信息系統(tǒng)等級保護自動化測試與加固技術(shù)實現(xiàn)

信息系統(tǒng)等級保護自動化測試與加固技術(shù)實現(xiàn)第一頁，共38頁。WHOAMI劉志樂（Tony）OWASP中國區(qū)委員OWASP中國杭州分會區(qū)域負(fù)責(zé)人安恒安全服務(wù)部總監(jiān)2011年中國計算機網(wǎng)絡(luò)安全年會演講嘉賓2011年OWASP亞洲峰會演講嘉賓ISF2011上海演講嘉賓2012年OWASPAppSecAsia悉尼峰會演講嘉賓2012年第四屆中國云計算大會演講嘉賓

2012年計算機網(wǎng)絡(luò)安全年會演講嘉賓第二頁，共38頁。提綱應(yīng)用安全漏洞自動化測試技術(shù)等級保護檢查工作自動化實現(xiàn)技術(shù)等級保護整改加固技術(shù)第三頁，共38頁。應(yīng)用安全漏洞自動化測試技術(shù)基于白盒的代碼審計基于黑盒的QA安全測試基于灰盒的QA安全測試自動化WEB安全掃描第四頁，共38頁。自動化源代碼分析全自動評估程序代碼功能分析所有可能出錯的輸入點開發(fā)中立即指出程序弱點所在開發(fā)中立即提出可行的安全程序建議方案快速、有效率且無副作用的安全程序設(shè)計…$var=$_GET[“input”];……$db->exec(“select*from“.$var);…第五頁，共38頁。自動化源代碼分析第六頁，共38頁。應(yīng)用安全漏洞自動化測試技術(shù)基于白盒的代碼審計基于黑盒的QA安全測試基于灰盒的QA安全測試自動化WEB安全掃描第七頁，共38頁。基于黑盒的QA安全測試黑盒QA安全測試工作原理通過fuzzing的方式對目標(biāo)進行測試通過返回數(shù)據(jù)判斷安全漏洞是否存在第八頁，共38頁?；诤诤械腝A安全測試工作方式使用瀏覽器插件獲取基礎(chǔ)數(shù)據(jù)使用http代理獲取基礎(chǔ)數(shù)據(jù)瀏覽器插件http代理測試數(shù)據(jù)測試服務(wù)器第九頁，共38頁?；诤诤械腝A安全測試多測試人員協(xié)同測試第十頁，共38頁?；诤诤械腝A安全測試多測試人員協(xié)同測試不同人員分模塊進行測試業(yè)務(wù)測試人員也可進行安全測試安全測試人員負(fù)責(zé)對所有結(jié)果的集中審計可大大降低安全測試人員的投入第十一頁，共38頁?；诤诤械腝A安全測試檢測弱點及功能基本描述XSS跨站攻擊檢測SQL注入檢測CSRF檢測FORM檢測；（表單逃逸檢測）FORM弱口令檢測網(wǎng)頁木馬（惡意代碼）檢測數(shù)據(jù)竊取檢測中間人攻擊檢測oracle密碼爆力破解WebServiceXpath注入檢測Web2.0AJAX注入檢測Cookies注入檢測雜項：其他各類CGI弱點檢測，如：命令注入檢測、LDAP注入檢測、CFS跨域攻擊檢測、敏感文件檢測、目錄遍歷檢測、遠(yuǎn)程文件包含檢測、應(yīng)用層拒絕服務(wù)檢測等等第十二頁，共38頁?；诤诤械腝A安全測試基于黑盒的QA安全測試優(yōu)勢可以協(xié)助測試人員快速進行安全測試減少安全測試人員的投入有效規(guī)避在代碼開發(fā)階段模塊測試時的多人協(xié)作問題通過代理或插件的方式，可以防止由于復(fù)雜業(yè)務(wù)邏輯導(dǎo)致的操作順序問題第十三頁，共38頁。應(yīng)用安全漏洞自動化測試技術(shù)基于白盒的代碼審計基于黑盒的QA安全測試基于灰盒的QA安全測試自動化WEB安全掃描第十四頁，共38頁?；诨液邪踩珳y試第十五頁，共38頁?；诨液邪踩珳y試QA灰盒測試通過修改ByteCode劫持關(guān)鍵的函數(shù)

