網(wǎng)站的管理與維護

1、互聯(lián)網(wǎng)安全攻防案例分析與網(wǎng)絡安全技術（續(xù)篇二）網(wǎng)站的管理和維護,主講：郭亮安全服務部中國電信集團系統(tǒng)集成公司,學習目標和能力要求,網(wǎng)站的管理與維護,網(wǎng)站的管理與維護,網(wǎng)站管理定義,,管理的定義和模式,狹義地理解：,,就是對網(wǎng)站系統(tǒng)的管理,廣義地理解：,,對網(wǎng)站系統(tǒng)的管理,對網(wǎng)站工作人員的管理,對網(wǎng)站內外環(huán)境的管理,,數(shù)據(jù)管理,記錄和監(jiān)測網(wǎng)站運行情況,人員權限管理,網(wǎng)站內容管理,,客戶服務管理,網(wǎng)站安全管理,管理的定義和模式,網(wǎng)站

2、管理內容,,網(wǎng)站的管理與維護,管理的定義和模式,網(wǎng)站管理模式,,網(wǎng)站的管理與維護,網(wǎng)站管理技術經(jīng)歷的三個階段：,面向網(wǎng)站特定設備的單點管理工具,面向網(wǎng)站各種設備的通用網(wǎng)站管理平臺,面向網(wǎng)站運營的全面網(wǎng)站管理,管理的定義和模式,網(wǎng)站管理模式,,網(wǎng)站的管理與維護,按網(wǎng)站功能分類,靜態(tài)網(wǎng)站管理模式,對應于以靜態(tài)頁面為主的宣傳型網(wǎng)站，沒有在線交易和交互功能?？墒止じ禄蚴褂媚０寮夹g和程序執(zhí)行方式更新。,優(yōu)點：費用低廉、操作簡單快捷、所需人

3、員少。缺點：1）每次更新需上傳全部內容；2）網(wǎng)站難于升級和擴展；3）必須要專業(yè)人員管理和維護。,管理的定義和模式,網(wǎng)站管理模式,,按網(wǎng)站功能分類,動態(tài)網(wǎng)站管理模式,利用數(shù)據(jù)庫存儲信息，在Web服務器上運用ASP、PHP等CGI程序進行數(shù)據(jù)的處理并自動生成HTML頁面。,優(yōu)點：能進行較大容量的網(wǎng)站管理，可實現(xiàn)部分維護的自動更新。管理工作較簡單。缺點：1）網(wǎng)站改版和升級困難，工作量大；2）網(wǎng)站訪問量受設備限制較大；3

4、）系統(tǒng)響應速度下降，受數(shù)據(jù)庫影響大。,網(wǎng)站的管理與維護,管理的定義和模式,網(wǎng)站管理模式,,按網(wǎng)站功能分類,網(wǎng)站管理系統(tǒng),利用數(shù)據(jù)庫技術，將信息分類存儲在數(shù)據(jù)庫中，采用模板技術，用程序自動生成網(wǎng)頁。,優(yōu)點：1）為網(wǎng)站的建設、管理、維護、統(tǒng)計分析提供了統(tǒng)一的環(huán)境和各類模板與接口。2）功能強大，允許任意組合和改變網(wǎng)頁界面和風格，定義不同模板。缺點：網(wǎng)站前期投入大，維護人員多，只適用于大型C2C/B2B/B2C等網(wǎng)站。,網(wǎng)站的管

5、理與維護,管理的定義和模式,網(wǎng)站管理模式,,按網(wǎng)站內容分類,網(wǎng)站的管理與維護,頁面生成模式,以數(shù)據(jù)庫存儲內容，采用模板技術和標簽庫技術，將頁面的模板獨立出來，把數(shù)據(jù)庫中的數(shù)據(jù)和標簽庫中的數(shù)據(jù)相結合生成靜態(tài)網(wǎng)頁。結合其他Web技術也可以生成動態(tài)網(wǎng)頁。,特點：靈活多樣、自動化高，節(jié)省大量人工時間。是網(wǎng)站更新、維護的主要技術手段。不足之處是網(wǎng)站的部署和管理比較麻煩。,管理的定義和模式,網(wǎng)站管理模式,,按網(wǎng)站內容分類,網(wǎng)站的

