信息系統(tǒng)等級(jí)保護(hù)自動(dòng)化測(cè)試及加固技術(shù)實(shí)現(xiàn)課件

信息系統(tǒng)等級(jí)保護(hù)自動(dòng)化測(cè)試及加固技術(shù)實(shí)現(xiàn)

匯報(bào)人：劉志樂信息系統(tǒng)等級(jí)保護(hù)自動(dòng)化測(cè)試匯報(bào)人：劉志樂WHOAMI劉志樂（Tony）OWASP中國區(qū)委員OWASP中國杭州分會(huì)區(qū)域負(fù)責(zé)人安恒安全服務(wù)部總監(jiān)2011年中國計(jì)算機(jī)網(wǎng)絡(luò)安全年會(huì)演講嘉賓2011年OWASP亞洲峰會(huì)演講嘉賓ISF2011上海演講嘉賓2012年OWASPAppSecAsia悉尼峰會(huì)演講嘉賓2012年第四屆中國云計(jì)算大會(huì)演講嘉賓

2012年計(jì)算機(jī)網(wǎng)絡(luò)安全年會(huì)演講嘉賓WHOAMI劉志樂（Tony）2提綱應(yīng)用安全漏洞自動(dòng)化測(cè)試技術(shù)等級(jí)保護(hù)檢查工作自動(dòng)化實(shí)現(xiàn)技術(shù)等級(jí)保護(hù)整改加固技術(shù)提綱應(yīng)用安全漏洞自動(dòng)化測(cè)試技術(shù)3應(yīng)用安全漏洞自動(dòng)化測(cè)試技術(shù)基于白盒的代碼審計(jì)基于黑盒的QA安全測(cè)試基于灰盒的QA安全測(cè)試自動(dòng)化WEB安全掃描應(yīng)用安全漏洞自動(dòng)化測(cè)試技術(shù)基于白盒的代碼審計(jì)4自動(dòng)化源代碼分析全自動(dòng)評(píng)估程序代碼功能分析所有可能出錯(cuò)的輸入點(diǎn)開發(fā)中立即指出程序弱點(diǎn)所在開發(fā)中立即提出可行的安全程序建議方案快速、有效率且無副作用的安全程序設(shè)計(jì)…$var=$_GET[“input”];……$db->exec(“select*from“.$var);…自動(dòng)化源代碼分析全自動(dòng)評(píng)估程序代碼功能……5自動(dòng)化源代碼分析自動(dòng)化源代碼分析6應(yīng)用安全漏洞自動(dòng)化測(cè)試技術(shù)基于白盒的代碼審計(jì)基于黑盒的QA安全測(cè)試基于灰盒的QA安全測(cè)試自動(dòng)化WEB安全掃描應(yīng)用安全漏洞自動(dòng)化測(cè)試技術(shù)基于白盒的代碼審計(jì)7基于黑盒的QA安全測(cè)試黑盒QA安全測(cè)試工作原理通過fuzzing的方式對(duì)目標(biāo)進(jìn)行測(cè)試通過返回?cái)?shù)據(jù)判斷安全漏洞是否存在基于黑盒的QA安全測(cè)試黑盒QA安全測(cè)試8基于黑盒的QA安全測(cè)試工作方式使用瀏覽器插件獲取基礎(chǔ)數(shù)據(jù)使用http代理獲取基礎(chǔ)數(shù)據(jù)瀏覽器插件http代理測(cè)試數(shù)據(jù)測(cè)試服務(wù)器基于黑盒的QA安全測(cè)試工作方式瀏覽器插件http代理測(cè)試數(shù)據(jù)9基于黑盒的QA安全測(cè)試多測(cè)試人員協(xié)同測(cè)試基于黑盒的QA安全測(cè)試多測(cè)試人員協(xié)同測(cè)試10基于黑盒的QA安全測(cè)試多測(cè)試人員協(xié)同測(cè)試不同人員分模塊進(jìn)行測(cè)試業(yè)務(wù)測(cè)試人員也可進(jìn)行安全測(cè)試安全測(cè)試人員負(fù)責(zé)對(duì)所有結(jié)果的集中審計(jì)可大大降低安全測(cè)試人員的投入基于黑盒的QA安全測(cè)試多測(cè)試人員協(xié)同測(cè)試11基于黑盒的QA安全測(cè)試檢測(cè)弱點(diǎn)及功能基本描述XSS跨站攻擊檢測(cè)SQL注入檢測(cè)CSRF檢測(cè)FORM檢測(cè)；（表單逃逸檢測(cè)）FORM弱口令檢測(cè)網(wǎng)頁木馬（惡意代碼）檢測(cè)數(shù)據(jù)竊取檢測(cè)中間人攻擊檢測(cè)oracle密碼爆力破解WebServiceXpath注入檢測(cè)Web2.0AJAX注入檢測(cè)Cookies注入檢測(cè)雜項(xiàng)：其他各類CGI弱點(diǎn)檢測(cè)，如：命令注入檢測(cè)、LDAP注入檢測(cè)、CFS跨域攻擊檢測(cè)、敏感文件檢測(cè)、目錄遍歷檢測(cè)、遠(yuǎn)程文件包含檢測(cè)、應(yīng)用層拒絕服務(wù)檢測(cè)等等基于黑盒的QA安全測(cè)試檢測(cè)弱點(diǎn)及功能基本描述12基于黑盒的QA安全測(cè)試基于黑盒的QA安全測(cè)試優(yōu)勢(shì)可以協(xié)助測(cè)試人員快速進(jìn)行安全測(cè)試減少安全測(cè)試人員的投入有效規(guī)避在代碼開發(fā)階段模塊測(cè)試時(shí)的多人協(xié)作問題通過代理或插件的方式，可以防止由于復(fù)雜業(yè)務(wù)邏輯導(dǎo)致的操作順序問題基于黑盒的QA安全測(cè)試基于黑盒的QA安全測(cè)試優(yōu)勢(shì)13應(yīng)用安全漏洞自動(dòng)化測(cè)試技術(shù)基于白盒的代碼審計(jì)基于黑盒的QA安全測(cè)試基于灰盒的QA安全測(cè)試自動(dòng)化WEB安全掃描應(yīng)用安全漏洞自動(dòng)化測(cè)試技術(shù)基于白盒的代碼審計(jì)14基于灰盒安全測(cè)試基于灰盒安全測(cè)試15基于灰盒安全測(cè)試QA灰盒測(cè)試通過修改ByteCode劫持關(guān)鍵的函數(shù)