在對常規(guī)功能進行測試時，無需測試人員輸入任何帶攻擊性的測試數(shù)據(jù)。用類似fuzzing的測試，能有效的找出程序中的漏洞點。第十六頁，共38頁?；诨液邪踩珳y試QA灰盒測試特點更深層次的WEB安全漏洞檢測，如：存儲型跨站、沒有回顯的注入、異常的文件操作等。不干擾正常的業(yè)務(wù)操作。第十七頁，共38頁。應(yīng)用安全漏洞自動化測試技術(shù)基于白盒的代碼審計基于黑盒的QA安全測試基于灰盒的QA安全測試自動化WEB安全掃描第十八頁，共38頁。自動化WEB安全掃描自動化掃描在應(yīng)用程序完成發(fā)布后，需要進行完整的自動化應(yīng)用安全掃描測試完整的自動化掃描測試可以有效快速的發(fā)現(xiàn)應(yīng)用程序的安全問題。第十九頁，共38頁。技術(shù)實現(xiàn)方式第二十頁，共38頁。主動掃描技術(shù)和Proxy掃描技術(shù)的雙支持主動掃描被動掃描弱點掃描方式第二十一頁，共38頁。提綱應(yīng)用安全漏洞自動化測試技術(shù)等級保護檢查工作自動化實現(xiàn)技術(shù)等級保護整改加固技術(shù)第二十二頁，共38頁。等級保護的工作流程第二十三頁，共38頁。等級保護監(jiān)管單位遇到的問題1.缺乏對第三方測評機構(gòu)出具的測評結(jié)果進行校驗2.公安民警自身水平有限3.缺乏統(tǒng)一的工具對其信息系統(tǒng)開展日常檢查工作4.缺乏自動化、集中化的工具對其進行檢查、管理5.信息系統(tǒng)開展檢查所用時間較長、且效率較低通過實際走訪溝通目前主要表現(xiàn)如下特點：第二十四頁，共38頁。等級保護檢查工作自動化實現(xiàn)技術(shù)為了提升公安民警日常開展等級保護檢查工作中的效率，急需一款專業(yè)的自動化輔助檢查工具來應(yīng)對日常開展等級保護檢查工作所面臨的諸多問題。

等級保護檢查工作自動化實現(xiàn)技術(shù)需充分密切結(jié)合信息安全等級保護政策，為測評、整改、檢查各環(huán)節(jié)過程中提供專業(yè)、標(biāo)準(zhǔn)化的檢查依據(jù)。第二十五頁，共38頁。等級保護技術(shù)檢查工作自動化實現(xiàn)技術(shù)通過對應(yīng)用系統(tǒng)進行檢查，能夠發(fā)現(xiàn)應(yīng)用系統(tǒng)是否存在弱口令、SQL注入、XSS跨站腳本攻擊、目錄遍歷等安全漏洞，能夠覆蓋、關(guān)聯(lián)到應(yīng)用系統(tǒng)身份鑒別、訪問控制、軟件容錯等檢查項通過系統(tǒng)漏洞檢查對信息系統(tǒng)主機、網(wǎng)絡(luò)、安全設(shè)備進行漏洞掃描，從而了解系統(tǒng)所存在的弱口令、安全漏洞，能夠覆蓋、關(guān)聯(lián)到基本要求中主機安全、網(wǎng)絡(luò)安全的身份鑒別、入侵防范等檢查項通過數(shù)據(jù)庫安全檢查對數(shù)據(jù)庫系統(tǒng)進行掃描，可以了解系統(tǒng)中賬戶和口令安全策略、補丁升級、及賬戶權(quán)限分配情況、以及安全審計等狀態(tài)情況，能夠覆蓋、關(guān)聯(lián)到身份鑒別、訪問控制、安全審計、入侵防范、資源控制項第二十六頁，共38頁。等級保護檢查工作自動化實現(xiàn)技術(shù)第二十七頁，共38頁。等級保護管理問卷檢查工作自動化現(xiàn)實技術(shù)由于等級保護政策涉及層面較多，僅通過技術(shù)檢查工具無法滿足覆蓋技術(shù)檢查和管理安全以及物理安全檢查的全部檢查項。

