版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
信息安全检查及
网站安全防护周晓峰杭州市基础信息安全测评认证中心2012.6信息安全检查及
网站安全防护周晓峰信息安全检查信息安全检查WWW.HZTEC.ORG.CN安全检查依据国办发[2009]28号《国务院办公厅关于印发<政府信息系统安全检查办法>的通知》省经信信安[2011]288号《关于印发<2011年网络与重要信息系统安全检查指南>的通知》杭经信网管[2011]1号《关于印发<2011年杭州市网络与重要信息系统安全检查指南>的通知》杭经信网管[2011]14号《关于进行2011年我市重要信息系统安全抽查的通知》WWW.HZTEC.ORG.CN安全检查依据国办发[2009WWW.HZTEC.ORG.CN安全检查原则“谁主管谁负责、谁运行谁负责、谁使用谁负责”以各单位自查为主,与统一组织的安全抽查相结合WWW.HZTEC.ORG.CN安全检查原则“谁主管谁负责、WWW.HZTEC.ORG.CN检查范围及重点为各部门履行职能提供支撑的信息系统,包括自行运行维护管理以及委托其他机构运行维护管理的办公系统、业务系统、网站系统等着重对各部门的重要业务系统、党政机关网站、信息技术外包服务安全管理等进行安全检查WWW.HZTEC.ORG.CN检查范围及重点为各部门履行职WWW.HZTEC.ORG.CN安全检查过程远程门户网站检测、渗透性测试小组提前进驻被抽查单位,抽查部分内部系统分析检测结果、出具初步检查结论,提交现场检查组检查组现场访谈相关工作人员、抽查各类制度台帐,查看相关现场检查组汇总检查结果,产生反馈意见各单位根据反馈意见进行整改对部分单位整改结果进行抽查WWW.HZTEC.ORG.CN安全检查过程远程门户网站检测WWW.HZTEC.ORG.CN安全检查主要内容信息安全组织机构信息安全日常管理信息安全防护管理信息安全应急管理信息安全教育培训信息安全检查WWW.HZTEC.ORG.CN安全检查主要内容信息安全组织WWW.HZTEC.ORG.CN2011年度检查结果1.信息安全组织机构明确了信息安全主管领导(95%)指定了信息安全管理机构(95%)设置了专职工作处室(90%)配备了相应的信息安全管理人员(85%)WWW.HZTEC.ORG.CN2011年度检查结果1.信息WWW.HZTEC.ORG.CN2011年度检查结果2.安全日常管理多数单位在人员管理(85%)、资产管理(75%)和外包管理(70%)等方面建立了较完善的安全管理制度。指定了信息安全管理机构(95%)WWW.HZTEC.ORG.CN2011年度检查结果2.安全WWW.HZTEC.ORG.CN2011年度检查结果3.安全防护管理各单位门户网站中高风险安全隐患的比例得到进一步下降,但仍有不少部门存在严重安全隐患WWW.HZTEC.ORG.CN2011年度检查结果3.安全WWW.HZTEC.ORG.CN2011年度检查结果4.安全应急管理较多单位制定了信息安全事件应急响应预案(占65%)并开展了不同程度的应急演练活动(占70%)多数政府部门建立了合理数据容灾备份制度,实现了重要数据的周期性备份(占75%)WWW.HZTEC.ORG.CN2011年度检查结果4.安全WWW.HZTEC.ORG.CN2011年度检查结果4.安全自检查绝大多数单位(占85%)都通过组织部署、自查实施、问题整改和自查总结等过程,积极有效地开展了信息安全自查工作。WWW.HZTEC.ORG.CN2011年度检查结果4.安全WWW.HZTEC.ORG.CN2011年度检查结果5.主要问题——网站安全防护不少门户网站存在不同程度的安全漏洞。5个单位的门户网站存在SQL注入等高风险安全漏洞,占所有抽查单位的25%,其中:8个单位的门户网站存在跨站脚本编写等中等风险安全漏洞,占所有抽查单位的40%。