- 1、本文档共37页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
WWW.HZTEC.ORG.CN SQL注入结合应用平台漏洞的攻击 扫描目标主机开放的端口 利用SQL注入,获取数据库信息 根据获取到的信息,配置tnsnames文件,登陆数据库 利用oracle存在的溢出漏洞,提升权限 利用oracle,执行操作系统命令 WWW.HZTEC.ORG.CN 社会工程学案例 WWW.HZTEC.ORG.CN 信息泄露 调试信息,暴露了网站的路径 WWW.HZTEC.ORG.CN 应用平台漏洞防范措施 限制端口开放 及时更新补丁 合理设置用户及密码 WWW.HZTEC.ORG.CN 代码漏洞防范措施 部署硬件防护设备 代码级别的防护 屏蔽错误信息 验证用户输入数据的合法性 使用工具模拟检测攻击 WWW.HZTEC.ORG.CN 安全防护体系 发现问题 处理问题 日常管理 紧急情况 配置加固 安全设备 应急响应 配置加固 安全检查 漏洞扫描 安全培训 安全咨询 Thank You ! * * * * 着重介绍网站代码漏洞和应用平台漏洞 * 直接点图片,跳转到注入攻击演示 * 介绍下cookies的作用 * * * * * * 信息安全检查及网站安全防护 周晓峰 杭州市基础信息安全测评认证中心 2012.6 信息安全检查 WWW.HZTEC.ORG.CN 安全检查依据 国办发[2009]28号《国务院办公厅关于印发政府信息系统安全检查办法的通知》 省经信信安[2011]288号《关于印发2011年网络与重要信息系统安全检查指南的通知》 杭经信网管[2011]1号《关于印发2011年杭州市网络与重要信息系统安全检查指南的通知》 杭经信网管[2011]14号《关于进行2011年我市重要信息系统安全抽查的通知》 WWW.HZTEC.ORG.CN 安全检查原则 “谁主管谁负责、谁运行谁负责、谁使用谁负责” 以各单位自查为主,与统一组织的安全抽查相结合 WWW.HZTEC.ORG.CN 检查范围及重点 为各部门履行职能提供支撑的信息系统,包括自行运行维护管理以及委托其他机构运行维护管理的办公系统、业务系统、网站系统等 着重对各部门的重要业务系统、党政机关网站、信息技术外包服务安全管理等进行安全检查 WWW.HZTEC.ORG.CN 安全检查过程 远程门户网站检测、渗透性测试小组提前进驻被抽查单位,抽查部分内部系统 分析检测结果、出具初步检查结论,提交现场检查组 检查组现场访谈相关工作人员、抽查各类制度台帐,查看相关现场 检查组汇总检查结果,产生反馈意见 各单位根据反馈意见进行整改 对部分单位整改结果进行抽查 WWW.HZTEC.ORG.CN 安全检查主要内容 信息安全组织机构 信息安全日常管理 信息安全防护管理 信息安全应急管理 信息安全教育培训 信息安全检查 WWW.HZTEC.ORG.CN 2011年度检查结果 1.信息安全组织机构 明确了信息安全主管领导(95%) 指定了信息安全管理机构(95%) 设置了专职工作处室(90%) 配备了相应的信息安全管理人员(85%) WWW.HZTEC.ORG.CN 2011年度检查结果 2.安全日常管理 多数单位在人员管理(85%)、资产管理(75%)和外包管理(70%)等方面建立了较完善的安全管理制度。 指定了信息安全管理机构(95%) WWW.HZTEC.ORG.CN 2011年度检查结果 3.安全防护管理 各单位门户网站中高风险安全隐患的比例得到进一步下降,但仍有不少部门存在严重安全隐患 WWW.HZTEC.ORG.CN 2011年度检查结果 4.安全应急管理 较多单位制定了信息安全事件应急响应预案(占65%)并开展了不同程度的应急演练活动(占70%) 多数政府部门建立了合理数据容灾备份制度,实现了重要数据的周期性备份(占75%) WWW.HZTEC.ORG.CN 2011年度检查结果 4.安全自检查 绝大多数单位(占85%)都通过组织部署、自查实施、问题整改和自查总结等过程,积极有效地开展了信息安全自查工作。 WWW.HZTEC.ORG.CN 2011年度检查结果 5.主要问题——网站安全防护 不少门户网站存在不同程度的安全漏洞。5个单位的门户网站存在SQL注入等高风险安全漏洞,占所有抽查单位的25%,其中: 8个单位的门户网站存在跨站脚本编写等中等风险安全漏洞,占所有抽查单位的40%。 WWW.HZTEC.ORG.CN 2011年度检查结果 6.主要问题——其它安全防护 50%单位未具备合理的网络边界自动监测、入侵检测和防范技术能力; 60%单位未建立合理的信息系统安全审计制度; 50%单位未具备网页防篡改能力; 60%单位未建立有效的终端计算机集中管理及接入控制能力; 50%单位未建立合理的移动存储介质安全管理
您可能关注的文档
最近下载
- 小学四年级语文上册课堂作业(书籍版).pdf VIP
- (高清版)T 19964-2024 光伏发电站接入电力系统技术规定.pdf VIP
- TB∕T 1632.2-2014 钢轨焊接 第2部分:闪光焊接.pdf
- 关于幼儿“告状”行为及其指导策略的研究.docx
- 边坡治理设计合同.docx
- 过年习俗课件.pptx VIP
- 07SG359-5(无水印免积分).pdf
- 阿尔茨海默病患者日常生活能力和精神行为症状及认知功能全面管理中国专家共识.ppt VIP
- 党纪学习教育个人问题检视清单及整改措施(“学纪”、“知纪”、“明纪”、“守纪”四个方面各十条问题和整改措施).docx VIP
- 初中数学名师工作室工作总结PPT.pptx
文档评论(0)