管理問卷是充分考慮到上述問題因素，將技術(shù)物理安全、網(wǎng)絡(luò)安全、主機安全、數(shù)據(jù)庫安全、應(yīng)用安全、數(shù)據(jù)安全及備份和管理安全充分結(jié)合，形成了民警以訪談的形式進行數(shù)據(jù)錄入，從而解決了技術(shù)檢查工具無法覆蓋到管理、物理層層面開展同步檢查工作的問題，真正實現(xiàn)了將技術(shù)和管理進行無縫整合。第二十八頁，共38頁。等級保護管理檢查工作自動化實現(xiàn)技術(shù)針對檢查項，提供了豐富的檢查方法，供檢查人員參考檢查方法預(yù)期結(jié)果整改建議第二十九頁，共38頁。等級保護管理檢查工作自動化實現(xiàn)技術(shù)示例講解：一、身份鑒別（S3）：b)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份標(biāo)識應(yīng)具有不易被冒用的特點，口令應(yīng)有復(fù)雜度要求并定期更換；c)應(yīng)啟用登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施；f)應(yīng)采用兩種或兩種以上組合的鑒別技術(shù)對管理用戶進行身份鑒別。一、檢查方法：1.可通過主機配置檢查工具檢查其賬戶是否設(shè)置了口令最小長度、口令復(fù)雜度、以及登錄失敗鎖定次數(shù)2.可通過基于口令破解工具以遠(yuǎn)程非授權(quán)方式對其目標(biāo)主機賬戶口令進行驗證，如檢查過程中發(fā)現(xiàn)存在弱口令，則表明目標(biāo)主機未采用雙因子認(rèn)證技術(shù)。3.以訪談的形式了解當(dāng)前主機賬戶、口令策略情況，查看目標(biāo)主機上策略實際情況。結(jié)合了技術(shù)與管理方法，解決了僅依賴技術(shù)無法完成一次完整的安全檢查的問題。第三十頁，共38頁。

等級保護管理檢查工作自動化實現(xiàn)技術(shù)---報告輸出第三十一頁，共38頁。

等級保護管理檢查工作自動化實現(xiàn)技術(shù)---報告輸出第三十二頁，共38頁。提綱應(yīng)用安全漏洞自動化測試技術(shù)等級保護檢查工作自動化實現(xiàn)技術(shù)等級保護整改加固技術(shù)第三十三頁，共38頁。嚴(yán)格遵循國家在等級保護方面的有關(guān)政策、技術(shù)標(biāo)準(zhǔn)；整改方案必須要完整、有效、具有可操作性；自主定級、自主保護：建設(shè)滿足自身實際安全需求的等級保護安全體系；整體規(guī)劃，分步實施；對業(yè)務(wù)應(yīng)用影響最?。恢攸c保護，適度安全；等級保護整改方案設(shè)計原則第三十四頁，共38頁。

1.政策和技術(shù)標(biāo)準(zhǔn)

2.整改需求分析

3.方案總體設(shè)計

4.方案詳細(xì)設(shè)計

5.設(shè)備選型

6.安全性分析

7.工程實施設(shè)計《基本要求》為建設(shè)目標(biāo)《設(shè)計要求》一個中心三重防護基本技術(shù)要求、基本管理要求方案與相關(guān)技術(shù)標(biāo)準(zhǔn)符合性等級保護整改方案主