信息系统等级保护自动化测试及加固技术实现课件.pptx

1、汇报人：刘志乐WEB应用安全和数据库安全的领航者WHO AM IWHO AM I 刘志乐（刘志乐（TonyTony）OWASP中国区委员OWASP中国杭州分会区域负责人安恒安全服务部总监2011年中国计算机网络安全年会演讲嘉宾2011年OWASP亚洲峰会演讲嘉宾ISF2011上海演讲嘉宾2012年OWASP AppSec Asia悉尼峰会演讲嘉宾2012年第四届中国云计算大会演讲嘉宾 2012年计算机网络安全年会演讲嘉宾WEB应用安全和数据库安全的领航者提提 纲纲 应用安全漏洞自动化测试技术 等级保护检查工作自动化实现技术 等级保护整改加固技术WEB应用安全和数据库安全的领航者应用安全漏洞自动

2、化测试技术应用安全漏洞自动化测试技术 基于白盒的代码审计 基于黑盒的 QA 安全测试 基于灰盒的 QA 安全测试 自动化 WEB 安全扫描WEB应用安全和数据库安全的领航者自动化源代码分析自动化源代码分析全自动评估程序代码功能分析所有可能出错的输入点开发中立即指出程序弱点所在开发中立即提出可行的安全程序建议方案快速、有效率且无副作用的安全程序设计$var = $_GET“input”;$db-exec(“select * from “ . $var);WEB应用安全和数据库安全的领航者自动化源代码分析自动化源代码分析 WEB应用安全和数据库安全的领航者应用安全漏洞自动化测试技术应用安全漏洞自动

3、化测试技术 基于白盒的代码审计 基于黑盒的 QA 安全测试 基于灰盒的 QA 安全测试 自动化 WEB 安全扫描WEB应用安全和数据库安全的领航者基于黑盒的基于黑盒的QA安全测试安全测试 黑盒 QA 安全测试 工作原理通过 fuzzing 的方式对目标进行测试通过返回数据判断安全漏洞是否存在WEB应用安全和数据库安全的领航者基于黑盒的基于黑盒的QA安全测试安全测试 工作方式 使用浏览器插件获取基础数据 使用http代理获取基础数据浏览器插件http代理测试数据测试服务器WEB应用安全和数据库安全的领航者基于黑盒的基于黑盒的QA安全测试安全测试 多测试人员协同测试WEB应用安全和数据库安全的领航

4、者基于黑盒的基于黑盒的QA安全测试安全测试 多测试人员协同测试 不同人员分模块进行测试 业务测试人员也可进行安全测试 安全测试人员负责对所有结果的集中审计 可大大降低安全测试人员的投入WEB应用安全和数据库安全的领航者基于黑盒的基于黑盒的QA安全测试安全测试检测弱点及功能基本描述 XSS跨站攻击检测SQL 注入检测CSRF检测FORM检测；（表单逃逸检测）FORM弱口令检测网页木马（恶意代码）检测数据窃取检测中间人攻击检测oracle密码爆力破解WebService Xpath 注入检测Web 2.0 AJAX注入检测Cookies 注入检测杂项：其他各类CGI弱点检测，如：命令注入检测、LD

5、AP注入检测、CFS跨域攻击检测、敏感文件检测、目录遍历检测、远程文件包含检测、应用层拒绝服务检测等等WEB应用安全和数据库安全的领航者基于黑盒的基于黑盒的QA安全测试安全测试 基于黑盒的QA安全测试优势 可以协助测试人员快速进行安全测试 减少安全测试人员的投入 有效规避在代码开发阶段模块测试时的多人协作问题 通过代理或插件的方式，可以防止由于复杂业务逻辑导致的操作顺序问题WEB应用安全和数据库安全的领航者应用安全漏洞自动化测试技术应用安全漏洞自动化测试技术 基于白盒的代码审计 基于黑盒的 QA 安全测试 基于灰盒的 QA 安全测试 自动化 WEB 安全扫描WEB应用安全和数据库安全的领航者基

