信息系統(tǒng)等級(jí)保護(hù)自動(dòng)化測(cè)試及加固技術(shù)實(shí)現(xiàn)

1、匯報(bào)人：劉志樂WEB應(yīng)用安全和數(shù)據(jù)庫(kù)安全的領(lǐng)航者WHO AM IWHO AM I 劉志樂（劉志樂（TonyTony）OWASP中國(guó)區(qū)委員OWASP中國(guó)杭州分會(huì)區(qū)域負(fù)責(zé)人安恒安全服務(wù)部總監(jiān)2011年中國(guó)計(jì)算機(jī)網(wǎng)絡(luò)安全年會(huì)演講嘉賓2011年OWASP亞洲峰會(huì)演講嘉賓ISF2011上海演講嘉賓2012年OWASP AppSec Asia悉尼峰會(huì)演講嘉賓2012年第四屆中國(guó)云計(jì)算大會(huì)演講嘉賓 2012年計(jì)算機(jī)網(wǎng)絡(luò)安全年會(huì)演講嘉賓WEB應(yīng)用安全和數(shù)據(jù)庫(kù)安全的領(lǐng)航者提提 綱綱 應(yīng)用安全漏洞自動(dòng)化測(cè)試技術(shù) 等級(jí)保護(hù)檢查工作自動(dòng)化實(shí)現(xiàn)技術(shù) 等級(jí)保護(hù)整改加固技術(shù)WEB應(yīng)用安全和數(shù)據(jù)庫(kù)安全的領(lǐng)航者應(yīng)用安全漏洞自動(dòng)

2、化測(cè)試技術(shù)應(yīng)用安全漏洞自動(dòng)化測(cè)試技術(shù) 基于白盒的代碼審計(jì) 基于黑盒的 QA 安全測(cè)試 基于灰盒的 QA 安全測(cè)試 自動(dòng)化 WEB 安全掃描WEB應(yīng)用安全和數(shù)據(jù)庫(kù)安全的領(lǐng)航者自動(dòng)化源代碼分析自動(dòng)化源代碼分析全自動(dòng)評(píng)估程序代碼功能分析所有可能出錯(cuò)的輸入點(diǎn)開發(fā)中立即指出程序弱點(diǎn)所在開發(fā)中立即提出可行的安全程序建議方案快速、有效率且無副作用的安全程序設(shè)計(jì)$var = $_GET“input”;$db-exec(“select * from “ . $var);WEB應(yīng)用安全和數(shù)據(jù)庫(kù)安全的領(lǐng)航者自動(dòng)化源代碼分析自動(dòng)化源代碼分析 WEB應(yīng)用安全和數(shù)據(jù)庫(kù)安全的領(lǐng)航者應(yīng)用安全漏洞自動(dòng)化測(cè)試技術(shù)應(yīng)用安全漏洞自動(dòng)

3、化測(cè)試技術(shù) 基于白盒的代碼審計(jì) 基于黑盒的 QA 安全測(cè)試 基于灰盒的 QA 安全測(cè)試 自動(dòng)化 WEB 安全掃描WEB應(yīng)用安全和數(shù)據(jù)庫(kù)安全的領(lǐng)航者基于黑盒的基于黑盒的QA安全測(cè)試安全測(cè)試 黑盒 QA 安全測(cè)試 工作原理通過 fuzzing 的方式對(duì)目標(biāo)進(jìn)行測(cè)試通過返回?cái)?shù)據(jù)判斷安全漏洞是否存在WEB應(yīng)用安全和數(shù)據(jù)庫(kù)安全的領(lǐng)航者基于黑盒的基于黑盒的QA安全測(cè)試安全測(cè)試 工作方式 使用瀏覽器插件獲取基礎(chǔ)數(shù)據(jù) 使用http代理獲取基礎(chǔ)數(shù)據(jù)瀏覽器插件http代理測(cè)試數(shù)據(jù)測(cè)試服務(wù)器WEB應(yīng)用安全和數(shù)據(jù)庫(kù)安全的領(lǐng)航者基于黑盒的基于黑盒的QA安全測(cè)試安全測(cè)試 多測(cè)試人員協(xié)同測(cè)試WEB應(yīng)用安全和數(shù)據(jù)庫(kù)安全的領(lǐng)航

