業(yè)務系統(tǒng)(暨應用系統(tǒng))安全評估指南

1、密 級：秘密 文檔編號： 項目代號： 業(yè)務系統(tǒng)（暨應用系統(tǒng)）安全評估指南 Ver 0.4 二零零五年二月 安氏互聯(lián)網(wǎng)安全系統(tǒng)（中國）有限公司 業(yè)務系統(tǒng)（暨應用系統(tǒng)）安全評估指南第 2 頁 共 50 頁 版本控制版本控制 版本日期參與人員更新說明 0.42005-2-11崔天強文檔框架開始建立 分發(fā)控制分發(fā)控制 編號讀者文檔權(quán)限與文檔的主要關(guān)系 1編寫，修改文檔作者 2讀取 業(yè)務系統(tǒng)（暨應用系統(tǒng)）安全評估指南第 3 頁 共 50 頁 目目 錄錄 1概述 .7 1.1評估的范圍與概念澄清.7 1.1.1業(yè)務系統(tǒng)評估.7 1.1.2應用系統(tǒng)評估.8 1.2評估手段.9 1.3評估實施環(huán)境.10 2軟

2、件工程模型對安全評估的借鑒 .10 2.1軟件工程對信息安全評估工作的借鑒意義.10 2.2以業(yè)務為核心的全面風險評估.10 2.3組織結(jié)構(gòu)與功能.11 2.3.1組織結(jié)構(gòu)圖.11 2.3.2組織/業(yè)務關(guān)系圖.12 2.3.3業(yè)務功能表.13 2.3.4組織結(jié)構(gòu)與功能分析對安全評估的借鑒.13 2.4業(yè)務流程分析.13 2.4.1軟件工程中的業(yè)務流程分析.13 2.4.2安氏現(xiàn)有的業(yè)務流程評估.14 2.4.3業(yè)務流程分析對安全評估的借鑒.15 2.5數(shù)據(jù)流程分析.17 2.5.1軟件工程中的數(shù)據(jù)流程分析.17 2.5.2數(shù)據(jù)流程分析對安全評估的借鑒.19 2.6威脅模型.23 3應用系統(tǒng)的安

3、全開發(fā)過程 .24 3.1教育.24 3.2設(shè)計階段.24 3.2.1面試時進行安全性考核.24 3.2.2設(shè)定產(chǎn)品的安全目標.25 3.2.3建立威脅模型.25 3.2.4設(shè)置Bug閥值.25 3.2.5安全小組檢查.25 3.3開發(fā)階段.26 3.3.1定義安全的編碼準則.26 3.3.2審查舊的安全問題.26 3.3.3外部安全審查.26 3.3.4安全推動活動.26 3.4測試階段.26 3.5發(fā)行和維護階段.27 3.5.1響應過程.27 業(yè)務系統(tǒng)（暨應用系統(tǒng)）安全評估指南第 4 頁 共 50 頁 4評估前的準備 .27 4.1.1確定用戶配合人員.27 4.1.2確定評估的范圍.2

4、7 4.1.3獲得應用系統(tǒng)組件的清單.28 4.1.4業(yè)務系統(tǒng)介紹會和相關(guān)文檔.28 4.1.5建立數(shù)據(jù)流程圖和威脅模型.28 4.1.6簽署應用系統(tǒng)安全評估申請.29 5常見應用系統(tǒng)的架構(gòu) .29 5.1C/S 架構(gòu).29 5.2N-TIER架構(gòu) .29 5.3應用系統(tǒng)架構(gòu)和安全性的關(guān)系.30 6通用應用系統(tǒng)的評估 .30 6.1認證和鑒別.30 6.1.1是否啟用了PKI.31 6.1.2是否啟用了組織統(tǒng)一要求的PKI.31 6.1.3是否識別錯誤的證書.31 6.1.4認證進程是否適當.31 6.1.5是否支持客戶端對服務器的認證.32 6.2用戶帳戶管理.32 6.2.1用戶ID不唯一

5、.32 6.2.2不活動用戶是否禁用.32 6.2.3不必要的內(nèi)置用戶是否禁用.32 6.2.4用戶ID是否有默認的或者弱口令.32 6.3數(shù)據(jù)保護.33 6.3.1敏感數(shù)據(jù)不適當?shù)卮鎯?33 6.3.2敏感數(shù)據(jù)傳輸中沒有適當?shù)谋Ｗo.33 6.3.3使用未經(jīng)驗證的加密算法.34 6.4審核.34 6.4.1沒有適當紀錄安全相關(guān)的事件.34 6.4.2日志將滿沒有警告.34 6.4.3日志存在未授權(quán)刪除、修改、泄露等漏洞.34 6.5應用操作.35 6.5.1基于角色的訪問控制沒有加強責任分離.35 6.5.2應用在執(zhí)行操作之前沒有進行授權(quán).35 6.5.3進程運行的權(quán)限過高.35 6.5.4應

6、用沒有對session的限制.35 6.5.5應用修改在應用的范圍之外的文件.36 6.5.6用戶繞過用戶界面直接修改資源.36 6.6生產(chǎn)環(huán)境下應用配置.36 6.6.1應用和支持庫中包含從未激活的代碼.36 6.6.2應用代碼和數(shù)據(jù)在相同的目錄中.36 6.6.3安裝源代碼保存在服務器中.36 業(yè)務系統(tǒng)（暨應用系統(tǒng)）安全評估指南第 5 頁 共 50 頁 6.6.4應用的環(huán)境中同時使用了不必要的軟件或者服務.36 6.7影響控制.37 6.7.1網(wǎng)絡(luò)架構(gòu)不適當.37 6.7.2沒有災難恢復計劃.37 6.7.3備份或者備份程序不完備.37 6.7.4沒有確保應用日志可以長時間保存的流程.37

