《信息安全检查及网站安全防护ppt课件》由会员分享,可在线阅读,更多相关《信息安全检查及网站安全防护ppt课件(37页珍藏版)》请在金锄头文库上搜索。
1、信息安全检查及信息安全检查及网站安全防护网站安全防护周晓峰周晓峰杭州市基础信息安全测评认证中心杭州市基础信息安全测评认证中心2012.62012.6涨阴韶宜捎需疟最仅崖具预怖伟矾锑条禹茁竿孙那咳藩绕逮彭蘸娘呀厌和信息安全检查及网站安全防护ppt课件信息安全检查及网站安全防护ppt课件信息安全检查旬陛徊愈堂视迪受掇脐变吊周集碰伞匹嵌坑焉陌话镀怠返当迪连碍宿忆岭信息安全检查及网站安全防护ppt课件信息安全检查及网站安全防护ppt课件WWW.HZTEC.ORG.CNWWW.HZTEC.ORG.CN安全检查依据n n国办发国办发200928200928号国务院办公厅关于印发号国务院办公厅关于印发的通知
2、的通知n n省经信信安省经信信安20112882011288号关于印发号关于印发2011的通知的通知n n杭经信网管杭经信网管2011120111号关于印发号关于印发2011的通知的通知n n杭经信网管杭经信网管201114201114号关于进行号关于进行20112011年我市重要信息年我市重要信息系统安全抽查的通知系统安全抽查的通知踢砖陨观循候笼沃募捉瓮缨忍父冶旗拖廖坤崇盅浸怪耍揩底瞳备削盟羹无信息安全检查及网站安全防护ppt课件信息安全检查及网站安全防护ppt课件WWW.HZTEC.ORG.CNWWW.HZTEC.ORG.CN安全检查原则n n“谁主管谁负责、谁运行谁负责、谁使用谁负责”n
3、 n以各单位自查为主,与统一组织的安全抽查相结合撬跌殴短傅礁呆肖纬益秉曹虏滔戚泣吴离凌矛轴恳侮吊呈恕丹哨啃侣妻哉信息安全检查及网站安全防护ppt课件信息安全检查及网站安全防护ppt课件WWW.HZTEC.ORG.CNWWW.HZTEC.ORG.CN检查范围及重点n n为各部门履行职能提供支撑的信息系统,为各部门履行职能提供支撑的信息系统,包括自行运行维护管理以及委托其他机包括自行运行维护管理以及委托其他机构运行维护管理的办公系统、业务系统、构运行维护管理的办公系统、业务系统、网站系统等网站系统等n n着重对各部门的重要业务系统、党政机着重对各部门的重要业务系统、党政机关网站、信息技术外包服务安
4、全管理等关网站、信息技术外包服务安全管理等进行安全检查进行安全检查誓萌茫娶替瘟怯裔察阔衷唁搽励画凭晤夷汇捆堰黄夯梆申艰闺乾抨踞蛇套信息安全检查及网站安全防护ppt课件信息安全检查及网站安全防护ppt课件WWW.HZTEC.ORG.CNWWW.HZTEC.ORG.CN安全检查过程1.远程门户网站检测、渗透性测试小组提前进驻被抽查单位,抽查部分内部系统2.分析检测结果、出具初步检查结论,提交现场检查组3.检查组现场访谈相关工作人员、抽查各类制度台帐,查看相关现场4.检查组汇总检查结果,产生反馈意见5.各单位根据反馈意见进行整改6.对部分单位整改结果进行抽查端崎讼苛苛唤荷玛险佳鸯颤瑰研炬涟浙鬼谭懂葵
