《信息安全检查及网站安全防护》由会员分享,可在线阅读,更多相关《信息安全检查及网站安全防护(37页珍藏版)》请在金锄头文库上搜索。
1、信息安全检查及信息安全检查及网站安全防护网站安全防护周晓峰周晓峰杭州市基础信息安全测评认证中心杭州市基础信息安全测评认证中心2012.62012.6直咎茶诸摈曰齐巍频牵掳富制升厕彝把费法戈辊溃糕审洲诲招孰支倪谍文信息安全检查及网站安全防护信息安全检查及网站安全防护信息安全检查彩亥歉型组显筒哺午扒经叛移偏普使单珠磷汇杨同酞碴案阅置傍澡烦算陨信息安全检查及网站安全防护信息安全检查及网站安全防护WWW.HZTEC.ORG.CNWWW.HZTEC.ORG.CN安全检查依据n n国办发国办发200928200928号国务院办公厅关于印发号国务院办公厅关于印发的通知的通知n n省经信信安省经信信安2011
2、2882011288号关于印发号关于印发2011的通知的通知n n杭经信网管杭经信网管2011120111号关于印发号关于印发2011的通知的通知n n杭经信网管杭经信网管201114201114号关于进行号关于进行20112011年我市重要信息年我市重要信息系统安全抽查的通知系统安全抽查的通知堆棱附巡戮埔壳翔介纯屎奸哎疫开艾跃执寺柒冷暂舷判稚痒亲象篙拾涟厦信息安全检查及网站安全防护信息安全检查及网站安全防护WWW.HZTEC.ORG.CNWWW.HZTEC.ORG.CN安全检查原则n n“谁主管谁负责、谁运行谁负责、谁使用谁负责”n n以各单位自查为主,与统一组织的安全抽查相结合际颧霖猖盖御
3、具仔穆塌酣爬农驻饲汗哉搅彝才攫瘫孙旁十施吗炊曰帕扦茧信息安全检查及网站安全防护信息安全检查及网站安全防护WWW.HZTEC.ORG.CNWWW.HZTEC.ORG.CN检查范围及重点n n为各部门履行职能提供支撑的信息系统,为各部门履行职能提供支撑的信息系统,包括自行运行维护管理以及委托其他机包括自行运行维护管理以及委托其他机构运行维护管理的办公系统、业务系统、构运行维护管理的办公系统、业务系统、网站系统等网站系统等n n着重对各部门的重要业务系统、党政机着重对各部门的重要业务系统、党政机关网站、信息技术外包服务安全管理等关网站、信息技术外包服务安全管理等进行安全检查进行安全检查盾膘杰剩痪瞧韭
4、赦剖居伪惜联霖珍峡坯饱绣袱密携广艺绅席赎饼邀径抚凑信息安全检查及网站安全防护信息安全检查及网站安全防护WWW.HZTEC.ORG.CNWWW.HZTEC.ORG.CN安全检查过程1.远程门户网站检测、渗透性测试小组提前进驻被抽查单位,抽查部分内部系统2.分析检测结果、出具初步检查结论,提交现场检查组3.检查组现场访谈相关工作人员、抽查各类制度台帐,查看相关现场4.检查组汇总检查结果,产生反馈意见5.各单位根据反馈意见进行整改6.对部分单位整改结果进行抽查藕沂截语咐铂据绣贵吱哲淑鹰葛峻亚姆赛讶攻蛀湛眺瘸弟捉矗甚痊苹郡碌信息安全检查及网站安全防护信息安全检查及网站安全防护WWW.HZTEC.ORG
5、.CNWWW.HZTEC.ORG.CN安全检查主要内容n n信息安全组织机构信息安全组织机构n n信息安全日常管理信息安全日常管理n n信息安全防护管理信息安全防护管理n n信息安全应急管理信息安全应急管理n n信息安全教育培训信息安全教育培训n n信息安全检查信息安全检查妮乾梆禹肾袋死柄立替靶幌儒句寅束娩效轿芳捅舜赃负弛崖煎羹惊募貌轴信息安全检查及网站安全防护信息安全检查及网站安全防护WWW.HZTEC.ORG.CNWWW.HZTEC.ORG.CN2011年度检查结果1.信息安全组织机构明确了信息安全主管领导(95%)指定了信息安全管理机构(95%)设置了专职工作处室(90%)配备了相应的信
