2025/3/3局?jǐn)?shù)據(jù)管理中心安全管理處1網(wǎng)站安全檢測(cè)和防護(hù)劉唯墨國家統(tǒng)計(jì)局?jǐn)?shù)管中心安全管理處2015年7月16日2025/3/3局?jǐn)?shù)據(jù)管理中心安全管理處2目錄網(wǎng)站安全形勢(shì)統(tǒng)計(jì)系統(tǒng)網(wǎng)站情況網(wǎng)站安全檢測(cè)網(wǎng)站安全防護(hù)安全檢查工作2025/3/3局?jǐn)?shù)據(jù)管理中心安全管理處3目錄網(wǎng)站安全形勢(shì)統(tǒng)計(jì)系統(tǒng)網(wǎng)站情況網(wǎng)站安全檢測(cè)網(wǎng)站安全防護(hù)安全檢查工作網(wǎng)站安全形勢(shì)2025/3/3局?jǐn)?shù)據(jù)管理中心安全管理處4境外反共黑客組織自2012年4月起開始攻擊我政府網(wǎng)站，截止至今年4月7日，我國境內(nèi)已有428個(gè)政府網(wǎng)站被篡改攻擊。（一）從攻擊對(duì)象上看

政府部門和教育院校的網(wǎng)站是其主要的攻擊對(duì)象，共有361個(gè)，約占被攻擊網(wǎng)站總數(shù)的84.3%，其中政府部門網(wǎng)站244個(gè)，約占總數(shù)的57%，教育院校類網(wǎng)站117個(gè)，占總數(shù)的27.3%。網(wǎng)站安全形勢(shì)2025/3/3局?jǐn)?shù)據(jù)管理中心安全管理處5（二）從被攻擊網(wǎng)站的行政層看中央部委和直屬單位、省級(jí)政府部門網(wǎng)站有69個(gè)，約占總數(shù)的16.2%；地市級(jí)政府部門網(wǎng)站有72個(gè)，約占總數(shù)的16.8%；區(qū)縣級(jí)政府部門網(wǎng)站和企事業(yè)單位網(wǎng)站共有287個(gè)，約占總數(shù)的67%。（三）從被攻擊網(wǎng)站的地域范圍看地域較分散，涉及全國27個(gè)地區(qū)，北京、廣東、廣西、浙江、江蘇5個(gè)地區(qū)共有213個(gè)，約占總數(shù)的50%。網(wǎng)站安全形勢(shì)（四）攻擊方式和手段看

