網(wǎng)絡(luò)信息安全管理與防火墻配置方昆陽廣州市教育信息中心（廣州市電化教育館）提綱一、當(dāng)前教育系統(tǒng)信息網(wǎng)絡(luò)安全形勢二、網(wǎng)絡(luò)安全法與網(wǎng)絡(luò)安全管理工作三、近年來網(wǎng)絡(luò)安全典型案例通報(bào)四、常見的漏洞有哪些五、網(wǎng)絡(luò)安全管理工作建議六、防火墻的配置七、移動(dòng)終端的安全問題一、當(dāng)前教育系統(tǒng)信息網(wǎng)絡(luò)安全形勢根據(jù)廣州市的工作經(jīng)驗(yàn)，目前教育系統(tǒng)總體安全形勢尚可，在各個(gè)行業(yè)中處于中等水平。存在的較為嚴(yán)重問題為：個(gè)別學(xué)校網(wǎng)站域名管理不善部分服務(wù)器個(gè)人機(jī)長期中毒個(gè)別網(wǎng)站網(wǎng)頁被篡改部分管理人員安全意識(shí)較差，存在弱密碼，開放遠(yuǎn)程管理等安全風(fēng)險(xiǎn)；個(gè)別網(wǎng)站發(fā)生過數(shù)據(jù)泄露。二、網(wǎng)絡(luò)安全法與網(wǎng)絡(luò)安全管理工作網(wǎng)絡(luò)安全法于2017年6月1日開始實(shí)施，其中第21條提出“網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)履行保護(hù)網(wǎng)絡(luò)安全的義務(wù)”，保障網(wǎng)絡(luò)免受干擾和破壞，防止數(shù)據(jù)泄露和被篡改。第59條規(guī)定：不履行第21條的，由有關(guān)主管部門責(zé)令改正，不改正或者導(dǎo)致網(wǎng)絡(luò)安全事故的，處1萬元以上10萬元以下罰款，對直接主管人員，處5千元以上5萬元以下罰款。同時(shí)，刑法286條規(guī)定，網(wǎng)絡(luò)安全事故造成嚴(yán)重后果的，處以三年以下有期徒刑。二、網(wǎng)絡(luò)安全法與網(wǎng)絡(luò)安全管理工作從這些規(guī)定可以看出，已經(jīng)以立法的形式確定為網(wǎng)絡(luò)安全保護(hù)的責(zé)任主體為網(wǎng)絡(luò)運(yùn)營者。安全工作沒做好，隨時(shí)可能構(gòu)成犯罪。對于學(xué)校，網(wǎng)絡(luò)安全法實(shí)施后，有幾個(gè)值得注意的地方一定要落實(shí)：行為日志，服務(wù)器日志要留存半年以上校園網(wǎng)的網(wǎng)絡(luò)行為要具有可追溯性學(xué)校網(wǎng)站必須落實(shí)信息安全等保工作

學(xué)校網(wǎng)站等信息系統(tǒng)含有實(shí)名等敏感數(shù)據(jù)的，必須具有充足安全防護(hù)措施，發(fā)生事故必須在2小時(shí)內(nèi)關(guān)閉。三、近年來網(wǎng)絡(luò)安全典型案例通報(bào)病毒2005年sqlslammer，

2012年高考前夕，DDOS病毒2017年永恒之藍(lán)勒索病毒。.........三、近年來網(wǎng)絡(luò)安全典型案例通報(bào)2015年小學(xué)報(bào)名系統(tǒng)初次上線，因大量學(xué)校沒改密碼，導(dǎo)致10000多數(shù)據(jù)泄露，罪犯劉某被判拘役半年。2016年小學(xué)報(bào)名系統(tǒng)被仿冒案，嫌疑人被拘留7天2013年，某區(qū)教師發(fā)表支持文革言論案，未處理。2012年，某區(qū)教育局OA三次被黑案?！?014年，**日報(bào)記者在QQ群鼓動(dòng)上訪案2013年6月2日，**區(qū)職業(yè)學(xué)校無線敏感AP免認(rèn)證被發(fā)布敏感信息案......