在對(duì)常規(guī)功能進(jìn)行測(cè)試時(shí)，無需測(cè)試人員輸入任何帶攻擊性的測(cè)試數(shù)據(jù)。用類似fuzzing的測(cè)試，能有效的找出程序中的漏洞點(diǎn)。基于灰盒安全測(cè)試QA灰盒測(cè)試16基于灰盒安全測(cè)試QA灰盒測(cè)試特點(diǎn)更深層次的WEB安全漏洞檢測(cè)，如：存儲(chǔ)型跨站、沒有回顯的注入、異常的文件操作等。不干擾正常的業(yè)務(wù)操作?；诨液邪踩珳y(cè)試QA灰盒測(cè)試特點(diǎn)17應(yīng)用安全漏洞自動(dòng)化測(cè)試技術(shù)基于白盒的代碼審計(jì)基于黑盒的QA安全測(cè)試基于灰盒的QA安全測(cè)試自動(dòng)化WEB安全掃描應(yīng)用安全漏洞自動(dòng)化測(cè)試技術(shù)基于白盒的代碼審計(jì)18自動(dòng)化WEB安全掃描自動(dòng)化掃描在應(yīng)用程序完成發(fā)布后，需要進(jìn)行完整的自動(dòng)化應(yīng)用安全掃描測(cè)試完整的自動(dòng)化掃描測(cè)試可以有效快速的發(fā)現(xiàn)應(yīng)用程序的安全問題。自動(dòng)化WEB安全掃描自動(dòng)化掃描19技術(shù)實(shí)現(xiàn)方式技術(shù)實(shí)現(xiàn)方式20主動(dòng)掃描技術(shù)和Proxy掃描技術(shù)的雙支持主動(dòng)掃描被動(dòng)掃描弱點(diǎn)掃描方式主動(dòng)掃描技術(shù)和Proxy掃描技術(shù)的雙支持弱點(diǎn)掃描方式21提綱應(yīng)用安全漏洞自動(dòng)化測(cè)試技術(shù)等級(jí)保護(hù)檢查工作自動(dòng)化實(shí)現(xiàn)技術(shù)等級(jí)保護(hù)整改加固技術(shù)提綱應(yīng)用安全漏洞自動(dòng)化測(cè)試技術(shù)22等級(jí)保護(hù)的工作流程整改測(cè)評(píng)檢查定級(jí)備案等級(jí)保護(hù)的工作流程整改測(cè)評(píng)檢查定級(jí)備案23等級(jí)保護(hù)監(jiān)管單位遇到的問題1.缺乏對(duì)第三方測(cè)評(píng)機(jī)構(gòu)出具的測(cè)評(píng)結(jié)果進(jìn)行校驗(yàn)2.公安民警自身水平有限3.缺乏統(tǒng)一的工具對(duì)其信息系統(tǒng)開展日常檢查工作4.缺乏自動(dòng)化、集中化的工具對(duì)其進(jìn)行檢查、管理5.信息系統(tǒng)開展檢查所用時(shí)間較長(zhǎng)、且效率較低通過實(shí)際走訪溝通目前主要表現(xiàn)如下特點(diǎn)：?等級(jí)保護(hù)監(jiān)管單位遇到的問題1.缺乏對(duì)第三方測(cè)評(píng)機(jī)構(gòu)出具的測(cè)24等級(jí)保護(hù)檢查工作自動(dòng)化實(shí)現(xiàn)技術(shù)為了提升公安民警日常開展等級(jí)保護(hù)檢查工作中的效率，急需一款專業(yè)的自動(dòng)化輔助檢查工具來應(yīng)對(duì)日常開展等級(jí)保護(hù)檢查工作所面臨的諸多問題。

