信息系统等级保护自动化测试与加固技术实现

信息系统等级保护自动化测试与加固技术实现第一页，共38页。WHOAMI刘志乐（Tony）OWASP中国区委员OWASP中国杭州分会区域负责人安恒安全服务部总监2011年中国计算机网络安全年会演讲嘉宾2011年OWASP亚洲峰会演讲嘉宾ISF2011上海演讲嘉宾2012年OWASPAppSecAsia悉尼峰会演讲嘉宾2012年第四届中国云计算大会演讲嘉宾

2012年计算机网络安全年会演讲嘉宾第二页，共38页。提纲应用安全漏洞自动化测试技术等级保护检查工作自动化实现技术等级保护整改加固技术第三页，共38页。应用安全漏洞自动化测试技术基于白盒的代码审计基于黑盒的QA安全测试基于灰盒的QA安全测试自动化WEB安全扫描第四页，共38页。自动化源代码分析全自动评估程序代码功能分析所有可能出错的输入点开发中立即指出程序弱点所在开发中立即提出可行的安全程序建议方案快速、有效率且无副作用的安全程序设计…$var=$_GET[“input”];……$db->exec(“select*from“.$var);…第五页，共38页。自动化源代码分析第六页，共38页。应用安全漏洞自动化测试技术基于白盒的代码审计基于黑盒的QA安全测试基于灰盒的QA安全测试自动化WEB安全扫描第七页，共38页。基于黑盒的QA安全测试黑盒QA安全测试工作原理通过fuzzing的方式对目标进行测试通过返回数据判断安全漏洞是否存在第八页，共38页。基于黑盒的QA安全测试工作方式使用浏览器插件获取基础数据使用http代理获取基础数据浏览器插件http代理测试数据测试服务器第九页，共38页。基于黑盒的QA安全测试多测试人员协同测试第十页，共38页。基于黑盒的QA安全测试多测试人员协同测试不同人员分模块进行测试业务测试人员也可进行安全测试安全测试人员负责对所有结果的集中审计可大大降低安全测试人员的投入第十一页，共38页。基于黑盒的QA安全测试检测弱点及功能基本描述XSS跨站攻击检测SQL注入检测CSRF检测FORM检测；（表单逃逸检测）FORM弱口令检测网页木马（恶意代码）检测数据窃取检测中间人攻击检测oracle密码爆力破解WebServiceXpath注入检测Web2.0AJAX注入检测Cookies注入检测杂项：其他各类CGI弱点检测，如：命令注入检测、LDAP注入检测、CFS跨域攻击检测、敏感文件检测、目录遍历检测、远程文件包含检测、应用层拒绝服务检测等等第十二页，共38页。基于黑盒的QA安全测试基于黑盒的QA安全测试优势可以协助测试人员快速进行安全测试减少安全测试人员的投入有效规避在代码开发阶段模块测试时的多人协作问题通过代理或插件的方式，可以防止由于复杂业务逻辑导致的操作顺序问题第十三页，共38页。应用安全漏洞自动化测试技术基于白盒的代码审计基于黑盒的QA安全测试基于灰盒的QA安全测试自动化WEB安全扫描第十四页，共38页。基于灰盒安全测试第十五页，共38页。基于灰盒安全测试QA灰盒测试通过修改ByteCode劫持关键的函数

在对常规功能进行测试时，无需测试人员输入任何带攻击性的测试数据。用类似fuzzing的测试，能有效的找出程序中的漏洞点。第十六页，共38页。基于灰盒安全测试QA灰盒测试特点更深层次的WEB安全漏洞检测，如：存储型跨站、没有回显的注入、异常的文件操作等。不干扰正常的业务操作。第十七页，共38页。应用安全漏洞自动化测试技术基于白盒的代码审计基于黑盒的QA安全测试基于灰盒的QA安全测试自动化WEB安全扫描第十八页，共38页。自动化WEB安全扫描自动化扫描在应用程序完成发布后，需要进行完整的自动化应用安全扫描测试完整的自动化扫描测试可以有效快速的发现应用程序的安全问题。第十九页，共38页。技术实现方式第二十页，共38页。主动扫描技术和Proxy扫描技术的双支持主动扫描被动扫描弱点扫描方式第二十一页，共38页。提纲应用安全漏洞自动化测试技术等级保护检查工作自动化实现技术等级保护整改加固技术第二十二页，共38页。等级保护的工作流程第二十三页，共38页。等级保护监管单位遇到的问题1.缺乏对第三方测评机构出具的测评结果进行校验2.公安民警自身水平有限3.缺乏统一的工具对其信息系统开展日常检查工作4.缺乏自动化、集中化的工具对其进行检查、管理5.信息系统开展检查所用时间较长、且效率较低通过实际走访沟通目前主要表现如下特点：第二十四页，共38页。等级保护检查工作自动化实现技术为了提升公安民警日常开展等级保护检查工作中的效率，急需一款专业的自动化辅助检查工具来应对日常开展等级保护检查工作所面临的诸多问题。