6、管理與維護,智能結構模式,以數(shù)據(jù)庫存儲內容，將內容進行結構化分類，通過智能化手段自動實施網(wǎng)站的管理、調度和重構。,可實現(xiàn)信息從原始存儲狀態(tài)到不同服務類型的自動組織、歸類。在智能化管理模式中，應用到海量存儲、智能檢索、數(shù)據(jù)挖掘等新型IT技術。比如為不同用戶構建個性化網(wǎng)頁等。,智能化管理模式,管理的定義和模式,國內網(wǎng)站管理軟件簡介,,網(wǎng)站的管理與維護,網(wǎng)站客戶服務管理,客戶服務的內涵和意義,網(wǎng)站的管理與維護,,市場競爭日益激

7、烈,技術水平逐漸接近,營銷手段趨于雷同,怎樣更好地吸引和留住客戶？,更優(yōu)質的客戶服務,客戶服務是與客戶接觸的全部活動過程，是企業(yè)營銷策略的重要組成部分。,網(wǎng)站客戶服務管理,客戶服務策略,網(wǎng)站的管理與維護,,網(wǎng)站客戶服務管理,客戶服務管理要點,網(wǎng)站的管理與維護,,建立客戶信息庫,,,客戶基本信息管理,客戶反饋管理,,,售前服務,售中服務,重視服務過程把握服務關鍵,,售后服務,網(wǎng)站客戶服務管理,客戶關系管理——CRM,網(wǎng)站的管理與

8、維護,,BBS論壇管理,電子郵件管理,留言板管理,在線調查管理,在線技術支持管理,個性化服務管理,客戶反饋系統(tǒng),網(wǎng)站客戶服務管理,客戶資料分析和決策,網(wǎng)站的管理與維護,,分析內容,輸出,日報表時段報表訪問量分析表排名分析表HOT網(wǎng)頁排名表IP地址分析表用戶地域分析表,決策,營銷方案,網(wǎng)頁更新,個性化服務,網(wǎng)站的維護,網(wǎng)頁維護,網(wǎng)站的管理與維護,,網(wǎng)頁的精心維護和管理是一個網(wǎng)站成功以及持續(xù)發(fā)展的關鍵,網(wǎng)頁維護的內容,網(wǎng)頁測試,

9、頁面更新,網(wǎng)站的維護,網(wǎng)站故障的預防、檢查和排除,網(wǎng)站的管理與維護,,網(wǎng)站故障的預防,合理規(guī)劃預防故障,有效的人員培訓有助于預防故障,對網(wǎng)站進行監(jiān)視和有效的管理,定期進行安全檢查,及時消除網(wǎng)絡瓶頸,網(wǎng)站的維護,網(wǎng)站故障的預防、檢查和排除,網(wǎng)站的管理與維護,網(wǎng)站故障的檢查和排除,—— 邏輯故障分離法,,網(wǎng)站的維護,網(wǎng)站故障的常用檢測工具,網(wǎng)站的管理與維護,,Winmsd.exe,控制面板的系統(tǒng)恢復,性能監(jiān)視器,事件查看器,IIS6.0日

10、志文件,網(wǎng)站安全維護,網(wǎng)站安全概述,網(wǎng)站的管理與維護,,網(wǎng)站的主要安全問題：,網(wǎng)站安全維護,網(wǎng)站安全概述,網(wǎng)站的管理與維護,,網(wǎng)站的典型安全漏洞,,網(wǎng)站安全維護,網(wǎng)站安全技術,網(wǎng)站的管理與維護,,操作系統(tǒng)本身的安全策略,控制面板,,網(wǎng)站安全維護,網(wǎng)站安全技術,網(wǎng)站的管理與維護,,IIS的安全配置,單獨設置IIS服務器,IIS最好獨立安裝在一臺服務器上，并且這臺服務器不要隸屬于任何域。這樣的好處是斷開與域中其他成員的認證連接，降低