黑客反偵察意識(shí)較強(qiáng)，主要利用肉雞、跳板被隱藏攻擊源，對(duì)我網(wǎng)站進(jìn)行發(fā)散式攻擊，在獲取網(wǎng)站控制權(quán)后，預(yù)埋后門程序，定期進(jìn)行攻擊篡改；黑客攻擊所利用的漏洞，主要包括struts2漏洞，SQL注入漏洞，F(xiàn)ckeditor網(wǎng)頁編輯器漏洞和建站程序漏洞等。2025/3/3局?jǐn)?shù)據(jù)管理中心安全管理處6網(wǎng)站安全存在的突出問題安全責(zé)任不落實(shí)上線前無安全檢測(cè)和審批防范措施缺失應(yīng)急保證措施缺失2025/3/3局?jǐn)?shù)據(jù)管理中心安全管理處72025/3/3局?jǐn)?shù)據(jù)管理中心安全管理處8惡作??；關(guān)閉Web站點(diǎn)，拒絕正常服務(wù)；篡改Web網(wǎng)頁，損害企業(yè)名譽(yù)；免費(fèi)瀏覽收費(fèi)內(nèi)容；盜竊用戶隱私信息，例如Email；以用戶身份登錄執(zhí)行非法操作，從而獲取暴利；以此為跳板攻擊企業(yè)內(nèi)網(wǎng)其他系統(tǒng)；網(wǎng)頁掛木馬，攻擊訪問網(wǎng)頁的特定用戶群；仿冒系統(tǒng)發(fā)布方，誘騙用戶執(zhí)行危險(xiǎn)操作，例如用木馬替換正常下載文件，要求用戶匯款等；……常用的掛馬exploitMS07-017MSWindowsAnimatedCursor(.ANI)RemoteExploitMS07-019MS07-004VMLRemoteCodeExecutionMS06-073MS06-071XMLCoreServicesRemoteCodeExecutionMS06-068MS06-067MS06-057WebViewFolderIcodActiveXMS06-055MS06-014MDACRemoteCodeExecutionMS06-013MS06-005MS06-004MS06-001常見網(wǎng)站攻擊動(dòng)機(jī)2025/3/3局?jǐn)?shù)據(jù)管理中心安全管理處9目錄網(wǎng)站安全形勢(shì)統(tǒng)計(jì)系統(tǒng)網(wǎng)站情況網(wǎng)站安全檢測(cè)網(wǎng)站安全防護(hù)安全檢查工作統(tǒng)計(jì)系統(tǒng)網(wǎng)站情況2025/3/3局?jǐn)?shù)據(jù)管理中心安全管理處102025/3/3局?jǐn)?shù)據(jù)管理中心安全管理處11目錄網(wǎng)站安全形勢(shì)統(tǒng)計(jì)系統(tǒng)網(wǎng)站情況網(wǎng)站安全檢測(cè)網(wǎng)站安全防護(hù)安全檢查工作國家局網(wǎng)站安全檢查機(jī)制2025/3/3局?jǐn)?shù)據(jù)管理中心安全管理處12網(wǎng)站列表聯(lián)網(wǎng)直報(bào)系統(tǒng)國家局門戶網(wǎng)站司級(jí)網(wǎng)站省級(jí)、地市級(jí)統(tǒng)計(jì)局門戶網(wǎng)站……檢查周期每月每季度每半年……漏洞檢查非報(bào)送期非工作時(shí)間漏洞確認(rèn)跨站腳本SQL注入……安全風(fēng)險(xiǎn)提示單《安全事件通知書》《安全風(fēng)險(xiǎn)提示單》復(fù)測(cè)整改結(jié)束之后進(jìn)行復(fù)測(cè)國家局檢查機(jī)制（上線前檢查）2025/3/3局?jǐn)?shù)據(jù)管理中心安全管理處13以風(fēng)險(xiǎn)為導(dǎo)向WEB遍歷模擬黑客進(jìn)行無害的攻擊滲透通過各類測(cè)試用例對(duì)網(wǎng)站進(jìn)行測(cè)試通過各類已知和未知木馬進(jìn)行檢測(cè)深度掃描滲透測(cè)試黑盒檢測(cè)木馬檢測(cè)網(wǎng)站漏洞掃描幾種主要方法掃描結(jié)果事例2025/3/3局?jǐn)?shù)據(jù)管理中心安全管理處15統(tǒng)計(jì)系統(tǒng)網(wǎng)站漏洞分布情況2025/3/3局?jǐn)?shù)據(jù)管理中心安全管理處16OWASP(開放式Web應(yīng)用程序安全項(xiàng)目)對(duì)注入漏洞的定義2025/3/3局?jǐn)?shù)據(jù)管理中心安全管理處17注入漏洞Sql注入SQl注入（SQLInjection）技術(shù)在國外最早出現(xiàn)在1999年，我國在2002年后開始大量出現(xiàn)。SQL注入是針對(duì)一種數(shù)據(jù)庫而言的，而不是針對(duì)網(wǎng)頁語言。在任何使用了數(shù)據(jù)庫查詢環(huán)境下都可能存在造成SQL注入攻擊漏洞的原因，是由于程序在編寫WEB程序時(shí)，沒有對(duì)瀏覽器端提交的參數(shù)進(jìn)行嚴(yán)格的過濾和判斷。用戶可以修改構(gòu)造參數(shù)，提交SQL查詢語句，并傳遞至服務(wù)端，從而獲取想要的敏感信息，甚至執(zhí)行危險(xiǎn)的代碼或系統(tǒng)命令。2025/3/3局?jǐn)?shù)據(jù)管理中心安全管理處18

在網(wǎng)站管理登錄頁面要求帳號(hào)密碼認(rèn)證時(shí)，如果攻擊者在“UserID”輸入框內(nèi)輸入“admin”，在密碼框里輸入“anything’or1=’1’”提交頁面后，查詢的SQL語句就變成了：

