重要信息系统安全威胁及防范对策分析.pdfVIP

。____-___。。●。。———。 ／2010．07 ■doi：10．3969／j．issn．1671．1122．2010．07．012 1．1．2程序漏洞、配置文件不合 理等造成针对动态网页、网站 数据库的篡改 同样是在一个政府网站主 站的入侵渗透测试中，这个网站 安全威胁及防范对策分析 共存在8处安全问题，其中4 个安全问题是SQL注入。在另 张振峰，任卫红，朱建平 一个政府网站的测试中，更是 (公安部信息安全等级保护评估中心，北京100142) 有超过七成的安伞漏洞是SQL 注入。SQL注入并不是唯一的 府 网贞程序安伞漏洞，动态网页、 网站数据库被篡改都是由于网 页程序存在漏洞、配置文件不 撕攒一一漱系全要私醵 统事安卅艮 刚似钟钳数尉懒瞰豫惦拟蝴黝涎喙掷鼬榭揪澉的的安““ 合理等问题而导致的。由此， 政要结形鼠限 ，出戍总{：；i籼椒锻彻撕瑚门文要因充B 信生的鼬瓢A 一～一一一一 行信息…屯躏 业息系纷却姊 的系统；}舢赫重统存通耙姆 一～撕黜舱¨ 我们总结一般导致重要信息系 一一一一一一 统动态网页、网站数据库被篡 0引言 信息泄露、管理问题。 改的几大问题，分别是： 随着网络应用的日趋普及，越来越 1．1数据篡改 1)存在SQL注入点，使攻击者可 导致数据被篡改的安全事件主要 多的政府部门和行业的重要信息系统借 以利用该漏洞得知网站数据库的基本信 有以下几种情况： 助互联网实现了网L办公，将部分甚至 息；2)使用第i方开源软件，未进行 1．1．1管理措施不到位、防范技术措施 重要业务放在了互联网上，有些重要业 严格的代码审查，致使软件中存在的漏 落后等造成针