6、于灰盒安全测试基于灰盒安全测试WEB应用安全和数据库安全的领航者基于灰盒安全测试基于灰盒安全测试 QA 灰盒测试 通过修改 ByteCode 劫持关键的函数在对常规功能进行测试时，无需测试人员输入任何带攻击性的测试数据。用类似 fuzzing 的测试，能有效的找出程序中的漏洞点。WEB应用安全和数据库安全的领航者基于灰盒安全测试基于灰盒安全测试 QA 灰盒测试特点 更深层次的WEB安全漏洞检测，如：存储型跨站、没有回显的注入、异常的文件操作等。 不干扰正常的业务操作。WEB应用安全和数据库安全的领航者应用安全漏洞自动化测试技术应用安全漏洞自动化测试技术 基于白盒的代码审计 基于黑盒的 QA 安

7、全测试 基于灰盒的 QA 安全测试 自动化 WEB 安全扫描WEB应用安全和数据库安全的领航者自动化自动化WEB安全扫描安全扫描 自动化扫描 在应用程序完成发布后，需要进行完整的自动化应用安全扫描测试 完整的自动化扫描测试可以有效快速的发现应用程序的安全问题。WEB应用安全和数据库安全的领航者技术实现方式技术实现方式WEB应用安全和数据库安全的领航者 主动扫描技术和Proxy扫描技术的双支持 主动扫描 被动扫描弱点扫描方式弱点扫描方式WEB应用安全和数据库安全的领航者提提 纲纲 应用安全漏洞自动化测试技术 等级保护检查工作自动化实现技术 等级保护整改加固技术WEB应用安全和数据库安全的领航者等

8、级保护的工作流程等级保护的工作流程整改测评检查定级备案WEB应用安全和数据库安全的领航者等级保护监管单位遇到的问题等级保护监管单位遇到的问题1. 缺乏对第三方测评机构出具的测评结果进行校验2. 公安民警自身水平有限3. 缺乏统一的工具对其信息系统开展日常检查工作4. 缺乏自动化、集中化的工具对其进行检查、管理5. 信息系统开展检查所用时间较长、且效率较低通过实际走访沟通目前主要表现如下特点：通过实际走访沟通目前主要表现如下特点：?WEB应用安全和数据库安全的领航者等级保护检查工作自动化实现技术等级保护检查工作自动化实现技术 为了提升公安民警日常开展等级保护检查工作中的效率，急需一款专业的自动化

9、辅助检查工具来应对日常开展等级保护检查工作所面临的诸多问题。 等级保护检查工作自动化实现技术需充分密切结合信息安全等级保护政策，为测评、整改、检查各环节过程中提供专业、标准化的检查依据。WEB应用安全和数据库安全的领航者等级保护技术检查工作自动化实现技术等级保护技术检查工作自动化实现技术一、系统漏洞检查二、数据库安全检查三、WEB应用系统检查 通过对应用系统进行检查，能够发现应用系统是否存在弱口令、SQL注入、XSS跨站脚本攻击、目录遍历等安全漏洞，能够覆盖、关联到应用系统身份鉴别、访问控制、软件容错等检查项通过系统漏洞检查对信息系统主机、网络、安全设备进行漏洞扫描，从而了解系统所存在的弱口令

10、、安全漏洞，能够覆盖、关联到基本要求中主机安全、网络安全的身份鉴别、入侵防范等检查项通过数据库安全检查对数据库系统进行扫描，可以了解系统中账户和口令安全策略、补丁升级、及账户权限分配情况、以及安全审计等状态情况，能够覆盖、关联到身份鉴别、访问控制、安全审计、入侵防范、资源控制项WEB应用安全和数据库安全的领航者等级保护检查工作自动化实现技术等级保护检查工作自动化实现技术主机配置检查 通过接入目标主机，对主机、网络设备操作系统进行安全基线检查，可以得知系统端口开放、账户管理、不必要的服务、安全补丁升级、安全审计等状态情况，主机配置检查U盘工具解决了基于远程检查无法发现更深层问题这一难点。终端安全

11、检查 通过接入目标主机，可实现对主机操作系统进行安全扫描，能够分析出系统是否存在病毒、木马、蠕虫、Rootkit等后门程序，终端安全检查U盘工具解决了通过外部无法分析出主机内是否存在病毒、木马等恶意代码的问题。能够覆盖、关联到入侵防范恶意代码检查 通过接入WEB服务器，对WEB程序代码可实现自动化扫描和安全分析，可以了解到程序文件中是否被植入恶意代码后门口令破解工具 运行口令破解工具可实现对主机、网络设备、应用系统、数据库系统的账户口令进行验证，可以了解到是否遵循了口令复杂度、定期更换要求，能够覆盖到对主机安全、网络安全、应用系统、数据库系统的身份鉴别项渗透测试工具 通过渗透测试工具对三级以上