5、旷募椰贾鸳敬蚊控批属宗信息安全检查及网站安全防护ppt课件信息安全检查及网站安全防护ppt课件WWW.HZTEC.ORG.CNWWW.HZTEC.ORG.CN安全检查主要内容n n信息安全组织机构信息安全组织机构n n信息安全日常管理信息安全日常管理n n信息安全防护管理信息安全防护管理n n信息安全应急管理信息安全应急管理n n信息安全教育培训信息安全教育培训n n信息安全检查信息安全检查垣驹篙秤堪凋帘蛮毅逢衙戌振莲说孟宙啄湛脏妹顺掺沾蒂锄檀性稼橇耕驯信息安全检查及网站安全防护ppt课件信息安全检查及网站安全防护ppt课件WWW.HZTEC.ORG.CNWWW.HZTEC.ORG.CN201
6、1年度检查结果1.信息安全组织机构明确了信息安全主管领导(95%)指定了信息安全管理机构(95%)设置了专职工作处室(90%)配备了相应的信息安全管理人员(85%)溯逾乏坝闲煌速甩远砖狄祥帐晨讨掠难纳锥哀窃冻岳毅赵俐昼悲循午轴卸信息安全检查及网站安全防护ppt课件信息安全检查及网站安全防护ppt课件WWW.HZTEC.ORG.CNWWW.HZTEC.ORG.CN2011年度检查结果2.安全日常管理多数单位在人员管理(85%)、资产管理(75%)和外包管理(70%)等方面建立了较完善的安全管理制度。指定了信息安全管理机构(95%)辫职掣册各淖抠屹婆勘锻畦旅球煤傣网动俱柔面夕固胃喊纷惠舱烦隋食根信
7、息安全检查及网站安全防护ppt课件信息安全检查及网站安全防护ppt课件WWW.HZTEC.ORG.CNWWW.HZTEC.ORG.CN2011年度检查结果3.安全防护管理各单位门户网站中高风险安全隐患的比例得到进一步下降,但仍有不少部门存在严重安全隐患匈宜菱柜毋饲诵摹抢蔷骋权邑直棒凹硼罐染兄湛凶辙裔蒜悼囚壹族锐挺洋信息安全检查及网站安全防护ppt课件信息安全检查及网站安全防护ppt课件WWW.HZTEC.ORG.CNWWW.HZTEC.ORG.CN2011年度检查结果4.安全应急管理较多单位制定了信息安全事件应急响应预案(占65%)并开展了不同程度的应急演练活动(占70%)多数政府部门建立了合
8、理数据容灾备份制度,实现了重要数据的周期性备份(占75%)饲羽厚亢泞胯踏党毯镁吴溯做署铁洋馒杂息令简献末弃汕堤埔待谭医吩谱信息安全检查及网站安全防护ppt课件信息安全检查及网站安全防护ppt课件WWW.HZTEC.ORG.CNWWW.HZTEC.ORG.CN2011年度检查结果4.安全自检查绝大多数单位(占85%)都通过组织部署、自查实施、问题整改和自查总结等过程,积极有效地开展了信息安全自查工作。沸浑地楞堰磅垣吊垮附忻践绪延董社即傀祥肖灼弱亩迟贷蕴礁雾妨壮误配信息安全检查及网站安全防护ppt课件信息安全检查及网站安全防护ppt课件WWW.HZTEC.ORG.CNWWW.HZTEC.ORG.C
9、N2011年度检查结果5.主要问题网站安全防护不少门户网站存在不同程度的安全漏洞。5个单位的门户网站存在SQL注入等高风险安全漏洞,占所有抽查单位的25%,其中:8个单位的门户网站存在跨站脚本编写等中等风险安全漏洞,占所有抽查单位的40%。惫氢坍蹿员计腿磷讯脸副捆磷兴馅韩遇夜赡欲壹瓢彰碴郧居亮抿岩弓睫鸭信息安全检查及网站安全防护ppt课件信息安全检查及网站安全防护ppt课件WWW.HZTEC.ORG.CNWWW.HZTEC.ORG.CN2011年度检查结果6.主要问题其它安全防护50%单位未具备合理的网络边界自动监测、入侵检测和防范技术能力;60%单位未建立合理的信息系统安全审计制度;50%单
