《2016年信息安全工程师考试案例分析讨论.docx》由会员分享,可在线阅读,更多相关《2016年信息安全工程师考试案例分析讨论.docx(7页珍藏版)》请在金锄头文库上搜索。
1、2016年信息安全工程师考试案例分析讨论(二)信息安全工程师考试因为是首次开考,案例分析试题资源比较少,希赛软考学院为大家整理了几篇信息安全工程师案例分析讨论,希望对大家能有所帮助。案例背景:张三是一个大型软件公司的程序员,其工作是编写和测试一些工具软件。他所在的公司采用两班轮换制:白天进行程序开发和联机操作,晚上完成产品的批处理工作。张三通过访问工作负荷数据了解到,晚上的批处理工作是白天编程工作的补充。也就是说,在晚班时增加程序设计工作,不会太多地影响他人使用计算机的操作性能。张三利用晚班时间,花费几个小时编程,开发了一个管理自己股票清单的程序,之后又回到他的公司产品批处理工作。他的编程对系
2、统消耗很小,耗材很少,几乎察觉不到。张三的做法违反法律吗?行为道德吗?讨论:1、资产拥有权问题。计算机资产与时间人员资产。只为公司的工作需要提供资源。2、一人行为对他人的影响问题。尽管程序对系统消耗很小,程序也简单,一般情况也可能无影响。但不能保证程序中没有漏洞。如有就会对系统造成严重影响或故障。3、普遍性问题。如果张三的行为可以接受,许多人都这样作,就可能影响系统效率。4、检测的可能性与处罚问题。不容易发觉并不是不能检测到,如果公司确定他的行为不当,就会受到处罚。案例背景最近网上热炒一个帖子,一名清华理科生根据影星王珞丹的微博,推理出王珞丹的住址。主要过程包括,根据王珞丹微博提到的她当演员这
3、么多年,还没在四环以里买房子,并且在其他微博中提到她在四环堵车的情况,可以知道王珞丹住四环外,然后再根据她发的两张从家里拍小区的照片,大致知道小区中有一个大的四方形花坛。然后在google earth上找北京,找到有方形花坛的小区,然后再根据照片拍摄的位置和角度,就找到了王珞丹住住址。2008年奥运会举办前,因为国家领导万无一失的要求,北京进行了大规模的信息系统安全性检查,我参与了很多系统的安全性测试,遇到了这么一个案例。北京某区政府门户网站上,通过搜索网站,找到了一个邮箱使用说明,该网页说明了如何使用区政府公务员邮件系统。其中有以下描述:从这一段描述中,可以获得以下信息,邮箱命名方式一般用中
4、文拼音的第一个字母,密码默认六个1,那么对于攻击者,只要在网上找找,就能找到区重要领导名字、重要部门的名称,再据此进行攻击。不过在本次测试中不需要,因为帮助说明最后给出了区重要领导的邮件地址(编写者是为了方便人员发邮件,直接告诉别人,给哪个部门发邮件发哪个邮箱等)。对这些公布的邮件进行了简单的口令测试(大纲只测了五分钟后),有重要领导的邮箱密码尚未改变,有两位领导已经改变,不过改得有些简单,123456,与没改一样。登录进行,看到了给领导发的汇报材料,请示之类的。还好我只是测试人员,不是X人员,否则以此领导的邮箱群发个X的宣传邮件,我想在当时保奥运的严格要求形势下,应该反应会比较激烈,后果很严
5、重。从铁人王进喜照片泄密案到现在的影星隐私泄露表明,很多时候,信息安全问题是在不经意间产生的。公开的信息会出卖你的,不要太不以为意,信息安全如是,生活中如是。案例背景2011年七月,处理了一起服务器入侵事件,这起事件可以说是非常普通的入侵案件,每年都会处理很多起,也没有什么技术含量,只是这起案件带来了一些对安全的思考。因为前几天写的一个案例被杨泉老师说要作为案例在讲课时候进行介绍,为了给以后的各位老师们提供素材,所以准备逐步把自己做这么多年安全中遇到过的案例逐步写出了,给各位CISP老师和其他信息安全培训讲师做参考。事件起因非常简单:管理员发现一台服务器被入侵,但是不知道如何被入侵的,正好此单
6、位信息化领导是朋友,请我去帮忙看看。简单了解了一下情况,服务器前有防火墙,只开放了80、3389端口,服务器补丁打全了。按照老习惯怀疑可能SQL注入,但是看web日志前,习惯性的先简单看了看服务器日志,发现服务器安全日志中存在多个互联网IP地址从远程终端登录的记录,甚至有在夜间的。于是问了一下管理员和开发商人员,在记录的时间段内是否进行过登录,回答均没有在那个时间登录过,初步判断可能是密码被猜出来,攻击者直接从终端服务进行了远程登录,登录到系统上进行了操作。问管理员密码情况如何,管理员说我们密码安全性应该比较好,有字母、有特殊字符,而且12位长,问之什么密码,答约:zaq12wsxZAQ! W