4、者基于黑盒的基于黑盒的QA安全測(cè)試安全測(cè)試 多測(cè)試人員協(xié)同測(cè)試 不同人員分模塊進(jìn)行測(cè)試 業(yè)務(wù)測(cè)試人員也可進(jìn)行安全測(cè)試 安全測(cè)試人員負(fù)責(zé)對(duì)所有結(jié)果的集中審計(jì) 可大大降低安全測(cè)試人員的投入WEB應(yīng)用安全和數(shù)據(jù)庫(kù)安全的領(lǐng)航者基于黑盒的基于黑盒的QA安全測(cè)試安全測(cè)試檢測(cè)弱點(diǎn)及功能基本描述 XSS跨站攻擊檢測(cè)SQL 注入檢測(cè)CSRF檢測(cè)FORM檢測(cè)；（表單逃逸檢測(cè)）FORM弱口令檢測(cè)網(wǎng)頁(yè)木馬（惡意代碼）檢測(cè)數(shù)據(jù)竊取檢測(cè)中間人攻擊檢測(cè)oracle密碼爆力破解WebService Xpath 注入檢測(cè)Web 2.0 AJAX注入檢測(cè)Cookies 注入檢測(cè)雜項(xiàng)：其他各類CGI弱點(diǎn)檢測(cè)，如：命令注入檢測(cè)、LD

5、AP注入檢測(cè)、CFS跨域攻擊檢測(cè)、敏感文件檢測(cè)、目錄遍歷檢測(cè)、遠(yuǎn)程文件包含檢測(cè)、應(yīng)用層拒絕服務(wù)檢測(cè)等等WEB應(yīng)用安全和數(shù)據(jù)庫(kù)安全的領(lǐng)航者基于黑盒的基于黑盒的QA安全測(cè)試安全測(cè)試 基于黑盒的QA安全測(cè)試優(yōu)勢(shì) 可以協(xié)助測(cè)試人員快速進(jìn)行安全測(cè)試 減少安全測(cè)試人員的投入 有效規(guī)避在代碼開發(fā)階段模塊測(cè)試時(shí)的多人協(xié)作問題 通過代理或插件的方式，可以防止由于復(fù)雜業(yè)務(wù)邏輯導(dǎo)致的操作順序問題WEB應(yīng)用安全和數(shù)據(jù)庫(kù)安全的領(lǐng)航者應(yīng)用安全漏洞自動(dòng)化測(cè)試技術(shù)應(yīng)用安全漏洞自動(dòng)化測(cè)試技術(shù) 基于白盒的代碼審計(jì) 基于黑盒的 QA 安全測(cè)試 基于灰盒的 QA 安全測(cè)試 自動(dòng)化 WEB 安全掃描WEB應(yīng)用安全和數(shù)據(jù)庫(kù)安全的領(lǐng)航者基

6、于灰盒安全測(cè)試基于灰盒安全測(cè)試WEB應(yīng)用安全和數(shù)據(jù)庫(kù)安全的領(lǐng)航者基于灰盒安全測(cè)試基于灰盒安全測(cè)試 QA 灰盒測(cè)試 通過修改 ByteCode 劫持關(guān)鍵的函數(shù)在對(duì)常規(guī)功能進(jìn)行測(cè)試時(shí)，無需測(cè)試人員輸入任何帶攻擊性的測(cè)試數(shù)據(jù)。用類似 fuzzing 的測(cè)試，能有效的找出程序中的漏洞點(diǎn)。WEB應(yīng)用安全和數(shù)據(jù)庫(kù)安全的領(lǐng)航者基于灰盒安全測(cè)試基于灰盒安全測(cè)試 QA 灰盒測(cè)試特點(diǎn) 更深層次的WEB安全漏洞檢測(cè)，如：存儲(chǔ)型跨站、沒有回顯的注入、異常的文件操作等。 不干擾正常的業(yè)務(wù)操作。WEB應(yīng)用安全和數(shù)據(jù)庫(kù)安全的領(lǐng)航者應(yīng)用安全漏洞自動(dòng)化測(cè)試技術(shù)應(yīng)用安全漏洞自動(dòng)化測(cè)試技術(shù) 基于白盒的代碼審計(jì) 基于黑盒的 QA 安

