信息系统等级保护自动化测试及加固技术实现
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
通过对应用系统进行检查,能够发现应用系统是否存在弱口令、SQL注入、XSS跨站脚本攻击、目录 遍历等安全漏洞,能够覆盖、关联到应用系统身份鉴别、访问控制、软件容错等检查项
等级保护检查工作自动化实现技术
等级保护管理问卷检查工作自动化现实技术
由于等级保护政策涉及层面较多,仅通过技术检查工具无法满足覆盖技术检 查和管理安全以及物理安全检查的全部检查项。
基于黑盒的QA安全测试
• 多测试人员协同测试
– 不同人员分模块进行测试 – 业务测试人员也可进行安全测试 – 安全测试人员负责对所有结果的集中审计 – 可大大降低安全测试人员的投入
基于黑盒的QA安全测试
• 检测弱点及功能基本描述
– XSS跨站攻击检测 – SQL 注入检测 – CSRF检测 – FORM检测;(表单逃逸检测) – FORM弱口令检测 – 网页木马(恶意代码)检测 – 数据窃取检测 – 中间人攻击检测 – oracle密码爆力破解 – WebService Xpath 注入检测 – Web 2.0 AJAX注入检测 – Cookies 注入检测 – 杂项:其他各类CGI弱点检测,如:命令注入检测、LDAP注入检测、CFS跨域
应用安全漏洞自动化测试技术
• 基于白盒的代码审计 • 基于黑盒的 QA 安全测试 • 基于灰盒的 QA 安全测试 • 自动化 WEB 安全扫描
基于灰盒安全测试
基于灰盒安全测试
• QA 灰盒测试
– 通过修改 ByteCode 劫持关键的函数 在对常规功能进行测试时,无需测试人员输入 任何带攻击性的测试数据。用类似 fuzzing 的 测试,能有效的找出程序中的漏洞点。
信息系统等级保护自动化测试 及加固技术实现
汇报人:刘志乐
WHO AM I
• 刘志乐(Tony)
➢ OWASP中国区委员 ➢ OWASP中国杭州分会区域负责人 ➢ 安恒安全服务部总监 ➢ 2011年中国计算机网络安全年会演讲嘉宾 ➢ 2011年OWASP亚洲峰会演讲嘉宾 ➢ ISF2011上海演讲嘉宾 ➢ 2012年OWASP AppSec Asia悉尼峰会演讲嘉宾 ➢ 2012年第四届中国云计算大会演讲嘉宾 ➢ 2012年计算机网络安全年会演讲嘉宾
• 自动化扫描
– 在应用程序完成发布后,需要进行完整的自动 化应用安全扫描测试
– 完整的自动化扫描测试可以有效快速的发现应 用程序的安全问题。
技术实现方式
弱点扫描方式
• 主动扫描技术和Proxy扫描技术的双支持
– 主动扫描 – 被动扫描
提纲
• 应用安全漏洞自动化测试技术 • 等级保护检查工作自动化实现技术 • 等级保护整改加固技术
• 黑盒 QA 安全测试
– 工作原理
通过 fuzzing 的方式对目标进行测试 通过返回数据判断安全漏洞是否存在
基于黑盒的QA安全测试
• 工作方式
– 使用浏览器插件获取基础数据 – 使用http代理获取基础数据
浏览器插件 http代理
测试数据
测试服务器
基于黑盒的QA安全测试 • 多测试人员协同测试
等级保护的工作流程
等级保护监管单位遇到的问题
通过实际走访沟通目前主要表现如下特点:
1. 缺乏对第三方测评机构出具的测评结果进行校验 2. 公安民警自身水平有限 3. 缺乏统一的工具对其信息系统开展日常检查工作 4. 缺乏自动化、集中化的工具对其进行检查、管理 5. 信息系统开展检查所用时间较长、且效率较低
提纲
• 应用安全漏洞自动化测试技术 • 等级保护检查工作自动化实现技术 • 等级保护整改加固技术
应用安全漏洞自动化测试技术
• 基于白盒的代码审计 • 基于黑盒的 QA 安全测试 • 基于灰盒的 QA 安全测试 • 自动化 WEB 安全扫描
自动化源代码分析
全自动评估程序代码功能 分析所有可能出错的输入点 开发中立即指出程序弱点所在 开发中立即提出可行的安全程序建议方案 快速、有效率且无副作用的安全程序设计
基于灰盒安全测试
• QA 灰盒测试特点
