版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡介
1、信息安全檢查及網(wǎng)站安全防護(hù),周曉峰杭州市基礎(chǔ)信息安全測評(píng)認(rèn)證中心2012.6,信息安全檢查,WWW.HZTEC.ORG.CN,安全檢查依據(jù),國辦發(fā)[2009]28號(hào)《國務(wù)院辦公廳關(guān)于印發(fā)的通知》省經(jīng)信信安[2011]288號(hào)《關(guān)于印發(fā)的通知》杭經(jīng)信網(wǎng)管[2011]1號(hào)《關(guān)于印發(fā)的通知》杭經(jīng)信網(wǎng)管[2011]14號(hào)《關(guān)于進(jìn)行2011年我市重要信息系統(tǒng)安全抽查的通知》,WWW.HZTEC.ORG.CN,安全檢查原則,“誰主管誰負(fù)
2、責(zé)、誰運(yùn)行誰負(fù)責(zé)、誰使用誰負(fù)責(zé)”以各單位自查為主,與統(tǒng)一組織的安全抽查相結(jié)合,WWW.HZTEC.ORG.CN,檢查范圍及重點(diǎn),為各部門履行職能提供支撐的信息系統(tǒng),包括自行運(yùn)行維護(hù)管理以及委托其他機(jī)構(gòu)運(yùn)行維護(hù)管理的辦公系統(tǒng)、業(yè)務(wù)系統(tǒng)、網(wǎng)站系統(tǒng)等著重對(duì)各部門的重要業(yè)務(wù)系統(tǒng)、黨政機(jī)關(guān)網(wǎng)站、信息技術(shù)外包服務(wù)安全管理等進(jìn)行安全檢查,WWW.HZTEC.ORG.CN,安全檢查過程,,遠(yuǎn)程門戶網(wǎng)站檢測、滲透性測試小組提前進(jìn)駐被抽查單位,抽查部分
3、內(nèi)部系統(tǒng)分析檢測結(jié)果、出具初步檢查結(jié)論,提交現(xiàn)場檢查組檢查組現(xiàn)場訪談相關(guān)工作人員、抽查各類制度臺(tái)帳,查看相關(guān)現(xiàn)場檢查組匯總檢查結(jié)果,產(chǎn)生反饋意見各單位根據(jù)反饋意見進(jìn)行整改對(duì)部分單位整改結(jié)果進(jìn)行抽查,WWW.HZTEC.ORG.CN,安全檢查主要內(nèi)容,信息安全組織機(jī)構(gòu)信息安全日常管理信息安全防護(hù)管理信息安全應(yīng)急管理信息安全教育培訓(xùn)信息安全檢查,WWW.HZTEC.ORG.CN,2011年度檢查結(jié)果,,1.信息安全組織機(jī)
4、構(gòu)明確了信息安全主管領(lǐng)導(dǎo)(95%)指定了信息安全管理機(jī)構(gòu)(95%)設(shè)置了專職工作處室(90%)配備了相應(yīng)的信息安全管理人員(85%),WWW.HZTEC.ORG.CN,2011年度檢查結(jié)果,,2.安全日常管理多數(shù)單位在人員管理(85%)、資產(chǎn)管理(75%)和外包管理(70%)等方面建立了較完善的安全管理制度。指定了信息安全管理機(jī)構(gòu)(95%),WWW.HZTEC.ORG.CN,2011年度檢查結(jié)果,,3.安全防護(hù)管理各單位門
5、戶網(wǎng)站中高風(fēng)險(xiǎn)安全隱患的比例得到進(jìn)一步下降,但仍有不少部門存在嚴(yán)重安全隱患,WWW.HZTEC.ORG.CN,2011年度檢查結(jié)果,,4.安全應(yīng)急管理較多單位制定了信息安全事件應(yīng)急響應(yīng)預(yù)案(占65%)并開展了不同程度的應(yīng)急演練活動(dòng)(占70%)多數(shù)政府部門建立了合理數(shù)據(jù)容災(zāi)備份制度,實(shí)現(xiàn)了重要數(shù)據(jù)的周期性備份(占75%),WWW.HZTEC.ORG.CN,2011年度檢查結(jié)果,,4.安全自檢查絕大多數(shù)單位(占85%)都通過組織部署、
