安全技术服务技术整体解决方案.docx

资源描述

年安全技术服务技术建议书二○一五年十二月目录 1. 项目概况简述 1 1.1 项目原则 1 2. 项目解决方案 1 2.1 渗透测试解决方案 2 2.2 代码审计服务解决方案 13 2.3 基础设备安全评估解决方案 20 2.4 应急响应和演练解决方案 50 2.5 APP安全评估解决方案 53 2.6 安全加固整改建议解决方案 60 2.7 新业务上线安全检查解决方案 67 2.8 安全培训解决方案 67 3. 项目实施方案 70 3.1 项目组成员 70 3.2 项目分工界面 73 3.3 工作量的计算方法及依据 78 3.4 项目进度 78 3.5 项目质量保证措施 80 4. 项目售后服务 86 5. 安全工具简述 86 5.1 渗透测试工具 86 5.2 代码审计工具 94 1. 项目概况简述 1 1.1 项目原则安全服务的方案设计与具体实施满足以下原则：（1）保密原则：对服务的过程数据和结果数据严格保密，未经授权不得泄露给任何单位和个人，不得利用此数据进行任何侵害求方网络的行为，否则求方有权追究的责任。（2）标准性原则：服务方案的设计与实施依据国内或国际的相关标准进行；（3）规范性原则：服务提供商的工作中的过程和文档，具有严格的规范性，可以便于项目的跟踪和控制；（4）可控性原则：服务用的工具、方法和过程要在双方认可的范围之内，服务的进度要跟上进度表的安排，保证求方对于服务工作的可控性；（5）整体性原则：服务的范围和内容当整体全面，包括安全涉及的各个层面，避免由于遗漏造成未来的安全隐患；（6）最小影响原则：服务工作尽可能小的影响系统和网络的正常运行，不能对现网的运行和业务的正常提供产生显著影响（包括系统性能明显下降、网络拥塞、服务中断，如无法避免出现这些情况在答书上详细描述）；针对上述各项，在技术方案中落实诸原则各方面，并予以详细解释。 2. 项目解决方案该部分重点针对各类系统，主动发现安全隐患及不符合相关规范的问题，及时整改，防患未然。主要包括安全管理咨询服务和安全技术评估服务。对服务系统提供周期性的安全评估服务。该服务严格参照和各类系统安全配置规范执行，防护能力测评按照工信部《网络单元安全防护检测评分方法（试行）》执行。具体服务内容详见以下正文。 2 2.1 渗透测试解决方案 2.1.1 渗透测试简介 2.1.1.1 渗透测试概念渗透测试（Penetration Test）, 是完全模拟黑客可能使用的攻击技术和漏洞发现技术，对目标系统的安全做深入的探测，发现系统最脆弱的环节。渗透测试：主要通过对目标系统信息的全面收集、对系统中网路设备的探测、对服务器系统主机的漏洞扫描、对应用平台及数据库系统的安全性扫描及通过应用系统程序的安全性渗透测试等手段来完成对整个系统的安全性渗透检测。该渗透测试是一个完整、系统的测试过程，涵盖了网络层面、主机层面、数据层面以及安全服务层面的安全性测试。 2.1.1.2 渗透测试原理渗透测试主要依据CVE（Common Vulnerabilities & Exposures公共漏洞和暴露）已经发现的安全漏洞，以及隐患漏洞。模拟入侵者的攻击方法对应用系统、服务器系统和网络设备进行非破坏性质的攻击性测试。 2.1.1.3 渗透测试目标渗透测试利用各种安全扫描器对网站及相关服务器等设备进行非破坏性质的模拟入侵者攻击，目的是侵入系统并获取系统信息并将入侵的过程和细节总结编写成测试报告，由此确定存在的安全威胁，并能及时提醒安全管理员完善安全策略，降低安全风险。人工渗透测试和工具扫描可以很好的互相补充。