信息系统等级保护自动化测试及加固技术实现课件

信息系统等级保护自动化测试及加固技术实现

汇报人：刘志乐WHOAMI刘志乐（Tony）OWASP中国区委员OWASP中国杭州分会区域负责人安恒安全服务部总监2011年中国计算机网络安全年会演讲嘉宾2011年OWASP亚洲峰会演讲嘉宾ISF2011上海演讲嘉宾2012年OWASPAppSecAsia悉尼峰会演讲嘉宾2012年第四届中国云计算大会演讲嘉宾

2012年计算机网络安全年会演讲嘉宾提纲应用安全漏洞自动化测试技术等级保护检查工作自动化实现技术等级保护整改加固技术应用安全漏洞自动化测试技术基于白盒的代码审计基于黑盒的QA安全测试基于灰盒的QA安全测试自动化WEB安全扫描自动化源代码分析全自动评估程序代码功能分析所有可能出错的输入点开发中立即指出程序弱点所在开发中立即提出可行的安全程序建议方案快速、有效率且无副作用的安全程序设计…$var=$_GET[“input”];……$db->exec(“select*from“.$var);…自动化源代码分析应用安全漏洞自动化测试技术基于白盒的代码审计基于黑盒的QA安全测试基于灰盒的QA安全测试自动化WEB安全扫描基于黑盒的QA安全测试黑盒QA安全测试工作原理通过fuzzing的方式对目标进行测试通过返回数据判断安全漏洞是否存在基于黑盒的QA安全测试工作方式使用浏览器插件获取基础数据使用http代理获取基础数据浏览器插件http代理测试数据测试服务器基于黑盒的QA安全测试多测试人员协同测试基于黑盒的QA安全测试多测试人员协同测试不同人员分模块进行测试业务测试人员也可进行安全测试安全测试人员负责对所有结果的集中审计可大大降低安全测试人员的投入基于黑盒的QA安全测试检测弱点及功能基本描述XSS跨站攻击检测SQL注入检测CSRF检测FORM检测；（表单逃逸检测）FORM弱口令检测网页木马（恶意代码）检测数据窃取检测中间人攻击检测oracle密码爆力破解WebServiceXpath注入检测Web2.0AJAX注入检测Cookies注入检测杂项：其他各类CGI弱点检测，如：命令注入检测、LDAP注入检测、CFS跨域攻击检测、敏感文件检测、目录遍历检测、远程文件包含检测、应用层拒绝服务检测等等基于黑盒的QA安全测试基于黑盒的QA安全测试优势可以协助测试人员快速进行安全测试减少安全测试人员的投入有效规避在代码开发阶段模块测试时的多人协作问题通过代理或插件的方式，可以防止由于复杂业务逻辑导致的操作顺序问题应用安全漏洞自动化测试技术基于白盒的代码审计基于黑盒的QA安全测试基于灰盒的QA安全测试自动化WEB安全扫描基于灰盒安全测试基于灰盒安全测试QA灰盒测试通过修改ByteCode劫持关键的函数

在对常规功能进行测试时，无需测试人员输入任何带攻击性的测试数据。用类似fuzzing的测试，能有效的找出程序中的漏洞点。基于灰盒安全测试QA灰盒测试特点更深层次的WEB安全漏洞检测，如：存储型跨站、没有回显的注入、异常的文件操作等。不干扰正常的业务操作。应用安全漏洞自动化测试技术基于白盒的代码审计基于黑盒的QA安全测试基于灰盒的QA安全测试自动化WEB安全扫描自动化WEB安全扫描自动化扫描在应用程序完成发布后，需要进行完整的自动化应用安全扫描测试完整的自动化扫描测试可以有效快速的发现应用程序的安全问题。技术实现方式主动扫描技术和Proxy扫描技术的双支持主动扫描被动扫描弱点扫描方式提纲应用安全漏洞自动化测试技术等级保护检查工作自动化实现技术等级保护整改加固技术等级保护的工作流程整改测评检查定级备案等级保护监管单位遇到的问题1.缺乏对第三方测评机构出具的测评结果进行校验2.公安民警自身水平有限3.缺乏统一的工具对其信息系统开展日常检查工作4.缺乏自动化、集中化的工具对其进行检查、管理5.信息系统开展检查所用时间较长、且效率较低通过实际走访沟通目前主要表现如下特点：?等级保护检查工作自动化实现技术为了提升公安民警日常开展等级保护检查工作中的效率，急需一款专业的自动化辅助检查工具来应对日常开展等级保护检查工作所面临的诸多问题。