7、SX。大家看起来应该比较复杂,仔细看一下你的计算机键盘,其实就是最左边的一排键,从下按到上,兜一圈按下来,然后按着shift键再重按一次。自认为聪明的管理员啊,这种密码的设置方式,攻击者都知道了,不再是安全的密码了,案例非常简单,似乎没有什么参考价值,其实其中牵涉到了密码设置的问题。账号密码设置是信息安全中最基本的安全措施,尽管非常简单,但是任然有大量的安全事件与密码有关,如何设置一个好的密码,其实是一门学问。很多安全资料。都提到设置密码,提到的都是多少位长度、大写字母、小写字母、数字都有,但上面案例中管理员设置的密码似乎都符合以上要求,长度够、复杂度够。但仍然不是安全的密码。因为这种密码对于
8、纯粹穷举的暴力破解是很好的,但是对结合了社会工程学的口令破解方式,这种密码就属于安全性不足的密码了。好的密码应该包含两个特点:自己很好记、别人不好猜。案例中的管理员设置的密码符合了第一条,没有符合第二条,所谓不好猜应该指的是不好推理出来,使用电话号码、生日作为密码的就明显不符合不好推理的情况,攻击者可以通过收集目标信息从而推理出来,还有就是必须无规律,案例中的管理员就是使用了规律的密码,构成密码的字符在键盘上是顺序排列的,也就意味着有规律可循、可以推理出来,因此不是好密码。还有些管理员设置了很复杂的口令,的确无规律,不可推理,能有效的应对攻击者的口令破解,但是大多很难记忆,不符合第一条要求。由
9、于不好记忆,于是管理员会将口令保存在excel表中、存放在自己的个人电脑中,或者记在笔记本里面,这也为口令的保管带来了另外的安全威胁(这种做法的风险下次通过另外一个案例进行介绍)。但如果仅仅把密码记忆在脑中,又存在由于时间长而忘记口令的情况(我每年大约也处理23次因为口令过于复杂,忘记口令无法进入系统,最后只能破解进入系统的情况)。如何设置一个好的口令的例子:记忆一句话,例如,我的生日是10月28日,由此生成密码,取拼音的第一个字母:wdsrs10y28r,再做略微变形,如在最后加个感叹号,第一个字母大写等,最后密码为:Wdsrs10y28r!密码具有足够的安全性,并且也不容易忘记,只要你记住
10、这句话,甚至你将这句话记在笔记本上也比你直接记密码好。另外,推荐采取密码信封的方式,在系统上设置一个非常复杂的用户名和口令,无需记忆,将它写在一张纸,封在信封中,保存在安全的地方,例如保险柜中,当系统发生问题时,或者紧急情况下,由相关人员授权开启信封,获得进入系统的权限。总之:密码是信息系统的安全的根本,设置一个好的密码能解决很多安全问题,请不要轻视密码的设置,牢记好的密码两个特点,自己很好记、别人不好猜,两者缺一不可。非常的期望今后再有人找我处理被入侵的服务器,不要再是密码这种简单的原因所导致的。安全,业务并不复杂,从设置好你的密码开始。案例背景在每次给CISP们进行信息安全技术培训和意识培
11、训时,我一般都会强调一个理念,“信息展示最小化”,即给你的用户展示的信息应该是你需要向他展示的信息,除此之外的任何信息都是需要保护的。相信很多学员在培训时听了,但是并没有真正意识到信息最小化原则的意义,或者是觉得这样做太麻烦。如果对此不能理解,请参见以下的真实案例。2008年奥运会前,我实施了北京的很多政府网站渗透测试,在其中一个政府门户网站测试中,渗透进入了网站中。采取的方法和利用都很简单,利用了系统开放日志和一个脚本开发的问题。北京市各政府门户网站,都属于首都之窗政府网站群的一部分,但是这些网站,有些是集中托管在首信机房中,也有的是自己管理。出于安全的考虑,首都之窗网站群集中由首信公司进行
12、安全保障,其中有一项保障机制就是各门户网站应开放自己的网站访问日志给首信公司进行集中采集,集中分析。我进行渗透测试的网站也不例外,由于网站是构建在IIS上的,因此管理人员采取了将日志存放目录设置为网站的目录,可以从web访问(此方式可能为首信的统一要求),首信通过定制开发的程序,每天从互联网上通过web下载将日志下载到日志服务器上进行保存。发现此问题问题后,我安排了一名测试人员将日志下载下来,让他通过日志访问记录,尝试还原出网站的目录和文件结构基本情况。在还原的过程中,测试人员看到了以下的日志记录:从以上记录中,可以看出网站上存在一个/admin/yhglqwe.asp的脚本文件,因为访问记录上的返回值200,表示访问成功。随后测试人员尝试直接通过http:/