WWW.HZTEC.ORG.CN2011年度检查结果5.主要WWW.HZTEC.ORG.CN2011年度检查结果6.主要问题——其它安全防护50%单位未具备合理的网络边界自动监测、入侵检测和防范技术能力;60%单位未建立合理的信息系统安全审计制度;50%单位未具备网页防篡改能力;60%单位未建立有效的终端计算机集中管理及接入控制能力;50%单位未建立合理的移动存储介质安全管理制度WWW.HZTEC.ORG.CN2011年度检查结果6.主要WWW.HZTEC.ORG.CN2011年度检查结果5.主要问题——教育培训60%单位未开展面向一般工作人员的信息安全培训活动,或覆盖面过小;35%单位的信息安全管理和技术人员的安全培训不足WWW.HZTEC.ORG.CN2011年度检查结果5.主要网站安全防护网站安全防护WWW.HZTEC.ORG.CN案例2010年12月26日,冷水江市政府网站被黑客攻击WWW.HZTEC.ORG.CN案例2010年12月26日,WWW.HZTEC.ORG.CN案例2010年7月,国防部网站被黑客攻击WWW.HZTEC.ORG.CN案例2010年7月,国防部网WWW.HZTEC.ORG.CN案例2010年7月,水利部网站被黑客攻击WWW.HZTEC.ORG.CN案例2010年7月,水利部网WWW.HZTEC.ORG.CN一般网站架构
SQL语句返回数据查询结果访问请求返回请求的页面互联网用户
应用服务器数据库操作系统脚本语言Web服务器软件OracleMySQLMSSQLServer……IEFirefoxChrome……WWW.HZTEC.ORG.CN一般网站架构 SQL语句返回WWW.HZTEC.ORG.CN网站风险分类应用平台漏洞网站代码漏洞操作系统漏洞拒绝服务攻击WWW.HZTEC.ORG.CN网站风险分类应用平台漏洞网站WWW.HZTEC.ORG.CN网站代码漏洞(高危)SQL注入认证旁路上传漏洞跨站点脚本编制WWW.HZTEC.ORG.CN网站代码漏洞(高危)SWWW.HZTEC.ORG.CNSQL注入SQL注入(SQLInjection),也叫脚本注入,就是利用网站程序对用户输入过滤不足,通过把SQL命令,SQL语句插入到Web表单或输入到页面请求的查询字符串中,最终达到欺骗服务器执行恶意的SQL命令的一种攻击。恶意HTTP请求通过80端口达到服务器防火墙服务器攻击者WWW.HZTEC.ORG.CNSQL注入SQL注入(SQLWWW.HZTEC.ORG.CN认证旁路认证旁路,其原理也是基于SQL注入,就是在后台登陆页面上,在用户名或者密码栏中,输入特殊的字符或者语句,从而绕够应用系统的身份鉴别机制,直接进入系统后台的攻击手段。WWW.HZTEC.ORG.CN认证旁路认证旁路,其原理也是WWW.HZTEC.ORG.CN文件上传漏洞文件上传漏洞,是指某些网站,允许用户上传一些文件至服务器,比如投稿,提供某些材料等。但对用户所上传的文件类型没有做严格限制,攻击者可以上传恶意软件至服务器,从而达到控制服务器的目的。WWW.HZTEC.ORG.CN文件上传漏洞文件上传漏洞,是WWW.HZTEC.ORG.CN跨站的脚本编制跨站点脚本编制(XSS)是指攻击者利用网站程序对用户输入过滤不足,输入可以显示在页面上对其他用户造成影响的HTML代码,从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。