等級(jí)保護(hù)檢查工作自動(dòng)化實(shí)現(xiàn)技術(shù)需充分密切結(jié)合信息安全等級(jí)保護(hù)政策，為測(cè)評(píng)、整改、檢查各環(huán)節(jié)過程中提供專業(yè)、標(biāo)準(zhǔn)化的檢查依據(jù)。等級(jí)保護(hù)檢查工作自動(dòng)化實(shí)現(xiàn)技術(shù)為了提升公安民警日常開25等級(jí)保護(hù)技術(shù)檢查工作自動(dòng)化實(shí)現(xiàn)技術(shù)一、系統(tǒng)漏洞檢查二、數(shù)據(jù)庫安全檢查三、WEB應(yīng)用系統(tǒng)檢查通過對(duì)應(yīng)用系統(tǒng)進(jìn)行檢查，能夠發(fā)現(xiàn)應(yīng)用系統(tǒng)是否存在弱口令、SQL注入、XSS跨站腳本攻擊、目錄遍歷等安全漏洞，能夠覆蓋、關(guān)聯(lián)到應(yīng)用系統(tǒng)身份鑒別、訪問控制、軟件容錯(cuò)等檢查項(xiàng)通過系統(tǒng)漏洞檢查對(duì)信息系統(tǒng)主機(jī)、網(wǎng)絡(luò)、安全設(shè)備進(jìn)行漏洞掃描，從而了解系統(tǒng)所存在的弱口令、安全漏洞，能夠覆蓋、關(guān)聯(lián)到基本要求中主機(jī)安全、網(wǎng)絡(luò)安全的身份鑒別、入侵防范等檢查項(xiàng)通過數(shù)據(jù)庫安全檢查對(duì)數(shù)據(jù)庫系統(tǒng)進(jìn)行掃描，可以了解系統(tǒng)中賬戶和口令安全策略、補(bǔ)丁升級(jí)、及賬戶權(quán)限分配情況、以及安全審計(jì)等狀態(tài)情況，能夠覆蓋、關(guān)聯(lián)到身份鑒別、訪問控制、安全審計(jì)、入侵防范、資源控制項(xiàng)等級(jí)保護(hù)技術(shù)檢查工作自動(dòng)化實(shí)現(xiàn)技術(shù)一、系統(tǒng)漏洞檢查二、數(shù)據(jù)庫26等級(jí)保護(hù)檢查工作自動(dòng)化實(shí)現(xiàn)技術(shù)主機(jī)配置檢查通過接入目標(biāo)主機(jī)，對(duì)主機(jī)、網(wǎng)絡(luò)設(shè)備操作系統(tǒng)進(jìn)行安全基線檢查，可以得知系統(tǒng)端口開放、賬戶管理、不必要的服務(wù)、安全補(bǔ)丁升級(jí)、安全審計(jì)等狀態(tài)情況，主機(jī)配置檢查U盤工具解決了基于遠(yuǎn)程檢查無法發(fā)現(xiàn)更深層問題這一難點(diǎn)。終端安全檢查通過接入目標(biāo)主機(jī)，可實(shí)現(xiàn)對(duì)主機(jī)操作系統(tǒng)進(jìn)行安全掃描，能夠分析出系統(tǒng)是否存在病毒、木馬、蠕蟲、Rootkit等后門程序，終端安全檢查U盤工具解決了通過外部無法分析出主機(jī)內(nèi)是否存在病毒、木馬等惡意代碼的問題。能夠覆蓋、關(guān)聯(lián)到入侵防范惡意代碼檢查通過接入WEB服務(wù)器，對(duì)WEB程序代碼可實(shí)現(xiàn)自動(dòng)化掃描和安全分析，可以了解到程序文件中是否被植入惡意代碼后門口令破解工具運(yùn)行口令破解工具可實(shí)現(xiàn)對(duì)主機(jī)、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)、數(shù)據(jù)庫系統(tǒng)的賬戶口令進(jìn)行驗(yàn)證，可以了解到是否遵循了口令復(fù)雜度、定期更換要求，能夠覆蓋到對(duì)主機(jī)安全、網(wǎng)絡(luò)安全、應(yīng)用系統(tǒng)、數(shù)據(jù)庫系統(tǒng)的身份鑒別項(xiàng)滲透測(cè)試工具通過滲透測(cè)試工具對(duì)三級(jí)以上WEB應(yīng)用系統(tǒng)進(jìn)行安全測(cè)試，可以基于SQL注入點(diǎn)進(jìn)一步進(jìn)行滲透測(cè)試，獲取到后臺(tái)數(shù)據(jù)庫中的相關(guān)信息，解決了無法通過安全掃描獲取后臺(tái)賬戶口令加密和算法強(qiáng)度等信息的問題。能夠覆蓋并關(guān)聯(lián)到軟件容錯(cuò)、訪問控制、通信完整性、通信保密性等檢查項(xiàng)等級(jí)保護(hù)檢查工作自動(dòng)化實(shí)現(xiàn)技術(shù)主機(jī)配置檢查通過接入目標(biāo)主機(jī)，27等級(jí)保護(hù)管理問卷檢查工作自動(dòng)化現(xiàn)實(shí)技術(shù)