– 更深层次的WEB安全漏洞检测,如:存储型跨 站、没有回显的注入、异常的文件操作等。
– 不干扰正常的业务操作。
应用安全漏洞自动化测试技术
• 基于白盒的代码审计 • 基于黑盒的 QA 安全测试 • 基于灰盒的 QA 安全测试 • 自动化 WEB 安全扫描
自动化WEB安全扫描
管理问卷是充分考虑到上述问题因素,将技术物理安全、网络安全、主机安 全、数据库安全、应用安全、数据安全及备份和管理安全充分结合,形成了民警 以访谈的形式进行数据录入,从而解决了技术检查工具无法覆盖到管理、物理层 层面开展同步检查工作的问题,真正实现了将技术和管理进行无缝整合。
通过系统漏洞检查对信息系统主机、网络、安全设备进行漏洞扫描,从而了解系统所存在的弱口令、安全 漏洞,能够覆盖、关联到基本要求中主机安全、网络安全的身份鉴别、入侵防范等检查项
通过数据库安全检查对数据库系统进行扫描,可以了解系统中账户和口令安全策略、补丁升级、及账户权 限分配情况、以及安全审计等状态情况,能够覆盖、关联到身份鉴别、访问控制、安全审计、入侵防范、 资源控制项
攻击检测、敏感文件检测、目录遍历检测、远程文件包含检测、应用层拒绝服务 检测等等
基于黑盒的QA安全测试
• 基于黑盒的QA安全测试优势
– 可以协助测试人员快速进行安全测试 – 减少安全测试人员的投入 – 有效规避在代码开发阶段模块测试时的多人协
作问题 – 通过代理或插件的方式,可以防止由于复杂业
务逻辑导致的操作顺序问题
… $var = $_GET[“input”];wk.baidu.com…
… $db->exec(“select * from “ . $var); …
自动化源代码分析
应用安全漏洞自动化测试技术
• 基于白盒的代码审计 • 基于黑盒的 QA 安全测试 • 基于灰盒的 QA 安全测试 • 自动化 WEB 安全扫描
基于黑盒的QA安全测试
等级保护检查工作自动化实现技术
为了提升公安民警日常开展等级保护检查工作中的效率,急需一 款专业的自动化辅助检查工具来应对日常开展等级保护检查工作所 面临的诸多问题。
等级保护检查工作自动化实现技术需充分密切结合信息安全等级 保护政策,为测评、整改、检查各环节过程中提供专业、标准化的 检查依据。
等级保护技术检查工作自动化实现技术
等级保护检查工作自动化实现技术
等级保护管理问卷检查工作自动化现实技术
由于等级保护政策涉及层面较多,仅通过技术检查工具无法满足覆盖技术检 查和管理安全以及物理安全检查的全部检查项。
基于黑盒的QA安全测试
• 多测试人员协同测试
– 不同人员分模块进行测试 – 业务测试人员也可进行安全测试 – 安全测试人员负责对所有结果的集中审计 – 可大大降低安全测试人员的投入
基于黑盒的QA安全测试
• 检测弱点及功能基本描述
– XSS跨站攻击检测 – SQL 注入检测 – CSRF检测 – FORM检测;(表单逃逸检测) – FORM弱口令检测 – 网页木马(恶意代码)检测 – 数据窃取检测 – 中间人攻击检测 – oracle密码爆力破解 – WebService Xpath 注入检测 – Web 2.0 AJAX注入检测 – Cookies 注入检测 – 杂项:其他各类CGI弱点检测,如:命令注入检测、LDAP注入检测、CFS跨域
应用安全漏洞自动化测试技术
• 基于白盒的代码审计 • 基于黑盒的 QA 安全测试 • 基于灰盒的 QA 安全测试 • 自动化 WEB 安全扫描
基于灰盒安全测试
基于灰盒安全测试
• QA 灰盒测试
– 通过修改 ByteCode 劫持关键的函数 在对常规功能进行测试时,无需测试人员输入 任何带攻击性的测试数据。用类似 fuzzing 的 测试,能有效的找出程序中的漏洞点。
信息系统等级保护自动化测试 及加固技术实现
汇报人:刘志乐
WHO AM I
• 刘志乐(Tony)
➢ OWASP中国区委员 ➢ OWASP中国杭州分会区域负责人 ➢ 安恒安全服务部总监 ➢ 2011年中国计算机网络安全年会演讲嘉宾 ➢ 2011年OWASP亚洲峰会演讲嘉宾 ➢ ISF2011上海演讲嘉宾 ➢ 2012年OWASP AppSec Asia悉尼峰会演讲嘉宾 ➢ 2012年第四届中国云计算大会演讲嘉宾 ➢ 2012年计算机网络安全年会演讲嘉宾
