信息安全检查及网站安全防护ppt课件

.,信息安全检查及网站安全防护,周晓峰杭州市基础信息安全测评认证中心2012.6,.,信息安全检查,.,安全检查依据,国办发200928号国务院办公厅关于印发的通知省经信信安2011288号关于印发的通知杭经信网管20111号关于印发的通知杭经信网管201114号关于进行2011年我市重要信息系统安全抽查的通知,.,安全检查原则,“谁主管谁负责、谁运行谁负责、谁使用谁负责”以各单位自查为主，与统一组织的安全抽查相结合,.,检查范围及重点,为各部门履行职能提供支撑的信息系统，包括自行运行维护管理以及委托其他机构运行维护管理的办公系统、业务系统、网站系统等着重对各部门的重要业务系统、党政机关网站、信息技术外包服务安全管理等进行安全检查,.,安全检查过程,远程门户网站检测、渗透性测试小组提前进驻被抽查单位，抽查部分内部系统分析检测结果、出具初步检查结论，提交现场检查组检查组现场访谈相关工作人员、抽查各类制度台帐，查看相关现场检查组汇总检查结果，产生反馈意见各单位根据反馈意见进行整改对部分单位整改结果进行抽查,.,安全检查主要内容,信息安全组织机构信息安全日常管理信息安全防护管理信息安全应急管理信息安全教育培训信息安全检查,.,2011年度检查结果,1.信息安全组织机构明确了信息安全主管领导（95%）指定了信息安全管理机构（95%）设置了专职工作处室（90%）配备了相应的信息安全管理人员（85%）,.,2011年度检查结果,2.安全日常管理多数单位在人员管理（85%）、资产管理（75%）和外包管理（70%）等方面建立了较完善的安全管理制度。指定了信息安全管理机构（95%）,.,2011年度检查结果,3.安全防护管理各单位门户网站中高风险安全隐患的比例得到进一步下降，但仍有不少部门存在严重安全隐患,.,2011年度检查结果,4.安全应急管理较多单位制定了信息安全事件应急响应预案（占65%）并开展了不同程度的应急演练活动（占70%）多数政府部门建立了合理数据容灾备份制度，实现了重要数据的周期性备份（占75%）,.,2011年度检查结果,4.安全自检查绝大多数单位（占85%）都通过组织部署、自查实施、问题整改和自查总结等过程，积极有效地开展了信息安全自查工作。,.,2011年度检查结果,5.主要问题网站安全防护不少门户网站存在不同程度的安全漏洞。5个单位的门户网站存在SQL注入等高风险安全漏洞，占所有抽查单位的25%，其中：8个单位的门户网站存在跨站脚本编写等中等风险安全漏洞，占所有抽查单位的40%。,.,2011年度检查结果,6.主要问题其它安全防护50%单位未具备合理的网络边界自动监测、入侵检测和防范技术能力；60%单位未建立合理的信息系统安全审计制度；50%单位未具备网页防篡改能力；60%单位未建立有效的终端计算机集中管理及接入控制能力；50%单位未建立合理的移动存储介质安全管理制度,.,2011年度检查结果,5.主要问题教育培训60%单位未开展面向一般工作人员的信息安全培训活动，或覆盖面过小；35%单位的信息安全管理和技术人员的安全培训不足,.,网站安全防护,.,案例,2010年12月26日，冷水江市政府网站被黑客攻击,.,案例,2010年7月，国防部网站被黑客攻击,.,案例,2010年7月，水利部网站被黑客攻击,.,一般网站架构,SQL语句,返回数据查询结果,访问请求,返回请求的页面,互联网用户,应用服务器,数据库,操作系统脚本语言Web服务器软件,OracleMySQLMSSQLServer,IEFirefoxChrome,.,网站风险分类,应用平台漏洞,网站代码漏洞,操作系统漏洞,拒绝服务攻击,.,网站代码漏洞(高危),SQL注入认证旁路上传漏洞跨站点脚本编制,.,SQL注入,SQL注入(SQLInjection)，也叫脚本注入，就是利用网站程序对用户输入过滤不足，通过把SQL命令，SQL语句插入到Web表单或输入到页面请求的查询字符串中，最终达到欺骗服务器执行恶意的SQL命令的一种攻击。,恶意HTTP请求,通过80端口达到服务器,防火墙,服务器,攻击者,.,认证旁路,认证旁路，其原理也是基于SQL注入，就是在后台登陆页面上，在用户名或者密码栏中，输入特殊的字符或者语句，从而绕够应用系统的身份鉴别机制，直接进入系统后台的攻击手段。,.,文件上传漏洞,文件上传漏洞，是指某些网站，允许用户上传一些文件至服务器，比如投稿，提供某些材料等。但对用户所上传的文件类型没有做严格限制，攻击者可以上传恶意软件至服务器，从而达到控制服务器的目的。,.,跨站的脚本编制,跨站点脚本编制（XSS）是指攻击者利用网站程序对用户输入过滤不足，输入可以显示在页面上对其他用户造成影响的HTML代码，从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。,杭城知名论坛19楼，跨站漏洞,.,SQL注入攻击的一般过程,寻找注入点（各种扫描工具）,判断数据库类型（MSSQL,MySQL,Oracle）,获取敏感信息（管理员账号密码等）,寻找管理后台(页面寻找，google等),用获取到的信息登陆后台,.,跨站攻击的一般过程,寻找跨站点（各种扫描工具）,利用跨站，构造恶意代码（获取cookies信息等）,利用各种手段，诱使受害者点击含有恶意代码的链接,获取受害者cookies等信息,冒用受害者的身份，访问网站论坛等,Cookies信息保存提示,.,应用平台漏洞,IIS、TomcatApache等,Oracle、MySQLMSSQLServer等,缓冲区溢出,eg:Apache分块编码远程溢出,配置不正确,eg:敏感调试信息暴露,弱口令,eg:tomcat/tomcatsa/sa等,脆弱性,.,从1521端口到控制服务器,扫描目标主机开放的端口,获取Oracle实例名信息,根据获取到的信息，配置tnsnames文件，利用Oracle默认低权限用户，登陆数据库,利用oracle存在的溢出漏洞，提升权限,利用oracle，执行操作系统命令,.,SQL注入结合应用平台漏洞的攻击,扫描目标主机开放的端口,利用SQL注入，获取数据库信息,根据获取到的信息，配置tnsnames文件，登陆数据库,利用oracle存在的溢出漏洞，提升权限,利用oracle，执行操作系统命令,.,社会工程学案例,.,信息泄露,调试信息，暴露了网站的路径,.,应用平台漏洞防范措施,限制端口开放及时更新补丁合理