三、近年來網(wǎng)絡(luò)安全典型案例通報(bào)除此之外，還有大量的網(wǎng)站被黑過，或即將被黑。個(gè)別區(qū)，曾經(jīng)有近百個(gè)網(wǎng)站，20多個(gè)被黑。今年9月以來，國外反動(dòng)團(tuán)體將攻擊重點(diǎn)轉(zhuǎn)移到教育系統(tǒng)，平均每三天黑掉一個(gè)網(wǎng)站四、常見的安全漏洞有哪些？操作系統(tǒng)漏洞：例如緩沖區(qū)溢出，smb漏洞（如：永恒之藍(lán)），通常，操作系統(tǒng)的非WEB漏洞可以利用防火墻進(jìn)行防范，WEB漏洞需要及時(shí)打補(bǔ)丁。應(yīng)用程序((中間件)漏洞：例如IIS，TOMCAT等，是當(dāng)前影響最為嚴(yán)重的漏洞，需要及時(shí)修補(bǔ)代碼漏洞：包括注入、跨站、上傳附件等，是最容易利用的漏洞，尤其是使用開放原代碼的網(wǎng)站，幾乎都存在代碼漏洞。數(shù)據(jù)庫漏洞。：包括數(shù)據(jù)庫自身漏洞，數(shù)據(jù)庫開放端口引起的漏洞，以及弱密碼等。弱密碼SQL注入漏洞當(dāng)前多數(shù)網(wǎng)頁都是動(dòng)態(tài)網(wǎng)頁，一個(gè)網(wǎng)頁文件可以根據(jù)用戶輸入不同的參數(shù)來顯示不同的內(nèi)容。例如：http://XXX.com/news.asp?id=1這樣的網(wǎng)頁，后面id=的數(shù)字用戶是可以隨意輸入的。又如：網(wǎng)頁的注冊表單，搜索框等，里面內(nèi)容用戶也可以自由輸入。如果程序員沒有安全意識(shí)，那么，攻擊者通過精心構(gòu)造輸入的內(nèi)容，就可以獲取數(shù)據(jù)庫的幾乎所有內(nèi)容，甚至對數(shù)據(jù)庫進(jìn)行增刪改，獲取服務(wù)器的所有權(quán)限，上傳文件等，為所欲為。哪些網(wǎng)頁有SQL注入漏洞？早期的編寫的一些網(wǎng)頁，2005年以前的。一般是形如http://XXX.com/news.asp?id=1這樣的網(wǎng)頁.目前，隨著開發(fā)框架的復(fù)雜化，SQL注入逐步轉(zhuǎn)移到表單（如搜索框，注冊表單）注入。開源程序由于代碼完全公開，更容易通過代碼找到注入漏洞。目前，過半的攻擊是SQL攻擊。解決的方法有：使用數(shù)字傳遞參數(shù)，限制用戶輸入的內(nèi)容長度，過濾字符，盡量不使用開源網(wǎng)站代碼，確實(shí)需要使用應(yīng)及時(shí)修補(bǔ)漏洞。注意：早期防火墻防范不了SQL攻擊，新一代的waf可以防范部分什么是跨站腳本（XSS）漏洞和SQL注入類似，見于留言板，論壇等，對用戶所發(fā)的內(nèi)容不進(jìn)行嚴(yán)格過濾時(shí)，攻擊者可以在這些地方發(fā)布含有HTML字符的內(nèi)容，誘使其他人在訪問時(shí)不知不覺地訪問了其他網(wǎng)站，泄露cookie信息，被植入木馬等。XSS漏洞非常廣泛，但是利用難度比較大，總體危害不大。一般見于：自建的網(wǎng)站，沒有過濾字符的習(xí)慣。部分開源網(wǎng)站也存在這個(gè)問題。解決方法：過濾字符，實(shí)名發(fā)帖，降低網(wǎng)站交互程度。四、網(wǎng)絡(luò)安全管理工作建議網(wǎng)站管理請確認(rèn)你的網(wǎng)站是你的？域名正確？沒有過期？未被劫持？域名管理權(quán)是否在？如不在，請不要登記為學(xué)校網(wǎng)站。服務(wù)器管理權(quán)是否在手？不在，請不要登記為學(xué)校網(wǎng)站。能否實(shí)現(xiàn)一鍵斷網(wǎng)（發(fā)生事故時(shí)2小時(shí)內(nèi)可以斷網(wǎng)）？如不能，請關(guān)閉。服務(wù)器近期是否殺過病毒？木馬？沒有，請關(guān)閉。