7、 6.7.5敏感數(shù)據(jù)未經(jīng)修改地直接導入測試環(huán)境.37 6.8應用配置和授權(quán).37 6.8.1應用未恰當設(shè)置Banner信息.37 6.8.2會話結(jié)束后應用在客戶端保存認證憑證.37 6.8.3普通用戶可以執(zhí)行超級用戶權(quán)限.38 6.8.4應用沒有明顯的logout的辦法.38 6.8.5認證憑證或者敏感數(shù)據(jù)在代碼中保存.38 6.8.6應用代碼包含無效的網(wǎng)絡(luò)資源引用.38 6.9基于代碼的因素.38 6.9.1應用的進程在終止前沒有從內(nèi)存或者磁盤中刪除臨時對象.38 6.9.2應用沒有充分驗證用戶輸入.39 6.9.3應用直接暴露出錯信息.39 6.9.4應用失敗能夠?qū)е虏话踩臓顟B(tài).39 7

8、基于 WEB 應用系統(tǒng)的評估 .39 7.1認證機制.40 7.1.1驗證代碼可下載.40 7.1.2HTTP認證.40 7.1.3表單認證.40 7.2授權(quán).41 7.2.1攻擊種類.41 7.2.2角色矩陣.41 7.2.3常見攻擊手段.42 7.3會話狀態(tài)管理.42 7.3.1URL直接繞過.42 7.3.2hidden字段.42 7.3.3HTTP Referer頭標.43 7.3.4Cookie或者session ID.43 7.4輸入驗證.43 7.4.1輸入驗證攻擊的種類.43 7.4.2緩沖區(qū)溢出攻擊.44 7.4.3shell injection攻擊.44 7.4.4文件上傳

9、漏洞.44 7.4.5數(shù)值邊界校驗.44 7.5客戶端驗證.44 7.5.1腳本驗證.44 7.5.2hidden字段.45 7.5.3HTTP頭標.45 業(yè)務系統(tǒng)（暨應用系統(tǒng)）安全評估指南第 6 頁 共 50 頁 7.6SQL INJECTION測試.45 7.6.1測試前準備.45 7.6.2系統(tǒng)是否進行了基本的過濾.45 7.6.3常用的其他測試方法.46 7.7跨站腳本測試.46 7.7.1跨站腳本攻擊多發(fā)點.47 7.7.2測試方法.47 7.8其他問題.47 7.8.1源代碼在站點中可以下載.47 7.8.2站點目錄可以瀏覽.47 7.8.3源代碼泄漏.47 7.8.4ODBC連接

10、問題.48 7.8.5錯誤消息泄漏.48 7.8.6同時開放其他服務.48 附錄 參考文獻.48 業(yè)務系統(tǒng)（暨應用系統(tǒng)）安全評估指南第 7 頁 共 50 頁 1 概述概述 本文是一個“業(yè)務系統(tǒng)”安全評估指南，但其主要關(guān)注“應用系統(tǒng)”安全 評估（Application Security Readiness Review）的過程，是在 DISA（Defense Information Systems Agency）的 Application Security Checklist 基礎(chǔ)上，增加或者 修改了部分內(nèi)容形成的。 關(guān)于“業(yè)務系統(tǒng)”安全評估和“應用系統(tǒng)”安全評估之間的關(guān)系，將在本 文第 1.1

11、 節(jié)進行澄清。 1.1 評估的范圍與概念澄清評估的范圍與概念澄清 1.1.1 業(yè)務系統(tǒng)評估業(yè)務系統(tǒng)評估 業(yè)務系統(tǒng)安全評估應該包含業(yè)務系統(tǒng)的所有服務器端組件、以及需要安裝 或者配置的客戶端組件，包含但不限于以下部分： 一個全面的業(yè)務系統(tǒng)安全評估，應該包含該業(yè)務相關(guān)的以上各個方面。 業(yè)務系統(tǒng)（暨應用系統(tǒng)）安全評估指南第 8 頁 共 50 頁 1.1.2 應用系統(tǒng)評估應用系統(tǒng)評估 一般在評估項目中，會同時進行網(wǎng)絡(luò)架構(gòu)安全性評估、主機系統(tǒng)安全性評 估、安全策略評估等；在這樣的情況下，對業(yè)務系統(tǒng)的評估，就不必再進行這 些部分的評估，側(cè)重于“應用代碼或程序”評估即可。 所以本文對業(yè)務系統(tǒng)安全性評估的論述，

12、側(cè)重于對應用系統(tǒng)安全性評估本文對業(yè)務系統(tǒng)安全性評估的論述，側(cè)重于對應用系統(tǒng)安全性評估。 業(yè)務系統(tǒng)（暨應用系統(tǒng)）安全評估指南第 9 頁 共 50 頁 1.2 評估手段評估手段 在應用系統(tǒng)安全評估中，應該綜合采取以下方式，進行全面的應用系統(tǒng)安 全評估： 應用系統(tǒng)文檔審核； 包括應用系統(tǒng)開發(fā)、維護文檔等，尤其關(guān)注其中的和安全性相 關(guān)的部分； 顧問訪談； 詢問應用系統(tǒng)開發(fā)者、系統(tǒng)管理員、普通用戶等； 一般若用戶回答否，則結(jié)果為否；若回答是，則應盡可能實際 上機驗證； 系統(tǒng)配置狀況檢查； 實際登陸系統(tǒng)，檢查其安全狀況； 源代碼審核； 可以針對具體的 checklist 檢查項，在應用系統(tǒng)開發(fā)者的配合下，

13、 查看相關(guān)的源代碼實現(xiàn)方式； 業(yè)務系統(tǒng)（暨應用系統(tǒng)）安全評估指南第 10 頁 共 50 頁 滲透測試； 可以部分采取滲透測試的方式，來檢驗系統(tǒng)的安全性，比如 SQL injection 攻擊、跨站腳本測試、口令的暴力破解等； sniffer 也是一個好工具； 在實際評估工作中，以上有些方式可能無法實現(xiàn)，比如源代碼審核、配置 文件檢查等；這時候可以考慮通過其他方式來進行驗證其現(xiàn)狀，比如滲透測試。 1.3 評估實施環(huán)境評估實施環(huán)境 在應用系統(tǒng)安全評估工作中，評估環(huán)境一般可以分為測試環(huán)境和生產(chǎn)環(huán)境。 有些評估工作只能在測試環(huán)境下面做，否則會對生產(chǎn)有影響，比如緩沖區(qū) 溢出測試、腳本注入測試等等，不然有

