信息安全檢查及

網站安全防護周曉峰杭州市基礎信息安全測評認證中心2019.6信息安全檢查及

網站安全防護周曉峰1信息安全檢查信息安全檢查2安全檢查依據國辦發[2009]28號《國務院辦公廳關于印發<政府信息系統安全檢查辦法>的通知》省經信信安[2019]288號《關于印發<2019年網絡與重要信息系統安全檢查指南>的通知》杭經信網管[2019]1號《關于印發<2019年杭州市網絡與重要信息系統安全檢查指南>的通知》杭經信網管[2019]14號《關于進行2019年我市重要信息系統安全抽查的通知》WWW.HZTEC.ORG.CN安全檢查依據國辦發[2009]28號《國務院辦公廳關于印發<3安全檢查原則“誰主管誰負責、誰運行誰負責、誰使用誰負責”以各單位自查為主，與統一組織的安全抽查相結合WWW.HZTEC.ORG.CN安全檢查原則“誰主管誰負責、誰運行誰負責、誰使用誰負責”WW4檢查范圍及重點為各部門履行職能提供支撐的信息系統，包括自行運行維護管理以及委托其他機構運行維護管理的辦公系統、業務系統、網站系統等著重對各部門的重要業務系統、黨政機關網站、信息技術外包服務安全管理等進行安全檢查WWW.HZTEC.ORG.CN檢查范圍及重點為各部門履行職能提供支撐的信息系統，包括自行運5安全檢查過程遠程門戶網站檢測、滲透性測試小組提前進駐被抽查單位，抽查部分內部系統分析檢測結果、出具初步檢查結論，提交現場檢查組檢查組現場訪談相關工作人員、抽查各類制度臺帳，查看相關現場檢查組匯總檢查結果，產生反饋意見各單位根據反饋意見進行整改對部分單位整改結果進行抽查WWW.HZTEC.ORG.CN安全檢查過程遠程門戶網站檢測、滲透性測試小組提前進駐被抽查單6安全檢查主要內容信息安全組織機構信息安全日常管理信息安全防護管理信息安全應急管理信息安全教育培訓信息安全檢查WWW.HZTEC.ORG.CN安全檢查主要內容信息安全組織機構WWW.HZTEC.ORG.72019年度檢查結果1.信息安全組織機構明確了信息安全主管領導（95%）指定了信息安全管理機構（95%）設置了專職工作處室（90%）配備了相應的信息安全管理人員（85%）WWW.HZTEC.ORG.CN2019年度檢查結果1.信息安全組織機構WWW.HZTEC.82019年度檢查結果2.安全日常管理多數單位在人員管理（85%）、資產管理（75%）和外包管理（70%）等方面建立了較完善的安全管理制度。指定了信息安全管理機構（95%）WWW.HZTEC.ORG.CN2019年度檢查結果2.安全日常管理WWW.HZTEC.OR92019年度檢查結果3.安全防護管理各單位門戶網站中高風險安全隱患的比例得到進一步下降，但仍有不少部門存在嚴重安全隱患WWW.HZTEC.ORG.CN2019年度檢查結果3.安全防護管理WWW.HZTEC.OR102019年度檢查結果4.安全應急管理較多單位制定了信息安全事件應急響應預案（占65%）并開展了不同程度的應急演練活動（占70%）多數政府部門建立了合理數據容災備份制度，實現了重要數據的周期性備份（占75%）WWW.HZTEC.ORG.CN2019年度檢查結果4.安全應急管理WWW.HZTEC.OR112019年度檢查結果4.安全自檢查絕大多數單位（占85%）都通過組織部署、自查實施、問題整改和自查總結等過程，積極有效地開展了信息安全自查工作。WWW.HZTEC.ORG.CN2019年度檢查結果4.安全自檢查WWW.HZTEC.ORG122019年度檢查結果5.主要問題——網站安全防護不少門戶網站存在不同程度的安全漏洞。5個單位的門戶網站存在SQL注入等高風險安全漏洞，占所有抽查單位的25%，其中：8個單位的門戶網站存在跨站腳本編寫等中等風險安全漏洞，占所有抽查單位的40%。WWW.HZTEC.ORG.CN2019年度檢查結果5.主要問題——網站安全防護WWW.HZ132019年度檢查結果6.主要問題——其它安全防護50%單位未具備合理的網絡邊界自動監測、入侵檢測和防范技術能力；60%單位未建立合理的信息系統安全審計制度；50%單位未具備網頁防篡改能力；60%單位未建立有效的終端計算機集中管理及接入控制能力；50%單位未建立合理的移動存儲介質安全管理制度WWW.HZTEC.ORG.CN2019年度檢查結果6.主要問題——其它安全防護WWW.HZ142019年度檢查結果5.主要問題——教育培訓60%單位未開展面向一般工作人員的信息安全培訓活動，或覆蓋面過小；35%單位的信息安全管理和技術人員的安全培訓不足WWW.HZTEC.ORG.CN2019年度檢查結果5.主要問題——教育培訓WWW.HZTE15網站安全防護網站安全防護16案例2019年12月26日，冷水江市政府網站被黑客攻擊WWW.HZTEC.ORG.CN案例2019年12月26日，冷水江市政府網站被黑客攻擊WWW17案例2019年7月，國防部網站被黑客攻擊WWW.HZTEC.ORG.CN案例2019年7月，國防部網站被黑客攻擊WWW.HZTEC.18案例2019年7月，水利部網站被黑客攻擊WWW.HZTEC.ORG.CN案例2019年7月，水利部網站被黑客攻擊WWW.HZTEC.19一般網站架構

