【正文】 801學號：08490108姓名：孔偉棟校園網(wǎng)站風險評估綜述對于校園網(wǎng)站而言，解決信息安全的關(guān)鍵就是明白網(wǎng) 站面臨的風險所在?？扇婧陀袟l理地向管理層反映現(xiàn)有的信息科技安全風險和所需的安全保障措施。 確定范圍 范圍可能是組織全部的信息和信息系統(tǒng)，可能是單獨的信息系統(tǒng)，可能是組織的關(guān)鍵業(yè)務(wù)流程，也可能是客戶的知識產(chǎn)權(quán)。 三. 校園網(wǎng)站的安全威脅 據(jù)統(tǒng)計，網(wǎng)受到的內(nèi)部攻擊比外部攻擊多，根據(jù)攻擊類型，校園網(wǎng)受到的威脅主要有：(1 非授權(quán)訪問， 指對網(wǎng)絡(luò)設(shè)備及信息資源進行非正常使用或越權(quán)使用等。實際上，SQL注入攻擊是存在于常見的多連接的應(yīng)用程序中的一種漏洞，攻擊者通過在應(yīng)用程序預(yù)先定義好的查詢語句結(jié)尾加上額外的SQL語句元素，欺騙數(shù)據(jù)庫服務(wù)器執(zhí)行非授權(quán)的任意查詢。從整體的應(yīng)用安全防護角度出發(fā)，通過網(wǎng)站的整體安全檢測、主動防御、監(jiān)控審計三部分的全面部署，是網(wǎng)站系統(tǒng)的應(yīng)用安全配置達到比較高的水平，促使網(wǎng)站系統(tǒng)運行在比較安全的應(yīng)用環(huán)境。 iii這些服務(wù)，通過獲得 banner 或是出錯信息獲得服務(wù)器所使用的操作系統(tǒng)、應(yīng)用軟件、庫、腳本語言的類型和版本信息。 安裝反病毒軟件病毒、木馬、蠕蟲等惡意代碼是網(wǎng)站的主要安全隱患，必須做到有效控制。建議在校園內(nèi)成立一個信息安全風險評估小組，定期對校園網(wǎng)站進行風險評估。l◆實時檢測與內(nèi)容恢復(fù)，完全杜絕被篡改內(nèi)容被外界瀏覽nn◆SOX法案或者專業(yè)職責標準(如PCI)中明確提出對工作人員進行職責分離，系統(tǒng)設(shè)置了權(quán)限角色分離，如系統(tǒng)管理員負責設(shè)備的運行設(shè)置；規(guī)則配置員負責相關(guān)數(shù)據(jù)庫操作規(guī)則的設(shè)定；審計員負責查看相關(guān)審計記錄及規(guī)則違反情況；日志員負責查看整體設(shè)備的操作日志及規(guī)則的修改情況等。在實踐過程中，我們發(fā)現(xiàn)這里存在的安全問題比想像的還要嚴重，關(guān)鍵是大家沒有一個好的親愛意識，而且?guī)缀鯖]有親愛管理的理念?！粢坏┌l(fā)生安全事件，提供基于數(shù)據(jù)庫對象（用戶、表、字段及記錄內(nèi)容）的完全自定義審計查詢及審計數(shù)據(jù)展現(xiàn)，徹底擺脫數(shù)據(jù)庫的黑盒狀態(tài)（快速掌握：安全事件發(fā)生前后誰對數(shù)據(jù)庫做了操作？做了什么操作？什么時候做的操作？通過什么方式做的操作？）全方位風險控制：ln系統(tǒng)特點l對于系統(tǒng)管理員，一定要重視上崗培訓(xùn)。為了要保障校園網(wǎng)站的安全 , 必須做好漏洞管理。四. 校園網(wǎng)站的風險評估的方法 網(wǎng)站的風險評估一般從兩方面進行，一方面從網(wǎng)站內(nèi)部審核它的各項配置是否正確，軟件有沒有及時升級；另一方面從網(wǎng)站外部滲透測試，這方面的評估流程圖如圖 所示。