14、可能影響生產(chǎn)系統(tǒng)的正常運行。前提是 測試環(huán)境下的代碼要和生產(chǎn)環(huán)境下一致。 有些測試要在生產(chǎn)環(huán)境下面做，因為有些情況下，具體的配置會產(chǎn)生巨大 的影響。 2 軟件工程模型對安全評估的借鑒軟件工程模型對安全評估的借鑒 2.1 軟件工程對信息安全評估工作的借鑒意義軟件工程對信息安全評估工作的借鑒意義 在計算機發(fā)展史上，在六七十年代，由于“軟件危機”的產(chǎn)生，導致了軟 件工程科學的發(fā)展。在信息安全評估工作中，應該分析、借鑒軟件工程的相關(guān) 思想和模型，來提高信息安全評估工作的質(zhì)量，原因如下： 軟件發(fā)展史上曾經(jīng)遭遇從個體勞動、作坊勞動向大規(guī)模協(xié)作勞動的瓶 頸，信息安全評估工作可以借鑒軟件工程中克服該瓶頸的思想

15、； 分析軟件工程中的過程和思想，有助于理解改善軟件開發(fā)過程中安全 水平； 業(yè)務系統(tǒng)（暨應用系統(tǒng)）安全評估指南第 11 頁 共 50 頁 2.2 以業(yè)務為核心的全面風險評估以業(yè)務為核心的全面風險評估 對用戶要求沒有準確完整的認識，就匆忙著手編寫程序是許多軟件開發(fā)失 敗的主要原因之一。同樣，對于信息安全評估工作，對于用戶要求、用戶現(xiàn)狀 的全面調(diào)查和分析，也是決定信息安全評估工作成敗的重要原因。 在軟件開發(fā)過程中，代碼編寫所占的比例應該相對較小，而前期調(diào)研、系 統(tǒng)設(shè)計應該花較多精力。同樣，在信息安全評估工作中，應該有大量的時間是 花在前期調(diào)研上。 用戶業(yè)務，應該是一切安全評估的基礎(chǔ)。 2.3 組織結(jié)

16、構(gòu)與功能組織結(jié)構(gòu)與功能 2.3.1 組織結(jié)構(gòu)圖組織結(jié)構(gòu)圖 在軟件工程的開發(fā)前期，需要調(diào)研企業(yè)的組織架構(gòu)圖，比如： 業(yè)務系統(tǒng)（暨應用系統(tǒng)）安全評估指南第 12 頁 共 50 頁 2.3.2 組織組織/業(yè)務關(guān)系圖業(yè)務關(guān)系圖 在軟件工程的調(diào)研、設(shè)計階段，也需要調(diào)研企業(yè)的組織架構(gòu)和業(yè)務關(guān)系， 比如： 業(yè)務系統(tǒng)（暨應用系統(tǒng)）安全評估指南第 13 頁 共 50 頁 2.3.3 業(yè)務功能表業(yè)務功能表 對于企業(yè)的應用系統(tǒng)，一般在開發(fā)過程中會有相應的業(yè)務功能表，比如： 2.3.4 組織結(jié)構(gòu)與功能分析對安全評估的借鑒組織結(jié)構(gòu)與功能分析對安全評估的借鑒 在應用系統(tǒng)安全評估工作中，應該獲得以上組織結(jié)構(gòu)圖、組織/業(yè)務關(guān)

17、系圖、 業(yè)務功能表，以獲得對用戶現(xiàn)狀的全面認識。 2.4 業(yè)務流程分析業(yè)務流程分析 2.4.1 軟件工程中的業(yè)務流程分析軟件工程中的業(yè)務流程分析 在軟件工程中，業(yè)務流程分析有助于了解某項業(yè)務的具體處理過程，發(fā)現(xiàn) 和處理系統(tǒng)調(diào)查工作中的錯誤和疏漏，修改和刪除原系統(tǒng)的不合理部分，在新 系統(tǒng)基礎(chǔ)上優(yōu)化業(yè)務處理流程。 業(yè)務流程圖（Transaction Flow Diagram ,簡稱 TFD ）就是用一些盡可能 少的規(guī)定的符號及連線來表示某個具體業(yè)務處理過程。業(yè)務流程圖易于閱讀和 業(yè)務系統(tǒng)（暨應用系統(tǒng)）安全評估指南第 14 頁 共 50 頁 理解，是分析業(yè)務流程的重要步驟。 2.4.2 安氏現(xiàn)有的業(yè)

18、務流程評估安氏現(xiàn)有的業(yè)務流程評估 安氏現(xiàn)有的或者以前的業(yè)務系統(tǒng)流程分析，從部分售前文檔中看，側(cè)重于 以下方面： 1、詳細的業(yè)務流程 2、業(yè)務相關(guān)性分析 是因為用戶的維護部門的崗位職責設(shè)置通常是根據(jù)業(yè)務來設(shè)置的，用戶關(guān) 心業(yè)務系統(tǒng)和業(yè)務系統(tǒng)之間的、業(yè)務系統(tǒng)各組件（部分）間的安全問題，包括 數(shù)據(jù)交換、權(quán)限、包括業(yè)務管理上安全要注意的問題等。 3、數(shù)據(jù)流和數(shù)據(jù)存儲方式 4、業(yè)務流程和拓撲結(jié)構(gòu)的關(guān)系 業(yè)務系統(tǒng)（暨應用系統(tǒng)）安全評估指南第 15 頁 共 50 頁 2.4.3 業(yè)務流程分析對安全評估的借鑒業(yè)務流程分析對安全評估的借鑒 從軟件工程中的業(yè)務流程分析中借鑒從軟件工程中的業(yè)務流程分析

