《信息安全检查及网站安全防护ppt课件.ppt》由会员分享,可在线阅读,更多相关《信息安全检查及网站安全防护ppt课件.ppt(37页珍藏版)》请在三一文库上搜索。
1、信息安全检查及信息安全检查及 网站安全防护网站安全防护 周晓峰 杭州市基础信息安全测评认证中心 2012.6 信息安全检查信息安全检查 WWW.HZTEC.ORG.CNWWW.HZTEC.ORG.CN 安全检查依据安全检查依据 n n 国办发国办发200928200928号国务院办公厅关于印发号国务院办公厅关于印发的通知的通知 n n 省经信信安省经信信安20112882011288号关于号关于印发印发的通知的通知 n n 杭经信网管杭经信网管2011120111号关于号关于印发印发的通知的通知 n n 杭杭经信网管经信网管201114201114号关于号关于进行进行20112011年年我市重
2、要信我市重要信 息系统息系统安全安全抽查抽查的通知的通知 WWW.HZTEC.ORG.CNWWW.HZTEC.ORG.CN 安全检查原则安全检查原则 n n “ “谁主管谁负责、谁运行谁负责、谁谁主管谁负责、谁运行谁负责、谁 使用谁负责使用谁负责” ” n n 以各单位自查为主,与统一组织的以各单位自查为主,与统一组织的 安全抽查相结合安全抽查相结合 WWW.HZTEC.ORG.CNWWW.HZTEC.ORG.CN 检查范围及重点检查范围及重点 n n 为各部门履行职能提供支撑的信息系统为各部门履行职能提供支撑的信息系统 ,包括自行运行维护管理以及委托其他,包括自行运行维护管理以及委托其他 机
3、构运行维护管理的办公系统、业务系机构运行维护管理的办公系统、业务系 统、网站系统等统、网站系统等 n n 着重对各部门的重要业务系统、党政机着重对各部门的重要业务系统、党政机 关网站、信息技术外包服务安全管理等关网站、信息技术外包服务安全管理等 进行安全检查进行安全检查 WWW.HZTEC.ORG.CNWWW.HZTEC.ORG.CN 安全检查过程安全检查过程 1. 远程门户网站检测、渗透性测试小组提前进驻 被抽查单位,抽查部分内部系统 2. 分析检测结果、出具初步检查结论,提交现场 检查组 3. 检查组现场访谈相关工作人员、抽查各类制度 台帐,查看相关现场 4. 检查组汇总检查结果,产生反馈
4、意见 5. 各单位根据反馈意见进行整改 6. 对部分单位整改结果进行抽查 WWW.HZTEC.ORG.CNWWW.HZTEC.ORG.CN 安全检查主要内容安全检查主要内容 n n 信息安全组织机构信息安全组织机构 n n 信息安全日常管理信息安全日常管理 n n 信息安全防护管理信息安全防护管理 n n 信息安全应急管理信息安全应急管理 n n 信息安全教育培训信息安全教育培训 n n 信息安全检查信息安全检查 WWW.HZTEC.ORG.CNWWW.HZTEC.ORG.CN 20112011年度检查结果年度检查结果 1.信息安全组织机构 明确了信息安全主管领导(95%) 指定了信息安全管理