Selectfromuserwhereusername=‘a(chǎn)dmin’andpassword=’anything’or1=’1’不難看出，由于“1=‘1’”是一個(gè)始終成立的條件，判斷返回為“真”，密碼的限制形同虛設(shè)，不管用戶的密碼是不是Anything，他都可以以admin的身份遠(yuǎn)程登錄，獲得后臺(tái)管理權(quán)，在網(wǎng)站上發(fā)布任何信息。Sql注入攻擊舉例Sql注入主要危害：[1]未經(jīng)授權(quán)狀況下操作數(shù)據(jù)庫中的數(shù)據(jù)。[2]惡意篡改網(wǎng)頁內(nèi)容。[3]私自添加系統(tǒng)帳號(hào)或者是數(shù)據(jù)庫使用者帳號(hào)。[4]網(wǎng)頁掛馬。[5]與其它漏洞結(jié)合，修改系統(tǒng)設(shè)置，查看系統(tǒng)文件，執(zhí)行系統(tǒng)命令等。2025/3/3局?jǐn)?shù)據(jù)管理中心安全管理處20解決方案[1]所有的查詢語句都使用數(shù)據(jù)庫提供的參數(shù)化查詢接口[2]對(duì)進(jìn)入數(shù)據(jù)庫的特殊字符（‘“\尖括號(hào)&*;等）進(jìn)行轉(zhuǎn)義處理，或編碼轉(zhuǎn)換；[3]嚴(yán)格限制變量類型;[4]數(shù)據(jù)長度應(yīng)該嚴(yán)格規(guī)定；[5]網(wǎng)站每個(gè)數(shù)據(jù)層的編碼統(tǒng)一；[6]嚴(yán)格限制網(wǎng)站用戶的數(shù)據(jù)庫的操作權(quán)限，給此用戶提供僅僅能夠滿足其工作的權(quán)限，從而最大限度的減少注入攻擊對(duì)數(shù)據(jù)庫的危害。2025/3/3局?jǐn)?shù)據(jù)管理中心安全管理處21解決方案[7]避免網(wǎng)站顯示SQL錯(cuò)誤信息，比如類型錯(cuò)誤、字段不匹配等，防止攻擊者利用這些錯(cuò)誤信息進(jìn)行一些判斷。[8]確認(rèn)PHP配置文件中的Magic_quotes_gpc選項(xiàng)保持開啟。

[9]在部署你的應(yīng)用前，始終要做安全審評(píng)(securityreview)。建立一個(gè)正式的安全過程(formalsecurityprocess)，在每次你做更新時(shí)，對(duì)所有的編碼做審評(píng)。后面一點(diǎn)特別重要。不論是發(fā)布部署應(yīng)用還是更新應(yīng)用，請(qǐng)始終堅(jiān)持做安全審評(píng)。[10]千萬別把敏感性數(shù)據(jù)在數(shù)據(jù)庫里以明文存放。[11]使用第三方WEB防火墻來加固整個(gè)網(wǎng)站系統(tǒng)。2025/3/3局?jǐn)?shù)據(jù)管理中心安全管理處22鏈接注入鏈接注入是將某個(gè)URL嵌入到被攻擊的網(wǎng)站上，進(jìn)而修改站點(diǎn)頁面。被嵌入的URL包含惡意代碼，可能竊取正常用戶的用戶名、密碼，也可能竊取或操縱認(rèn)證會(huì)話，以合法用戶的身份執(zhí)行相關(guān)操作。主要危害：[1]獲取其他用戶Cookie中的敏感數(shù)據(jù)。[2]屏蔽頁面特定信息。[3]偽造頁面信息。[4]拒絕服務(wù)攻擊。[5]突破外網(wǎng)內(nèi)網(wǎng)不同安全設(shè)置。2025/3/3局?jǐn)?shù)據(jù)管理中心安全管理處23解決方案過濾客戶端提交的危險(xiǎn)字符，客戶端提交方式包含GET、POST、COOKIE、User-Agent、Referer、Accept-Language等，其中危險(xiǎn)字符如下：|、&、;、$、%、@、‘、“、<>、()、+、CR、LF、,、.、script、document、eval2025/3/3局?jǐn)?shù)據(jù)管理中心安全管理處24跨站腳本跨站點(diǎn)腳本（XSS）是針對(duì)其他用戶的重量級(jí)攻擊。如果一個(gè)應(yīng)用程序使用動(dòng)態(tài)頁面向用戶顯示錯(cuò)誤消息，就會(huì)造成一種常見的XSS漏洞。三部曲：1.HTML注入。2.做壞事。3.誘捕受害者。2025/3/3局?jǐn)?shù)據(jù)管理中心安全管理處252025/3/3局?jǐn)?shù)據(jù)管理中心安全管理處26跨站腳本舉個(gè)例子說明原理：