19、中借鑒 可以看到，在軟件工程中的業(yè)務流程分析，是準確意義上的業(yè)務流程分析。 它描述的是純粹的業(yè)務處理過程，是要在應用系統(tǒng)中實現(xiàn)的東西，和計算機系 統(tǒng)本身沒有直接關(guān)系。 業(yè)務流程分析，對于用戶業(yè)務的安全性，也有著重要的意義。最明顯的例 子，比如在銀行存取款業(yè)務中，只有流程合理才能有效保證資金的安全。 在銀行存取款業(yè)務中，有部分流程可能在應用系統(tǒng)中實現(xiàn)了；而有部分流 程未在應用系統(tǒng)中實現(xiàn)。對銀行業(yè)務安全角度而言，可能這兩部分都很重要。 比如，銀行用戶是否會考慮委托專業(yè)的會計咨詢顧問來做這個工作？在畢馬威 的 ppt 中看到，它們宣稱有銀行業(yè)務流程分析這個業(yè)務。 本文建議我們的業(yè)務流程評估，只考慮“

20、在應用系統(tǒng)中實現(xiàn)的部分流程” ， 即和計算機相關(guān)的部分，而不考慮“未在應用系統(tǒng)中實現(xiàn)的部分流程” 。 業(yè)務系統(tǒng)（暨應用系統(tǒng)）安全評估指南第 16 頁 共 50 頁 因此，在安全評估過程中，有必要對用戶應用系統(tǒng)開發(fā)過程中產(chǎn)生的業(yè)務 流程圖等業(yè)務流程分析結(jié)果進行再分析，有以下益處： 分析用戶業(yè)務流程中是否存在邏輯上的安全弱點； 有助于了解用戶業(yè)務流程，為建立應用系統(tǒng)相關(guān)的威脅模型打下良好基 礎(chǔ)； 從安氏現(xiàn)有的業(yè)務流程評估借鑒從安氏現(xiàn)有的業(yè)務流程評估借鑒 分析售前文檔中提到的安氏現(xiàn)有的業(yè)務流程評估，可以從兩個方面看： 一方面，這個“業(yè)務流程評估”并非是準確意義上的業(yè)務流程分析；它 涉及

21、到應用系統(tǒng)架構(gòu)、數(shù)據(jù)流程、網(wǎng)絡(luò)拓撲結(jié)構(gòu)、甚至應用系統(tǒng)開發(fā)等 等各個方面。 另一方面，這個“業(yè)務流程評估”較多關(guān)注用戶的實際需求，應該充分 借鑒。 安氏現(xiàn)有的業(yè)務流程評估中，所提到的某些需要關(guān)注的問題，比如對數(shù)據(jù) 流、數(shù)據(jù)存儲等因素的考慮，可以在數(shù)據(jù)流程分析、應用系統(tǒng)安全評估中實現(xiàn)。 除此之外，安氏現(xiàn)有的業(yè)務流程評估基本可以使用如下的業(yè)務系統(tǒng)結(jié)構(gòu)圖 來表述： 業(yè)務系統(tǒng)（暨應用系統(tǒng)）安全評估指南第 17 頁 共 50 頁 該結(jié)構(gòu)圖對于業(yè)務流程和網(wǎng)絡(luò)拓撲的相關(guān)性分析、數(shù)據(jù)流程分析、應用系 統(tǒng)架構(gòu)分析都有所幫助。建議在這個業(yè)務系統(tǒng)結(jié)構(gòu)圖中，要充分表述以下方面： 應用系統(tǒng)架構(gòu)； 和其他業(yè)務系統(tǒng)的訪問關(guān)系

22、，需要具體到端口號； 外部訪問用戶的位置； 業(yè)務功能的實體實現(xiàn)； 可以看到，這個業(yè)務系統(tǒng)結(jié)構(gòu)圖中，包含了應用系統(tǒng)架構(gòu)圖這個業(yè)務系統(tǒng)結(jié)構(gòu)圖中，包含了應用系統(tǒng)架構(gòu)圖。 2.5 數(shù)據(jù)流程分析數(shù)據(jù)流程分析 2.5.1 軟件工程中的數(shù)據(jù)流程分析軟件工程中的數(shù)據(jù)流程分析 數(shù)據(jù)流程分析是把數(shù)據(jù)在組織（或原系統(tǒng)）內(nèi)部的流動情況抽象地獨立出 來，舍去了具體組織機構(gòu)、信息載體、處理工作、物資、材料等，單從數(shù)據(jù)流 動過程來考查實際業(yè)務的數(shù)據(jù)處理模式。主要包括對信息的流動、傳遞、處理、 存儲等的分析。 數(shù)據(jù)流程分析的目的是要發(fā)現(xiàn)和解決數(shù)據(jù)流通中的問題，如：數(shù)據(jù)流程不 暢、前后數(shù)據(jù)不匹配、數(shù)據(jù)處理過程不合理等等。 數(shù)據(jù)

23、流程分析可以通過采用分層的數(shù)據(jù)流程圖（Data Flow Diagram , 簡 稱 DFD ）來簡單表示。 把待解決的問題當作一個整體系統(tǒng)，找出其輸入、輸出和處理（即：外部 項、處理功能、存儲數(shù)據(jù)、數(shù)據(jù)流向） ，不考慮其中細節(jié)部分，畫出第一層數(shù)據(jù) 流圖。 遵循由上至下、逐步求精的原則，根據(jù)業(yè)務范圍和處理功能，在第一層數(shù) 據(jù)流圖的處理框中進一步細劃，找出其內(nèi)部的業(yè)務處理關(guān)系和數(shù)據(jù)傳輸關(guān)系， 畫出第二層數(shù)據(jù)流圖。 根據(jù)問題的復雜程度按照上述方法逐步分層，直到所需表達的數(shù)據(jù)都顯露 出來。 如圖所示，是一個分層的數(shù)據(jù)流程圖： 業(yè)務系統(tǒng)（暨應用系統(tǒng)）安全評估指南第 18 頁 共 50 頁 以下以一個汽