工具扫描具有很好的效率和速度，但是存在一定的误报率，不能发现高层次、复杂的安全问题；渗透测试对测试者的专业技能很高（渗透测试报告的价值直接依赖于测试者的专业技能），但是非常准确，可以发现逻辑性更强、更深层次的弱点。 2.1.1.4 渗透测试特点入侵者的攻击入侵要利用目标网络的安全弱点，渗透测试也是同样的道理。测试人员模拟真正的入侵者入侵攻击方法，以人工渗透为主，辅助以攻击工具的使用，以保证整个渗透测试过程都在可以控制和调整的范围之内，同时确保对网络没有造成破坏性的损害。由于采用可控制的、非破坏性质的渗透测试，因此不会对被评估的客户信息系统造成严重的影响。在渗透测试结束后，客户信息系统将基本保持一致。 2.1.2 渗透测试的安全意义从渗透测试中，客户能够得到的收益有：（1）协助用户发现组织中的安全最短木板一次渗透测试过程也就是一次黑客入侵实例，其中所利用到的攻击渗透方法，也是其它具备相关技能的攻击者所最可能利用到的方法；由渗透测试结果所暴露出来的问题，往往也是一个企业或组织中的安全最短木板，结合这些暴露出来的弱点和问题，可以协助企业有效的了解目前降低风险的最迫切任务，使在网络安全方面的有限投入可以得到最大的回报。（2）作为网络安全状况方面的具体证据和真实案例渗透测试的结果可以作为向投资方或管理人员提供的网络安全状况方面的具体证据，一份文档齐全有效的渗透测试报告有助于IT 组织管理者以案例的形式向相关人员直观展示目前企业或组织的安全现状，从而增强员工对信息安全的认知程度，提高相关人员的安全意识及素养，甚至提高组织在安全方面的预算。（3）发现系统或组织里逻辑性更强、更深层次的弱点渗透测试和工具扫描可以很好的互相补充。工具扫描具有很好的效率和速度，但是存在一定的误报率和漏报率，并且不能发现高层次、复杂、并且相互关联的安全问题；渗透测试的价值直接依赖于实施者的专业技能和素养但是非常准确，可以发现系统和组织里逻辑性更强、更深层次的弱点。（4）发现渗透测试和信息安全风险评估未暴露的其它安全问题目前的渗透测试，更多的仍然是从一个外部人员的角度，模拟黑客攻击的一个过程。往往来说，渗透测试的实施人员并不能完全掌握组织或企业的全部安全现状及信息，的渗透测试行为及方法都是局限于自己所掌握的已有信息，因此暴露出来的问题也是有限的（比如说，有些问题单纯从技术上来说利用价值不大，但若是结合一些管理上的缺陷或者是本身具有的某些其它便利，往往可以导致严重风险）。正因为如此，如果换作是一个对企业组织的相关情况更为了解的内部人员来说，结合渗透测试中所暴露出来的某些问题，他能更有效和更全面的发现组织和企业中一些安全风险及问题。（5）从整体上把握组织或企业的信息安全现状信息安全是一个整体项目，一个完整和成功的渗透测试案例可能会涉及系统或组织中的多个部门、人员或对象，有助于组织中的所有成员意识到自己所在岗位对系统整体安全的影响，进而采取措施降低因为自身的原因造成的风险，有助于内部安全的提升。 2.1.3 渗透测试流程和授权 2.1.3.1 渗透测试流程 2.1.3.2 渗透测试授权测试授权是进行渗透测试的必要条件。用户应对渗透测试所有细节和风险的知晓、所有过程都在用户的控制下进行。 2.1.4 渗透测试方法及步骤凭借着在众多项目中的实施经验，形成了一套具有自身特色且行之有效的渗透测试方法。渗透测试实际就是一个模拟黑客攻击的过程，因此其的实施过程也类似于一次完整的黑客攻击过程，我们将其划分为了如下几个阶段： ² 预攻击阶段（寻找渗透突破口） ² 攻击阶段（获取目标权限） ² 后攻击阶段（扩大攻击渗透成果）如下图： 2.1.4.1 预攻击阶段预攻击阶段主要是为了收集获取信息，从中发现突破口，进行进一步攻击决策。