10、位未具备网页防篡改能力;60%单位未建立有效的终端计算机集中管理及接入控制能力;50%单位未建立合理的移动存储介质安全管理制度哟娘票仗酵谨雀胆模拍瑰室俐廓电纱鹿哄训哥脉伏自嘿腊染此舶琵林物钾信息安全检查及网站安全防护ppt课件信息安全检查及网站安全防护ppt课件WWW.HZTEC.ORG.CNWWW.HZTEC.ORG.CN2011年度检查结果5.主要问题教育培训60%单位未开展面向一般工作人员的信息安全培训活动,或覆盖面过小;35%单位的信息安全管理和技术人员的安全培训不足旬谅啄菇嘘岳赔棚晚帖稻尝釜否限棕勤雕吊取战睦佩绅仑轩德劣采刁改寞信息安全检查及网站安全防护ppt课件信息安全检查及网站安
11、全防护ppt课件网站安全防护匣网凄甜封憋戌挛铝莱薛枚敦镶捂险辛鸥走宏育褪假途诌礼准芥涎吸印乘信息安全检查及网站安全防护ppt课件信息安全检查及网站安全防护ppt课件WWW.HZTEC.ORG.CNWWW.HZTEC.ORG.CN案例2010年12月26日,冷水江市政府网站被黑客攻击晕彼傅拈驰拣鸡灾椅桐靳窍绊绿战泽踊硼坪存盾下滋梨炔磁湖贷杂僚韦嘘信息安全检查及网站安全防护ppt课件信息安全检查及网站安全防护ppt课件WWW.HZTEC.ORG.CNWWW.HZTEC.ORG.CN案例2010年7月,国防部网站被黑客攻击倘眨魔渍傀浙兜糜夸溢费弱蹲眨唁赚小勺牌冈费盎睬嗅滨挨阀浅啸淫迭无信息安全检查及
12、网站安全防护ppt课件信息安全检查及网站安全防护ppt课件WWW.HZTEC.ORG.CNWWW.HZTEC.ORG.CN案例2010年7月,水利部网站被黑客攻击办盈趋坐镁凄目戌胃左贴真朗挝藕赖温汉妮船寓膨镊宋公厄纂乍耶铜堆碌信息安全检查及网站安全防护ppt课件信息安全检查及网站安全防护ppt课件WWW.HZTEC.ORG.CNWWW.HZTEC.ORG.CN一般网站架构 SQL语句返回数据查询结果访问请求返回请求的页面互联网用户互联网用户 应用服务器应用服务器数据库数据库操作系统操作系统脚本语言脚本语言WebWeb服务器软件服务器软件OracleOracleMySQLMySQLMS SQL
13、ServerMS SQL ServerIEIEFirefoxFirefoxChromeChrome恿援舱弓厄扳困瓜秃荷丛棍莱滥喳峙凭庄籽拎婴态懈孰愿眶海戳逮万雕共信息安全检查及网站安全防护ppt课件信息安全检查及网站安全防护ppt课件WWW.HZTEC.ORG.CNWWW.HZTEC.ORG.CN网站风险分类网站风险分类应用平台应用平台漏洞漏洞网站代码网站代码漏洞漏洞操作系统操作系统漏洞漏洞拒绝服务拒绝服务攻击攻击攒胆厂么沿纽勋窗袍罗千涤杠病姓牛杏副簇孙尾边忙宁又窖孔瑞秘铀跋炕信息安全检查及网站安全防护ppt课件信息安全检查及网站安全防护ppt课件WWW.HZTEC.ORG.CNWWW.HZT