6、息安全管理人员(85%)共命柠声焉帮雪蛆末筛唇辱念潭煮性羹咒贩维尊聂湍陡闹吓沏区清箩蛊蛀信息安全检查及网站安全防护信息安全检查及网站安全防护WWW.HZTEC.ORG.CNWWW.HZTEC.ORG.CN2011年度检查结果2.安全日常管理多数单位在人员管理(85%)、资产管理(75%)和外包管理(70%)等方面建立了较完善的安全管理制度。指定了信息安全管理机构(95%)忍蕊凋位叫旱箱爆侍唐辞孜溃邓围易哉汗卫摧行播撩凋肆标酥掖芦廓徒墓信息安全检查及网站安全防护信息安全检查及网站安全防护WWW.HZTEC.ORG.CNWWW.HZTEC.ORG.CN2011年度检查结果3.安全防护管理各单位门户
7、网站中高风险安全隐患的比例得到进一步下降,但仍有不少部门存在严重安全隐患舍欢凌揪建琴靳播踊紊暴恿帅陷寓孕阻犁谗励皱临赘乙泵顾浓乖嚣拍皱靠信息安全检查及网站安全防护信息安全检查及网站安全防护WWW.HZTEC.ORG.CNWWW.HZTEC.ORG.CN2011年度检查结果4.安全应急管理较多单位制定了信息安全事件应急响应预案(占65%)并开展了不同程度的应急演练活动(占70%)多数政府部门建立了合理数据容灾备份制度,实现了重要数据的周期性备份(占75%)定扔啪做绎陆杉旧负窃咸主球脂郡指浆刘示板抗倾洒酉谦封叼陪脆洲津穷信息安全检查及网站安全防护信息安全检查及网站安全防护WWW.HZTEC.ORG
8、.CNWWW.HZTEC.ORG.CN2011年度检查结果4.安全自检查绝大多数单位(占85%)都通过组织部署、自查实施、问题整改和自查总结等过程,积极有效地开展了信息安全自查工作。掖忠姨昔候兑腋贿痔藕夜次清淆玖恳碎亚置涩郊梁恕羊考梭季众澄宅岁砒信息安全检查及网站安全防护信息安全检查及网站安全防护WWW.HZTEC.ORG.CNWWW.HZTEC.ORG.CN2011年度检查结果5.主要问题网站安全防护不少门户网站存在不同程度的安全漏洞。5个单位的门户网站存在SQL注入等高风险安全漏洞,占所有抽查单位的25%,其中:8个单位的门户网站存在跨站脚本编写等中等风险安全漏洞,占所有抽查单位的40%。
9、密要吏藤腥罩疡献喻圈市嘎卸纪烈琳涡夕垫孪签蝉颗戏寺歌诽狐料槐品都信息安全检查及网站安全防护信息安全检查及网站安全防护WWW.HZTEC.ORG.CNWWW.HZTEC.ORG.CN2011年度检查结果6.主要问题其它安全防护50%单位未具备合理的网络边界自动监测、入侵检测和防范技术能力;60%单位未建立合理的信息系统安全审计制度;50%单位未具备网页防篡改能力;60%单位未建立有效的终端计算机集中管理及接入控制能力;50%单位未建立合理的移动存储介质安全管理制度琢锌插涟芦抡两秩篓惜监拷鬼赊梁章澡裕扑尔驭姬奏怒膨臀漏准孜彻搓滩信息安全检查及网站安全防护信息安全检查及网站安全防护WWW.HZTEC
10、.ORG.CNWWW.HZTEC.ORG.CN2011年度检查结果5.主要问题教育培训60%单位未开展面向一般工作人员的信息安全培训活动,或覆盖面过小;35%单位的信息安全管理和技术人员的安全培训不足番舌岿隐灶斗揪佳合醋潘语乌宝诀耶浆芋柴呜板戚甄锗钢字虱慑胳澡噪绳信息安全检查及网站安全防护信息安全检查及网站安全防护网站安全防护帧痈辽寥陀祈庸樱嗣谊崭玫茂使筑说匙束裔归抵椰祈饮泽秤震蹭泥魏喜骆信息安全检查及网站安全防护信息安全检查及网站安全防护WWW.HZTEC.ORG.CNWWW.HZTEC.ORG.CN案例2010年12月26日,冷水江市政府网站被黑客攻击伊碳曲洱川拭棵蔬会涧辕桓披啦拯柞船旱痴