杭城知名论坛19楼,跨站漏洞WWW.HZTEC.ORG.CN跨站的脚本编制跨站点脚本编制SQL注入攻击的一般过程寻找注入点(各种扫描工具)判断数据库类型(MSSQL,MySQL,Oracle)获取敏感信息(管理员账号密码等)寻找管理后台(页面寻找,google等)用获取到的信息登陆后台SQL注入攻击的一般过程寻找注入点判断数据库类型获取敏感信息WWW.HZTEC.ORG.CN跨站攻击的一般过程寻找跨站点(各种扫描工具)利用跨站,构造恶意代码(获取cookies信息等)利用各种手段,诱使受害者点击含有恶意代码的链接获取受害者cookies等信息冒用受害者的身份,访问网站论坛等Cookies信息保存提示WWW.HZTEC.ORG.CN跨站攻击的一般过程寻找跨站点WWW.HZTEC.ORG.CN应用平台漏洞IIS、TomcatApache等Oracle、MySQLMSSQLServer等缓冲区溢出eg:Apache分块编码远程溢出配置不正确eg:敏感调试信息暴露弱口令eg:tomcat/tomcatsa/sa等脆弱性WWW.HZTEC.ORG.CN应用平台漏洞IIS、TomcWWW.HZTEC.ORG.CN从1521端口到控制服务器扫描目标主机开放的端口获取Oracle实例名信息根据获取到的信息,配置tnsnames文件,利用Oracle默认低权限用户,登陆数据库利用oracle存在的溢出漏洞,提升权限利用oracle,执行操作系统命令WWW.HZTEC.ORG.CN从1521端口到控制服务器扫WWW.HZTEC.ORG.CNSQL注入结合应用平台漏洞的攻击扫描目标主机开放的端口利用SQL注入,获取数据库信息根据获取到的信息,配置tnsnames文件,登陆数据库利用oracle存在的溢出漏洞,提升权限利用oracle,执行操作系统命令WWW.HZTEC.ORG.CNSQL注入结合应用平台漏洞的WWW.HZTEC.ORG.CN社会工程学案例WWW.HZTEC.ORG.CN社会工程学案例WWW.HZTEC.ORG.CN信息泄露调试信息,暴露了网站的路径WWW.HZTEC.ORG.CN信息泄露调试信息,暴露了网站WWW.HZTEC.ORG.CN应用平台漏洞防范措施限制端口开放及时更新补丁合理设置用户及密码WWW.HZTEC.ORG.CN应用平台漏洞防范措施限制WWW.HZTEC.ORG.CN代码漏洞防范措施部署硬件防护设备代码级别的防护屏蔽错误信息
验证用户输入数据的合法性使用工具模拟检测攻击
WWW.HZTEC.ORG.CN代码漏洞防范措施部署硬件WWW.HZTEC.ORG.CN安全防护体系发现问题处理问题日常管理紧急情况配置加固安全设备应急响应配置加固安全检查漏洞扫描安全培训安全咨询WWW.HZTEC.ORG.CN安全防护体系发现问题处理问题ThankYou!ThankYou!信息安全检查及
网站安全防护周晓峰杭州市基础信息安全测评认证中心2012.6信息安全检查及
网站安全防护周晓峰信息安全检查信息安全检查WWW.HZTEC.ORG.CN安全检查依据国办发[2009]28号《国务院办公厅关于印发<政府信息系统安全检查办法>的通知》省经信信安[2011]288号《关于印发<2011年网络与重要信息系统安全检查指南>的通知》杭经信网管[2011]1号《关于印发<2011年杭州市网络与重要信息系统安全检查指南>的通知》杭经信网管[2011]14号《关于进行2011年我市重要信息系统安全抽查的通知》WWW.HZTEC.ORG.CN安全检查依据国办发[2009WWW.HZTEC.ORG.CN安全检查原则“谁主管谁负责、谁运行谁负责、谁使用谁负责”以各单位自查为主,与统一组织的安全抽查相结合WWW.HZTEC.ORG.CN安全检查原则“谁主管谁负责、WWW.HZTEC.ORG.CN检查范围及重点为各部门履行职能提供支撑的信息系统,包括自行运行维护管理以及委托其他机构运行维护管理的办公系统、业务系统、网站系统等着重对各部门的重要业务系统、党政机关网站、信息技术外包服务安全管理等进行安全检查WWW.HZTEC.ORG.CN检查范围及重点为各部门履行职WWW.HZTEC.ORG.CN安全检查过程远程门户网站检测、渗透性测试小组提前进驻被抽查单位,抽查部分内部系统分析检测结果、出具初步检查结论,提交现场检查组检查组现场访谈相关工作人员、抽查各类制度台帐,查看相关现场检查组汇总检查结果,产生反馈意见各单位根据反馈意见进行整改对部分单位整改结果进行抽查WWW.HZTEC.ORG.CN安全检查过程远程门户网站检测WWW.HZTEC.ORG.CN安全检查主要内容信息安全组织机构信息安全日常管理信息安全防护管理信息安全应急管理信息安全教育培训信息安全检查WWW.HZTEC.ORG.CN安全检查主要内容信息安全组织WWW.HZTEC.ORG.CN2011年度检查结果1.