信息系統(tǒng)等級保護自動化測試及加固技術實現

1、匯報人：劉志樂WEB應用安全和數據庫安全的領航者WHO AM IWHO AM I 劉志樂（劉志樂（TonyTony）OWASP中國區(qū)委員OWASP中國杭州分會區(qū)域負責人安恒安全服務部總監(jiān)2011年中國計算機網絡安全年會演講嘉賓2011年OWASP亞洲峰會演講嘉賓ISF2011上海演講嘉賓2012年OWASP AppSec Asia悉尼峰會演講嘉賓2012年第四屆中國云計算大會演講嘉賓 2012年計算機網絡安全年會演講嘉賓WEB應用安全和數據庫安全的領航者提提 綱綱 應用安全漏洞自動化測試技術 等級保護檢查工作自動化實現技術 等級保護整改加固技術WEB應用安全和數據庫安全的領航者應用安全漏洞自動

2、化測試技術應用安全漏洞自動化測試技術 基于白盒的代碼審計 基于黑盒的 QA 安全測試 基于灰盒的 QA 安全測試 自動化 WEB 安全掃描WEB應用安全和數據庫安全的領航者自動化源代碼分析自動化源代碼分析全自動評估程序代碼功能分析所有可能出錯的輸入點開發(fā)中立即指出程序弱點所在開發(fā)中立即提出可行的安全程序建議方案快速、有效率且無副作用的安全程序設計$var = $_GET“input”;$db-exec(“select * from “ . $var);WEB應用安全和數據庫安全的領航者自動化源代碼分析自動化源代碼分析 WEB應用安全和數據庫安全的領航者應用安全漏洞自動化測試技術應用安全漏洞自動

3、化測試技術 基于白盒的代碼審計 基于黑盒的 QA 安全測試 基于灰盒的 QA 安全測試 自動化 WEB 安全掃描WEB應用安全和數據庫安全的領航者基于黑盒的基于黑盒的QA安全測試安全測試 黑盒 QA 安全測試 工作原理通過 fuzzing 的方式對目標進行測試通過返回數據判斷安全漏洞是否存在WEB應用安全和數據庫安全的領航者基于黑盒的基于黑盒的QA安全測試安全測試 工作方式 使用瀏覽器插件獲取基礎數據 使用http代理獲取基礎數據瀏覽器插件http代理測試數據測試服務器WEB應用安全和數據庫安全的領航者基于黑盒的基于黑盒的QA安全測試安全測試 多測試人員協(xié)同測試WEB應用安全和數據庫安全的領航

4、者基于黑盒的基于黑盒的QA安全測試安全測試 多測試人員協(xié)同測試 不同人員分模塊進行測試 業(yè)務測試人員也可進行安全測試 安全測試人員負責對所有結果的集中審計 可大大降低安全測試人員的投入WEB應用安全和數據庫安全的領航者基于黑盒的基于黑盒的QA安全測試安全測試檢測弱點及功能基本描述 XSS跨站攻擊檢測SQL 注入檢測CSRF檢測FORM檢測；（表單逃逸檢測）FORM弱口令檢測網頁木馬（惡意代碼）檢測數據竊取檢測中間人攻擊檢測oracle密碼爆力破解WebService Xpath 注入檢測Web 2.0 AJAX注入檢測Cookies 注入檢測雜項：其他各類CGI弱點檢測，如：命令注入檢測、LD

5、AP注入檢測、CFS跨域攻擊檢測、敏感文件檢測、目錄遍歷檢測、遠程文件包含檢測、應用層拒絕服務檢測等等WEB應用安全和數據庫安全的領航者基于黑盒的基于黑盒的QA安全測試安全測試 基于黑盒的QA安全測試優(yōu)勢 可以協(xié)助測試人員快速進行安全測試 減少安全測試人員的投入 有效規(guī)避在代碼開發(fā)階段模塊測試時的多人協(xié)作問題 通過代理或插件的方式，可以防止由于復雜業(yè)務邏輯導致的操作順序問題WEB應用安全和數據庫安全的領航者應用安全漏洞自動化測試技術應用安全漏洞自動化測試技術 基于白盒的代碼審計 基于黑盒的 QA 安全測試 基于灰盒的 QA 安全測試 自動化 WEB 安全掃描WEB應用安全和數據庫安全的領航者基