主要包括网络信息，如网络拓补、IP及域名分布、网络状态等服务器信息，如OS信息、端口及服务信息、应用系统情况等漏洞信息，如跟踪最新漏洞发布、漏洞的利用方法等 2.1.4.1.1 信息收集信息收集分析几乎是所有入侵攻击的前提/前奏/基础。通过对网络信息收集分析，可以相应地、有针对性地制定模拟黑客入侵攻击的计划，以提高入侵的成功率、减小暴露或被发现的几率。信息收集的方法包括主机网络扫描、操作类型判别、应用判别、账号扫描、配置判别等等。端口扫描通过对目标地址的TCP/UDP端口扫描，确定其所开放的服务的数量和类型，这是所有渗透测试的基础。通过端口扫描，可以基本确定一个系统的基本信息，结合测试人员的经验可以确定其可能存在，以及被利用的安全弱点，为进行深层次的渗透提供依据。 2.1.4.1.2 后门程序检查系统开发过程中遗留的后门和安全服务选项可能被入侵者所利用，导致入侵者轻易地从捷径实施攻击。 2.1.4.2 攻击阶段攻击阶段是渗透测试的实际实施阶段，在这一阶段根据前面得到的信息对目标进行攻击尝试，尝试获取目标的一定权限。在这一阶段，主要会用到以下技术或工具： p 账号口令猜解口令是信息安全里永恒的主题，在以往的渗透测试项目中，通过账号口令问题获取权限者不在少数。有用的账号口令除了系统账号如UNIX账号、Windows账号外，还包括一些数据库账号、WWW账号、FTP账号、MAIL账号、SNMP账号、CVS账号以及一些其它应用或者服务的账号口令。尤其是各个系统或者是安全服务的一些默认账号口令和弱口令账号。大多综合性的扫描工具都有相应的弱口令审核模块。 p 缓冲区溢出攻击针对具体的溢出漏洞，可以采用各种公开及私有的缓冲区溢出程序代码进行攻击， 2.1.4.2.1 代码审查对受测业务系统站点进行安全代码审查的目的是要识别出会导致安全问题和事故的不安全编码技术和漏洞。这项工作虽然可能很耗时，但是进行，代码审查测试工作包括如下工作但不仅限于此： Ø 审查代码中的XSS脚本漏洞； Ø 审查代码中的 SQL 注入漏洞； Ø 审查代码中的潜在缓冲区溢出； Ø 审查识别允许恶意用户启动攻击的不良代码技术； Ø 其他软件编写错误及漏洞的寻找及审查。 2.1.4.2.2 不同网段间的渗透这种渗透方式是从某内/外部网段，尝试对另一网段/Vlan进行渗透。这类测试通常可能用到的技术包括：对网络设备和无线设备的远程攻击；对防火墙的远程攻击或规则探测、规避尝试。信息的收集和分析伴随着每一个渗透测试步骤，每一个步骤又有三个组成部分：操作、响应和结果分析。 2.1.4.2.3 溢出测试当测试人员无法直接利用帐户口令登陆系统时，也会采用系统溢出的方法直接获得系统控制权限，此方法有时会导致系统死机或从新启动，但不会导致系统数据丢失，如出现死机等故障，只要将系统从新启动并开启原有服务即可。一般情况下，如果未授权，将不会进行此项测试！ 2.1.4.2.4 SQL注入攻击 SQL注入常见于应用了SQL 数据库后端的网站服务器，入侵者通过提交某些特殊SQL语句，最终可能获取、篡改、控制网站服务器端数据库中的内容。此类漏洞是入侵者最常用的入侵方式之一。 2.1.4.2.5 检测页面隐藏字段网站应用系统常采用隐藏字段存储信息。许多基于网站的电子商务应用程序用隐藏字段来存储商品价格、用户名、密码等敏感内容。恶意用户通过操作隐藏字段内容达到恶意交易和窃取信息等行为，是一种非常危险的漏洞。 2.1.4.2.6 跨站攻击入侵者可以借助网站来攻击访问此网站的终端用户，来获得用户口令或使用站点挂马来控制客户端。 