24、車配件廠為例，分析其數(shù)據(jù)流程圖。第一層數(shù)據(jù)流層圖，表 述了其和外部實體之間的數(shù)據(jù)流關(guān)系。 第二層、第三層數(shù)據(jù)流程圖，對汽車配件廠內(nèi)部的數(shù)據(jù)流程，進行了更細致的 表述。 業(yè)務系統(tǒng)（暨應用系統(tǒng)）安全評估指南第 19 頁 共 50 頁 2.5.2 數(shù)據(jù)流程分析對安全評估的借鑒數(shù)據(jù)流程分析對安全評估的借鑒 在業(yè)務系統(tǒng)安全評估過程中，可以通過對數(shù)據(jù)流程的分析，發(fā)現(xiàn)數(shù)據(jù)流在 產(chǎn)生、傳輸、存儲、處理、輸出等過程中所經(jīng)過的各個環(huán)節(jié)所可能存在的安全 隱患。這種安全隱患，可能是應用系統(tǒng)設(shè)計上的問題，也可能是業(yè)務系統(tǒng)部署 上的問題。 業(yè)務系統(tǒng)（暨應用系統(tǒng)）安全評估指南第 20 頁 共 50 頁 一方面，在評估中，軟

25、件工程中的數(shù)據(jù)流程分析及其數(shù)據(jù)流程圖，是一個 非常重要、高效的信息來源，應該細致分析。 另一方面，軟件工程中的數(shù)據(jù)流程分析及其數(shù)據(jù)流程圖，不能很好滿足為 安全評估目的的數(shù)據(jù)流程分析。它比較注重于軟件各組件之間的邏輯關(guān)系，而 安全評估中的數(shù)據(jù)流程分析，不僅僅要關(guān)注各組件之間的邏輯關(guān)系，也要關(guān)注 實現(xiàn)各組件功能的實體。 根據(jù)評估對象和目的的不同，所繪制的數(shù)據(jù)流程圖可能有所不同。這里， 建議可以考慮以下三種粒度的數(shù)據(jù)流程圖： 網(wǎng)絡(luò)架構(gòu)評估之數(shù)據(jù)流程圖； 業(yè)務系統(tǒng)評估之數(shù)據(jù)流程圖； 應用系統(tǒng)評估之數(shù)據(jù)流程圖； 網(wǎng)絡(luò)架構(gòu)評估之數(shù)據(jù)流程圖網(wǎng)絡(luò)架構(gòu)評估之數(shù)據(jù)流程圖 在網(wǎng)絡(luò)架構(gòu)安全性評估中，尤其

26、是在大型網(wǎng)絡(luò)中，網(wǎng)絡(luò)架構(gòu)是否合理、網(wǎng) 絡(luò)架構(gòu)該如何調(diào)整、如何實施訪問控制，都和網(wǎng)絡(luò)中的數(shù)據(jù)流程密切相關(guān)，可 以考慮采用數(shù)據(jù)流程圖的方式來作為網(wǎng)絡(luò)架構(gòu)評估的參考依據(jù)。 下表是某廣域網(wǎng)的數(shù)據(jù)流分析： 可以看到，由于目前該網(wǎng)絡(luò)上跨全網(wǎng)的應用系統(tǒng)較少，除 DNS、電子郵件、 WWW 等基本網(wǎng)絡(luò)應用外，只有辦公自動化系統(tǒng)、財務系統(tǒng)等幾個應用系統(tǒng)運 行，所以廣域網(wǎng)（城域網(wǎng)）上的流量較少，流向主要是全國中心與各省公司的 業(yè)務系統(tǒng)（暨應用系統(tǒng)）安全評估指南第 21 頁 共 50 頁 雙向傳送，各省公司之間數(shù)據(jù)傳輸很少。流量較大的是本部局域網(wǎng)及對 Internet 的訪問。 也可以參照軟件工程中分層次數(shù)據(jù)流程圖

27、的方式，以分層次的方式，來表 述不同層次安全域中數(shù)據(jù)流程，比如，在第一級安全域中： 在第二級安全域中： 在第三級安全域中： 業(yè)務系統(tǒng)（暨應用系統(tǒng)）安全評估指南第 22 頁 共 50 頁 調(diào)查各業(yè)務系統(tǒng)之間的數(shù)據(jù)流所用表格如圖所示： 在這樣的網(wǎng)絡(luò)架構(gòu)評估中的數(shù)據(jù)流程圖，一般具體到“業(yè)務系統(tǒng)” 、 “終端” 這樣的較小的“網(wǎng)段”單位即可滿足需求。在這樣的評估中，要特別關(guān)注外部 網(wǎng)絡(luò)邊界、不同維護單位之間網(wǎng)絡(luò)邊界的數(shù)據(jù)流向，一般這是用戶關(guān)注的重點。 、 業(yè)務系統(tǒng)（暨應用系統(tǒng)）安全評估指南第 23 頁 共 50 頁 業(yè)務系統(tǒng)評估之數(shù)據(jù)流程圖業(yè)務系統(tǒng)評估之數(shù)據(jù)流程圖 業(yè)務系統(tǒng)評估所使用的數(shù)

28、據(jù)流程圖，可以使用軟件工程中的數(shù)據(jù)流程圖。 這應該是目前我們在安全評估工作中的重點。 應用系統(tǒng)評估之數(shù)據(jù)流程圖應用系統(tǒng)評估之數(shù)據(jù)流程圖 在應用系統(tǒng)評估中，尤其是接近于源代碼審核的層次，需要使用更細致的 數(shù)據(jù)流程圖，包括環(huán)境變量、配置數(shù)據(jù)等。 2.6 威脅模型威脅模型 在建立了業(yè)務流程圖、應用結(jié)構(gòu)圖、數(shù)據(jù)流程圖以后，可以建立應用系統(tǒng) 安全威脅模型，以對應用系統(tǒng)進行全面的、系統(tǒng)的安全性評估分析。 業(yè)務系統(tǒng)（暨應用系統(tǒng)）安全評估指南第 24 頁 共 50 頁 3 應用系統(tǒng)的安全開發(fā)過程應用系統(tǒng)的安全開發(fā)過程 本章介紹一個軟件開發(fā)生命周期模型中在安全方面增加責任制和結(jié)構(gòu)性的 方法，以供評