7、全測(cè)試 基于灰盒的 QA 安全測(cè)試 自動(dòng)化 WEB 安全掃描WEB應(yīng)用安全和數(shù)據(jù)庫(kù)安全的領(lǐng)航者自動(dòng)化自動(dòng)化WEB安全掃描安全掃描 自動(dòng)化掃描 在應(yīng)用程序完成發(fā)布后，需要進(jìn)行完整的自動(dòng)化應(yīng)用安全掃描測(cè)試 完整的自動(dòng)化掃描測(cè)試可以有效快速的發(fā)現(xiàn)應(yīng)用程序的安全問題。WEB應(yīng)用安全和數(shù)據(jù)庫(kù)安全的領(lǐng)航者技術(shù)實(shí)現(xiàn)方式技術(shù)實(shí)現(xiàn)方式WEB應(yīng)用安全和數(shù)據(jù)庫(kù)安全的領(lǐng)航者 主動(dòng)掃描技術(shù)和Proxy掃描技術(shù)的雙支持 主動(dòng)掃描 被動(dòng)掃描弱點(diǎn)掃描方式弱點(diǎn)掃描方式WEB應(yīng)用安全和數(shù)據(jù)庫(kù)安全的領(lǐng)航者提提 綱綱 應(yīng)用安全漏洞自動(dòng)化測(cè)試技術(shù) 等級(jí)保護(hù)檢查工作自動(dòng)化實(shí)現(xiàn)技術(shù) 等級(jí)保護(hù)整改加固技術(shù)WEB應(yīng)用安全和數(shù)據(jù)庫(kù)安全的領(lǐng)航者等

8、級(jí)保護(hù)的工作流程等級(jí)保護(hù)的工作流程WEB應(yīng)用安全和數(shù)據(jù)庫(kù)安全的領(lǐng)航者等級(jí)保護(hù)監(jiān)管單位遇到的問題等級(jí)保護(hù)監(jiān)管單位遇到的問題1. 缺乏對(duì)第三方測(cè)評(píng)機(jī)構(gòu)出具的測(cè)評(píng)結(jié)果進(jìn)行校驗(yàn)2. 公安民警自身水平有限3. 缺乏統(tǒng)一的工具對(duì)其信息系統(tǒng)開展日常檢查工作4. 缺乏自動(dòng)化、集中化的工具對(duì)其進(jìn)行檢查、管理5. 信息系統(tǒng)開展檢查所用時(shí)間較長(zhǎng)、且效率較低通過實(shí)際走訪溝通目前主要表現(xiàn)如下特點(diǎn)：通過實(shí)際走訪溝通目前主要表現(xiàn)如下特點(diǎn)：WEB應(yīng)用安全和數(shù)據(jù)庫(kù)安全的領(lǐng)航者等級(jí)保護(hù)檢查工作自動(dòng)化實(shí)現(xiàn)技術(shù)等級(jí)保護(hù)檢查工作自動(dòng)化實(shí)現(xiàn)技術(shù) 為了提升公安民警日常開展等級(jí)保護(hù)檢查工作中的效率，急需一款專業(yè)的自動(dòng)化輔助檢查工具來應(yīng)對(duì)日常