6、于灰盒安全測試基于灰盒安全測試WEB應用安全和數據庫安全的領航者基于灰盒安全測試基于灰盒安全測試 QA 灰盒測試 通過修改 ByteCode 劫持關鍵的函數在對常規(guī)功能進行測試時，無需測試人員輸入任何帶攻擊性的測試數據。用類似 fuzzing 的測試，能有效的找出程序中的漏洞點。WEB應用安全和數據庫安全的領航者基于灰盒安全測試基于灰盒安全測試 QA 灰盒測試特點 更深層次的WEB安全漏洞檢測，如：存儲型跨站、沒有回顯的注入、異常的文件操作等。 不干擾正常的業(yè)務操作。WEB應用安全和數據庫安全的領航者應用安全漏洞自動化測試技術應用安全漏洞自動化測試技術 基于白盒的代碼審計 基于黑盒的 QA 安

7、全測試 基于灰盒的 QA 安全測試 自動化 WEB 安全掃描WEB應用安全和數據庫安全的領航者自動化自動化WEB安全掃描安全掃描 自動化掃描 在應用程序完成發(fā)布后，需要進行完整的自動化應用安全掃描測試 完整的自動化掃描測試可以有效快速的發(fā)現應用程序的安全問題。WEB應用安全和數據庫安全的領航者技術實現方式技術實現方式WEB應用安全和數據庫安全的領航者 主動掃描技術和Proxy掃描技術的雙支持 主動掃描 被動掃描弱點掃描方式弱點掃描方式WEB應用安全和數據庫安全的領航者提提 綱綱 應用安全漏洞自動化測試技術 等級保護檢查工作自動化實現技術 等級保護整改加固技術WEB應用安全和數據庫安全的領航者等

8、級保護的工作流程等級保護的工作流程WEB應用安全和數據庫安全的領航者等級保護監(jiān)管單位遇到的問題等級保護監(jiān)管單位遇到的問題1. 缺乏對第三方測評機構出具的測評結果進行校驗2. 公安民警自身水平有限3. 缺乏統(tǒng)一的工具對其信息系統(tǒng)開展日常檢查工作4. 缺乏自動化、集中化的工具對其進行檢查、管理5. 信息系統(tǒng)開展檢查所用時間較長、且效率較低通過實際走訪溝通目前主要表現如下特點：通過實際走訪溝通目前主要表現如下特點：WEB應用安全和數據庫安全的領航者等級保護檢查工作自動化實現技術等級保護檢查工作自動化實現技術 為了提升公安民警日常開展等級保護檢查工作中的效率，急需一款專業(yè)的自動化輔助檢查工具來應對日常

9、開展等級保護檢查工作所面臨的諸多問題。 等級保護檢查工作自動化實現技術需充分密切結合信息安全等級保護政策，為測評、整改、檢查各環(huán)節(jié)過程中提供專業(yè)、標準化的檢查依據。WEB應用安全和數據庫安全的領航者等級保護技術檢查工作自動化實現技術等級保護技術檢查工作自動化實現技術 通過對應用系統(tǒng)進行檢查，能夠發(fā)現應用系統(tǒng)是否存在弱口令、SQL注入、XSS跨站腳本攻擊、目錄遍歷等安全漏洞，能夠覆蓋、關聯到應用系統(tǒng)身份鑒別、訪問控制、軟件容錯等檢查項通過系統(tǒng)漏洞檢查對信息系統(tǒng)主機、網絡、安全設備進行漏洞掃描，從而了解系統(tǒng)所存在的弱口令、安全漏洞，能夠覆蓋、關聯到基本要求中主機安全、網絡安全的身份鑒別、入侵防范等