29、估用戶應用系統(tǒng)開發(fā)過程中對安全性的考慮作為參考。 業(yè)務系統(tǒng)（暨應用系統(tǒng)）安全評估指南第 25 頁 共 50 頁 3.1 教育教育 開發(fā)團隊應該不斷進行安全培訓，提高安全意識和安全技能，安全應該是 開發(fā)團隊技術(shù)基礎(chǔ)的一部分。 由于新技術(shù)、新的安全威脅不斷出現(xiàn)，安全教育也必須不斷更新。 3.2 設(shè)計階段設(shè)計階段 3.2.1 面試時進行安全性考核面試時進行安全性考核 開發(fā)團隊在面試的時候應該進行部分安全問題的考核，確定面試人選的安 全技術(shù)基礎(chǔ)。 可以優(yōu)先考慮雇傭具有技術(shù)思維傾向的人，他們能夠發(fā)現(xiàn)不良的設(shè)計，了 解如何修復它們，并指出如何在設(shè)計階段就解決這些問題。 3.2.2 設(shè)定產(chǎn)品的安全目標設(shè)定產(chǎn)

30、品的安全目標 在產(chǎn)品的設(shè)計階段，開發(fā)團隊應該在需求分析中，綜合考慮產(chǎn)品的安全需 業(yè)務系統(tǒng)（暨應用系統(tǒng)）安全評估指南第 26 頁 共 50 頁 求，設(shè)定產(chǎn)品的安全目標，在需求分析中詳細說明。 3.2.3 建立威脅模型建立威脅模型 開發(fā)團隊應該分解應用程序，繪制完整的數(shù)據(jù)流程圖，確定系統(tǒng)面臨的各 種安全威脅，并形成相應的解決方案。 3.2.4 設(shè)置設(shè)置 Bug 閥值閥值 應用程序很難做到完全杜絕 Bug，所以應該設(shè)立一個較高標準的 Bug 閥值， 只有達到這個閥值才能達到驗收標準。 3.2.5 安全小組檢查安全小組檢查 在軟件工程中，項目成功的重要因素之一在于堅持階段性評審和復審。在 開發(fā)過程中，

31、對安全工作，也要堅持進行安全小組檢查。 3.3 開發(fā)階段開發(fā)階段 3.3.1 定義安全的編碼準則定義安全的編碼準則 開發(fā)團隊應該定義最基本的安全編碼準則，包括如何處理緩沖區(qū)、如何對 待不可靠的數(shù)據(jù)、如何加密數(shù)據(jù)等。 業(yè)務系統(tǒng)（暨應用系統(tǒng)）安全評估指南第 27 頁 共 50 頁 3.3.2 審查舊的安全問題審查舊的安全問題 開發(fā)團隊在開發(fā)過程中，應該不斷從過去的錯誤中吸取教訓，防止發(fā)生同 樣的問題。 3.3.3 外部安全審查外部安全審查 開發(fā)團隊在開發(fā)過程中，可以考慮雇傭?qū)ｉT的外部安全顧問公司來審查代 碼和計劃。 3.3.4 安全推動活動安全推動活動 開發(fā)團隊應該定期進行安全推廣活動，以提高安全

32、意識、去除編寫程序中 的壞習慣等。 3.4 測試階段測試階段 在產(chǎn)品的測試階段，除了對產(chǎn)品功能的測試以外，應該包含對安全性的測 試。對于安全性的測試中，不僅僅要對已經(jīng)設(shè)定的安全功能目標進行測試，也 要嘗試以一個攻擊者的各種方式和角度進行攻擊測試，確保產(chǎn)品在系統(tǒng)設(shè)計和 編碼上都能夠承受攻擊。 3.5 發(fā)行和維護階段發(fā)行和維護階段 3.5.1 響應過程響應過程 在產(chǎn)品運行以后，有可能不斷發(fā)現(xiàn)系統(tǒng)的安全缺陷。需要建立適當?shù)捻憫?策略和機制。一旦發(fā)現(xiàn)缺陷，就通過標準的修復機制，確定缺陷的嚴重程度， 可以修復到何種程度，以及如何發(fā)行修復后的版本。 業(yè)務系統(tǒng)（暨應用系統(tǒng)）安全評估指南第 28 頁 共 50

33、 頁 4 評估前的準備評估前的準備 為保證在用戶評估現(xiàn)場的工作效率，有些工作應該在到達用戶現(xiàn)場前就準 備好，包括以下內(nèi)容： 4.1.1 確定用戶配合人員確定用戶配合人員 和用戶確定能夠配合評估工作的人員，需要具有以下能力： 了解應用系統(tǒng)，能夠有效回答評估者的詢問； 能夠提供對源代碼的訪問，并協(xié)助分析源代碼； 能夠提供應用系統(tǒng)相關(guān)的開發(fā)、維護文檔； 能夠提供超級用戶權(quán)限的訪問界面； 能夠提供普通用戶權(quán)限的訪問界面； 最終確定的配合人員，一般包括：程序經(jīng)理、應用開發(fā)人員、系統(tǒng)管理員、 普通用戶、或者其他有足夠的知識和權(quán)限能夠配合評估工作的人員。 4.1.2 確定評估的范圍確定評估的范圍 和用戶確定

34、本次應用系統(tǒng)評估的范圍，包括哪些應用、哪些軟件、哪些方 面等。如前文所述，如果以前在其他工作中進行了主機系統(tǒng)、網(wǎng)絡(luò)架構(gòu)等評估， 那么這部分工作可以不再進行，但是在最終報告中要涵蓋所有的內(nèi)容。 4.1.3 獲得應用系統(tǒng)組件的清單獲得應用系統(tǒng)組件的清單 獲得應用系統(tǒng)架構(gòu)范圍內(nèi)的所有組件清單，包括網(wǎng)絡(luò)拓撲圖、IP 地址信息、 OS 版本、數(shù)據(jù)庫或者 Web 版本、第三方中間件版本、庫文件或者其他組件等。 4.1.4 業(yè)務系統(tǒng)介紹會和相關(guān)文檔業(yè)務系統(tǒng)介紹會和相關(guān)文檔 可以考慮召開應用系統(tǒng)介紹會，由開發(fā)人員、系統(tǒng)管理員介紹應用系統(tǒng)的 業(yè)務系統(tǒng)（暨應用系統(tǒng)）安全評估指南第 29 頁 共 50 頁 基本情況