5、机构(95%) 设置了专职工作处室(90%) 配备了相应的信息安全管理人员(85%) WWW.HZTEC.ORG.CNWWW.HZTEC.ORG.CN 20112011年度检查结果年度检查结果 2.安全日常管理 多数单位在人员管理(85%)、资产管理( 75%)和外包管理(70%)等方面建立了较 完善的安全管理制度。 指定了信息安全管理机构(95%) WWW.HZTEC.ORG.CNWWW.HZTEC.ORG.CN 20112011年度检查结果年度检查结果 3.安全防护管理 各单位门户网站中高风险安全隐患的比例得到 进一步下降,但仍有不少部门存在严重安全隐 患 WWW.HZTEC.ORG.CN
6、WWW.HZTEC.ORG.CN 20112011年度检查结果年度检查结果 4.安全应急管理 较多单位制定了信息安全事件应急响应预案( 占65%)并开展了不同程度的应急演练活动 (占70%) 多数政府部门建立了合理数据容灾备份制度, 实现了重要数据的周期性备份(占75%) WWW.HZTEC.ORG.CNWWW.HZTEC.ORG.CN 20112011年度检查结果年度检查结果 4.安全自检查 绝大多数单位(占85%)都通过组织部署、 自查实施、问题整改和自查总结等过程,积极 有效地开展了信息安全自查工作。 WWW.HZTEC.ORG.CNWWW.HZTEC.ORG.CN 20112011年度
7、检查结果年度检查结果 5.主要问题网站安全防护 不少门户网站存在不同程度的安全漏洞。5个 单位的门户网站存在SQL注入等高风险安全 漏洞,占所有抽查单位的25%,其中: 8个单位的门户网站存在跨站脚本编写等中等 风险安全漏洞,占所有抽查单位的40%。 WWW.HZTEC.ORG.CNWWW.HZTEC.ORG.CN 20112011年度检查结果年度检查结果 6.主要问题其它安全防护 50%单位未具备合理的网络边界自动监测、入侵检 测和防范技术能力; 60%单位未建立合理的信息系统安全审计制度; 50%单位未具备网页防篡改能力; 60%单位未建立有效的终端计算机集中管理及接入 控制能力; 50%
8、单位未建立合理的移动存储介质安全管理制度 WWW.HZTEC.ORG.CNWWW.HZTEC.ORG.CN 20112011年度检查结果年度检查结果 5.主要问题教育培训 60%单位未开展面向一般工作人员的信息安 全培训活动,或覆盖面过小; 35%单位的信息安全管理和技术人员的安全 培训不足 网站安全防护网站安全防护 WWW.HZTEC.ORG.CNWWW.HZTEC.ORG.CN 案例案例 2010年12月26日,冷水江市政府网站被黑客攻击 WWW.HZTEC.ORG.CNWWW.HZTEC.ORG.CN 案例案例 2010年7月,国防部网站被黑客攻击 WWW.HZTEC.ORG.CNWWW
9、.HZTEC.ORG.CN 案例案例 2010年7月,水利部网站被黑客攻击 WWW.HZTEC.ORG.CNWWW.HZTEC.ORG.CN 一般网站架构一般网站架构 SQL语句 返回数据查询结 果 访问请求 返回请求的页面 互联网用户 应用服务器数据库 操作系统 脚本语言 Web服务器软件 Oracle MySQL MS SQL Server IE Firefox Chrome WWW.HZTEC.ORG.CNWWW.HZTEC.ORG.CN 网站风险分类网站风险分类 应用平台 漏洞 网站代码 漏洞 操作系统 漏洞 拒绝服务 攻击 WWW.HZTEC.ORG.CNWWW.HZTEC.ORG.