10、檢查項通過數據庫安全檢查對數據庫系統(tǒng)進行掃描，可以了解系統(tǒng)中賬戶和口令安全策略、補丁升級、及賬戶權限分配情況、以及安全審計等狀態(tài)情況，能夠覆蓋、關聯到身份鑒別、訪問控制、安全審計、入侵防范、資源控制項WEB應用安全和數據庫安全的領航者等級保護檢查工作自動化實現技術等級保護檢查工作自動化實現技術WEB應用安全和數據庫安全的領航者等級保護管理問卷檢查工作自動化現實技術等級保護管理問卷檢查工作自動化現實技術 由于等級保護政策涉及層面較多，僅通過技術檢查工具無法滿足覆蓋技術檢查和管理安全以及物理安全檢查的全部檢查項。 管理問卷是充分考慮到上述問題因素，將技術物理安全、網絡安全、主機安全、數據庫安全、應

11、用安全、數據安全及備份和管理安全充分結合，形成了民警以訪談的形式進行數據錄入，從而解決了技術檢查工具無法覆蓋到管理、物理層層面開展同步檢查工作的問題，真正實現了將技術和管理進行無縫整合。WEB應用安全和數據庫安全的領航者等級保護管理檢查工作自動化實現技術等級保護管理檢查工作自動化實現技術針對檢查項，提供了豐富的檢查方法，供檢查人員參考檢查方法預期結果整改建議WEB應用安全和數據庫安全的領航者等級保護管理檢查工作自動化實現技術等級保護管理檢查工作自動化實現技術示例講解：示例講解：一、一、身份鑒別（S3）：b) 操作系統(tǒng)和數據庫系統(tǒng)管理用戶身份標識應具有不易被冒用的特點，口令應有復雜

12、度要求并定期更換；c) 應啟用登錄失敗處理功能，可采取結束會話、限制非法登錄次數和自動退出等措施；f) 應采用兩種或兩種以上組合的鑒別技術對管理用戶進行身份鑒別。一、一、 檢查方法：檢查方法：1. 可通過主機配置檢查工具檢查其賬戶是否設置了口令最小長度、口令復雜度、以及登錄失敗鎖定次數2. 可通過基于口令破解工具以遠程非授權方式對其目標主機賬戶口令進行驗證，如檢查過程中發(fā)現存在弱口令，則表明目標主機未采用雙因子認證技術。3. 以訪談的形式了解當前主機賬戶、口令策略情況，查看目標主機上策略實際情況。結合了技術與管理方法，解決了僅依賴技術無法完成一次完整的安全檢查的問題。WEB應用安全和數據庫安全

13、的領航者 等級保護管理檢查工作自動化實現技術等級保護管理檢查工作自動化實現技術-報告輸出報告輸出WEB應用安全和數據庫安全的領航者 等級保護管理檢查工作自動化實現技術等級保護管理檢查工作自動化實現技術-報告輸出報告輸出WEB應用安全和數據庫安全的領航者提提 綱綱 應用安全漏洞自動化測試技術 等級保護檢查工作自動化實現技術 等級保護整改加固技術WEB應用安全和數據庫安全的領航者嚴格遵循國家在等級保護方面的有關政策、技嚴格遵循國家在等級保護方面的有關政策、技術標準；術標準；整改方案必須要完整、有效、具有可操作性；整改方案必須要完整、有效、具有可操作性；自主定級、自主保護：建設滿足自身實際安全自主定級、自主保護：建設滿足自身實際安全需求的等級保護安全體系；需求的等級保護安全體系；整體規(guī)劃，分步實施；整體規(guī)劃，分步實施；對業(yè)務應用影響最?。粚I(yè)務應用影響最?。恢攸c保護，適度安全；重點保護，適度安全；等級保護整改方案設計原則等級保護整改方案設計原則WEB應用安全和數據庫安全的領航者1.1.政策和技術標準政策和技術標準2.2.整改需求分析整改需求分析3.3.方案總體設計方案總體設計4.4.方案詳細設計方案詳細設計5.5.設備選型設備