9、開展等級(jí)保護(hù)檢查工作所面臨的諸多問題。 等級(jí)保護(hù)檢查工作自動(dòng)化實(shí)現(xiàn)技術(shù)需充分密切結(jié)合信息安全等級(jí)保護(hù)政策，為測(cè)評(píng)、整改、檢查各環(huán)節(jié)過程中提供專業(yè)、標(biāo)準(zhǔn)化的檢查依據(jù)。WEB應(yīng)用安全和數(shù)據(jù)庫(kù)安全的領(lǐng)航者等級(jí)保護(hù)技術(shù)檢查工作自動(dòng)化實(shí)現(xiàn)技術(shù)等級(jí)保護(hù)技術(shù)檢查工作自動(dòng)化實(shí)現(xiàn)技術(shù) 通過對(duì)應(yīng)用系統(tǒng)進(jìn)行檢查，能夠發(fā)現(xiàn)應(yīng)用系統(tǒng)是否存在弱口令、SQL注入、XSS跨站腳本攻擊、目錄遍歷等安全漏洞，能夠覆蓋、關(guān)聯(lián)到應(yīng)用系統(tǒng)身份鑒別、訪問控制、軟件容錯(cuò)等檢查項(xiàng)通過系統(tǒng)漏洞檢查對(duì)信息系統(tǒng)主機(jī)、網(wǎng)絡(luò)、安全設(shè)備進(jìn)行漏洞掃描，從而了解系統(tǒng)所存在的弱口令、安全漏洞，能夠覆蓋、關(guān)聯(lián)到基本要求中主機(jī)安全、網(wǎng)絡(luò)安全的身份鑒別、入侵防范等

10、檢查項(xiàng)通過數(shù)據(jù)庫(kù)安全檢查對(duì)數(shù)據(jù)庫(kù)系統(tǒng)進(jìn)行掃描，可以了解系統(tǒng)中賬戶和口令安全策略、補(bǔ)丁升級(jí)、及賬戶權(quán)限分配情況、以及安全審計(jì)等狀態(tài)情況，能夠覆蓋、關(guān)聯(lián)到身份鑒別、訪問控制、安全審計(jì)、入侵防范、資源控制項(xiàng)WEB應(yīng)用安全和數(shù)據(jù)庫(kù)安全的領(lǐng)航者等級(jí)保護(hù)檢查工作自動(dòng)化實(shí)現(xiàn)技術(shù)等級(jí)保護(hù)檢查工作自動(dòng)化實(shí)現(xiàn)技術(shù)WEB應(yīng)用安全和數(shù)據(jù)庫(kù)安全的領(lǐng)航者等級(jí)保護(hù)管理問卷檢查工作自動(dòng)化現(xiàn)實(shí)技術(shù)等級(jí)保護(hù)管理問卷檢查工作自動(dòng)化現(xiàn)實(shí)技術(shù) 由于等級(jí)保護(hù)政策涉及層面較多，僅通過技術(shù)檢查工具無法滿足覆蓋技術(shù)檢查和管理安全以及物理安全檢查的全部檢查項(xiàng)。 管理問卷是充分考慮到上述問題因素，將技術(shù)物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、數(shù)據(jù)庫(kù)安全、應(yīng)

11、用安全、數(shù)據(jù)安全及備份和管理安全充分結(jié)合，形成了民警以訪談的形式進(jìn)行數(shù)據(jù)錄入，從而解決了技術(shù)檢查工具無法覆蓋到管理、物理層層面開展同步檢查工作的問題，真正實(shí)現(xiàn)了將技術(shù)和管理進(jìn)行無縫整合。WEB應(yīng)用安全和數(shù)據(jù)庫(kù)安全的領(lǐng)航者等級(jí)保護(hù)管理檢查工作自動(dòng)化實(shí)現(xiàn)技術(shù)等級(jí)保護(hù)管理檢查工作自動(dòng)化實(shí)現(xiàn)技術(shù)針對(duì)檢查項(xiàng)，提供了豐富的檢查方法，供檢查人員參考檢查方法預(yù)期結(jié)果整改建議WEB應(yīng)用安全和數(shù)據(jù)庫(kù)安全的領(lǐng)航者等級(jí)保護(hù)管理檢查工作自動(dòng)化實(shí)現(xiàn)技術(shù)等級(jí)保護(hù)管理檢查工作自動(dòng)化實(shí)現(xiàn)技術(shù)示例講解：示例講解：一、一、身份鑒別（S3）：b) 操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)管理用戶身份標(biāo)識(shí)應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)有復(fù)雜