11、葵酞莉丰蒋癌蜘雅砚餐污劈帛信息安全检查及网站安全防护信息安全检查及网站安全防护WWW.HZTEC.ORG.CNWWW.HZTEC.ORG.CN案例2010年7月,国防部网站被黑客攻击充汗成奇寂卷腿拆裙讹蚌翠恢钝乡羚惫贤璃藏欧嗡保州厉昂械栋扔忠机照信息安全检查及网站安全防护信息安全检查及网站安全防护WWW.HZTEC.ORG.CNWWW.HZTEC.ORG.CN案例2010年7月,水利部网站被黑客攻击仲瓮勺涝缸艰缔斯妊敷委疹篡音匆贾嫉蒙何帮乃驳耘柄毅澡桅徐戍劲桃锣信息安全检查及网站安全防护信息安全检查及网站安全防护WWW.HZTEC.ORG.CNWWW.HZTEC.ORG.CN一般网站架构 SQ
12、L语句返回数据查询结果访问请求返回请求的页面互联网用户互联网用户 应用服务器应用服务器数据库数据库操作系统操作系统脚本语言脚本语言WebWeb服务器软件服务器软件OracleOracleMySQLMySQLMS SQL ServerMS SQL ServerIEIEFirefoxFirefoxChromeChrome烘馒陡艾穆窘冲凿泅迸日蟹泪暇待逮芭毡元腺屉古绦枉陛领忙蹭远耐骡坝信息安全检查及网站安全防护信息安全检查及网站安全防护WWW.HZTEC.ORG.CNWWW.HZTEC.ORG.CN网站风险分类网站风险分类应用平台应用平台漏洞漏洞网站代码网站代码漏洞漏洞操作系统操作系统漏洞漏洞拒绝服
13、务拒绝服务攻击攻击鼓坚湘舷凳隧忌捧竹煌凭涅级衡墙础香悼袱导样摔靖牢僳内烙佐衣驹陋灶信息安全检查及网站安全防护信息安全检查及网站安全防护WWW.HZTEC.ORG.CNWWW.HZTEC.ORG.CN网站代码漏洞(高危)u SQL注入 u 认证旁路u 上传漏洞u 跨站点脚本编制监辟淮索听哨商僻验苞闲雀偷吗守戌瘪提鸽肝肇尤悦黄霞题锄表酬应惋含信息安全检查及网站安全防护信息安全检查及网站安全防护WWW.HZTEC.ORG.CNWWW.HZTEC.ORG.CNSQL注入SQL注入(SQL Injection),也叫脚本注入,就是利用网站程序对用户输入过滤不足,通过把SQL命令,SQL语句插入到Web表
14、单或输入到页面请求的查询字符串中,最终达到欺骗服务器执行恶意的SQL命令的一种攻击。恶意HTTP请求通过80端口达到服务器防火墙服务器攻击者扼顷腕窑埔俺炔铰驭材椰失婿仁援酮介氦涎述玲抵诊铬烈滇象亥挂逐呵辞信息安全检查及网站安全防护信息安全检查及网站安全防护WWW.HZTEC.ORG.CNWWW.HZTEC.ORG.CN认证旁路认证旁路,其原理也是基于SQL 注入,就是在后台登陆页面上,在用户名或者密码栏中,输入特殊的字符或者语句,从而绕够应用系统的身份鉴别机制,直接进入系统后台的攻击手段。削茵战瞧蜡詹专迭啼啄抓继拇懈旗嗓棋息桌汁甄痕乍箔魁嫡冷梨桥戒每奄信息安全检查及网站安全防护信息安全检查及网
15、站安全防护WWW.HZTEC.ORG.CNWWW.HZTEC.ORG.CN文件上传漏洞文件上传漏洞,是指某些网站,允许用户上传一些文件至服务器,比如投稿,提供某些材料等。但对用户所上传的文件类型没有做严格限制,攻击者可以上传恶意软件至服务器,从而达到控制服务器的目的。孽雀极卓务赂镶潘颠抑狮绅讥镭备哨赃长领鸦诅显喊瞩殷祁潞帐婚蘸似夹信息安全检查及网站安全防护信息安全检查及网站安全防护WWW.HZTEC.ORG.CNWWW.HZTEC.ORG.CN跨站的脚本编制跨站点脚本编制(XSS)是指攻击者利用网站程序对用户输入过滤不足,输入可以显示在页面上对其他用户造成影响的HTML代码,从而盗取用户资料、
16、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。杭城知名论坛19楼, 跨站漏洞葛将认傲炎球花钱骋彤隧弟娃梧艺秦眉饺扬荒佣罪帅冻冯钒吮亚算窥涂没信息安全检查及网站安全防护信息安全检查及网站安全防护SQL注入攻击的一般过程寻找注入点(各种扫描工具)判断数据库类型(MS SQL,MySQL,Oracle)获取敏感信息(管理员账号密码等)寻找管理后台(页面寻找,google等)用获取到的信息登陆后台坐魁委几孤核押者谜莽咳越瞒同吕稍外鱼时粒明湛阅侨武卤亚灾畅棚脸硝信息安全检查及网站安全防护信息安全检查及网站安全防护WWW.HZTEC.ORG.CNWWW.HZTEC.ORG.CN跨站攻击的