35、，包括應用系統(tǒng)的基本功能、組件架構(gòu)、部署情況、使用對象、安全 設(shè)計思想、業(yè)務流程等： 組織結(jié)構(gòu)圖 組織/業(yè)務關(guān)系表 業(yè)務功能表 業(yè)務流程圖 數(shù)據(jù)流程圖 業(yè)務系統(tǒng)結(jié)構(gòu)圖（應用系統(tǒng)架構(gòu)圖） 角色/權(quán)限矩陣表 也應盡可能獲得應用系統(tǒng)相關(guān)的開發(fā)文檔、維護文檔，比如： 開發(fā)任務書 需求說明書 概要設(shè)計文檔 用戶界面設(shè)計文檔 用戶手冊 驗收報告 測試報告 源代碼 4.1.5 建立數(shù)據(jù)流程圖和威脅模型建立數(shù)據(jù)流程圖和威脅模型 數(shù)據(jù)流程圖一般根據(jù)目的的不同，有三種粒度： 網(wǎng)絡(luò)架構(gòu)評估之數(shù)據(jù)流程圖 業(yè)務系統(tǒng)評估之數(shù)據(jù)流程圖 業(yè)務系統(tǒng)評估之數(shù)據(jù)流程圖 業(yè)務系統(tǒng)（暨應用系統(tǒng)）安全評估指南第 30 頁 共 50 頁

36、4.1.6 簽署應用系統(tǒng)安全評估申請簽署應用系統(tǒng)安全評估申請 在應用系統(tǒng)安全評估實施之前，應該向用戶提交并簽署應用系統(tǒng)安全評估 申請，以確保用戶認可以下問題： 接受評估的范圍； 接受評估過程中可能帶來的操作風險； 對物理、邏輯訪問用戶應用系統(tǒng)的授權(quán)； 5 常見應用系統(tǒng)的架構(gòu)常見應用系統(tǒng)的架構(gòu) 本部分介紹主要的應用系統(tǒng)架構(gòu)，以及其對于安全性的影響。 5.1 C/S 架構(gòu)架構(gòu) 在較早的網(wǎng)絡(luò)應用系統(tǒng)中，一般采用 Client/Server 結(jié)構(gòu)，需要在客戶端安裝 客戶端程序，直接訪問 Server。 5.2 N-tier 架構(gòu)架構(gòu) 隨著 Web 應用的發(fā)展，越來越多的應用系統(tǒng)采用 B/S 結(jié)構(gòu)，并象

37、 N-tier 結(jié) 構(gòu)發(fā)展。 業(yè)務系統(tǒng)（暨應用系統(tǒng)）安全評估指南第 31 頁 共 50 頁 5.3 應用系統(tǒng)架構(gòu)和安全性的關(guān)系應用系統(tǒng)架構(gòu)和安全性的關(guān)系 C/S 架構(gòu)中，客戶端直接訪問數(shù)據(jù)庫，有暴露數(shù)據(jù)庫服務器的弱點。 而在 N-tier 架構(gòu)中，對數(shù)據(jù)庫的訪問可以集中在中間層，中間件向用戶屏 蔽了數(shù)據(jù)庫服務器。此時可以在網(wǎng)絡(luò)層限制，只有中間件服務器才能訪問數(shù)據(jù) 庫服務器，大大提高了安全性。 6 通用應用系統(tǒng)的評估通用應用系統(tǒng)的評估 本部分主要介紹通用應用系統(tǒng)（General Application system）的評估。 6.1 認證和鑒別認證和鑒別 這部分主要測試用戶或者進程如何進行身份認

38、證。首先應該識別出應用系 業(yè)務系統(tǒng)（暨應用系統(tǒng)）安全評估指南第 32 頁 共 50 頁 統(tǒng)中所有涉及認證和鑒別的行為，然后對它們逐個進行測試。 本文主要介紹基于 PKI 的認證和鑒別測試，如果應用系統(tǒng)使用其他的認證 和鑒別方式，可以比照執(zhí)行。 6.1.1 是否啟用了是否啟用了 PKI 對于重要的系統(tǒng)，是否啟用了 PKI？如果配合人員說“否” ，則紀錄之。如 果說“是” ，那么對使用了 PKI 的組件進行實際驗證。 6.1.2 是否啟用了組織統(tǒng)一要求的是否啟用了組織統(tǒng)一要求的 PKI 如果配合人員說“是” ，那么進行實際驗證。 6.1.3 是否識別錯誤的證書是否識別錯誤的證書 如果系統(tǒng)是基于 W

39、eb 方式的應用，那么可以直接使用 revoked、過期的、錯 誤的證書分別嘗試登陸。 如果系統(tǒng)是非 Web 方式的應用，那么和配合人員協(xié)商，安裝相應的客戶端， 并安裝 revoked、過期的、錯誤的證書分別嘗試登陸。 6.1.4 認證進程是否適當認證進程是否適當 列出應用系統(tǒng)中所有客戶認證進程的清單，包括 application server 與數(shù)據(jù)庫 服務器也構(gòu)成 client/sever 關(guān)系。認證方式一般有：操作系統(tǒng)、數(shù)據(jù)庫、目錄服 務、認證設(shè)備等。 在認證過程中，是否存在以下問題： 只使用用戶名，不需要口令； 是否有口令復雜性的策略要求； 是否有帳戶鎖定的策略； 用戶口令不能更改；

40、以上問題，可以通過查看配置文件、手工測試等方式來驗證。 業(yè)務系統(tǒng)（暨應用系統(tǒng)）安全評估指南第 33 頁 共 50 頁 6.1.5 是否支持客戶端對服務器的認證是否支持客戶端對服務器的認證 進行測試。有些認證過程不是用戶端觸發(fā)的，比如后臺設(shè)備之間的認證。 那么可以查看配置文件，或者使用 sniffer 分析。 6.2 用戶帳戶管理用戶帳戶管理 這部分主要檢查保存的用戶帳戶可能存在的安全弱點。首先識別應用系統(tǒng) 中用戶 ID 保存在哪里。有些應用系統(tǒng)的用戶 ID 可能保存在多個地方。 如果應用系統(tǒng)使用操作系統(tǒng)、數(shù)據(jù)庫的內(nèi)置帳戶，那么這部分應該在主機 或者數(shù)據(jù)庫安全性評估中已經(jīng)進行，這里可以標記為 N