由于等級(jí)保護(hù)政策涉及層面較多，僅通過技術(shù)檢查工具無法滿足覆蓋技術(shù)檢查和管理安全以及物理安全檢查的全部檢查項(xiàng)。

管理問卷是充分考慮到上述問題因素，將技術(shù)物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、數(shù)據(jù)庫安全、應(yīng)用安全、數(shù)據(jù)安全及備份和管理安全充分結(jié)合，形成了民警以訪談的形式進(jìn)行數(shù)據(jù)錄入，從而解決了技術(shù)檢查工具無法覆蓋到管理、物理層層面開展同步檢查工作的問題，真正實(shí)現(xiàn)了將技術(shù)和管理進(jìn)行無縫整合。管理問卷等級(jí)保護(hù)管理問卷檢查工作自動(dòng)化現(xiàn)實(shí)技術(shù)由于等級(jí)保護(hù)政策28等級(jí)保護(hù)管理檢查工作自動(dòng)化實(shí)現(xiàn)技術(shù)完備的知識(shí)庫提供豐富的預(yù)期檢查結(jié)果，僅需手動(dòng)選擇，無需人工錄入無需人工編寫整改建議，能夠智能對(duì)不符合項(xiàng)與整改建議知識(shí)庫進(jìn)行關(guān)聯(lián)，真正意義上實(shí)現(xiàn)自動(dòng)化生成完整的信息安全等級(jí)保護(hù)檢查報(bào)告針對(duì)檢查項(xiàng)，提供了豐富的檢查方法，供檢查人員參考檢查方法預(yù)期結(jié)果整改建議等級(jí)保護(hù)管理檢查工作自動(dòng)化實(shí)現(xiàn)技術(shù)完備的知識(shí)庫提供豐富的預(yù)期29等級(jí)保護(hù)管理檢查工作自動(dòng)化實(shí)現(xiàn)技術(shù)示例講解：一、身份鑒別（S3）：b)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份標(biāo)識(shí)應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)有復(fù)雜度要求并定期更換；c)應(yīng)啟用登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施；f)應(yīng)采用兩種或兩種以上組合的鑒別技術(shù)對(duì)管理用戶進(jìn)行身份鑒別。一、檢查方法：1.可通過主機(jī)配置檢查工具檢查其賬戶是否設(shè)置了口令最小長(zhǎng)度、口令復(fù)雜度、以及登錄失敗鎖定次數(shù)2.可通過基于口令破解工具以遠(yuǎn)程非授權(quán)方式對(duì)其目標(biāo)主機(jī)賬戶口令進(jìn)行驗(yàn)證，如檢查過程中發(fā)現(xiàn)存在弱口令，則表明目標(biāo)主機(jī)未采用雙因子認(rèn)證技術(shù)。3.以訪談的形式了解當(dāng)前主機(jī)賬戶、口令策略情況，查看目標(biāo)主機(jī)上策略實(shí)際情況。結(jié)合了技術(shù)與管理方法，解決了僅依賴技術(shù)無法完成一次完整的安全檢查的問題。等級(jí)保護(hù)管理檢查工作自動(dòng)化實(shí)現(xiàn)技術(shù)示例講解：30

等級(jí)保護(hù)管理檢查工作自動(dòng)化實(shí)現(xiàn)技術(shù)---報(bào)告輸出等級(jí)保護(hù)管理檢查工作自動(dòng)化實(shí)現(xiàn)技術(shù)---報(bào)告輸出31

等級(jí)保護(hù)管理檢查工作自動(dòng)化實(shí)現(xiàn)技術(shù)---報(bào)告輸出等級(jí)保護(hù)管理檢查工作自動(dòng)化實(shí)現(xiàn)技術(shù)---報(bào)告輸出32提綱應(yīng)用安全漏洞自動(dòng)化測(cè)試技術(shù)等級(jí)保護(hù)檢查工作自動(dòng)化實(shí)現(xiàn)技術(shù)等級(jí)保護(hù)整改加固技術(shù)提綱應(yīng)用安全漏洞自動(dòng)化測(cè)試技術(shù)33嚴(yán)格遵循國家在等級(jí)保護(hù)方面的有關(guān)政策、技術(shù)標(biāo)準(zhǔn)；整改方案必須要完整、有效、具有可操作性；自主定級(jí)、自主保護(hù)：建設(shè)滿足自身實(shí)際安全需求的等級(jí)保護(hù)安全體系；整體規(guī)劃，分步實(shí)施；對(duì)業(yè)務(wù)應(yīng)用影響最??；重點(diǎn)保護(hù)，適度安全；等級(jí)保護(hù)整改方案設(shè)計(jì)原則嚴(yán)格遵循國家在等級(jí)保護(hù)方面的有關(guān)政策、技術(shù)標(biāo)準(zhǔn)；整改方案必須34

