信息安全測評認證的標準體系

1、信息安全檢查及網(wǎng)站安全防護,周曉峰杭州市基礎信息安全測評認證中心2012.6,信息安全檢查,WWW.HZTEC.ORG.CN,安全檢查依據(jù),國辦發(fā)[2009]28號《國務院辦公廳關于印發(fā)的通知》省經(jīng)信信安[2011]288號《關于印發(fā)的通知》杭經(jīng)信網(wǎng)管[2011]1號《關于印發(fā)的通知》杭經(jīng)信網(wǎng)管[2011]14號《關于進行2011年我市重要信息系統(tǒng)安全抽查的通知》,WWW.HZTEC.ORG.CN,安全檢查原則,“誰主管誰負

2、責、誰運行誰負責、誰使用誰負責”以各單位自查為主，與統(tǒng)一組織的安全抽查相結(jié)合,WWW.HZTEC.ORG.CN,檢查范圍及重點,為各部門履行職能提供支撐的信息系統(tǒng)，包括自行運行維護管理以及委托其他機構(gòu)運行維護管理的辦公系統(tǒng)、業(yè)務系統(tǒng)、網(wǎng)站系統(tǒng)等著重對各部門的重要業(yè)務系統(tǒng)、黨政機關網(wǎng)站、信息技術外包服務安全管理等進行安全檢查,WWW.HZTEC.ORG.CN,安全檢查過程,,遠程門戶網(wǎng)站檢測、滲透性測試小組提前進駐被抽查單位，抽查部分

3、內(nèi)部系統(tǒng)分析檢測結(jié)果、出具初步檢查結(jié)論，提交現(xiàn)場檢查組檢查組現(xiàn)場訪談相關工作人員、抽查各類制度臺帳，查看相關現(xiàn)場檢查組匯總檢查結(jié)果，產(chǎn)生反饋意見各單位根據(jù)反饋意見進行整改對部分單位整改結(jié)果進行抽查,WWW.HZTEC.ORG.CN,安全檢查主要內(nèi)容,信息安全組織機構(gòu)信息安全日常管理信息安全防護管理信息安全應急管理信息安全教育培訓信息安全檢查,WWW.HZTEC.ORG.CN,2011年度檢查結(jié)果,,1.信息安全組織機

4、構(gòu)明確了信息安全主管領導（95%）指定了信息安全管理機構(gòu)（95%）設置了專職工作處室（90%）配備了相應的信息安全管理人員（85%）,WWW.HZTEC.ORG.CN,2011年度檢查結(jié)果,,2.安全日常管理多數(shù)單位在人員管理（85%）、資產(chǎn)管理（75%）和外包管理（70%）等方面建立了較完善的安全管理制度。指定了信息安全管理機構(gòu)（95%）,WWW.HZTEC.ORG.CN,2011年度檢查結(jié)果,,3.安全防護管理各單位門

5、戶網(wǎng)站中高風險安全隱患的比例得到進一步下降，但仍有不少部門存在嚴重安全隱患,WWW.HZTEC.ORG.CN,2011年度檢查結(jié)果,,4.安全應急管理較多單位制定了信息安全事件應急響應預案（占65%）并開展了不同程度的應急演練活動（占70%）多數(shù)政府部門建立了合理數(shù)據(jù)容災備份制度，實現(xiàn)了重要數(shù)據(jù)的周期性備份（占75%）,WWW.HZTEC.ORG.CN,2011年度檢查結(jié)果,,4.安全自檢查絕大多數(shù)單位（占85%）都通過組織部署、

6、自查實施、問題整改和自查總結(jié)等過程，積極有效地開展了信息安全自查工作。,WWW.HZTEC.ORG.CN,2011年度檢查結(jié)果,,5.主要問題——網(wǎng)站安全防護不少門戶網(wǎng)站存在不同程度的安全漏洞。5個單位的門戶網(wǎng)站存在SQL注入等高風險安全漏洞，占所有抽查單位的25%，其中：8個單位的門戶網(wǎng)站存在跨站腳本編寫等中等風險安全漏洞，占所有抽查單位的40%。,WWW.HZTEC.ORG.CN,2011年度檢查結(jié)果,,6.主要問題——其它安全

7、防護50%單位未具備合理的網(wǎng)絡邊界自動監(jiān)測、入侵檢測和防范技術能力；60%單位未建立合理的信息系統(tǒng)安全審計制度；50%單位未具備網(wǎng)頁防篡改能力；60%單位未建立有效的終端計算機集中管理及接入控制能力；50%單位未建立合理的移動存儲介質(zhì)安全管理制度,WWW.HZTEC.ORG.CN,2011年度檢查結(jié)果,,5.主要問題——教育培訓60%單位未開展面向一般工作人員的信息安全培訓活動，或覆蓋面過??；35%單位的信息安全管理和技術