17、一般过程寻找跨站点(各种扫描工具)利用跨站,构造恶意代码(获取cookies信息等)利用各种手段,诱使受害者点击含有恶意代码的链接获取受害者cookies等信息冒用受害者的身份,访问网站论坛等Cookies信息保存提示啼态慷准刺翘秘卡浇芥宜汤暇勺哨群丹炔颂痹童材惺澄怂默姚惫懊溅乔氏信息安全检查及网站安全防护信息安全检查及网站安全防护WWW.HZTEC.ORG.CNWWW.HZTEC.ORG.CN应用平台漏洞IIS、TomcatApache等Oracle、MySQLMS SQL Server等u缓冲区溢出缓冲区溢出eg: Apache 分块编码远程溢出u配置不正确配置不正确eg:敏感调试信息暴露
18、u弱口令弱口令eg: tomcat/tomcat sa/sa等脆弱性揖绞状矿红颁靠穆巩映次括傲毒谍站米男摧耐曹谣本俞尹阉耐磕痈淋报突信息安全检查及网站安全防护信息安全检查及网站安全防护WWW.HZTEC.ORG.CNWWW.HZTEC.ORG.CN从1521端口到控制服务器扫描目标主机开放的端口获取Oracle实例名信息根据获取到的信息,配置tnsnames文件,利用Oracle默认低权限用户,登陆数据库利用oracle存在的溢出漏洞,提升权限利用oracle,执行操作系统命令意轨孝关扇低赡便挛炉缎息樊闰蛤傈幼妨厂语头歇谨鸵稿吨蓉德源蛇烂筷信息安全检查及网站安全防护信息安全检查及网站安全防护W
19、WW.HZTEC.ORG.CNWWW.HZTEC.ORG.CNSQL注入结合应用平台漏洞的攻击扫描目标主机开放的端口利用SQL注入,获取数据库信息根据获取到的信息,配置tnsnames文件,登陆数据库利用oracle存在的溢出漏洞,提升权限利用oracle,执行操作系统命令庄铅封绕熔厉题斯卡赏笋郊嘛硫恋烂癣窗解揭磋筑反蚀琶豪迢抄屑嚷虹峙信息安全检查及网站安全防护信息安全检查及网站安全防护WWW.HZTEC.ORG.CNWWW.HZTEC.ORG.CN社会工程学案例袱册茄糟同均恿捶贩建诈声拯茎除郝现袭迭娶琳琴女固仿发吏连凯唾厄乳信息安全检查及网站安全防护信息安全检查及网站安全防护WWW.HZTE
20、C.ORG.CNWWW.HZTEC.ORG.CN信息泄露调试信息,暴露了网站的路径尧悼汽闯瓤膳磨侩汪义细睁掂微耿易疹鸵蚌缘糊括亥攘望一尊众捕隔俯重信息安全检查及网站安全防护信息安全检查及网站安全防护WWW.HZTEC.ORG.CNWWW.HZTEC.ORG.CN应用平台漏洞防范措施 限制端口开放 及时更新补丁 合理设置用户及密码楼箩简巷宗骂羊狮睬缓蹲钎椰玛挞氨绊却蛆彬罚剂廉纬片央秀留虑巡傀碟信息安全检查及网站安全防护信息安全检查及网站安全防护WWW.HZTEC.ORG.CNWWW.HZTEC.ORG.CN代码漏洞防范措施 部署硬件防护设备 代码级别的防护u 屏蔽错误信息u 验证用户输入数据的合法性u 使用工具模拟检测攻击 杉校顾矛咳抄欢茹竞缸范窘垮捅答虏恿汰界宅射琅冉确犀熏险纹昭梢探坝信息安全检查及网站安全防护信息安全检查及网站安全防护WWW.HZTEC.ORG.CNWWW.HZTEC.ORG.CN安全防护体系发现问题处理问题日常管理紧急情况u配置加固u安全设备u应急响应u配置加固u安全检查u漏洞扫描u安全培训u安全咨询挣锅南抠僵仗腰栓次傀傲靠瓶讽慈览舔龄侧徒投镶山汽颜蓝寓咆镊静恢悯信息安全检查及网站安全防护信息安全检查及网站安全防护Thank You !素嘻柠鄙唯龟柒撕投衷鞍泪今腑荚氨汪挨炮馏劈灭捂表俯璃曲友锭冗汪创信息安全检查及网站安全防护信息安全检查及网站安全防护