1.政策和技術(shù)標(biāo)準(zhǔn)

2.整改需求分析

3.方案總體設(shè)計(jì)

4.方案詳細(xì)設(shè)計(jì)

5.設(shè)備選型

6.安全性分析

7.工程實(shí)施設(shè)計(jì)《基本要求》為建設(shè)目標(biāo)《設(shè)計(jì)要求》一個(gè)中心三重防護(hù)基本技術(shù)要求、基本管理要求方案與相關(guān)技術(shù)標(biāo)準(zhǔn)符合性等級(jí)保護(hù)整改方案主要內(nèi)容（思路）1.政策和技術(shù)標(biāo)準(zhǔn)2.整改需求分析3.方案35等級(jí)保護(hù)整改加固示例WEB應(yīng)用弱點(diǎn)掃描器數(shù)據(jù)庫弱點(diǎn)掃描器WEB應(yīng)用審計(jì)數(shù)據(jù)庫審計(jì)數(shù)據(jù)庫服務(wù)器應(yīng)用服務(wù)器互聯(lián)網(wǎng)用戶1互聯(lián)網(wǎng)用戶2互聯(lián)網(wǎng)用戶N防火墻WEB應(yīng)用防火墻運(yùn)維審計(jì)綜合日志審計(jì)平臺(tái)等保測(cè)評(píng)與自測(cè)評(píng)等保整改加固等級(jí)保護(hù)整改加固示例WEB應(yīng)用數(shù)據(jù)庫WEB應(yīng)用審計(jì)數(shù)據(jù)庫審計(jì)36信息系統(tǒng)等級(jí)保護(hù)自動(dòng)化測(cè)試及加固技術(shù)實(shí)現(xiàn)課件信息系統(tǒng)等級(jí)保護(hù)自動(dòng)化測(cè)試及加固技術(shù)實(shí)現(xiàn)

匯報(bào)人：劉志樂信息系統(tǒng)等級(jí)保護(hù)自動(dòng)化測(cè)試匯報(bào)人：劉志樂WHOAMI劉志樂（Tony）OWASP中國區(qū)委員OWASP中國杭州分會(huì)區(qū)域負(fù)責(zé)人安恒安全服務(wù)部總監(jiān)2011年中國計(jì)算機(jī)網(wǎng)絡(luò)安全年會(huì)演講嘉賓2011年OWASP亞洲峰會(huì)演講嘉賓ISF2011上海演講嘉賓2012年OWASPAppSecAsia悉尼峰會(huì)演講嘉賓2012年第四屆中國云計(jì)算大會(huì)演講嘉賓