6、自查實(shí)施、問題整改和自查總結(jié)等過程,積極有效地開展了信息安全自查工作。,WWW.HZTEC.ORG.CN,2011年度檢查結(jié)果,,5.主要問題——網(wǎng)站安全防護(hù)不少門戶網(wǎng)站存在不同程度的安全漏洞。5個(gè)單位的門戶網(wǎng)站存在SQL注入等高風(fēng)險(xiǎn)安全漏洞,占所有抽查單位的25%,其中:8個(gè)單位的門戶網(wǎng)站存在跨站腳本編寫等中等風(fēng)險(xiǎn)安全漏洞,占所有抽查單位的40%。,WWW.HZTEC.ORG.CN,2011年度檢查結(jié)果,,6.主要問題——其它安全
7、防護(hù)50%單位未具備合理的網(wǎng)絡(luò)邊界自動(dòng)監(jiān)測、入侵檢測和防范技術(shù)能力;60%單位未建立合理的信息系統(tǒng)安全審計(jì)制度;50%單位未具備網(wǎng)頁防篡改能力;60%單位未建立有效的終端計(jì)算機(jī)集中管理及接入控制能力;50%單位未建立合理的移動(dòng)存儲(chǔ)介質(zhì)安全管理制度,WWW.HZTEC.ORG.CN,2011年度檢查結(jié)果,,5.主要問題——教育培訓(xùn)60%單位未開展面向一般工作人員的信息安全培訓(xùn)活動(dòng),或覆蓋面過小;35%單位的信息安全管理和技術(shù)
8、人員的安全培訓(xùn)不足,網(wǎng)站安全防護(hù),WWW.HZTEC.ORG.CN,案例,2010年12月26日,冷水江市政府網(wǎng)站被黑客攻擊,WWW.HZTEC.ORG.CN,案例,2010年7月,國防部網(wǎng)站被黑客攻擊,WWW.HZTEC.ORG.CN,案例,2010年7月,水利部網(wǎng)站被黑客攻擊,WWW.HZTEC.ORG.CN,一般網(wǎng)站架構(gòu),,,,SQL語句,,返回?cái)?shù)據(jù)查詢結(jié)果,,訪問請(qǐng)求,返回請(qǐng)求的頁面,互聯(lián)網(wǎng)用戶,應(yīng)用服務(wù)器,數(shù)據(jù)庫,操作系統(tǒng)腳
9、本語言Web服務(wù)器軟件,OracleMySQLMS SQL Server……,IEFirefoxChrome……,WWW.HZTEC.ORG.CN,網(wǎng)站風(fēng)險(xiǎn)分類,應(yīng)用平臺(tái)漏洞,網(wǎng)站代碼漏洞,操作系統(tǒng)漏洞,拒絕服務(wù)攻擊,WWW.HZTEC.ORG.CN,網(wǎng)站代碼漏洞(高危),SQL注入 認(rèn)證旁路 上傳漏洞 跨站點(diǎn)腳本編制,,,,,WWW.HZTEC.ORG.CN,SQL注入,SQL注入(SQL Injectio
10、n),也叫腳本注入,就是利用網(wǎng)站程序?qū)τ脩糨斎脒^濾不足,通過把SQL命令,SQL語句插入到Web表單或輸入到頁面請(qǐng)求的查詢字符串中,最終達(dá)到欺騙服務(wù)器執(zhí)行惡意的SQL命令的一種攻擊。,惡意HTTP請(qǐng)求,通過80端口達(dá)到服務(wù)器,防火墻,服務(wù)器,攻擊者,WWW.HZTEC.ORG.CN,認(rèn)證旁路,認(rèn)證旁路,其原理也是基于SQL 注入,就是在后臺(tái)登陸頁面上,在用戶名或者密碼欄中,輸入特殊的字符或者語句,從而繞夠應(yīng)用系統(tǒng)的身份鑒別機(jī)制,直接進(jìn)入
11、系統(tǒng)后臺(tái)的攻擊手段。,WWW.HZTEC.ORG.CN,文件上傳漏洞,文件上傳漏洞,是指某些網(wǎng)站,允許用戶上傳一些文件至服務(wù)器,比如投稿,提供某些材料等。但對(duì)用戶所上傳的文件類型沒有做嚴(yán)格限制,攻擊者可以上傳惡意軟件至服務(wù)器,從而達(dá)到控制服務(wù)器的目的。,,,WWW.HZTEC.ORG.CN,跨站的腳本編制,跨站點(diǎn)腳本編制(XSS)是指攻擊者利用網(wǎng)站程序?qū)τ脩糨斎脒^濾不足,輸入可以顯示在頁面上對(duì)其他用戶造成影響的HTML代碼,從而盜取用戶
12、資料、利用用戶身份進(jìn)行某種動(dòng)作或者對(duì)訪問者進(jìn)行病毒侵害的一種攻擊方式。,杭城知名論壇19樓, 跨站漏洞,,SQL注入攻擊的一般過程,,尋找注入點(diǎn)(各種掃描工具),判斷數(shù)據(jù)庫類型(MS SQL,MySQL,Oracle),獲取敏感信息(管理員賬號(hào)密碼等),尋找管理后臺(tái)(頁面尋找,google等),用獲取到的信息登陸后臺(tái),,,,,WWW.HZTEC.ORG.CN,跨站攻擊的一般過程,尋找跨站點(diǎn)(各種掃描工具),利用