服務(wù)器系統(tǒng)補(bǔ)丁是否打足？否，請馬上打補(bǔ)丁。網(wǎng)站服務(wù)器程序是否采用struts等框架？如是，請打好補(bǔ)丁。網(wǎng)站是否存在SQL注入漏洞？如是，請修補(bǔ)。網(wǎng)站是否采用開源代碼（如動(dòng)易、dedecms）？如是，請關(guān)閉。五、網(wǎng)絡(luò)安全管理工作建議服務(wù)器數(shù)據(jù)庫端口是否對外開放（例如mssql：1433，mysql：3306）？如是，請?jiān)诜阑饓ι详P(guān)閉。服務(wù)器是否開放遠(yuǎn)程桌面？如是，請?jiān)诜阑饓﹃P(guān)閉遠(yuǎn)程桌面，或修改遠(yuǎn)程桌面端口。網(wǎng)站管理密碼是否采用弱密碼，如是，請改為強(qiáng)密碼。網(wǎng)站數(shù)據(jù)庫是否采用默認(rèn)目錄進(jìn)行管理（如phpmyadmin）,如是，請將目錄改名。四、網(wǎng)絡(luò)安全管理工作建議校園網(wǎng)管理請確保每臺(tái)電腦均裝有殺毒軟件，建議采用360，定期查毒。原則上必須一機(jī)一ip。沒法一機(jī)一ip的，必須做好NAT記錄，留存半年。請確保行為記錄設(shè)備正常工作，記錄留存半年。請教育師生：不造謠，不信謠，不傳謠，不翻墻。六、防火墻配置windows軟件防火墻建議服務(wù)器只開放tcp80端口，具體配置在：網(wǎng)絡(luò)連接屬性-高級(jí)-防火墻因遠(yuǎn)程管理需要，可以開放遠(yuǎn)程桌面3389端口，確保administrator密碼在12位以上，且足夠復(fù)雜，如果遠(yuǎn)程桌面需要面向互聯(lián)網(wǎng)，建議修改遠(yuǎn)程桌面的端口為其他端口。傳統(tǒng)硬件防火墻配置只允許any訪問80端口只允許服務(wù)器80端口訪問any，當(dāng)服務(wù)器需要更新補(bǔ)丁時(shí)，再臨時(shí)開放服務(wù)器對外訪問的權(quán)限。按照上述方法設(shè)置之后，可以防范90%以上的操作系統(tǒng)問題。新一代防火墻配置沿用傳統(tǒng)硬件防火墻配置模式。WAF功能可以作為代碼漏洞的防范手段，但是不可全信。及時(shí)升級(jí)策略，不迷信策略。防火墻配置的注意事項(xiàng)規(guī)則越少越好，規(guī)則越多，性能越差。普遍規(guī)則在前，特殊規(guī)則在后。注意規(guī)則邏輯關(guān)系。每啟用或更改一次規(guī)則，就必須測試一次。確保規(guī)則生效，避免規(guī)則邏輯混亂。七、移動(dòng)終端的安全問題目前移動(dòng)終端操作系統(tǒng)主要有蘋果的IOS和谷歌的安卓。IOS由于相對封閉管理嚴(yán)格，不越獄時(shí)基本不存在技術(shù)層面的安全問題。安卓操作系統(tǒng)較為開放，APP眾多，存在較多的技術(shù)性安全問題。但是相對于WIN，安卓開發(fā)較為模塊化，對APP權(quán)限的控制也比較嚴(yán)格，因此，實(shí)際安全問題并不嚴(yán)重。兩個(gè)關(guān)鍵點(diǎn)：IMEI和權(quán)限IMEI是手機(jī)的唯一標(biāo)識(shí)，手機(jī)通信網(wǎng)絡(luò)，手機(jī)網(wǎng)銀，微信，支付寶都以此作為機(jī)器的ID。IMEI查看方法：設(shè)置-關(guān)于手機(jī)。任何時(shí)候，使用新手機(jī)，一定先記住IMEI，這是掛失，防止網(wǎng)銀盜用等的唯一依據(jù)。權(quán)限：安卓默認(rèn)情況下，APP都有權(quán)限限制，其中，特別敏感的是：讀取通信錄、撥打電話、收發(fā)短信，幾乎所有騙術(shù)都和這些有關(guān)。權(quán)限查看方式：設(shè)置-權(quán)限