11、安全風險。,網(wǎng)站安全維護,網(wǎng)站安全技術,網(wǎng)站的管理與維護,,IIS的安全配置,合理設置Web根目錄,Web根目錄禁止設置在系統(tǒng)分區(qū)（一般指C盤），這樣避免Web根目錄被攻擊后系統(tǒng)文件也遭受攻擊。設置Web站點虛擬目錄時，也要防止不被重新定向到系統(tǒng)分區(qū)。條件允許的話，可以把Web根目錄設置到另外一臺服務器上，盡量減少IIS服務器被攻擊的危險。,網(wǎng)站安全維護,網(wǎng)站安全技術,網(wǎng)站的管理與維護,,IIS的安全配置,隱藏重要系統(tǒng)文件,操作

12、系統(tǒng)中的許多可執(zhí)行文件，容易被攻擊者用來進行破壞活動，要對這些文件進行刪除、重命名或設置NTFS權限。目的是使攻擊者找不到這些文件，因而降低被攻擊的風險。這些文件包括：xcopy\regedit\ftp\delete\debug\等。,網(wǎng)站安全維護,網(wǎng)站安全技術,網(wǎng)站的管理與維護,,IIS的安全配置,刪除或關閉多余的IIS組件,安裝IIS后，有些組件可能會給攻擊者以可乘之機，建議對不用的組建一律刪除，如果日后要用再安裝添加即可

13、。這些組件包括：1）Internet服務管理器(html)；2）樣本頁面和腳本；3）IIS資源工具箱；4）SMTP和NNTP；5）Internet打印。,網(wǎng)站安全維護,網(wǎng)站安全技術,網(wǎng)站的管理與維護,,IIS的安全配置,改寫注冊表的某些鍵值,比如，為降低SYN黑客軟件的攻擊，可將注冊表中HKLM\System\CurrentControlSet\Services\Tcpip\Paramenters下的synAttackpro

14、tect的鍵值改成2。注意：改寫注冊表要慎重，對不知道含義的鍵值錯誤修改可能會導致系統(tǒng)或程序運行錯誤。,網(wǎng)站安全維護,網(wǎng)站安全技術,網(wǎng)站的管理與維護,,IIS的安全配置,簡化IIS5.0中的驗證方法,IIS5.0中有多種身份驗證方式：匿名訪問、基本驗證、域服務器驗證等等，大多數(shù)情況下，只保留匿名訪問和基本驗證就行，其他驗證方式都可以關閉，不允許使用。,網(wǎng)站安全維護,網(wǎng)站安全技術,網(wǎng)站的管理與維護,,IIS的安全配置,為IIS5中

15、的文件分類設置權限,除了在操作系統(tǒng)中IIS5的文件設置必要的權限以外， 在IIS管理器中也要分別為IIS文件設置權限。一般而言，不要同時設置寫權限和執(zhí)行權限，另外禁止目錄瀏覽功能。建議把Web站點上不同類型的文件都建立文件夾，然后對文件夾進行權限設置。,網(wǎng)站安全維護,網(wǎng)站安全技術,網(wǎng)站的管理與維護,,IIS的安全配置,保護IIS的重要配置文件,IIS的Metabase保存著IIS的重要配置信息，因此要重點保護。建議如下操作：

16、1）移動Metabase位置并改名；2）安全設置確定Metabase位置的注冊表關鍵字；3）審核并分析所有試圖訪問和修改Metabase的日志；4）把HTTP和FTP文件夾從%systemroot%下移走；5）對Metabase只設置Administrators/System/完全控制；6）對Metabase進行安全備份；,網(wǎng)站安全維護,網(wǎng)站安全技術,網(wǎng)站的管理與維護,,防火墻技術,防火墻技術是一種用來加強網(wǎng)絡之間訪問控制。防