2012年計(jì)算機(jī)網(wǎng)絡(luò)安全年會(huì)演講嘉賓WHOAMI劉志樂（Tony）39提綱應(yīng)用安全漏洞自動(dòng)化測(cè)試技術(shù)等級(jí)保護(hù)檢查工作自動(dòng)化實(shí)現(xiàn)技術(shù)等級(jí)保護(hù)整改加固技術(shù)提綱應(yīng)用安全漏洞自動(dòng)化測(cè)試技術(shù)40應(yīng)用安全漏洞自動(dòng)化測(cè)試技術(shù)基于白盒的代碼審計(jì)基于黑盒的QA安全測(cè)試基于灰盒的QA安全測(cè)試自動(dòng)化WEB安全掃描應(yīng)用安全漏洞自動(dòng)化測(cè)試技術(shù)基于白盒的代碼審計(jì)41自動(dòng)化源代碼分析全自動(dòng)評(píng)估程序代碼功能分析所有可能出錯(cuò)的輸入點(diǎn)開發(fā)中立即指出程序弱點(diǎn)所在開發(fā)中立即提出可行的安全程序建議方案快速、有效率且無副作用的安全程序設(shè)計(jì)…$var=$_GET[“input”];……$db->exec(“select*from“.$var);…自動(dòng)化源代碼分析全自動(dòng)評(píng)估程序代碼功能……42自動(dòng)化源代碼分析自動(dòng)化源代碼分析43應(yīng)用安全漏洞自動(dòng)化測(cè)試技術(shù)基于白盒的代碼審計(jì)基于黑盒的QA安全測(cè)試基于灰盒的QA安全測(cè)試自動(dòng)化WEB安全掃描應(yīng)用安全漏洞自動(dòng)化測(cè)試技術(shù)基于白盒的代碼審計(jì)44基于黑盒的QA安全測(cè)試黑盒QA安全測(cè)試工作原理通過fuzzing的方式對(duì)目標(biāo)進(jìn)行測(cè)試通過返回?cái)?shù)據(jù)判斷安全漏洞是否存在基于黑盒的QA安全測(cè)試黑盒QA安全測(cè)試45基于黑盒的QA安全測(cè)試工作方式使用瀏覽器插件獲取基礎(chǔ)數(shù)據(jù)使用http代理獲取基礎(chǔ)數(shù)據(jù)瀏覽器插件http代理測(cè)試數(shù)據(jù)測(cè)試服務(wù)器基于黑盒的QA安全測(cè)試工作方式瀏覽器插件http代理測(cè)試數(shù)據(jù)46基于黑盒的QA安全測(cè)試多測(cè)試人員協(xié)同測(cè)試基于黑盒的QA安全測(cè)試多測(cè)試人員協(xié)同測(cè)試47基于黑盒的QA安全測(cè)試多測(cè)試人員協(xié)同測(cè)試不同人員分模塊進(jìn)行測(cè)試業(yè)務(wù)測(cè)試人員也可進(jìn)行安全測(cè)試安全測(cè)試人員負(fù)責(zé)對(duì)所有結(jié)果的集中審計(jì)可大大降低安全測(cè)試人員的投入基于黑盒的QA安全測(cè)試多測(cè)試人員協(xié)同測(cè)試48基于黑盒的QA安全測(cè)試檢測(cè)弱點(diǎn)及功能基本描述XSS跨站攻擊檢測(cè)SQL注入檢測(cè)CSRF檢測(cè)FORM檢測(cè)；（表單逃逸檢測(cè)）FORM弱口令檢測(cè)網(wǎng)頁木馬（惡意代碼）檢測(cè)數(shù)據(jù)竊取檢測(cè)中間人攻擊檢測(cè)oracle密碼爆力破解WebServiceXpath注入檢測(cè)Web2.0AJAX注入檢測(cè)Cookies注入檢測(cè)雜項(xiàng)：其他各類CGI弱點(diǎn)檢測(cè)，如：命令注入檢測(cè)、LDAP注入檢測(cè)、CFS跨域攻擊檢測(cè)、敏感文件檢測(cè)、目錄遍歷檢測(cè)、遠(yuǎn)程文件包含檢測(cè)、應(yīng)用層拒絕服務(wù)檢測(cè)等等基于黑盒的QA安全測(cè)試檢測(cè)弱點(diǎn)及功能基本描述49基于黑盒的QA安全測(cè)試基于黑盒的QA安全測(cè)試優(yōu)勢(shì)可以協(xié)助測(cè)試人員快速進(jìn)行安全測(cè)試減少安全測(cè)試人員的投入有效規(guī)避在代碼開發(fā)階段模塊測(cè)試時(shí)的多人協(xié)作問題通過代理或插件的方式，可以防止由于復(fù)雜業(yè)務(wù)邏輯導(dǎo)致的操作順序問題基于黑盒的QA安全測(cè)試基于黑盒的QA安全測(cè)試優(yōu)勢(shì)50應(yīng)用安全漏洞自動(dòng)化測(cè)試技術(shù)基于白盒的代碼審計(jì)基于黑盒的QA安全測(cè)試基于灰盒的QA安全測(cè)試自動(dòng)化WEB安全掃描應(yīng)用安全漏洞自動(dòng)化測(cè)試技術(shù)基于白盒的代碼審計(jì)51基于灰盒安全測(cè)試基于灰盒安全測(cè)試52基于灰盒安全測(cè)試QA灰盒測(cè)試通過修改ByteCode劫持關(guān)鍵的函數(shù)