8、人員的安全培訓不足,網(wǎng)站安全防護,WWW.HZTEC.ORG.CN,案例,2010年12月26日，冷水江市政府網(wǎng)站被黑客攻擊,WWW.HZTEC.ORG.CN,案例,2010年7月，國防部網(wǎng)站被黑客攻擊,WWW.HZTEC.ORG.CN,案例,2010年7月，水利部網(wǎng)站被黑客攻擊,WWW.HZTEC.ORG.CN,一般網(wǎng)站架構(gòu),,,,SQL語句,,返回數(shù)據(jù)查詢結(jié)果,,訪問請求,返回請求的頁面,互聯(lián)網(wǎng)用戶,應用服務器,數(shù)據(jù)庫,操作系統(tǒng)腳

9、本語言Web服務器軟件,OracleMySQLMS SQL Server……,IEFirefoxChrome……,WWW.HZTEC.ORG.CN,網(wǎng)站風險分類,應用平臺漏洞,網(wǎng)站代碼漏洞,操作系統(tǒng)漏洞,拒絕服務攻擊,WWW.HZTEC.ORG.CN,網(wǎng)站代碼漏洞(高危),SQL注入 認證旁路 上傳漏洞 跨站點腳本編制,,,,,WWW.HZTEC.ORG.CN,SQL注入,SQL注入(SQL Injectio

10、n)，也叫腳本注入，就是利用網(wǎng)站程序?qū)τ脩糨斎脒^濾不足，通過把SQL命令，SQL語句插入到Web表單或輸入到頁面請求的查詢字符串中，最終達到欺騙服務器執(zhí)行惡意的SQL命令的一種攻擊。,惡意HTTP請求,通過80端口達到服務器,防火墻,服務器,攻擊者,WWW.HZTEC.ORG.CN,認證旁路,認證旁路，其原理也是基于SQL 注入，就是在后臺登陸頁面上，在用戶名或者密碼欄中，輸入特殊的字符或者語句，從而繞夠應用系統(tǒng)的身份鑒別機制，直接進入

11、系統(tǒng)后臺的攻擊手段。,WWW.HZTEC.ORG.CN,文件上傳漏洞,文件上傳漏洞，是指某些網(wǎng)站，允許用戶上傳一些文件至服務器，比如投稿，提供某些材料等。但對用戶所上傳的文件類型沒有做嚴格限制，攻擊者可以上傳惡意軟件至服務器，從而達到控制服務器的目的。,,,WWW.HZTEC.ORG.CN,跨站的腳本編制,跨站點腳本編制（XSS）是指攻擊者利用網(wǎng)站程序?qū)τ脩糨斎脒^濾不足，輸入可以顯示在頁面上對其他用戶造成影響的HTML代碼，從而盜取用戶

12、資料、利用用戶身份進行某種動作或者對訪問者進行病毒侵害的一種攻擊方式。,杭城知名論壇19樓， 跨站漏洞,,SQL注入攻擊的一般過程,,尋找注入點（各種掃描工具）,判斷數(shù)據(jù)庫類型（MS SQL,MySQL,Oracle）,獲取敏感信息（管理員賬號密碼等）,尋找管理后臺(頁面尋找，google等),用獲取到的信息登陸后臺,,,,,WWW.HZTEC.ORG.CN,跨站攻擊的一般過程,尋找跨站點（各種掃描工具）,利用

13、跨站，構(gòu)造惡意代碼（獲取cookies信息等）,利用各種手段，誘使受害者點擊含有惡意代碼的鏈接,獲取受害者cookies等信息,冒用受害者的身份，訪問網(wǎng)站論壇等,,,,,,Cookies信息保存提示,,WWW.HZTEC.ORG.CN,應用平臺漏洞,IIS、TomcatApache等,Oracle、MySQLMS SQL Server等,,緩沖區(qū)溢出,eg: Apache 分塊編碼遠程溢出,配置不正確,eg:敏感調(diào)試信息暴露,弱口

14、令,eg: tomcat/tomcat sa/sa等,,脆弱性,,,,,WWW.HZTEC.ORG.CN,從1521端口到控制服務器,掃描目標主機開放的端口,獲取Oracle實例名信息,根據(jù)獲取到的信息，配置tnsnames文件，利用Oracle默認低權限用戶，登陸數(shù)據(jù)庫,利用oracle存在的溢出漏洞，提升權限,利用oracle，執(zhí)行操作系統(tǒng)命令,,,,,WWW.HZTEC.ORG.CN,SQL注入結(jié)合應用平臺漏洞的攻擊,掃描目標

15、主機開放的端口,利用SQL注入，獲取數(shù)據(jù)庫信息,根據(jù)獲取到的信息，配置tnsnames文件，登陸數(shù)據(jù)庫,利用oracle存在的溢出漏洞，提升權限,利用oracle，執(zhí)行操作系統(tǒng)命令,,,,,,WWW.HZTEC.ORG.CN,社會工程學案例,,WWW.HZTEC.ORG.CN,信息泄露,,調(diào)試信息，暴露了網(wǎng)站的路徑,WWW.HZTEC.ORG.CN,應用平臺漏洞防范措施,限制端口開放 及時更新補丁 合理設置用戶及密碼,WWW