等级保护检查工作自动化实现技术需充分密切结合信息安全等级保护政策，为测评、整改、检查各环节过程中提供专业、标准化的检查依据。等级保护技术检查工作自动化实现技术一、系统漏洞检查二、数据库安全检查三、WEB应用系统检查通过对应用系统进行检查，能够发现应用系统是否存在弱口令、SQL注入、XSS跨站脚本攻击、目录遍历等安全漏洞，能够覆盖、关联到应用系统身份鉴别、访问控制、软件容错等检查项通过系统漏洞检查对信息系统主机、网络、安全设备进行漏洞扫描，从而了解系统所存在的弱口令、安全漏洞，能够覆盖、关联到基本要求中主机安全、网络安全的身份鉴别、入侵防范等检查项通过数据库安全检查对数据库系统进行扫描，可以了解系统中账户和口令安全策略、补丁升级、及账户权限分配情况、以及安全审计等状态情况，能够覆盖、关联到身份鉴别、访问控制、安全审计、入侵防范、资源控制项等级保护检查工作自动化实现技术主机配置检查通过接入目标主机，对主机、网络设备操作系统进行安全基线检查，可以得知系统端口开放、账户管理、不必要的服务、安全补丁升级、安全审计等状态情况，主机配置检查U盘工具解决了基于远程检查无法发现更深层问题这一难点。终端安全检查通过接入目标主机，可实现对主机操作系统进行安全扫描，能够分析出系统是否存在病毒、木马、蠕虫、Rootkit等后门程序，终端安全检查U盘工具解决了通过外部无法分析出主机内是否存在病毒、木马等恶意代码的问题。能够覆盖、关联到入侵防范恶意代码检查通过接入WEB服务器，对WEB程序代码可实现自动化扫描和安全分析，可以了解到程序文件中是否被植入恶意代码后门口令破解工具运行口令破解工具可实现对主机、网络设备、应用系统、数据库系统的账户口令进行验证，可以了解到是否遵循了口令复杂度、定期更换要求，能够覆盖到对主机安全、网络安全、应用系统、数据库系统的身份鉴别项渗透测试工具通过渗透测试工具对三级以上WEB应用系统进行安全测试，可以基于SQL注入点进一步进行渗透测试，获取到后台数据库中的相关信息，解决了无法通过安全扫描获取后台账户口令加密和算法强度等信息的问题。能够覆盖并关联到软件容错、访问控制、通信完整性、通信保密性等检查项等级保护管理问卷检查工作自动化现实技术

由于等级保护政策涉及层面较多，仅通过技术检查工具无法满足覆盖技术检查和管理安全以及物理安全检查的全部检查项。

管理问卷是充分考虑到上述问题因素，将技术物理安全、网络安全、主机安全、数据库安全、应用安全、数据安全及备份和管理安全充分结合，形成了民警以访谈的形式进行数据录入，从而解决了技术检查工具无法覆盖到管理、物理层层面开展同步检查工作的问题，真正实现了将技术和管理进行无缝整合。管理问卷等级保护管理检查工作自动化实现技术完备的知识库提供丰富的预期检查结果，仅需手动选择，无需人工录入无需人工编写整改建议，能够智能对不符合项与整改建议知识库进行关联，真正意义上实现自动化生成完整的信息安全等级保护检查报告针对检查项，提供了丰富的检查方法，供检查人员参考检查方法预期结果整改建议等级保护管理检查工作自动化实现技术示例讲解：一、身份鉴别（S3）：b)操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换；c)应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施；f)应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。一、检查方法：1.可通过主机配置检查工具检查其账户是否设置了口令最小长度、口令复杂度、以及登录失败锁定次数2.可通过基于口令破解工具以远程非授权方式对其目标主机账户口令进行验证，如检查过程中发现存在弱口令，则表明目标主机未采用双因子认证技术。3.以访谈的形式了解当前主机账户、口令策略情况，查看目标主机上策略实际情况。结合了技术与管理方法，解决了仅依赖技术无法完成一次完整的安全检查的问题。

等级保护管理检查工作自动化实现技术---报告输出

等级保护管理检查工作自动化实现技术---报告输出提纲应用安全漏洞自动化测试技术等级保护检查工作自动化实现技术等级保护整改加固技术严格遵循国家在等级保护方面的有关政策、技术标准；整改方案必须要完整、有效、具有可操作性；自主定级、自主保护：建设满足自身实际安全需求的等级保护安全体系；整体规划，分步实施；对业务应用影响最小；重点保护，适度安全；等级保护整改方案设计原则

1.政策和技术标准

2.整改需求分析

3.方案总体设计

4.方案详细设计

5.设备选型

6.安全性分析

7.工