信息安全检查及网站安全防护学习课件.pptVIP

WWW.HZTEC.ORG.CN 跨站的脚本编制 跨站点脚本编制（XSS）是指攻击者利用网站程序对用户输入过滤不足，输入可以显示在页面上对其他用户造成影响的HTML代码，从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。 杭城知名论坛19楼， 跨站漏洞 * 努力奋斗 * 努力奋斗 * 努力奋斗 * 努力奋斗 * 努力奋斗 * 努力奋斗 努力奋斗 信息安全检查及网站安全防护 周晓峰 杭州市基础信息安全测评认证中心 2012.6 * 信息安全检查 * WWW.HZTEC.ORG.CN 安全检查依据 国办发[2009]28号《国务院办公厅关于印发政府信息系统安全检查办法的通知》 省经信信安[2011]288号《关于印发2011年网络与重要信息系统安全检查指南的通知》 杭经信网管[2011]1号《关于印发2011年杭州市网络与重要信息系统安全检查指南的通知》 杭经信网管[2011]14号《关于进行2011年我市重要信息系统安全抽查的通知》 * WWW.HZTEC.ORG.CN 安全检查原则 “谁主管谁负责、谁运行谁负责、谁使用谁负责” 以各单位自查为主，与统一组织的安全抽查相结合 * WWW.HZTEC.ORG.CN 检查范围及重点 为各部门履行职能提供支撑的信息系统，包括自行运行维护管理以及委托其他机构运行维护管理的办公系统、业务系统、网站系统等 着重对各部门的重要业务系统、党政机关网站、信息技术外包服务安全管理等进行安全检查 * WWW.HZTEC.ORG.CN 安全检查过程 远程门户网站检测、渗透性测试小组提前进驻被抽查单位，抽查部分内部系统 分析检测结果、出具初步检查结论，提交现场检查组 检查组现场访谈相关工作人员、抽查各类制度台帐，查看相关现场 检查组汇总检查结果，产生反馈意见 各单位根据反馈意见进行整改 对部分单位整改结果进行抽查 * WWW.HZTEC.ORG.CN 安全检查主要内容 信息安全组织机构 信息安全日常管理 信息安全防护管理 信息安全应急管理 信息安全教育培训 信息安全检查 * WWW.HZTEC.ORG.CN 2011年度检查结果 1.信息安全组织机构 明确了信息安全主管领导（95%） 指定了信息安全管理机构（95%） 设置了专职工作处室（90%） 配备了相应的信息安全管理人员（85%） * WWW.HZTEC.ORG.CN 2011年度检查结果 2.安全日常管理 多数单位在人员管理（85%）、资产管理（75%）和外包管理（70%）等方面建立了较完善的安全管理制度。 指定了信息安全管理机构（95%） * WWW.HZTEC.ORG.CN 2011年度检查结果 3.安全防护管理 各单位门户网站中高风险安全隐患的比例得到进一步下降，但仍有不少部门存在严重安全隐患 * WWW.HZTEC.ORG.CN 2011年度检查结果 4.安全应急管理 较多单位制定了信息安全事件应急响应预案（占65%）并开展了不同程度的应急演练活动（占70%） 多数政府部门建立了合理数据容灾备份制度，实现了重要数据的周期性备份（占75%） * WWW.HZTEC.ORG.CN 2011年度检查结果 4.安全自检查 绝大多数单位（占85%）都通过组织部署、自查实施、问题整改和自查总结等过程，积极有效地开展了信息安全自查工作。 * WWW.HZTEC.ORG.CN 2011年度检查结果 5.主要问题——网站安全防护 不少门户网站存在不同程度的安全漏洞。5个单位的门户网站存在SQL注入等高风险安全漏洞，占所有抽查单位的25%，其中： 8个单位的门户网站存在跨站脚本编写等中等风险安全漏洞，占所有抽查单位的40%。 * WWW.HZTEC.ORG.CN 2011年度检查结果 6.主要问题——其它安全防护 50%单位未具备合理的网络边界自动监测、入侵检测和防范技术能力； 60%单位未建立合理的信息系统安全审计制度； 50%单位未具备网页防篡改能力； 60%单位未建立有效的终端计算机集中管理及接入控制能力； 50%单位未建立合理的移动存储介质安全管理制度 * WWW.HZTEC.ORG.CN 2011年度检查结果 5.主要问题——教育培训 60%单位未开展面向一般工作人员的信息安全培训活动，或覆盖面过小； 35%单位的信息安全管理和技术人员的安全培训不足 * 网站安全防护 * WWW.HZTEC.ORG.CN 案例 2010年12月26日，冷水江市政府网站被黑客攻击 * WWW.HZTEC.ORG.CN 案例 2010年7月，国防部网站被黑客攻击 * WWW.HZTEC.ORG.CN 案例 2010年7月，水利部网站被黑客攻击 * WWW.HZTEC.ORG.CN 一般网站架构 SQL语句