例1：某大學分析測試中心后臺管理系統(tǒng)存在表單繞過漏洞，可直接獲取后臺管理權(quán)限。令人擔憂的是大多數(shù)的校園網(wǎng)站并沒有做好數(shù)據(jù)備份工作。 (2 大學生通常是最活躍的網(wǎng)絡(luò)用戶，對網(wǎng)絡(luò)新技術(shù) 充滿好奇，勇于嘗試。 風險評估主要屬于檢測范疇，用它找出系統(tǒng)的漏洞，做好防護并為制定安全策略提供指導(dǎo)性意見。4. 重視風險評估是信息化比較發(fā)達國家的基本經(jīng)驗上個世紀70年代，美國政府就發(fā)布了《自動化數(shù)據(jù)外理風險評估指南》。風險評估的重要意義：1. 風險評估是分析確定風險的過程系統(tǒng)的安全性都可以通過風險的大小來衡量。（3）前提假設(shè)性在風險評估中所使用的各種評估數(shù)據(jù)有兩種，一是系統(tǒng)既定事實的描述數(shù)據(jù)；而是根據(jù)系統(tǒng)各種假設(shè)前提條件確定的預(yù)測數(shù)據(jù)。252。由于系統(tǒng)漏洞存在的長期性，導(dǎo)致針對漏洞的網(wǎng)絡(luò)安全問題也將是長期的，持久的。當用戶瀏覽該頁之時，嵌入其中WEB里面的HTML代碼會被執(zhí)行，從而達到惡意用戶的特殊目的，如獲取其他用戶Cookie中的敏感數(shù)據(jù)、屏蔽頁面特定信息、偽造頁面信息、拒絕服務(wù)攻擊、突破外網(wǎng)內(nèi)網(wǎng)不同安全設(shè)置、與其它漏洞結(jié)合，修改系統(tǒng)設(shè)置，查看系統(tǒng)文件，執(zhí)行系統(tǒng)命令等。主動防御由網(wǎng)站防攻擊子系統(tǒng)、網(wǎng)站防篡改子系統(tǒng)共同來完成。 (6審核方案是對已經(jīng)做過防護的網(wǎng)站再做測試，驗證解決方案的有效性，如果有一個漏洞沒有修補就要退回上一步繼續(xù)執(zhí)行。一旦攻擊者獲得了這些信息，他就能行駛賬號所有人的權(quán)限，因此必須重視用戶賬號、密碼的管理?！翦e誤配置252。l◆支持多臺主機對象的保護，包括不同域名不同IP，不同域名相同IP的情況l◆全方位的攻擊告警：當網(wǎng)站（或其他Web 應(yīng)用程序）代碼受到WEB應(yīng)用層的已知及未知攻擊時，能夠提供多形式的實時告警。網(wǎng)站數(shù)據(jù)庫安全審計子系統(tǒng)數(shù)據(jù)庫安全審計子系統(tǒng)安恒自主研發(fā)完成的業(yè)界首創(chuàng)細粒度審計、精準化行為回溯、全方位風險控制的數(shù)據(jù)庫審計系統(tǒng)?！艏毩６龋杭毩６鹊膶徲嬕?guī)則、精準化的行為回溯、全方位的風險控制l◆公正性：基于獨立監(jiān)控審計的工作模式，實現(xiàn)了數(shù)據(jù)庫管理與審計的分離，保證了審計結(jié)果的真實性、完整性、公正性l◆有別于傳統(tǒng)的簡單SQL語句還原，通過對不同數(shù)據(jù)庫的SQL語義分析，提取出SQL中相關(guān)的要素（用戶、SQL操作、表、字段…）l◆多協(xié)議的訪問監(jiān)控：提供對WEB應(yīng)用及WEB服務(wù)器的訪問實時監(jiān)控及回放功能，為安全事件的快速查詢、定位、成因分析、責任認定提供有力的證據(jù)?！艚y(tǒng)一日志平臺接口ll◆隱藏字段 252。◆深度防御防攻擊子系統(tǒng)基于安恒專利級WEB入侵異常檢測技術(shù)，對WEB應(yīng)用實施全面、深度防