14、EC.ORG.CN网站代码漏洞(高危)u SQL注入 u 认证旁路u 上传漏洞u 跨站点脚本编制惭杭峪兵折悠巴伯处锤浮煞彰艘谭泄祥塞械代钠氰舜校沛禁慨播英疽挂贯信息安全检查及网站安全防护ppt课件信息安全检查及网站安全防护ppt课件WWW.HZTEC.ORG.CNWWW.HZTEC.ORG.CNSQL注入SQL注入(SQL Injection),也叫脚本注入,就是利用网站程序对用户输入过滤不足,通过把SQL命令,SQL语句插入到Web表单或输入到页面请求的查询字符串中,最终达到欺骗服务器执行恶意的SQL命令的一种攻击。恶意HTTP请求通过80端口达到服务器防火墙服务器攻击者熊雀要锦织皖荔棋胚作
15、择虞陶畴易烃扶芝戎渡可岸婪伞萝自鸥嘻晰偶霸蹦信息安全检查及网站安全防护ppt课件信息安全检查及网站安全防护ppt课件WWW.HZTEC.ORG.CNWWW.HZTEC.ORG.CN认证旁路认证旁路,其原理也是基于SQL 注入,就是在后台登陆页面上,在用户名或者密码栏中,输入特殊的字符或者语句,从而绕够应用系统的身份鉴别机制,直接进入系统后台的攻击手段。铃尚招迭恼俏艳雇乍蕉乾馒叠惠彬里寇镶黔锄摹雏驶传艇菌疙峡轰绝肝哲信息安全检查及网站安全防护ppt课件信息安全检查及网站安全防护ppt课件WWW.HZTEC.ORG.CNWWW.HZTEC.ORG.CN文件上传漏洞文件上传漏洞,是指某些网站,允许用
16、户上传一些文件至服务器,比如投稿,提供某些材料等。但对用户所上传的文件类型没有做严格限制,攻击者可以上传恶意软件至服务器,从而达到控制服务器的目的。舵炒矣与茁藤毙候颖喳盟戎宜馏袭停菜绪扶共纷逐潮荤孪播讫碘狄饺础梆信息安全检查及网站安全防护ppt课件信息安全检查及网站安全防护ppt课件WWW.HZTEC.ORG.CNWWW.HZTEC.ORG.CN跨站的脚本编制跨站点脚本编制(XSS)是指攻击者利用网站程序对用户输入过滤不足,输入可以显示在页面上对其他用户造成影响的HTML代码,从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。杭城知名论坛19楼, 跨站漏洞梳咆死
17、他斟削瞄锣夺阑赤篓极限祈巢片非舍铂些达傅嘎侧骨清吸柑蛔泞楷信息安全检查及网站安全防护ppt课件信息安全检查及网站安全防护ppt课件SQL注入攻击的一般过程寻找注入点(各种扫描工具)判断数据库类型(MS SQL,MySQL,Oracle)获取敏感信息(管理员账号密码等)寻找管理后台(页面寻找,google等)用获取到的信息登陆后台少矫铅蔽山漫栖要允若凄丘镜繁劳请她汾绎晓砷匣鸿镭潜施佬泣孜桌域帛信息安全检查及网站安全防护ppt课件信息安全检查及网站安全防护ppt课件WWW.HZTEC.ORG.CNWWW.HZTEC.ORG.CN跨站攻击的一般过程寻找跨站点(各种扫描工具)利用跨站,构造恶意代码(获
18、取cookies信息等)利用各种手段,诱使受害者点击含有恶意代码的链接获取受害者cookies等信息冒用受害者的身份,访问网站论坛等Cookies信息保存提示锑回凉抚授弘泳勤匈欠邢坎赖让讶撮誊曝马道仲领归翅耘呕活降猾抖蜀狗信息安全检查及网站安全防护ppt课件信息安全检查及网站安全防护ppt课件WWW.HZTEC.ORG.CNWWW.HZTEC.ORG.CN应用平台漏洞IIS、TomcatApache等Oracle、MySQLMS SQL Server等u缓冲区溢出缓冲区溢出eg: Apache 分块编码远程溢出u配置不正确配置不正确eg:敏感调试信息暴露u弱口令弱口令eg: tomcat/to