如攻擊者可在目標(biāo)服務(wù)器的留言本中加入如下代碼：

<script>function()</script>

則存在跨站腳本漏洞的網(wǎng)站就會(huì)執(zhí)行攻擊者的function()?？缯灸_本[1]獲取其他用戶Cookie中的敏感數(shù)據(jù)。[2]屏蔽頁面特定信息。[3]偽造頁面信息。[4]拒絕服務(wù)攻擊。[5]突破外網(wǎng)內(nèi)網(wǎng)不同安全設(shè)置。[6]與其它漏洞結(jié)合，修改系統(tǒng)設(shè)置，查看系統(tǒng)文件，執(zhí)行系統(tǒng)命令等。2025/3/3局?jǐn)?shù)據(jù)管理中心安全管理處27“微博病毒”攻擊事件2011年6月28日晚，新浪微博出現(xiàn)了一次比較大的XSS攻擊事件。大量用戶自動(dòng)發(fā)送諸如：“郭美美事件的一些未注意到的細(xì)節(jié)”，“建黨大業(yè)中穿幫的地方”等等微博和私信，并自動(dòng)關(guān)注一位名為hellosamy的用戶。2025/3/3局?jǐn)?shù)據(jù)管理中心安全管理處28解決方案開發(fā)語言的建議_嚴(yán)格控制輸入：

Asp：requestAspx：Request.QueryString、FormCookies、SeverVaiables等

Php：$_GET、$_POST、$_COOKIE、$_SERVER、$_GlOBAL、$_REQUEST等Jsp：request.getParameter、request.getCookies等嚴(yán)格限制提交的數(shù)據(jù)長度、類型、字符集。2025/3/3局?jǐn)?shù)據(jù)管理中心安全管理處29解決方案開發(fā)語言的建議_嚴(yán)格控制輸出：

