信息系统等级保护自动化测试及加固技术实现_第1页
信息系统等级保护自动化测试及加固技术实现_第2页
信息系统等级保护自动化测试及加固技术实现_第3页
信息系统等级保护自动化测试及加固技术实现_第4页
信息系统等级保护自动化测试及加固技术实现_第5页
已阅读5页,还剩32页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、汇报人:刘志乐WEB应用安全和数据库安全的领航者WHO AM IWHO AM I 刘志乐(刘志乐(TonyTony)OWASP中国区委员OWASP中国杭州分会区域负责人安恒安全服务部总监2011年中国计算机网络安全年会演讲嘉宾2011年OWASP亚洲峰会演讲嘉宾ISF2011上海演讲嘉宾2012年OWASP AppSec Asia悉尼峰会演讲嘉宾2012年第四届中国云计算大会演讲嘉宾 2012年计算机网络安全年会演讲嘉宾WEB应用安全和数据库安全的领航者提提 纲纲 应用安全漏洞自动化测试技术 等级保护检查工作自动化实现技术 等级保护整改加固技术WEB应用安全和数据库安全的领航者应用安全漏洞自动

2、化测试技术应用安全漏洞自动化测试技术 基于白盒的代码审计 基于黑盒的 QA 安全测试 基于灰盒的 QA 安全测试 自动化 WEB 安全扫描WEB应用安全和数据库安全的领航者自动化源代码分析自动化源代码分析全自动评估程序代码功能分析所有可能出错的输入点开发中立即指出程序弱点所在开发中立即提出可行的安全程序建议方案快速、有效率且无副作用的安全程序设计$var = $_GET“input”;$db-exec(“select * from “ . $var);WEB应用安全和数据库安全的领航者自动化源代码分析自动化源代码分析 WEB应用安全和数据库安全的领航者应用安全漏洞自动化测试技术应用安全漏洞自动

3、化测试技术 基于白盒的代码审计 基于黑盒的 QA 安全测试 基于灰盒的 QA 安全测试 自动化 WEB 安全扫描WEB应用安全和数据库安全的领航者基于黑盒的基于黑盒的QA安全测试安全测试 黑盒 QA 安全测试 工作原理通过 fuzzing 的方式对目标进行测试通过返回数据判断安全漏洞是否存在WEB应用安全和数据库安全的领航者基于黑盒的基于黑盒的QA安全测试安全测试 工作方式 使用浏览器插件获取基础数据 使用http代理获取基础数据浏览器插件http代理测试数据测试服务器WEB应用安全和数据库安全的领航者基于黑盒的基于黑盒的QA安全测试安全测试 多测试人员协同测试WEB应用安全和数据库安全的领航

4、者基于黑盒的基于黑盒的QA安全测试安全测试 多测试人员协同测试 不同人员分模块进行测试 业务测试人员也可进行安全测试 安全测试人员负责对所有结果的集中审计 可大大降低安全测试人员的投入WEB应用安全和数据库安全的领航者基于黑盒的基于黑盒的QA安全测试安全测试检测弱点及功能基本描述 XSS跨站攻击检测SQL 注入检测CSRF检测FORM检测;(表单逃逸检测)FORM弱口令检测网页木马(恶意代码)检测数据窃取检测中间人攻击检测oracle密码爆力破解WebService Xpath 注入检测Web 2.0 AJAX注入检测Cookies 注入检测杂项:其他各类CGI弱点检测,如:命令注入检测、LD

5、AP注入检测、CFS跨域攻击检测、敏感文件检测、目录遍历检测、远程文件包含检测、应用层拒绝服务检测等等WEB应用安全和数据库安全的领航者基于黑盒的基于黑盒的QA安全测试安全测试 基于黑盒的QA安全测试优势 可以协助测试人员快速进行安全测试 减少安全测试人员的投入 有效规避在代码开发阶段模块测试时的多人协作问题 通过代理或插件的方式,可以防止由于复杂业务逻辑导致的操作顺序问题WEB应用安全和数据库安全的领航者应用安全漏洞自动化测试技术应用安全漏洞自动化测试技术 基于白盒的代码审计 基于黑盒的 QA 安全测试 基于灰盒的 QA 安全测试 自动化 WEB 安全扫描WEB应用安全和数据库安全的领航者基

6、于灰盒安全测试基于灰盒安全测试WEB应用安全和数据库安全的领航者基于灰盒安全测试基于灰盒安全测试 QA 灰盒测试 通过修改 ByteCode 劫持关键的函数在对常规功能进行测试时,无需测试人员输入任何带攻击性的测试数据。用类似 fuzzing 的测试,能有效的找出程序中的漏洞点。WEB应用安全和数据库安全的领航者基于灰盒安全测试基于灰盒安全测试 QA 灰盒测试特点 更深层次的WEB安全漏洞检测,如:存储型跨站、没有回显的注入、异常的文件操作等。 不干扰正常的业务操作。WEB应用安全和数据库安全的领航者应用安全漏洞自动化测试技术应用安全漏洞自动化测试技术 基于白盒的代码审计 基于黑盒的 QA 安