在對(duì)常規(guī)功能進(jìn)行測(cè)試時(shí)，無需測(cè)試人員輸入任何帶攻擊性的測(cè)試數(shù)據(jù)。用類似fuzzing的測(cè)試，能有效的找出程序中的漏洞點(diǎn)。基于灰盒安全測(cè)試QA灰盒測(cè)試53基于灰盒安全測(cè)試QA灰盒測(cè)試特點(diǎn)更深層次的WEB安全漏洞檢測(cè)，如：存儲(chǔ)型跨站、沒有回顯的注入、異常的文件操作等。不干擾正常的業(yè)務(wù)操作?；诨液邪踩珳y(cè)試QA灰盒測(cè)試特點(diǎn)54應(yīng)用安全漏洞自動(dòng)化測(cè)試技術(shù)基于白盒的代碼審計(jì)基于黑盒的QA安全測(cè)試基于灰盒的QA安全測(cè)試自動(dòng)化WEB安全掃描應(yīng)用安全漏洞自動(dòng)化測(cè)試技術(shù)基于白盒的代碼審計(jì)55自動(dòng)化WEB安全掃描自動(dòng)化掃描在應(yīng)用程序完成發(fā)布后，需要進(jìn)行完整的自動(dòng)化應(yīng)用安全掃描測(cè)試完整的自動(dòng)化掃描測(cè)試可以有效快速的發(fā)現(xiàn)應(yīng)用程序的安全問題。自動(dòng)化WEB安全掃描自動(dòng)化掃描56技術(shù)實(shí)現(xiàn)方式技術(shù)實(shí)現(xiàn)方式57主動(dòng)掃描技術(shù)和Proxy掃描技術(shù)的雙支持主動(dòng)掃描被動(dòng)掃描弱點(diǎn)掃描方式主動(dòng)掃描技術(shù)和Proxy掃描技術(shù)的雙支持弱點(diǎn)掃描方式58提綱應(yīng)用安全漏洞自動(dòng)化測(cè)試技術(shù)等級(jí)保護(hù)檢查工作自動(dòng)化實(shí)現(xiàn)技術(shù)等級(jí)保護(hù)整改加固技術(shù)提綱應(yīng)用安全漏洞自動(dòng)化測(cè)試技術(shù)59等級(jí)保護(hù)的工作流程整改測(cè)評(píng)檢查定級(jí)備案等級(jí)保護(hù)的工作流程整改測(cè)評(píng)檢查定級(jí)備案60等級(jí)保護(hù)監(jiān)管單位遇到的問題1.缺乏對(duì)第三方測(cè)評(píng)機(jī)構(gòu)出具的測(cè)評(píng)結(jié)果進(jìn)行校驗(yàn)2.公安民警自身水平有限3.缺乏統(tǒng)一的工具對(duì)其信息系統(tǒng)開展日常檢查工作4.缺乏自動(dòng)化、集中化的工具對(duì)其進(jìn)行檢查、管理5.信息系統(tǒng)開展檢查所用時(shí)間較長(zhǎng)、且效率較低通過實(shí)際走訪溝通目前主要表現(xiàn)如下特點(diǎn)：?等級(jí)保護(hù)監(jiān)管單位遇到的問題1.缺乏對(duì)第三方測(cè)評(píng)機(jī)構(gòu)出具的測(cè)61等級(jí)保護(hù)檢查工作自動(dòng)化實(shí)現(xiàn)技術(shù)為了提升公安民警日常開展等級(jí)保護(hù)檢查工作中的效率，急需一款專業(yè)的自動(dòng)化輔助檢查工具來應(yīng)對(duì)日常開展等級(jí)保護(hù)檢查工作所面臨的諸多問題。