HtmlEncode：對(duì)一段指定的字符串應(yīng)用HTML編碼。

UrlEncode：對(duì)一段指定的字符串URL編碼。

XmlEncode：將在XML中使用的輸入字符串編碼。

XmlAttributeEncode：將在XML屬性中使用的輸入字符串編碼

escape：函數(shù)可對(duì)字符串進(jìn)行編碼

decodeURIComponent：返回統(tǒng)一資源標(biāo)識(shí)符的一個(gè)已編碼組件的非編碼形式。

encodeURI：將文本字符串編碼為一個(gè)有效的統(tǒng)一資源標(biāo)識(shí)符(URI)。2025/3/3局?jǐn)?shù)據(jù)管理中心安全管理處302025/3/3局?jǐn)?shù)據(jù)管理中心安全管理處31目錄網(wǎng)站安全形勢(shì)統(tǒng)計(jì)系統(tǒng)網(wǎng)站情況網(wǎng)站安全檢測(cè)網(wǎng)站安全防護(hù)安全檢查工作網(wǎng)站安全防護(hù)一、管理層面二、技術(shù)層面1、硬件防護(hù)2、軟件防護(hù)2025/3/3局?jǐn)?shù)據(jù)管理中心安全管理處322025/3/3局?jǐn)?shù)據(jù)管理中心安全管理處33網(wǎng)站攻擊防護(hù)，如SQL注入、XSS攻擊、CSRF攻擊、網(wǎng)頁木馬、網(wǎng)站掃描、操作系統(tǒng)命令攻擊、文件包含漏洞攻擊、目錄遍歷攻擊和信息泄露攻擊應(yīng)用隱藏，用于隱藏應(yīng)用服務(wù)器的版本信息，防止攻擊者根據(jù)版本信息查找相應(yīng)的漏洞口令防護(hù)，用于防止攻擊者暴力破解用戶口令，獲取用戶權(quán)限權(quán)限控制，用于防止上傳惡意文件到服務(wù)器和對(duì)正在維護(hù)的URL目錄進(jìn)行保護(hù)登錄防護(hù)、HTTP異常檢測(cè)、CC攻擊防護(hù)、網(wǎng)站掃描防護(hù)、緩沖區(qū)溢出檢測(cè)DLP服務(wù)器數(shù)據(jù)防泄密，針對(duì)日益嚴(yán)重服務(wù)器數(shù)據(jù)泄密事件網(wǎng)站安全防護(hù)內(nèi)容2025/3/3局?jǐn)?shù)據(jù)管理中心安全管理處341、替換整個(gè)網(wǎng)頁2、插入新鏈接3、替換網(wǎng)站圖片文件（最常見）4、小規(guī)模編輯網(wǎng)頁（僅精確）5、因網(wǎng)站運(yùn)行出錯(cuò)導(dǎo)致結(jié)構(gòu)畸變6、新增一個(gè)網(wǎng)頁7、刪除一個(gè)網(wǎng)頁可能與網(wǎng)頁篡改有關(guān)的網(wǎng)站變化網(wǎng)頁防篡改2025/3/3局?jǐn)?shù)據(jù)管理中心安全管理處35網(wǎng)頁防篡改流程第一步：抓取正常網(wǎng)頁內(nèi)容并緩存第二步：對(duì)比客戶獲取網(wǎng)頁與緩存網(wǎng)頁第三步：出現(xiàn)網(wǎng)頁篡改1.還原網(wǎng)站，客戶訪問的結(jié)果和原來一樣2.返回維護(hù)頁面，維護(hù)頁面可以默認(rèn)的，或者自定義html頁面，或者重定向篡改前頁面或者重定向到某個(gè)站點(diǎn)2025/3/3局?jǐn)?shù)據(jù)管理中心安全管理處36目錄網(wǎng)站安全形勢(shì)統(tǒng)計(jì)系統(tǒng)網(wǎng)站情況網(wǎng)站安全檢測(cè)網(wǎng)站安全防護(hù)安全檢查工作安全檢查工作《國家統(tǒng)計(jì)局辦公室關(guān)于開展全國統(tǒng)計(jì)系統(tǒng)重要信息系統(tǒng)和重點(diǎn)網(wǎng)站安全檢查工作的通知》（國統(tǒng)辦數(shù)管字〔2015〕39號(hào)）開展安全檢查工作。根據(jù)公安部《關(guān)于開展國家級(jí)重要信息系統(tǒng)和重點(diǎn)網(wǎng)站安全執(zhí)法檢查工作的通知》（公傳發(fā)〔2015〕253號(hào)）要求，國家統(tǒng)計(jì)局將在全國統(tǒng)計(jì)系統(tǒng)組織開展國家級(jí)重要統(tǒng)計(jì)信息系統(tǒng)和重點(diǎn)網(wǎng)站安全檢查工作。2025/3/3局?jǐn)?shù)據(jù)管理中心安全管理處372025/3/3局?jǐn)?shù)據(jù)管理中心安全管理處38安全檢查工作安全檢查工作根據(jù)《國家統(tǒng)計(jì)局辦公室關(guān)于開展全國統(tǒng)計(jì)系統(tǒng)重要信息系統(tǒng)和重點(diǎn)網(wǎng)站安全檢查工作的通知》（國統(tǒng)辦數(shù)管字〔2015〕39號(hào)）要求，國家統(tǒng)計(jì)局將組成檢查組，對(duì)部分單位開展現(xiàn)場(chǎng)檢查工作。

檢查內(nèi)容通知的落實(shí)情況、自查工作的組織開展情況、等級(jí)保護(hù)工作開展和自查發(fā)現(xiàn)的問題及安全隱患等。2025/3/3局?jǐn)?shù)據(jù)管理中心安全管理處39安全檢查工作檢查形式（一）遠(yuǎn)程檢查。（二）現(xiàn)場(chǎng)檢查。2025/3/3局?jǐn)?shù)據(jù)管理中心安全管理處40結(jié)束語要清醒認(rèn)識(shí)我們面臨的威脅，搞清楚哪些是潛在的，哪些是現(xiàn)實(shí)的，哪些可能變成真正的攻擊，哪些可以通過政治經(jīng)濟(jì)外交等手段予以化解；哪些需要密切監(jiān)視防患于未然，哪些必須全力予以打擊；哪些可能造成不可彌補(bǔ)的損失，哪些損失可以容忍，減少不計(jì)成本的過度防范。2025/3/3局?jǐn)?shù)據(jù)管理中心安全管理處412025/3/3局?jǐn)?shù)據(jù)管理中心安全管理處42謝謝687832579、春去春又回，新桃換舊符。在那桃花盛開的地方，在這醉人芬芳的季節(jié)，愿你生活像春天一樣陽光，心情像桃花一樣美麗，日子像桃子一樣甜蜜。3月-253月-25Monday,March3,202510、人的志向通常和他們的能力成正比例。17:23:0617:23:0617:233/3/20255:23:06PM11、夫?qū)W須志也，才須學(xué)也