17、止外部網(wǎng)絡用戶以非法手段進入內部網(wǎng)絡進行惡意操作。,防火墻類型,,網(wǎng)站安全維護,網(wǎng)站安全技術,網(wǎng)站的管理與維護,防火墻技術,,包過濾型,網(wǎng)絡地址轉換-NAT,代理型,包過濾型是防火墻的初級產品。防火墻通過對數(shù)據(jù)包進行讀取和過濾來分析是否有不安全的數(shù)據(jù)，如果判斷有就過濾掉。包過濾型防火墻簡單實用，實現(xiàn)成本較低，但它是基于網(wǎng)絡層的技術，防范手段單一，無法識別來自應用層的惡侵入，很容易被偽造的假數(shù)據(jù)欺騙。,監(jiān)測型,網(wǎng)絡地址轉

18、換（NAT）的含義就是把內部非法IP臨時映射成外部的一個合法IP，從而達到訪問互聯(lián)網(wǎng)的目的。這樣的好處是：1）節(jié)約IP地址，原則上只需要防火墻配置一個真實IP，而內部網(wǎng)絡都可以是虛擬IP。2）防火墻內事先設置好映射規(guī)則，外部網(wǎng)絡只能訪問防火墻的IP，而無法知道內部網(wǎng)絡真真實情況，因而只能對防火墻攻擊，而無法攻擊內部網(wǎng)絡。,代理型防火墻又稱為代理服務器，它的網(wǎng)絡結構與NAT類似，也是通過IP映射把內網(wǎng)和外網(wǎng)分隔

19、開，內網(wǎng)的虛擬IP在代理服務器統(tǒng)一映射成代理服務器的外部IP訪問互聯(lián)網(wǎng)，外網(wǎng)無法得知內網(wǎng)的實際情況，從而避免被攻擊。同時，代理服務器可以基于應用層進行偵測和掃描，對于應用層的入侵和病毒都十分有效。安全性能要高于包過濾型，但缺點是過濾時間長，影響系統(tǒng)性能。,監(jiān)測型防火墻是新一代產品，也是未來防火墻的發(fā)展方向。監(jiān)測防火墻采取主動工作方式，主動對各層的數(shù)據(jù)進行實時掃描，能有效地判斷各層的非法入侵。同時，監(jiān)測型防火墻還

20、在內部網(wǎng)絡的各節(jié)點安裝了分布式探測器，能有效防范來自網(wǎng)絡內部的惡意攻擊。目前，監(jiān)測型防火墻的技術實現(xiàn)成本較高，管理也較困難，還處于發(fā)展階段。,網(wǎng)站安全維護,網(wǎng)站安全技術,網(wǎng)站的管理與維護,防病毒技術——網(wǎng)絡病毒,,就網(wǎng)站而言，防范病毒主要是指防范網(wǎng)絡病毒。,網(wǎng)絡病毒的種類,感染方式,網(wǎng)站安全維護,網(wǎng)站安全技術,網(wǎng)站的管理與維護,,防病毒技術——網(wǎng)絡病毒,防治網(wǎng)絡病毒的有效辦法——安裝殺毒軟件。,殺毒軟件應具備四個特征,網(wǎng)站

21、安全維護,網(wǎng)站安全技術,網(wǎng)站的管理與維護,,防病毒技術——網(wǎng)絡病毒,殺毒軟件的安裝位置,網(wǎng)站安全維護,網(wǎng)站安全技術,網(wǎng)站的管理與維護,,防病毒技術——網(wǎng)絡病毒,殺毒軟件的部署和管理,,網(wǎng)站欄目規(guī)劃,卡巴斯基,McAfee,Norton,金山毒霸,瑞星殺毒,網(wǎng)站安全維護,網(wǎng)站安全技術,網(wǎng)站的管理與維護,,防病毒技術——網(wǎng)絡病毒,常見殺毒軟件介紹,網(wǎng)站安全維護,網(wǎng)站安全技術,網(wǎng)站的管理與維護,,網(wǎng)站反黑客技術,網(wǎng)絡黑客的攻擊方法,獲取帳

22、號和口令,,通過網(wǎng)絡監(jiān)聽獲得帳號和口令。,獲得帳號后，使用窮舉法登錄服務器，強行破解口令。,獲得用戶口令文件（shadow)，在本地就可使用窮舉法破解用戶口令。,網(wǎng)站安全維護,網(wǎng)站安全技術,網(wǎng)站的管理與維護,,網(wǎng)站反黑客技術,網(wǎng)絡黑客的攻擊方法,放置特洛伊木馬,特洛伊木馬可以附著在正常軟件內或作為電子郵件的附件潛入到目標電腦內，可以把本機的一切資料傳送給特洛伊木馬的使用者，并且可以進行任意程度的破壞。手段隱蔽、破壞性大。,WW