7、全测试 基于灰盒的 QA 安全测试 自动化 WEB 安全扫描WEB应用安全和数据库安全的领航者自动化自动化WEB安全扫描安全扫描 自动化扫描 在应用程序完成发布后,需要进行完整的自动化应用安全扫描测试 完整的自动化扫描测试可以有效快速的发现应用程序的安全问题。WEB应用安全和数据库安全的领航者技术实现方式技术实现方式WEB应用安全和数据库安全的领航者 主动扫描技术和Proxy扫描技术的双支持 主动扫描 被动扫描弱点扫描方式弱点扫描方式WEB应用安全和数据库安全的领航者提提 纲纲 应用安全漏洞自动化测试技术 等级保护检查工作自动化实现技术 等级保护整改加固技术WEB应用安全和数据库安全的领航者等

8、级保护的工作流程等级保护的工作流程WEB应用安全和数据库安全的领航者等级保护监管单位遇到的问题等级保护监管单位遇到的问题1. 缺乏对第三方测评机构出具的测评结果进行校验2. 公安民警自身水平有限3. 缺乏统一的工具对其信息系统开展日常检查工作4. 缺乏自动化、集中化的工具对其进行检查、管理5. 信息系统开展检查所用时间较长、且效率较低通过实际走访沟通目前主要表现如下特点:通过实际走访沟通目前主要表现如下特点:WEB应用安全和数据库安全的领航者等级保护检查工作自动化实现技术等级保护检查工作自动化实现技术 为了提升公安民警日常开展等级保护检查工作中的效率,急需一款专业的自动化辅助检查工具来应对日常

9、开展等级保护检查工作所面临的诸多问题。 等级保护检查工作自动化实现技术需充分密切结合信息安全等级保护政策,为测评、整改、检查各环节过程中提供专业、标准化的检查依据。WEB应用安全和数据库安全的领航者等级保护技术检查工作自动化实现技术等级保护技术检查工作自动化实现技术 通过对应用系统进行检查,能够发现应用系统是否存在弱口令、SQL注入、XSS跨站脚本攻击、目录遍历等安全漏洞,能够覆盖、关联到应用系统身份鉴别、访问控制、软件容错等检查项通过系统漏洞检查对信息系统主机、网络、安全设备进行漏洞扫描,从而了解系统所存在的弱口令、安全漏洞,能够覆盖、关联到基本要求中主机安全、网络安全的身份鉴别、入侵防范等

10、检查项通过数据库安全检查对数据库系统进行扫描,可以了解系统中账户和口令安全策略、补丁升级、及账户权限分配情况、以及安全审计等状态情况,能够覆盖、关联到身份鉴别、访问控制、安全审计、入侵防范、资源控制项WEB应用安全和数据库安全的领航者等级保护检查工作自动化实现技术等级保护检查工作自动化实现技术WEB应用安全和数据库安全的领航者等级保护管理问卷检查工作自动化现实技术等级保护管理问卷检查工作自动化现实技术 由于等级保护政策涉及层面较多,仅通过技术检查工具无法满足覆盖技术检查和管理安全以及物理安全检查的全部检查项。 管理问卷是充分考虑到上述问题因素,将技术物理安全、网络安全、主机安全、数据库安全、应

11、用安全、数据安全及备份和管理安全充分结合,形成了民警以访谈的形式进行数据录入,从而解决了技术检查工具无法覆盖到管理、物理层层面开展同步检查工作的问题,真正实现了将技术和管理进行无缝整合。WEB应用安全和数据库安全的领航者等级保护管理检查工作自动化实现技术等级保护管理检查工作自动化实现技术针对检查项,提供了丰富的检查方法,供检查人员参考检查方法预期结果整改建议WEB应用安全和数据库安全的领航者等级保护管理检查工作自动化实现技术等级保护管理检查工作自动化实现技术示例讲解:示例讲解:一、一、身份鉴别(S3):b) 操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂

12、度要求并定期更换;c) 应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;f) 应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。一、一、 检查方法:检查方法:1. 可通过主机配置检查工具检查其账户是否设置了口令最小长度、口令复杂度、以及登录失败锁定次数2. 可通过基于口令破解工具以远程非授权方式对其目标主机账户口令进行验证,如检查过程中发现存在弱口令,则表明目标主机未采用双因子认证技术。3. 以访谈的形式了解当前主机账户、口令策略情况,查看目标主机上策略实际情况。结合了技术与管理方法,解决了仅依赖技术无法完成一次完整的安全检查的问题。WEB应用安全和数据库安全

13、的领航者 等级保护管理检查工作自动化实现技术等级保护管理检查工作自动化实现技术-报告输出报告输出WEB应用安全和数据库安全的领航者 等级保护管理检查工作自动化实现技术等级保护管理检查工作自动化实现技术-报告输出报告输出WEB应用安全和数据库安全的领航者提提 纲纲 应用安全漏洞自动化测试技术 等级保护检查工作自动化实现技术 等级保护整改加固技术WEB应用安全和数据库安全的领航者严格遵循国家在等级保护方面的有关政策、技严格遵循国家在等级保护方面的有关政策、技术标准;术标准;整改方案必须要完整、有效、具有可操作性;整改方案必须要完整、有效、具有可操作性;自主定级、自主保护:建设满足自身实际安全自主定级、自主保护:建设满足自身实际安全需求的等级保护安全体系;需求的等级保护安全体系;整体规划,分步实施;整体规划,分步实施;对业务应用影响最小;对业务应用影响最小;重点保护,适度安全;重点保护,适度安全;等级保护整改方案设计原则等级保护整改方案设计原则WEB应用安全和数据库安全的领航者1.1.政策和技术标准政策和技术标准2.2.整改需求分析整改需求分析3.3.方案总体设计方案总体设计4.4.方案详细设计方案详细设计5.5.设备选型设备

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论