等级保护检查工作自动化实现技术需充分密切结合信息安全等级保护政策，为测评、整改、检查各环节过程中提供专业、标准化的检查依据。第二十五页，共38页。等级保护技术检查工作自动化实现技术通过对应用系统进行检查，能够发现应用系统是否存在弱口令、SQL注入、XSS跨站脚本攻击、目录遍历等安全漏洞，能够覆盖、关联到应用系统身份鉴别、访问控制、软件容错等检查项通过系统漏洞检查对信息系统主机、网络、安全设备进行漏洞扫描，从而了解系统所存在的弱口令、安全漏洞，能够覆盖、关联到基本要求中主机安全、网络安全的身份鉴别、入侵防范等检查项通过数据库安全检查对数据库系统进行扫描，可以了解系统中账户和口令安全策略、补丁升级、及账户权限分配情况、以及安全审计等状态情况，能够覆盖、关联到身份鉴别、访问控制、安全审计、入侵防范、资源控制项第二十六页，共38页。等级保护检查工作自动化实现技术第二十七页，共38页。等级保护管理问卷检查工作自动化现实技术由于等级保护政策涉及层面较多，仅通过技术检查工具无法满足覆盖技术检查和管理安全以及物理安全检查的全部检查项。

管理问卷是充分考虑到上述问题因素，将技术物理安全、网络安全、主机安全、数据库安全、应用安全、数据安全及备份和管理安全充分结合，形成了民警以访谈的形式进行数据录入，从而解决了技术检查工具无法覆盖到管理、物理层层面开展同步检查工作的问题，真正实现了将技术和管理进行无缝整合。第二十八页，共38页。等级保护管理检查工作自动化实现技术针对检查项，提供了丰富的检查方法，供检查人员参考检查方法预期结果整改建议第二十九页，共38页。等级保护管理检查工作自动化实现技术示例讲解：一、身份鉴别（S3）：b)操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换；c)应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施；f)应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。一、检查方法：1.可通过主机配置检查工具检查其账户是否设置了口令最小长度、口令复杂度、以及登录失败锁定次数2.可通过基于口令破解工具以远程非授权方式对其目标主机账户口令进行验证，如检查过程中发现存在弱口令，则表明目标主机未采用双因子认证技术。3.以访谈的形式了解当前主机账户、口令策略情况，查看目标主机上策略实际情况。结合了技术与管理方法，解决了仅依赖技术无法完成一次完整的安全检查的问题。第三十页，共38页。

等级保护管理检查工作自动化实现技术---报告输出第三十一页，共38页。

等级保护管理检查工作自动化实现技术---报告输出第三十二页，共38页。提纲应用安全漏洞自动化测试技术等级保护检查工作自动化实现技术等级保护整改加固技术第三十三页，共38页。严格遵循国家在等级保护方面的有关政策、技术标准；整改方案必须要完整、有效、具有可操作性；自主定级、自主保护：建设满足自身实际安全需求的等级保护安全体系；整体规划，分步实施；对业务应用影响最小；重点保护，适度安全；等级保护整改方案设计原则第三十四页，共38页。

1.政策和技术标准

2.整改需求分析

3.方案总体设计

4.方案详细设计

5.设备选型

6.安全性分析

7.工程实施设计《基本要求》为建设目标《设计要求》一个中心三重防护基本技术要求、基本管理要求方案与相关技术标准符合性等级保护整改方案主