信息安全组织机构明确了信息安全主管领导(95%)指定了信息安全管理机构(95%)设置了专职工作处室(90%)配备了相应的信息安全管理人员(85%)WWW.HZTEC.ORG.CN2011年度检查结果1.信息WWW.HZTEC.ORG.CN2011年度检查结果2.安全日常管理多数单位在人员管理(85%)、资产管理(75%)和外包管理(70%)等方面建立了较完善的安全管理制度。指定了信息安全管理机构(95%)WWW.HZTEC.ORG.CN2011年度检查结果2.安全WWW.HZTEC.ORG.CN2011年度检查结果3.安全防护管理各单位门户网站中高风险安全隐患的比例得到进一步下降,但仍有不少部门存在严重安全隐患WWW.HZTEC.ORG.CN2011年度检查结果3.安全WWW.HZTEC.ORG.CN2011年度检查结果4.安全应急管理较多单位制定了信息安全事件应急响应预案(占65%)并开展了不同程度的应急演练活动(占70%)多数政府部门建立了合理数据容灾备份制度,实现了重要数据的周期性备份(占75%)WWW.HZTEC.ORG.CN2011年度检查结果4.安全WWW.HZTEC.ORG.CN2011年度检查结果4.安全自检查绝大多数单位(占85%)都通过组织部署、自查实施、问题整改和自查总结等过程,积极有效地开展了信息安全自查工作。WWW.HZTEC.ORG.CN2011年度检查结果4.安全WWW.HZTEC.ORG.CN2011年度检查结果5.主要问题——网站安全防护不少门户网站存在不同程度的安全漏洞。5个单位的门户网站存在SQL注入等高风险安全漏洞,占所有抽查单位的25%,其中:8个单位的门户网站存在跨站脚本编写等中等风险安全漏洞,占所有抽查单位的40%。WWW.HZTEC.ORG.CN2011年度检查结果5.主要WWW.HZTEC.ORG.CN2011年度检查结果6.主要问题——其它安全防护50%单位未具备合理的网络边界自动监测、入侵检测和防范技术能力;60%单位未建立合理的信息系统安全审计制度;50%单位未具备网页防篡改能力;60%单位未建立有效的终端计算机集中管理及接入控制能力;50%单位未建立合理的移动存储介质安全管理制度WWW.HZTEC.ORG.CN2011年度检查结果6.主要WWW.HZTEC.ORG.CN2011年度检查结果5.主要问题——教育培训60%单位未开展面向一般工作人员的信息安全培训活动,或覆盖面过小;35%单位的信息安全管理和技术人员的安全培训不足WWW.HZTEC.ORG.CN2011年度检查结果5.主要网站安全防护网站安全防护WWW.HZTEC.ORG.CN案例2010年12月26日,冷水江市政府网站被黑客攻击WWW.HZTEC.ORG.CN案例2010年12月26日,WWW.HZTEC.ORG.CN案例2010年7月,国防部网站被黑客攻击WWW.HZTEC.ORG.CN案例2010年7月,国防部网WWW.HZTEC.ORG.CN案例2010年7月,水利部网站被黑客攻击WWW.HZTEC.ORG.CN案例2010年7月,水利部网WWW.HZTEC.ORG.CN一般网站架构
SQL语句返回数据查询结果访问请求返回请求的页面互联网用户