13、跨站,構(gòu)造惡意代碼(獲取cookies信息等),利用各種手段,誘使受害者點(diǎn)擊含有惡意代碼的鏈接,獲取受害者cookies等信息,冒用受害者的身份,訪問網(wǎng)站論壇等,,,,,,Cookies信息保存提示,,WWW.HZTEC.ORG.CN,應(yīng)用平臺(tái)漏洞,IIS、TomcatApache等,Oracle、MySQLMS SQL Server等,,緩沖區(qū)溢出,eg: Apache 分塊編碼遠(yuǎn)程溢出,配置不正確,eg:敏感調(diào)試信息暴露,弱口
14、令,eg: tomcat/tomcat sa/sa等,,脆弱性,,,,,WWW.HZTEC.ORG.CN,從1521端口到控制服務(wù)器,掃描目標(biāo)主機(jī)開放的端口,獲取Oracle實(shí)例名信息,根據(jù)獲取到的信息,配置tnsnames文件,利用Oracle默認(rèn)低權(quán)限用戶,登陸數(shù)據(jù)庫,利用oracle存在的溢出漏洞,提升權(quán)限,利用oracle,執(zhí)行操作系統(tǒng)命令,,,,,WWW.HZTEC.ORG.CN,SQL注入結(jié)合應(yīng)用平臺(tái)漏洞的攻擊,掃描目標(biāo)
15、主機(jī)開放的端口,利用SQL注入,獲取數(shù)據(jù)庫信息,根據(jù)獲取到的信息,配置tnsnames文件,登陸數(shù)據(jù)庫,利用oracle存在的溢出漏洞,提升權(quán)限,利用oracle,執(zhí)行操作系統(tǒng)命令,,,,,,WWW.HZTEC.ORG.CN,社會(huì)工程學(xué)案例,,WWW.HZTEC.ORG.CN,信息泄露,,調(diào)試信息,暴露了網(wǎng)站的路徑,WWW.HZTEC.ORG.CN,應(yīng)用平臺(tái)漏洞防范措施,限制端口開放 及時(shí)更新補(bǔ)丁 合理設(shè)置用戶及密碼,WWW
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 眾賞文庫僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 信息安全測評(píng)認(rèn)證在信息安全保障中的定位與作用.pdf
- 信息系統(tǒng)安全服務(wù)資質(zhì)測評(píng)認(rèn)證指南
- 素質(zhì)測評(píng)標(biāo)準(zhǔn)體系
- 中國信息安全認(rèn)證中心行風(fēng)測評(píng)暨行風(fēng)調(diào)查問卷
- 信息安全等級(jí)保護(hù)測評(píng)技術(shù)標(biāo)準(zhǔn)和需求
- 基于PKI認(rèn)證體系的信息系統(tǒng)安全研究.pdf
- 主要森林認(rèn)證體系認(rèn)證標(biāo)準(zhǔn)比較研究.pdf
- 信息 安全管理體系 (iso270012005)認(rèn)證申請(qǐng)指南
- 卓越績效標(biāo)準(zhǔn)導(dǎo)向的績效測評(píng)體系
- iso27006信息安全管理體系審核認(rèn)證機(jī)構(gòu)的要求
- 江蘇省小學(xué)教育專業(yè)認(rèn)證標(biāo)準(zhǔn)測評(píng)細(xì)則
- 基于質(zhì)量管理體系標(biāo)準(zhǔn)認(rèn)證的管理信息系統(tǒng).pdf
- 信息系統(tǒng)設(shè)計(jì)安全測評(píng)
- 信息系統(tǒng)安全測評(píng)
- 3.2信息安全標(biāo)準(zhǔn)-信息安全
- 信息安全技術(shù)證書認(rèn)證系統(tǒng)
- 4.4密碼基礎(chǔ)認(rèn)證-信息安全
- 認(rèn)證機(jī)構(gòu)管理體系及服務(wù)認(rèn)證信息報(bào)告規(guī)范
- 信息安全保障參考文件-中國信息安全測評(píng)中心
- 2022年貴州省網(wǎng)絡(luò)與信息安全測評(píng)認(rèn)證中心招考聘用模擬卷_3
評(píng)論
0/150
提交評(píng)論