信息系统等级保护自动化测试及加固技术实现研讨.ppt

等级保护管理检查工作自动化实现技术 示例讲解： 一、身份鉴别（S3）： b) 操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换； c) 应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施； f) 应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。 一、 检查方法： 1. 可通过主机配置检查工具检查其账户是否设置了口令最小长度、口令复杂度、以及登录失败锁定次数 2. 可通过基于口令破解工具以远程非授权方式对其目标主机账户口令进行验证，如检查过程中发现存在弱口令，则表明目标主机未采用双因子认证技术。 3. 以访谈的形式了解当前主机账户、口令策略情况，查看目标主机上策略实际情况。结合了技术与管理方法，解决了仅依赖技术无法完成一次完整的安全检查的问题。 等级保护管理检查工作自动化实现技术---报告输出 等级保护管理检查工作自动化实现技术---报告输出 提 纲 应用安全漏洞自动化测试技术 等级保护检查工作自动化实现技术 等级保护整改加固技术 严格遵循国家在等级保护方面的有关政策、技术标准； 整改方案必须要完整、有效、具有可操作性； 自主定级、自主保护：建设满足自身实际安全需求的等级保护安全体系； 整体规划，分步实施； 对业务应用影响最小； 重点保护，适度安全； 等级保护整改方案设计原则 1.政策和技术标准 2.整改需求分析 3.方案总体设计 4.方案详细设计 5.设备选型 6.安全性分析 7.工程实施设计 《基本要求》为建设目标 《设计要求》一个中心三重防护 基本技术要求、基本管理要求 方案与相关技术标准符合性 等级保护整改方案主要内容（思路） 等级保护整改加固示例 WEB应用 弱点扫描器 数据库 弱点扫描器 WEB应用审计 数据库审计 数据库服务器 应用服务器 互联网用户1 互联网用户2 互联网用户 N 防火墙 WEB应用防火墙 运维审计 综合日志审计平台 等保测评与自测评 等保整改加固 * * 从信息系统的定级到聘请测评机构对其信息系统进行权威测评，最终测评机构出具信息系统测评报告，报告一式三份，一份提交测评委托单位，一份网警部门，另外一份由测评实施单位留存。网警部门检验其通过后发放备案证明编号，被测评单位按照测评报告对于发现的问题对其进行整改，公安网警部门后续对其用户备案单位信息系统开展监督检查工作。 * * * * * * * 参考：信息安全技术 信息系统安全等级保护基本要求 三级系统要求 * * WEB应用安全和数据库安全的领航者 THANK YOU 汇报人：刘志乐 WHO AM I 刘志乐（Tony） OWASP中国区委员 OWASP中国杭州分会区域负责人 安恒安全服务部总监 2011年中国计算机网络安全年会演讲嘉宾 2011年OWASP亚洲峰会演讲嘉宾 ISF2011上海演讲嘉宾 2012年OWASP AppSec Asia悉尼峰会演讲嘉宾 2012年第四届中国云计算大会演讲嘉宾 2012年计算机网络安全年会演讲嘉宾 提 纲 应用安全漏洞自动化测试技术 等级保护检查工作自动化实现技术 等级保护整改加固技术 应用安全漏洞自动化测试技术 基于白盒的代码审计 基于黑盒的 QA 安全测试 基于灰盒的 QA 安全测试 自动化 WEB 安全扫描 自动化源代码分析 全自动评估程序代码功能 分析所有可能出错的输入点 开发中立即指出程序弱点所在 开发中立即提出可行的安全程序建议方案 快速、有效率且无副作用的安全程序设计 … $var = $_GET[“input”]; … … $db-exec(“select * from “ . $var); … 自动化源代码分析 应用安全漏洞自动化测试技术 基于白盒的代码审计 基于黑盒的 QA 安全测试 基于灰盒的 QA 安全测试 自动化 WEB 安全扫描 基于黑盒的QA安全测试 黑盒 QA 安全测试 工作原理 通过 fuzzing 的方式对目标进行测试 通过返回数据判断安全漏洞是否存在 基于黑盒的QA安全测试 工作方式 使用浏览器插件获取基础数据 使用http代理获取基础数据 浏览器插件 http代理 测试数据 测试服务器 基于黑盒的QA安全测试 多测试人员协同测试 基于黑盒的QA安全测试 多测试人员协同测试 不同人员分模块进行测试 业务测试人员也可进行安全测试 安全测试人员负责对所有结果的集中审计 可大大降低安全测试人员的投入 基于黑盒的QA安全测试 检测弱点及功能基本描述 XSS跨站攻击检测 SQL 注入检测 CSRF检测 FORM检测；（表单逃逸检测） FORM弱口令检测 网页木马（恶意代码）检测