• 自动化扫描
– 在应用程序完成发布后,需要进行完整的自动 化应用安全扫描测试
– 完整的自动化扫描测试可以有效快速的发现应 用程序的安全问题。
技术实现方式
弱点扫描方式
• 主动扫描技术和Proxy扫描技术的双支持
– 主动扫描 – 被动扫描
提纲
• 应用安全漏洞自动化测试技术 • 等级保护检查工作自动化实现技术 • 等级保护整改加固技术
• 黑盒 QA 安全测试
– 工作原理
通过 fuzzing 的方式对目标进行测试 通过返回数据判断安全漏洞是否存在
基于黑盒的QA安全测试
• 工作方式
– 使用浏览器插件获取基础数据 – 使用http代理获取基础数据
浏览器插件 http代理
测试数据
测试服务器
基于黑盒的QA安全测试 • 多测试人员协同测试
等级保护的工作流程
等级保护监管单位遇到的问题
通过实际走访沟通目前主要表现如下特点:
1. 缺乏对第三方测评机构出具的测评结果进行校验 2. 公安民警自身水平有限 3. 缺乏统一的工具对其信息系统开展日常检查工作 4. 缺乏自动化、集中化的工具对其进行检查、管理 5. 信息系统开展检查所用时间较长、且效率较低
提纲
• 应用安全漏洞自动化测试技术 • 等级保护检查工作自动化实现技术 • 等级保护整改加固技术
应用安全漏洞自动化测试技术
• 基于白盒的代码审计 • 基于黑盒的 QA 安全测试 • 基于灰盒的 QA 安全测试 • 自动化 WEB 安全扫描
自动化源代码分析
全自动评估程序代码功能 分析所有可能出错的输入点 开发中立即指出程序弱点所在 开发中立即提出可行的安全程序建议方案 快速、有效率且无副作用的安全程序设计
基于灰盒安全测试
• QA 灰盒测试特点
– 更深层次的WEB安全漏洞检测,如:存储型跨 站、没有回显的注入、异常的文件操作等。
– 不干扰正常的业务操作。
应用安全漏洞自动化测试技术
• 基于白盒的代码审计 • 基于黑盒的 QA 安全测试 • 基于灰盒的 QA 安全测试 • 自动化 WEB 安全扫描
自动化WEB安全扫描
管理问卷是充分考虑到上述问题因素,将技术物理安全、网络安全、主机安 全、数据库安全、应用安全、数据安全及备份和管理安全充分结合,形成了民警 以访谈的形式进行数据录入,从而解决了技术检查工具无法覆盖到管理、物理层 层面开展同步检查工作的问题,真正实现了将技术和管理进行无缝整合。
通过系统漏洞检查对信息系统主机、网络、安全设备进行漏洞扫描,从而了解系统所存在的弱口令、安全 漏洞,能够覆盖、关联到基本要求中主机安全、网络安全的身份鉴别、入侵防范等检查项
通过数据库安全检查对数据库系统进行扫描,可以了解系统中账户和口令安全策略、补丁升级、及账户权 限分配情况、以及安全审计等状态情况,能够覆盖、关联到身份鉴别、访问控制、安全审计、入侵防范、 资源控制项
攻击检测、敏感文件检测、目录遍历检测、远程文件包含检测、应用层拒绝服务 检测等等
基于黑盒的QA安全测试
• 基于黑盒的QA安全测试优势
– 可以协助测试人员快速进行安全测试 – 减少安全测试人员的投入 – 有效规避在代码开发阶段模块测试时的多人协
作问题 – 通过代理或插件的方式,可以防止由于复杂业
务逻辑导致的操作顺序问题
… $var = $_GET[“input”];wk.baidu.com…
… $db->exec(“select * from “ . $var); …
自动化源代码分析
应用安全漏洞自动化测试技术
• 基于白盒的代码审计 • 基于黑盒的 QA 安全测试 • 基于灰盒的 QA 安全测试 • 自动化 WEB 安全扫描
基于黑盒的QA安全测试
等级保护检查工作自动化实现技术
为了提升公安民警日常开展等级保护检查工作中的效率,急需一 款专业的自动化辅助检查工具来应对日常开展等级保护检查工作所 面临的诸多问题。
等级保护检查工作自动化实现技术需充分密切结合信息安全等级 保护政策,为测评、整改、检查各环节过程中提供专业、标准化的 检查依据。
等级保护技术检查工作自动化实现技术