10、CN 网站代码漏洞网站代码漏洞( (高危高危) ) u SQL注入 u 认证旁路 u 上传漏洞 u 跨站点脚本编制 WWW.HZTEC.ORG.CNWWW.HZTEC.ORG.CN SQLSQL注入注入 SQL注入(SQL Injection),也叫脚本注入,就是利用网站 程序对用户输入过滤不足,通过把SQL命令,SQL语句插 入到Web表单或输入到页面请求的查询字符串中,最终达 到欺骗服务器执行恶意的SQL命令的一种攻击。 恶意HTTP请求 通过80端口 达到服务器 防火墙 服务器 攻击者 WWW.HZTEC.ORG.CNWWW.HZTEC.ORG.CN 认证旁路认证旁路 认证旁路,其原理也
11、是基于SQL 注入,就是在后台登陆页 面上,在用户名或者密码栏中,输入特殊的字符或者语句 ,从而绕够应用系统的身份鉴别机制,直接进入系统后台 的攻击手段。 WWW.HZTEC.ORG.CNWWW.HZTEC.ORG.CN 文件上传漏洞文件上传漏洞 文件上传漏洞,是指某些网站,允许用户上传一些文件至 服务器,比如投稿,提供某些材料等。但对用户所上传的 文件类型没有做严格限制,攻击者可以上传恶意软件至服 务器,从而达到控制服务器的目的。 WWW.HZTEC.ORG.CNWWW.HZTEC.ORG.CN 跨站的脚本编制跨站的脚本编制 跨站点脚本编制(XSS)是指攻击者利用网站程序对用户 输入过滤不足
12、,输入可以显示在页面上对其他用户造成影 响的HTML代码,从而盗取用户资料、利用用户身份进行某 种动作或者对访问者进行病毒侵害的一种攻击方式。 杭城知名论坛19楼 , 跨站漏 洞 SQLSQL注入攻击的一般过程注入攻击的一般过程 寻找注入点 (各种扫描工具) 判断数据库类型 (MS SQL,MySQL,Oracle ) 获取敏感信息 (管理员账号密码等) 寻找管理后台 (页面寻找,google等) 用获取到的信息登陆后台 WWW.HZTEC.ORG.CNWWW.HZTEC.ORG.CN 跨站攻击的一般过程跨站攻击的一般过程 寻找跨站点 (各种扫描工具) 利用跨站,构造恶意代码 (获取cooki
13、es信息等) 利用各种手段,诱使受害者 点击含有恶意代码的链接 获取受害者cookies等信息 冒用受害者的身份,访问网 站论坛等 Cookies信息保存提示 WWW.HZTEC.ORG.CNWWW.HZTEC.ORG.CN 应用平台漏洞应用平台漏洞 IIS、Tomcat Apache等 Oracle、MySQL MS SQL Server等 u缓冲区溢出 eg: Apache 分块编码远 程溢出 u配置不正确 eg:敏感调试信息暴露 u弱口令 eg: tomcat/tomcat sa/sa等 脆 弱 性 WWW.HZTEC.ORG.CNWWW.HZTEC.ORG.CN 从从15211521端
14、口到控制服务器端口到控制服务器 扫描目标主机开放 的端口 获取Oracle实例名信息 根据获取到的信息,配置 tnsnames文件,利用Oracle默认 低权限用户,登陆数据库 利用oracle存在的溢出漏洞 ,提升权限 利用oracle,执行操作系统 命令 WWW.HZTEC.ORG.CNWWW.HZTEC.ORG.CN SQLSQL注入结合应用平台漏洞的攻注入结合应用平台漏洞的攻 击击 扫描目标主机开放 的端口 利用SQL注入,获取数据 库信息 根据获取到的信息,配置 tnsnames文件,登陆数据库 利用oracle存在的溢出漏洞 ,提升权限 利用oracle,执行操作系统 命令 WWW
15、.HZTEC.ORG.CNWWW.HZTEC.ORG.CN 社会工程学案例社会工程学案例 WWW.HZTEC.ORG.CNWWW.HZTEC.ORG.CN 信息泄露信息泄露 调试信息,暴露了网站的路径 WWW.HZTEC.ORG.CNWWW.HZTEC.ORG.CN 应用平台漏洞防范措施应用平台漏洞防范措施 限制端口开放 及时更新补丁 合理设置用户及密码 WWW.HZTEC.ORG.CNWWW.HZTEC.ORG.CN 代码漏洞防范措施代码漏洞防范措施 部署硬件防护设备 代码级别的防护 u 屏蔽错误信息 u 验证用户输入数据的合法性 u 使用工具模拟检测攻击 WWW.HZTEC.ORG.CNWWW.HZTEC.ORG.CN 安全防护体系安全防护体系 发现 问题 处理 问题 日常 管理 紧急 情况 u配置加固 u安全设备 u应急响应 u配置加固 u安全检查 u漏洞扫描 u安全培训 u安全咨询 Thank You Thank You ! !