备工作积极开放必要的信息系统积极响应用户需求, 调整策略积极安抚用户, 提供通知和帮助网站, 并做好搜索引擎技术问题

THANK YOU FOR WATCHING 厦门大学信息与网络中心郑海山 Haishion AT xmu.edu.cn https://dog.xmu.edu.cn

OfficePLUS 标注字体使用英文 Century Gothic 中文微软雅黑行距正文 1.3 背景图片出处 cn.bing.com 声明互联网是一个开放共享的平台 OfficePLUS 部分设计灵感与元素来源于网络如有建议请联系 officeplus@microsoft.com