SQL語句返回數據查詢結果訪問請求返回請求的頁面互聯網用戶

應用服務器數據庫操作系統腳本語言Web服務器軟件OracleMySQLMSSQLServer……IEFirefoxChrome……WWW.HZTEC.ORG.CN一般網站架構 SQL語句返回數據查詢結果訪問請求返回請求的頁20網站風險分類應用平臺漏洞網站代碼漏洞操作系統漏洞拒絕服務攻擊WWW.HZTEC.ORG.CN網站風險分類應用平臺漏洞網站代碼漏洞操作系統漏洞拒絕服務攻擊21網站代碼漏洞(高危)SQL注入認證旁路上傳漏洞跨站點腳本編制WWW.HZTEC.ORG.CN網站代碼漏洞(高危)SQL注入WWW.HZTEC.O22SQL注入SQL注入(SQLInjection)，也叫腳本注入，就是利用網站程序對用戶輸入過濾不足，通過把SQL命令，SQL語句插入到Web表單或輸入到頁面請求的查詢字符串中，最終達到欺騙服務器執行惡意的SQL命令的一種攻擊。惡意HTTP請求通過80端口達到服務器防火墻服務器攻擊者WWW.HZTEC.ORG.CNSQL注入SQL注入(SQLInjection)，也叫腳本23認證旁路認證旁路，其原理也是基于SQL注入，就是在后臺登陸頁面上，在用戶名或者密碼欄中，輸入特殊的字符或者語句，從而繞夠應用系統的身份鑒別機制，直接進入系統后臺的攻擊手段。WWW.HZTEC.ORG.CN認證旁路認證旁路，其原理也是基于SQL注入，就是在后臺登陸24文件上傳漏洞文件上傳漏洞，是指某些網站，允許用戶上傳一些文件至服務器，比如投稿，提供某些材料等。但對用戶所上傳的文件類型沒有做嚴格限制，攻擊者可以上傳惡意軟件至服務器，從而達到控制服務器的目的。WWW.HZTEC.ORG.CN文件上傳漏洞文件上傳漏洞，是指某些網站，允許用戶上傳一些文件25跨站的腳本編制跨站點腳本編制（XSS）是指攻擊者利用網站程序對用戶輸入過濾不足，輸入可以顯示在頁面上對其他用戶造成影響的HTML代碼，從而盜取用戶資料、利用用戶身份進行某種動作或者對訪問者進行病毒侵害的一種攻擊方式。杭城知名論壇19樓，跨站漏洞WWW.HZTEC.ORG.CN跨站的腳本編制跨站點腳本編制（XSS）是指攻擊者利用網站程序26SQL注入攻擊的一般過程尋找注入點（各種掃描工具）判斷數據庫類型（MSSQL,MySQL,Oracle）獲取敏感信息（管理員賬號密碼等）尋找管理后臺(頁面尋找，google等)用獲取到的信息登陸后臺SQL注入攻擊的一般過程尋找注入點判斷數據庫類型獲取敏感信息27跨站攻擊的一般過程尋找跨站點（各種掃描工具）利用跨站，構造惡意代碼（獲取cookies信息等）利用各種手段，誘使受害者點擊含有惡意代碼的鏈接獲取受害者cookies等信息冒用受害者的身份，訪問網站論壇等Cookies信息保存提示WWW.HZTEC.ORG.CN跨站攻擊的一般過程尋找跨站點利用跨站，構造惡意代碼利用各種手28應用平臺漏洞IIS、TomcatApache等Oracle、MySQLMSSQLServer等緩沖區溢出eg:Apache分塊編碼遠程溢出配置不正確eg:敏感調試信息暴露弱口令eg:tomcat/tomcatsa/sa等脆弱性WWW.HZTEC.ORG.CN應用平臺漏洞IIS、TomcatOracle、MySQL緩沖29從1521端口到控制服務器掃描目標主機開放的端口獲取Oracle實例名信息根據獲取到的信息，配置tnsnames文件，利用Oracle默認低權限用戶，登陸數據庫利用oracle存在的溢出漏洞，提升權限利用oracle，執行操作系統命令WWW.HZTEC.ORG.CN從1521端口到控制服務器掃描目標主機開放的端口獲取Orac30SQL注入結合應用平臺漏洞的攻擊掃描目標主機開放的端口利用SQL注入，獲取數據庫信息根據獲取到的信息，配置tnsnames文件，登陸數據庫利用oracle存在的溢出漏洞，提升權限利用oracle，執行操作系統命令WWW.HZTEC.ORG.CNSQL注入結合應用平臺漏洞的攻擊掃描目標主機開放的端口利用S31社會工程學案例WWW.HZTEC.ORG.CN社會工程學案例WWW.HZTEC.ORG.CN32信息泄露調試信息，暴露了網站的路徑WWW.HZTEC.ORG.CN信息泄露調試信息，暴露了網站的路徑WWW.HZTEC.ORG33應用平臺漏洞防范措施限制端口開放及時更新補丁合理設置用戶及密碼WWW.HZTEC.ORG.CN應用平臺漏洞防范措施限制端口開放WWW.HZTEC.OR34代碼漏洞防范措施部署硬件防護設備代碼級別的防護屏蔽錯誤信息

驗證用戶輸入數據的合法性使用工具模擬檢測攻擊

WWW.HZTEC.ORG.CN代碼漏洞防范措施部署硬件防護設備WWW.HZTEC.OR35安全