12、度要求并定期更換；c) 應(yīng)啟用登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施；f) 應(yīng)采用兩種或兩種以上組合的鑒別技術(shù)對(duì)管理用戶進(jìn)行身份鑒別。一、一、 檢查方法：檢查方法：1. 可通過主機(jī)配置檢查工具檢查其賬戶是否設(shè)置了口令最小長(zhǎng)度、口令復(fù)雜度、以及登錄失敗鎖定次數(shù)2. 可通過基于口令破解工具以遠(yuǎn)程非授權(quán)方式對(duì)其目標(biāo)主機(jī)賬戶口令進(jìn)行驗(yàn)證，如檢查過程中發(fā)現(xiàn)存在弱口令，則表明目標(biāo)主機(jī)未采用雙因子認(rèn)證技術(shù)。3. 以訪談的形式了解當(dāng)前主機(jī)賬戶、口令策略情況，查看目標(biāo)主機(jī)上策略實(shí)際情況。結(jié)合了技術(shù)與管理方法，解決了僅依賴技術(shù)無法完成一次完整的安全檢查的問題。WEB應(yīng)用安全和數(shù)據(jù)庫(kù)安全

13、的領(lǐng)航者 等級(jí)保護(hù)管理檢查工作自動(dòng)化實(shí)現(xiàn)技術(shù)等級(jí)保護(hù)管理檢查工作自動(dòng)化實(shí)現(xiàn)技術(shù)-報(bào)告輸出報(bào)告輸出WEB應(yīng)用安全和數(shù)據(jù)庫(kù)安全的領(lǐng)航者 等級(jí)保護(hù)管理檢查工作自動(dòng)化實(shí)現(xiàn)技術(shù)等級(jí)保護(hù)管理檢查工作自動(dòng)化實(shí)現(xiàn)技術(shù)-報(bào)告輸出報(bào)告輸出WEB應(yīng)用安全和數(shù)據(jù)庫(kù)安全的領(lǐng)航者提提 綱綱 應(yīng)用安全漏洞自動(dòng)化測(cè)試技術(shù) 等級(jí)保護(hù)檢查工作自動(dòng)化實(shí)現(xiàn)技術(shù) 等級(jí)保護(hù)整改加固技術(shù)WEB應(yīng)用安全和數(shù)據(jù)庫(kù)安全的領(lǐng)航者嚴(yán)格遵循國(guó)家在等級(jí)保護(hù)方面的有關(guān)政策、技嚴(yán)格遵循國(guó)家在等級(jí)保護(hù)方面的有關(guān)政策、技術(shù)標(biāo)準(zhǔn)；術(shù)標(biāo)準(zhǔn)；整改方案必須要完整、有效、具有可操作性；整改方案必須要完整、有效、具有可操作性；自主定級(jí)、自主保護(hù)：建設(shè)滿足自身實(shí)際安全自主定級(jí)、自主保護(hù)：建設(shè)滿足自身實(shí)際安全需求的等級(jí)保護(hù)安全體系；需求的等級(jí)保護(hù)安全體系；整體規(guī)劃，分步實(shí)施；整體規(guī)劃，分步實(shí)施；對(duì)業(yè)務(wù)應(yīng)用影響最?。粚?duì)業(yè)務(wù)應(yīng)用影響最小；重點(diǎn)保護(hù)，適度安全；重點(diǎn)保護(hù)，適度安全；等級(jí)保護(hù)整改方案設(shè)計(jì)原則等級(jí)保護(hù)整改方案設(shè)計(jì)原則WEB應(yīng)用安全和數(shù)據(jù)庫(kù)安全的領(lǐng)航者1.1.政策和技術(shù)標(biāo)準(zhǔn)政策和技術(shù)標(biāo)準(zhǔn)2.2.整改需求分析整改需求分析3.3.方案總體設(shè)計(jì)方案總體設(shè)計(jì)4.4.方案詳細(xì)設(shè)計(jì)方案詳細(xì)設(shè)計(jì)5.5.設(shè)備選型設(shè)備