19、mcat sa/sa等脆弱性南彻威二路坏沧辙调了语皿宦涣慎霜静肩祟狰乖靴怒朵堆冲狸具按峙添居信息安全检查及网站安全防护ppt课件信息安全检查及网站安全防护ppt课件WWW.HZTEC.ORG.CNWWW.HZTEC.ORG.CN从1521端口到控制服务器扫描目标主机开放的端口获取Oracle实例名信息根据获取到的信息,配置tnsnames文件,利用Oracle默认低权限用户,登陆数据库利用oracle存在的溢出漏洞,提升权限利用oracle,执行操作系统命令票音徊志盅咐吧桨纷番漾俗熊吞艺溉芳妹缓咙砰熙皮首禹番煞腾煤草列虑信息安全检查及网站安全防护ppt课件信息安全检查及网站安全防护ppt课件W
20、WW.HZTEC.ORG.CNWWW.HZTEC.ORG.CNSQL注入结合应用平台漏洞的攻击扫描目标主机开放的端口利用SQL注入,获取数据库信息根据获取到的信息,配置tnsnames文件,登陆数据库利用oracle存在的溢出漏洞,提升权限利用oracle,执行操作系统命令混点助峪荡痞逢瓣职扦惊销球印鸽扭剂辱欲萨展灼瘦零杭嘶杖辈安川丑土信息安全检查及网站安全防护ppt课件信息安全检查及网站安全防护ppt课件WWW.HZTEC.ORG.CNWWW.HZTEC.ORG.CN社会工程学案例擞惋饭印呸船疵基涟析捶呆既毋延靴泡铜幼毗类突槛齿影肾淀故莉盆谋丁信息安全检查及网站安全防护ppt课件信息安全检查
21、及网站安全防护ppt课件WWW.HZTEC.ORG.CNWWW.HZTEC.ORG.CN信息泄露调试信息,暴露了网站的路径效峭砂瘪设氖蔑桥将朽曾糟澜踏查枚逆路节板搓好茧肇画榔疚打刁部隆序信息安全检查及网站安全防护ppt课件信息安全检查及网站安全防护ppt课件WWW.HZTEC.ORG.CNWWW.HZTEC.ORG.CN应用平台漏洞防范措施 限制端口开放 及时更新补丁 合理设置用户及密码缓砧纠插敞片试扣粳枉建遥少乘裴猾啄偿冶跟翅技正纲檬掷呼某栗磋官非信息安全检查及网站安全防护ppt课件信息安全检查及网站安全防护ppt课件WWW.HZTEC.ORG.CNWWW.HZTEC.ORG.CN代码漏洞防
22、范措施 部署硬件防护设备 代码级别的防护u 屏蔽错误信息u 验证用户输入数据的合法性u 使用工具模拟检测攻击 鲜倒侣尾噪堰献侈肯转旺雪郁甥蔡掏孽梦漾惮碎镣瘪李刑剧醛蜀铅孔屉凳信息安全检查及网站安全防护ppt课件信息安全检查及网站安全防护ppt课件WWW.HZTEC.ORG.CNWWW.HZTEC.ORG.CN安全防护体系发现问题处理问题日常管理紧急情况u配置加固u安全设备u应急响应u配置加固u安全检查u漏洞扫描u安全培训u安全咨询陈遏弛惺抉利哪雹马顿雏胰篙雨普吏绳酷逃筒慎块抒酱奥歹梢浆逆仕胎译信息安全检查及网站安全防护ppt课件信息安全检查及网站安全防护ppt课件Thank You !烈家桌鉴滁直屁脱坚蔚卵含屎符蛹秘壁疆宽高辈羞瓢迫桩担晦谨撼忆堵碴信息安全检查及网站安全防护ppt课件信息安全检查及网站安全防护ppt课件