等級(jí)保護(hù)檢查工作自動(dòng)化實(shí)現(xiàn)技術(shù)需充分密切結(jié)合信息安全等級(jí)保護(hù)政策，為測(cè)評(píng)、整改、檢查各環(huán)節(jié)過程中提供專業(yè)、標(biāo)準(zhǔn)化的檢查依據(jù)。等級(jí)保護(hù)檢查工作自動(dòng)化實(shí)現(xiàn)技術(shù)為了提升公安民警日常開62等級(jí)保護(hù)技術(shù)檢查工作自動(dòng)化實(shí)現(xiàn)技術(shù)一、系統(tǒng)漏洞檢查二、數(shù)據(jù)庫安全檢查三、WEB應(yīng)用系統(tǒng)檢查通過對(duì)應(yīng)用系統(tǒng)進(jìn)行檢查，能夠發(fā)現(xiàn)應(yīng)用系統(tǒng)是否存在弱口令、SQL注入、XSS跨站腳本攻擊、目錄遍歷等安全漏洞，能夠覆蓋、關(guān)聯(lián)到應(yīng)用系統(tǒng)身份鑒別、訪問控制、軟件容錯(cuò)等檢查項(xiàng)通過系統(tǒng)漏洞檢查對(duì)信息系統(tǒng)主機(jī)、網(wǎng)絡(luò)、安全設(shè)備進(jìn)行漏洞掃描，從而了解系統(tǒng)所存在的弱口令、安全漏洞，能夠覆蓋、關(guān)聯(lián)到基本要求中主機(jī)安全、網(wǎng)絡(luò)安全的身份鑒別、入侵防范等檢查項(xiàng)通過數(shù)據(jù)庫安全檢查對(duì)數(shù)據(jù)庫系統(tǒng)進(jìn)行掃描，可以了解系統(tǒng)中賬戶和口令安全策略、補(bǔ)丁升級(jí)、及賬戶權(quán)限分配情況、以及安全審計(jì)等狀態(tài)情況，能夠覆蓋、關(guān)聯(lián)到身份鑒別、訪問控制、安全審計(jì)、入侵防范、資源控制項(xiàng)等級(jí)保護(hù)技術(shù)檢查工作自動(dòng)化實(shí)現(xiàn)技術(shù)一、系統(tǒng)漏洞檢查二、數(shù)據(jù)庫63等級(jí)保護(hù)檢查工作自動(dòng)化實(shí)現(xiàn)技術(shù)主機(jī)配置檢查通過接入目標(biāo)主機(jī)，對(duì)主機(jī)、網(wǎng)絡(luò)設(shè)備操作系統(tǒng)進(jìn)行安全基線檢查，可以得知系統(tǒng)端口開放、賬戶管理、不必要的服務(wù)、安全補(bǔ)丁升級(jí)、安全審計(jì)等狀態(tài)情況，主機(jī)配置檢查U盤工具解決了基于遠(yuǎn)程檢查無法發(fā)現(xiàn)更深層問題這一難點(diǎn)。終端安全檢查通過接入目標(biāo)主機(jī)，可實(shí)現(xiàn)對(duì)主機(jī)操作系統(tǒng)進(jìn)行安全掃描，能夠分析出系統(tǒng)是否存在病毒、木馬、蠕蟲、Rootkit等后門程序，終端安全檢查U盤工具解決了通過外部無法分析出主機(jī)內(nèi)是否存在病毒、木馬等惡意代碼的問題。能夠覆蓋、關(guān)聯(lián)到入侵防范惡意代碼檢查通過接入WEB服務(wù)器，對(duì)WEB程序代碼可實(shí)現(xiàn)自動(dòng)化掃描和安全分析，可以了解到程序文件中是否被植入惡意代碼后門口令破解工具運(yùn)行口令破解工具可實(shí)現(xiàn)對(duì)主機(jī)、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)、數(shù)據(jù)庫系統(tǒng)的賬戶口令進(jìn)行驗(yàn)證，可以了解到是否遵循了口令復(fù)雜度、定期更換要求，能夠覆蓋到對(duì)主機(jī)安全、網(wǎng)絡(luò)安全、應(yīng)用系統(tǒng)、數(shù)據(jù)庫系統(tǒng)的身份鑒別項(xiàng)滲透測(cè)試工具通過滲透測(cè)試工具對(duì)三級(jí)以上WEB應(yīng)用系統(tǒng)進(jìn)行安全測(cè)試，可以基于SQL注入點(diǎn)進(jìn)一步進(jìn)行滲透測(cè)試，獲取到后臺(tái)數(shù)據(jù)庫中的相關(guān)信息，解決了無法通過安全掃描獲取后臺(tái)賬戶口令加密和算法強(qiáng)度等信息的問題。能夠覆蓋并關(guān)聯(lián)到軟件容錯(cuò)、訪問控制、通信完整性、通信保密性等檢查項(xiàng)等級(jí)保護(hù)檢查工作自動(dòng)化實(shí)現(xiàn)技術(shù)主機(jī)配置檢查通過接入目標(biāo)主機(jī)，64等級(jí)保護(hù)管理問卷檢查工作自動(dòng)化現(xiàn)實(shí)技術(shù)

由于等級(jí)保護(hù)政策涉及層面較多，僅通過技術(shù)檢查工具無法滿足覆蓋技術(shù)檢查和管理安全以及物理安全檢查的全部檢查項(xiàng)。

管理問卷是充分考慮到上述問題因素，將技術(shù)物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、數(shù)據(jù)庫安全、應(yīng)用安全、數(shù)據(jù)安全及備份和管理安全充分結(jié)合，形成了民警以訪談的形式進(jìn)行數(shù)據(jù)錄入，從而解決了技術(shù)檢查工具無法覆蓋到管理、物理層層面開展同步檢查工作的問題，真正實(shí)現(xiàn)了將技術(shù)和管理進(jìn)行無縫整合。管理問卷等級(jí)保護(hù)管理問卷檢查工作自動(dòng)化現(xiàn)實(shí)技術(shù)由于等級(jí)保護(hù)政策65等級(jí)保護(hù)管理檢查工作自動(dòng)化實(shí)現(xiàn)技術(shù)完備的知識(shí)庫提供豐富的預(yù)期檢查結(jié)果，僅需手動(dòng)選擇，無需人工錄入無需人工編寫整改建議，能夠智能對(duì)不符合項(xiàng)與整改建議知識(shí)庫進(jìn)行關(guān)聯(lián)，真正意義上實(shí)現(xiàn)自動(dòng)化生成完整的信息安全等級(jí)保護(hù)檢查報(bào)告針對(duì)檢查項(xiàng)，提供了豐富的檢查方法，供檢查人員參考檢查方法預(yù)期結(jié)果整改建議等級(jí)保護(hù)管理檢查工作自動(dòng)化實(shí)現(xiàn)技術(shù)完備的知識(shí)庫提供豐富的預(yù)期66等級(jí)保護(hù)管理檢查工作自動(dòng)化實(shí)現(xiàn)技術(shù)示例講解：一、身份鑒別（S3）：b)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份標(biāo)識(shí)應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)有復(fù)雜度要求并定期更換；c)