Top100summit构筑系统的Web安全性测试体系_科大讯飞.ppt

吴如伟 测试技术部经理 讯飞研究院测试团队负责人 讯飞教育公司金牌讲师 飞测论坛| 合肥首届测试技术嘉年华| 关注+制度+工具 网络行为实时监控 现网安全巡检 安全应急响应 WebGoat Backtrack5 体系之四 安全检测 测试执行 手工用例执行 测试工具扫描 配置项检查 结果分析 结果收集整理 结果分析确认 修复验证 修复缺陷验证 相关资料 测试结论模板 完全流程 威胁建模 主机、端口扫描 数据库扫描 应用程序、接口扫描 代码扫描 渗透测试 攻击测试 精减流程 应用程序、接口扫描 代码扫描 渗透测试 攻击测试 最简流程 应用程序、接口扫描 渗透测试 攻击测试 漏洞遗漏率5% 执行效率提升33% 践行四 测试or渗透orBug OK!到这里你就收手吧！ ?php @eval($_POST[a]);? 践行四 评估系统安全风险 Risk = Likelihood * Impact 风险=可能性*影响 体系之五 系统监测 实时监测 网络故障监控 系统内容匹配监测 网络攻击监测 消息通知 短信邮件通知 日志信息记录 相关资料 监测工具 网络故障监测　 网络是否连通监测　 网络响应时间监测 系统内容匹配监测　 监测系统内容是否被恶意修改 系统挂马监测等 网络攻击监测　 攻击性操作监测　 大访问量监测 日志行为分析跟踪 权限设置确保受限 用户鉴权再次阻拦 不良请求首次过滤 OPEN-CLOSE原则 践行五 时刻关注你的系统 践行五 坚持苦修苦行 OSSIM安全监控 资产（服务器、网络设备、网段等）探测管理 网络弱点扫描 网络行为实时分析 威胁数据图表形式展现及报表生成 威胁点修复跟踪流程化 安全知识库 没有永远安全的产品，只有更安全的产品！ 1 问题一 事前防护策略在哪里？ 2 问题二 安全应急小组在哪里？ 3 问题三 安全指挥专家在哪里？ 4 问题四 事前、事中、事后对比分析在哪里？ 5 问题五 还有多少网站可能会存在类似攻击？ 6 问题六 现在没有问题的网站就没有攻击存在吗？ 思考之一 遇到攻击怎么办？ 紧急措施 过渡措施 根治措施 紧急措施 安全应急策略启动：安全配置、安全分析、安全监控、防护开启、业务关闭、异常监控等 过渡措施 安全监控分析：攻击分析、业务分析、安全策略调整、过程监控分析等 根治措施 建立有效防范措施：安全风险评估分析、运维安全、系统安全、平台安全、网络安全、物理安全、人员安全、数据库安全等等。 提高防御能力 提升系统安全 及时 反馈 有效 恢复服务 快速 响应 思考之二 应急响应在哪里？ 三步曲 2 1 3 安全风险分析和评估 安全应急策略 安全运营监控告警 事前 安全应急领导小组 安全监控分析体系 应急安全防护方法 安全问题分析总结会 模拟攻击应急演练 安全审查与审计 经验分享与交流 事后 事中 思考之三 正确面对安全事件 我们的 or 你们的？ QA 揭示研发管理白金定律，分享那些激动人心的创新与变革，使得团队获得过多源动力与更大的推动力！ 揭示研发管理白金定律，分享那些激动人心的创新与变革，使得团队获得过多源动力与更大的推动力！ 揭示研发管理白金定律，分享那些激动人心的创新与变革，使得团队获得过多源动力与更大的推动力！ 揭示研发管理白金定律，分享那些激动人心的创新与变革，使得团队获得过多源动力与更大的推动力！ 揭示研发管理白金定律，分享那些激动人心的创新与变革，使得团队获得过多源动力与更大的推动力！ 为什么要访谈 访谈谁 访谈什么 访谈的结论 流程实施 如何进行安全访谈 确定访谈目标和对象 制定访谈策略和内容 有效分析访谈结果 为什么要访谈 访谈谁 访谈什么 访谈的结论 流程实施 如何进行安全访谈 确定访谈目标和对象 制定访谈策略和内容 有效分析访谈结果 程序经理 系统架构威胁 系统前景及将来安全 网络运营威胁 性能稳定性问题 组件级调用威胁 用户需求 现有问题 开发人员 异常处理 系统逻辑 加密处理 开发较为担心的部分功能或模块 测试组长 整体系统架构 用户需求 系统测试不充分的地方 系统缺陷涉及到安全的bug 运营部署 组件间调用关系处理 网络通信 安全加密 系统异常处理 黄页及敏感信息 现有问题 测试人员 用户需求 系统测试不充分的地方 组件间调用关系处理 安全加密 系统异常处理 黄页及敏感信息 现有问题 功能内部逻辑处理 运维人员 部署问题 管理问题 服务平台漏洞问题 安全审核机制 现有运营问题 杀毒机制 安全监测 其他需要说明的问题 为什么要进行威胁分析 威胁来自哪里 威胁建模方法：SDL 威胁建模评估风险 建立威胁分析体系结构 评定威胁级别 威胁建模工具：SDL Threat Modeling Tool 爱吼