LinkTrust风险评估交流材料.ppt

* 从99年到今天，安氏公司的每一次的举措都对国内的安全行业产生了重大、深远的影响 * * 重点 测评中心的一级是弱点 * 重点 * * 重点 * * * * * * * * * 克隆环境，对于大系统还是有必要的，但是不可能所有的系统都去克隆（成本过高）； 在实际运行系统中做操作性培训风险很大，即便不得已进行操作培训也往往会被告知这个不能动、那个不能动 等等！还是无法亲身体验真实环境； 没有亲身接触过实际产品的工程师，难免在实际使用时信心不足，出错也是在所难免的； 成本巨大；不确定性；重复错误后果严重！ 理念！ 使用者通过有限的，可控的空间体验 * * 数据库 Oralce Sqlserver mysql 中间件（应用软件） Tomcat IIS Apache weblogic Web安全评估 渗透测试 渗透测试是在公司的允许下和可控的范围内，采取可控的，不造成不可弥补损失的黑客入侵手法，对公司网络和系统发起真正攻击。目的是侵入系统并获取机密信息，将入侵的过程和细节产生报告给用户。 关键页面的代码分析 针对有用户输入信息的关键页面进行代码安全分析。 应用系统文档审核； 包括应用系统开发、维护文档等，尤其关注其中的和安全性相关的部分； 顾问访谈； 询问应用系统开发者、系统管理员、普通用户等； 一般若用户回答否，则结果为否；若回答是，则应尽可能实际上机验证； 系统配置状况检查； 实际登陆系统，检查其安全状况； 中间件（如tomcat）安全检查； 中间件软件漏洞检查； 中间件软件安全配置项检查； 应用及代码安全 主要问题 安全措施 输入验证 执行完全的输入验证。应用程序将请求发送给数据库前要对输入进行验证。利用HTMLEncode和URLEncode函数对包括用户输入在内的任何输出进行编码。利用最低特权帐户来与数据库连接。 身份验证 密码的强加密方式存储，在用户的存储器中存储非可逆的散列密码。使用加密的通信通道，例如SSL。使用复杂、非寻常的单词作为强密码，尤其是普通业务用户。cookie的安全要求. 授权 对访问敏感数据进行角色检查和权限限制。利用强ACL来保护资源。利用标准的加密技术将敏感数据存储到配置文件和数据库中。 配置管理 将管理界面的数量减到最少。使用强身份验证，例如，使用证书。考虑只支持本地管理。如果完全需要远程管理，那么应当限制可管理的IP。 敏感数据 用基于角色的安全机制来区分用户，谁可以查看数据，谁可以更改数据。加密数据。使用加密通信通道，例如，SSL。 会话管理 利用SSL创建一条安全的通信通道，只在HTTPS连接上传输身份验证cookie。实现注销功能，允许用户在启动另一个会话时结束强制身份验证会话。如果不使用SSL，确保要限制会话cookie的有效期。当执行关键功能时，重新进行身份验证。 加密技术 使用标准的加密例程（例如DES/MD5），。密钥的安全管理：使用强随机密钥生成函数，密钥存储、定期使密钥过期。 异常管理 防止返回信息敏感信息等。 审核和日志记录 审核和记录Web服务器与数据库服务器以及应用程序服务器（如果使用的话）上的活动。备份日志文件，并定期分析可疑活动的征兆。日志文件的保护。 采用的技术手段 详细描述 可能使用的工具 可能的风险 是否采用 信息收集 Google 、baidu查询 IE 无风险 是 DNS信息查询 Nslookup 无风险 是 操作系统指纹识别 Telnet、Nmap 无风险 是 网络设备的远程测试 路由器、交换机的安全测试 Solarwinds Telnet、Ftp 无风险 是 防火墙策略探测 Hping2 无风险 是 漏洞扫描 安全弱点扫描软件 Nessus弱点扫描器 很低的可能性，会对系统进行一定的连接，影响系统应用 是 端口扫描软件 nmap扫描器 无风险 是 口令攻击测试 系统及应用口令探测 brutus-aet2 很低的可能性影响系统应用 是 Web 及其它开放应用服务的安全性测试( 检查身份认证模块、防止非法用户绕过身份认证 手工检测 很低的可能性影响系统应用 是 检查用户权限，防止有越权行为 手工检测 很低的可能性影响系统应用 是 输入验证测试 手工检测 很低的可能性影响系统应用 是 无线测试 无线接入点未采用加密措施， 无线接入 无风险 否 拒绝服务攻击 对目前系统进行拒绝服务攻击 建立大量的tcp半连接，测试系统的抗拒绝服务能力（现在的应急手段、提出一些安全建议） 会对系统运行造成较大风险，建议不进行此项渗透 否 社会工程学 利用非技术的手段获得目标系统的弱点或权限 废弃的文件、伪造电话 此次渗透主要考虑技术方面的因素，故不采用此项进行渗透 否 关联攻击渗透 中间人攻击 ettercap、arp-sp