23、W欺騙技術,利用web技術私自篡改網(wǎng)頁、調換鏈接、發(fā)布虛假信息。例如，黑棵將用戶瀏覽的網(wǎng)頁URL改寫成自己的服務器，用戶瀏覽時，實際上是向黑客服務器發(fā)送請求。,電子郵件攻擊,一種方式是郵件炸彈，即通過偽造的IP向目標信箱發(fā)送數(shù)以萬計的垃圾郵件，直至目標郵件系統(tǒng)崩潰癱瘓。另一種方式是郵件詐騙，假扮成郵件系統(tǒng)管理員，騙取用戶密碼或相關信息，或在正常附件中加載病毒或木馬。,宿主攻擊,黑客先攻陷一臺主機，再利用這臺主機作為宿主，進而

24、攻擊其他主機。這種黑客技術很高明，黑客突破宿主的目的不是為了盜取宿主的資料，而是把它當成掩護，為后續(xù)真正的黑客攻擊做準備。,網(wǎng)站安全維護,網(wǎng)站安全技術,網(wǎng)站的管理與維護,,網(wǎng)站反黑客技術,網(wǎng)絡黑客的攻擊方法,網(wǎng)絡監(jiān)聽,利用系統(tǒng)漏洞攻擊,利用帳號攻擊,偷取特權,黑客進入某一網(wǎng)段后，24小時不間斷監(jiān)聽并截獲本網(wǎng)段上的所有信息，然后送回到黑客主機，并對截獲的數(shù)據(jù)進行分析。內部網(wǎng)絡的黑客攻擊往往采用此種方法，可以輕易獲得網(wǎng)段內的所有帳

25、戶及口令。,操作系統(tǒng)或應用軟件往往存在許多未經(jīng)檢測出來的漏洞（bug)，某些漏洞被黑客掌握以后，就可以用來作為黑客攻擊的渠道加以利用。另外，由于管理員配置失誤或操作不慎，也可能造成一些漏洞被黑客利用并入侵。,主要是指黑客利用缺省帳戶來進行攻擊，比如guest帳戶，這些帳戶的權限都很小，但如果系統(tǒng)安全配置存在漏洞的話，就容易被黑客利用并獲取更高級別的帳戶繼續(xù)入侵。,所謂偷取特權，就是利用木馬程序獲得主機的超級用戶權限，從而盜

26、取重要資料，甚至全面接管主機和獲得網(wǎng)絡的控制權，并進行后續(xù)入侵活動。,網(wǎng)站安全維護,網(wǎng)站安全技術,網(wǎng)站的管理與維護,,網(wǎng)站反黑客技術,防范黑客攻擊的措施,1）經(jīng)常需要與外界交換機密信息的主機要單獨設立網(wǎng)段。,2）專用主機單獨專用，比如郵件服務器、數(shù)據(jù)庫服務器、網(wǎng) 管服務器等，盡量不要在專用主機上運行其他程序。,3）網(wǎng)絡配置遵循“用戶權限最小化”，關閉不使用或了解的網(wǎng)絡 服務，關閉不必要的端口。,網(wǎng)站安全維護,網(wǎng)

27、站安全技術,網(wǎng)站的管理與維護,,網(wǎng)站反黑客技術,防范黑客攻擊的措施,4）所有主機的日志文件全部定向到統(tǒng)一的日志服務器，集中 管理，定期檢查日志文件和重要配置文件，定期備份數(shù)據(jù)。,5）及時下載、安裝系統(tǒng)補丁，實時升級和更新殺毒軟件和防 木馬程序。定期更換重要帳戶的口令和密碼。,6）完善內部管理機制，制定切實可行的安全管理制度和辦法， 制定詳盡的入侵預警和應急操作流程，把損失降到最低。,網(wǎng)站安全維護,網(wǎng)站安全