应用服务器数据库操作系统脚本语言Web服务器软件OracleMySQLMSSQLServer……IEFirefoxChrome……WWW.HZTEC.ORG.CN一般网站架构 SQL语句返回WWW.HZTEC.ORG.CN网站风险分类应用平台漏洞网站代码漏洞操作系统漏洞拒绝服务攻击WWW.HZTEC.ORG.CN网站风险分类应用平台漏洞网站WWW.HZTEC.ORG.CN网站代码漏洞(高危)SQL注入认证旁路上传漏洞跨站点脚本编制WWW.HZTEC.ORG.CN网站代码漏洞(高危)SWWW.HZTEC.ORG.CNSQL注入SQL注入(SQLInjection),也叫脚本注入,就是利用网站程序对用户输入过滤不足,通过把SQL命令,SQL语句插入到Web表单或输入到页面请求的查询字符串中,最终达到欺骗服务器执行恶意的SQL命令的一种攻击。恶意HTTP请求通过80端口达到服务器防火墙服务器攻击者WWW.HZTEC.ORG.CNSQL注入SQL注入(SQLWWW.HZTEC.ORG.CN认证旁路认证旁路,其原理也是基于SQL注入,就是在后台登陆页面上,在用户名或者密码栏中,输入特殊的字符或者语句,从而绕够应用系统的身份鉴别机制,直接进入系统后台的攻击手段。WWW.HZTEC.ORG.CN认证旁路认证旁路,其原理也是WWW.HZTEC.ORG.CN文件上传漏洞文件上传漏洞,是指某些网站,允许用户上传一些文件至服务器,比如投稿,提供某些材料等。但对用户所上传的文件类型没有做严格限制,攻击者可以上传恶意软件至服务器,从而达到控制服务器的目的。WWW.HZTEC.ORG.CN文件上传漏洞文件上传漏洞,是WWW.HZTEC.ORG.CN跨站的脚本编制跨站点脚本编制(XSS)是指攻击者利用网站程序对用户输入过滤不足,输入可以显示在页面上对其他用户造成影响的HTML代码,从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。杭城知名论坛19楼,跨站漏洞WWW.HZTEC.ORG.CN跨站的脚本编制跨站点脚本编制SQL注入攻击的一般过程寻找注入点(各种扫描工具)判断数据库类型(MSSQL,MySQL,Oracle)获取敏感信息(管理员账号密码等)寻找管理后台(页面寻找,google等)用获取到的信息登陆后台SQL注入攻击的一般过程寻找注入点判断数据库类型获取敏感信息WWW.HZTEC.ORG.CN跨站攻击的一般过程寻找跨站点(各种扫描工具)利用跨站,构造恶意代码(获取cookies信息等)利用各种手段,诱使受害者点击含有恶意代码的链接获取受害者cookies等信息冒用受害者的身份,访问网站论坛等Cookies信息保存提示WWW.HZTEC.ORG.CN跨站攻击的一般过程寻找跨站点WWW.HZTEC.ORG.CN应用平台漏洞IIS、TomcatApache等Oracle
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 2024年机电设备采购合同(二篇)
- 2024年餐饮店承包合同协议范文(二篇)
- 2024年房屋租赁协议范本(六篇)
- 2024年自愿离婚协议简单版(三篇)
- 2024年抵押贷款合同参考范本(二篇)
- 2024年长期供货协议范文(2篇)
- 2024年服装加盟合同标准模板(2篇)
- 2024年垃圾运输合同格式版(二篇)
- 2024年民间抵押借款合同经典版(四篇)
- 急救护理实训:口服催吐法考核评分标准
- 中国竹编艺术智慧树知到期末考试答案章节答案2024年浙江广厦建设职业技术大学
- 《思想道德修养与法律基础》说课(获奖版)
- 国家开放大学《中国法律史》形成性考核1-4参考答案
- 土地利用现状分类符号[共7页]
- 督徒当孝敬父母
- 中国工商银行网上银行转账凭证
- 混凝土浇筑(柱、梁板、楼梯、剪力墙)施工技术交底
- 售票员工作流程图
- ASP_NET考试试题及答案详析
- 吞咽障碍治疗之DPNS
- GB∕T 12459-2017 钢制对焊管件 类型与参数
评论
0/150
提交评论