41、A。 6.2.1 用戶用戶 ID 不唯一不唯一 把用戶按 ID 排序，檢查是否存在 ID 重復的情況。 把用戶按姓名排序，檢查是否存在一個姓名多 ID 的情況。 6.2.2 不活動用戶是否禁用不活動用戶是否禁用 超過 90 天沒有登陸的用戶，是否禁用？ 6.2.3 不必要的內(nèi)置用戶是否禁用不必要的內(nèi)置用戶是否禁用 如果 common commercial off-the-shelf (COTS)的軟件，使用的內(nèi)置用戶，在 其他評估中，已經(jīng)進行了評估，那么這部分可以忽略。 需要注意這些不必要的內(nèi)置用戶是否必要？尤其當它們是超級用戶的時候。 6.2.4 用戶用戶 ID 是否有默認的或者弱口令是否有

42、默認的或者弱口令 應該嘗試應用系統(tǒng)廣為人知的默認口令?；蛘呤褂?brute force 進行弱口令暴 力破解。 業(yè)務系統(tǒng)（暨應用系統(tǒng)）安全評估指南第 34 頁 共 50 頁 6.3 數(shù)據(jù)保護數(shù)據(jù)保護 本部分主要檢查數(shù)據(jù)在存貯、傳輸過程中的安全性，主要是讀寫權(quán)限、加 密算法的問題。這部分依賴于數(shù)據(jù)流程圖。 6.3.1 敏感數(shù)據(jù)不適當?shù)卮鎯γ舾袛?shù)據(jù)不適當?shù)卮鎯?敏感數(shù)據(jù)需要有適當?shù)臋?quán)限保護，只有管理員、應用或者操作系統(tǒng)進程有 權(quán)限進行讀寫。對于帳戶數(shù)據(jù)庫的本地備份，也應該檢查其權(quán)限設(shè)置。其他用 戶對敏感數(shù)據(jù)、尤其是用戶帳戶數(shù)據(jù)文件的讀或者寫，都是危險的?？梢詤⒖?passwdshadow 的權(quán)限設(shè)

43、置。 口令需要被加密，可以查看配置文件是否啟用了加密功能。如果認證數(shù)據(jù) 是可讀的，看看它是否明文，或者脆弱的加密方式。也可以審核源代碼，檢查 對加密函數(shù)的過程調(diào)用，啟用了什么樣的加密功能。 如果應用系統(tǒng)中使用 key 進行認證，列出 server 中 key 的清單，并抽樣檢查。 注意 key 文件的權(quán)限，一般用戶或者進程不應該有寫的權(quán)限。識別是否有不必 要的用戶或者應用進程（它在用戶的背后讀）對 keys 有讀的權(quán)限。 對于非公開的用戶數(shù)據(jù)，詢問配合人員它們存儲在何處，及如何保護。 用戶的權(quán)限不應該超過最小授權(quán)的原則。注意全局權(quán)限，或者非管理員的 組權(quán)限。 6.3.2 敏感數(shù)據(jù)傳輸中沒有適當

44、的保護敏感數(shù)據(jù)傳輸中沒有適當?shù)谋Ｗo 數(shù)據(jù)可以分成可以分成 I/bin/ls 或者用戶端支持 SSI、ASP、PHP 等腳本，用戶可能直接輸入相關(guān)命令，在 服務器上執(zhí)行，導致安全問題。 7.4.4 文件上傳漏洞文件上傳漏洞 如果 Web 應用系統(tǒng)支持用戶上傳文件，并且沒有進行有效的校驗，則攻擊 者可以上傳 backdoor.asp 后門程序。 或者即使應用程序進行了文件后綴的校驗，但是被攻擊者通過以%00 作為 ASCII 碼來添加空格繞過。 業(yè)務系統(tǒng)（暨應用系統(tǒng)）安全評估指南第 46 頁 共 50 頁 7.4.5 數(shù)值邊界校驗數(shù)值邊界校驗 如果應用系統(tǒng)沒有進行有效的數(shù)值邊界校驗，則存在安全隱患

45、。比如，電 子商務網(wǎng)站中購買商品的數(shù)量為負數(shù)，會發(fā)生什么結(jié)果？ 7.5 客戶端驗證客戶端驗證 7.5.1 腳本驗證腳本驗證 如果在客戶端通過 javascript 等腳本進行輸入檢查、登錄驗證等，則可能被 攻擊者通過更改腳本等方式輕易繞過。 7.5.2 hidden 字段字段 在 hidden 字段中，不能存放重要的信息，因為能夠被客戶端用戶看到、并 且更改；較早的商務網(wǎng)站，在 hidden 中記錄價格等重要信息。 7.5.3 HTTP 頭標頭標 如果系統(tǒng)以用戶端的 HTTP 頭標作為會話狀態(tài)管理或者身份驗證的手段， 那么是危險的。比如，HTTP Referer 用戶可以更改，HTTP Agent用戶可以 更改。 7.6 SQL injection 測試測試 7.6.1 測試前準備測試前準備 要關(guān)閉瀏覽器的“顯示友好 http 錯誤信息“，這樣才能看到錯誤信息的細 節(jié)； 7.6.2 系統(tǒng)是否進行了基本的過濾系統(tǒng)是否進行了基本的過濾 首先保證正常的訪問，比如 http:/ 業(yè)務系統(tǒng)（暨應用系統(tǒng)）安全評估指南第 47 頁 共 50 頁 面正確。 測試系統(tǒng)是否過濾了號： http:/ 如果正確，說明過濾了號； 如果返回錯誤，說明沒有對進行過濾，可能有兩種情況： 一種：要求 id 的類型是數(shù)值型，所以會返回“類型不符合”等錯誤信息； 另種：返回在查詢表達式 ar