12、WEB应用系统进行安全测试，可以基于SQL注入点进一步进行渗透测试，获取到后台数据库中的相关信息，解决了无法通过安全扫描获取后台账户口令加密和算法强度等信息的问题。能够覆盖并关联到软件容错、访问控制、通信完整性、通信保密性等检查项WEB应用安全和数据库安全的领航者等级保护管理问卷检查工作自动化现实技术等级保护管理问卷检查工作自动化现实技术 由于等级保护政策涉及层面较多，仅通过技术检查工具无法满足覆盖技术检查和管理安全以及物理安全检查的全部检查项。 管理问卷是充分考虑到上述问题因素，将技术物理安全、网络安全、主机安全、数据库安全、应用安全、数据安全及备份和管理安全充分结合，形成了民警以访谈的形式

13、进行数据录入，从而解决了技术检查工具无法覆盖到管理、物理层层面开展同步检查工作的问题，真正实现了将技术和管理进行无缝整合。管理问卷管理问卷WEB应用安全和数据库安全的领航者等级保护管理检查工作自动化实现技术等级保护管理检查工作自动化实现技术完备的知识库提供丰富的预期检查结果，仅需手动选择，无需人工录入无需人工编写整改建议，能够智能对不符合项与整改建议知识库进行关联，真正意义上实现自动化生成完整的信息安全等级保护检查报告针对检查项，提供了丰富的检查方法，供检查人员参考检查方法预期结果整改建议WEB应用安全和数据库安全的领航者等级保护管理检查工作自动化实现技术等级保护管理检查工作自动化实现技术示例

14、讲解：示例讲解：一、一、7.1.3.1身份鉴别（S3）：b) 操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换；c) 应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施；f) 应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。一、一、 检查方法：检查方法：1. 可通过主机配置检查工具检查其账户是否设置了口令最小长度、口令复杂度、以及登录失败锁定次数2. 可通过基于口令破解工具以远程非授权方式对其目标主机账户口令进行验证，如检查过程中发现存在弱口令，则表明目标主机未采用双因子认证技术。3. 以访谈的形式了解当前主机账户、口令策

15、略情况，查看目标主机上策略实际情况。结合了技术与管理方法，解决了仅依赖技术无法完成一次完整的安全检查的问题。WEB应用安全和数据库安全的领航者 等级保护管理检查工作自动化实现技术等级保护管理检查工作自动化实现技术-报告输出报告输出WEB应用安全和数据库安全的领航者 等级保护管理检查工作自动化实现技术等级保护管理检查工作自动化实现技术-报告输出报告输出WEB应用安全和数据库安全的领航者提提 纲纲 应用安全漏洞自动化测试技术 等级保护检查工作自动化实现技术 等级保护整改加固技术WEB应用安全和数据库安全的领航者严格遵循国家在等级保护方面的有关政策、技严格遵循国家在等级保护方面的有关政策、技术标准；

16、术标准；整改方案必须要完整、有效、具有可操作性；整改方案必须要完整、有效、具有可操作性；自主定级、自主保护：建设满足自身实际安全自主定级、自主保护：建设满足自身实际安全需求的等级保护安全体系；需求的等级保护安全体系；整体规划，分步实施；整体规划，分步实施；对业务应用影响最小；对业务应用影响最小；重点保护，适度安全；重点保护，适度安全；等级保护整改方案设计原则等级保护整改方案设计原则WEB应用安全和数据库安全的领航者1.1.政策和技术标准政策和技术标准2.2.整改需求分析整改需求分析3.3.方案总体设计方案总体设计4.4.方案详细设计方案详细设计5.5.设备选型设备选型6.6.安全性分析安全性分析7.7.工程实施设计工程实施设计等级保护整改方案主要内容（思路）等级保护整改方案主要内容（思路）WEB应用安全和数据库安全的领航者等级保护整改加固示例等级保护整改加固示例WEB应用弱点扫描器数据库弱点扫描器WEB应用审计数据库审计数据库服务器应用服务器互联网用户1互联网用户2互联网用户 N防火墙WEB应用防火墙运维审计综合日志审计平台等保测评与自测评等保整改加固THANK THANK YOUYOU