2.1.4.2.7 WEB应用测试 Web脚本及应用测试专门针对Web及数据库服务器进行。根据最新的统计，脚本安全弱点为当前Web系统，尤其是存在动态内容的Web系统比较严重的安全弱点之一。利用脚本相关弱点轻则可以获取系统其他目录的访问权限，重则将有可能取得系统的控制权限。因此对于含有动态页面的Web、数据库等系统，Web脚本及应用测试将是必不可少的一个环节。在Web脚本及应用测试中，可能要检查的部份包括： Ø 检查应用系统架构,防止用户绕过系统直接修改数据库； Ø 检查身份认证模块，用以防止非法用户绕过身份认证； Ø 检查数据库接口模块，用以防止用户获取系统权限； Ø 检查文件接口模块，防止用户获取系统文件； Ø 检查其他安全威胁； 2.1.4.2.8 第三方软件误配置第三方软件的错误设置可能导致入侵者利用该漏洞构造不同类型的入侵攻击。 2.1.4.2.9 Cookie利用网站应用系统常使用cookies 机制在客户端主机上保存某些信息，例如用户ID、口令、时戳等。入侵者可能通过篡改cookies 内容，获取用户的账号，导致严重的后果。 2.1.4.2.10 DDoS攻击分布式拒绝服务(DDoS:Distributed Denial of Service)攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DDoS攻击，从而成倍地提高拒绝服务攻击的威力。通常，攻击者使用一个偷窃帐号将DDoS主控程序安装在一个计算机上，在一个设定的时间主控程序将与大量代理程序通讯，代理程序已经被安装在网络上的许多计算机上。代理程序收到指令时就发动攻击。利用客户/服务器技术，主控程序能在几秒钟内激活成百上千次代理程序的运行。 2.1.4.2.11 其他测试在渗透测试中还要借助暴力破解、网络嗅探等其他方法，目的也是为获取用户名及密码。 2.1.4.3 后攻击阶段 2.1.4.3.1 权限提升通过收集信息和分析，存在两种可能性，其一是目标系统存在重大弱点：测试人员可以直接控制目标系统，然后直接调查目标系统中的弱点分布、原因，形成最终的测试报告；其二是目标系统没有远程重大弱点，但是可以获得远程普通权限，这时测试人员可以通过该普通权限进一步收集目标系统信息。接下来，尽最大努力获取本地权限，收集本地资料信息，寻求本地权限升级的机会。这些不停的信息收集分析、权限升级的结果将构成此次项目整个渗透测试过程的输出。 2.1.5 风险规避措施渗透测试过程中可能对业务产生影响，可以采取以下措施来减小风险： 2.1.5.1 时间选择选择在系统最不繁忙业务量最小的时候进行，如凌晨12点之后。 2.1.5.2 攻击策略集选择在渗透测试中不使用含有拒绝服务的测试策略。 2.1.5.3 保守策略选择对于不能接受任何可能风险的主机系统，如可选择如下保守策略： 1) 复制一份目标环境，包括硬件平台，操作系统，数据库管理系统，应用软件等。 2) 对目标的副本进行渗透测试。 2.1.5.4 系统备份和恢复 2.1.5.4.1 系统备份为防止在渗透测试过程中出现的异常的情况，所有被评估系统均应在被评估之前作一次完整的系统备份或者关闭正在进行的操作，以便在系统发生灾难后及时恢复。 2.1.5.4.2 系统恢复在渗透测试过程中，如果出现被评估系统没有响应或中断的情况，应当立即停止测试工作，与客户方配合人员一起分析情况，在确定原因后，及时恢复系统，并采取必要的预防措施（比如调整测试策略）之后，确保对系统无影响，并经客户方同意之后才可继续进行。 2.1.5.5 项目中合理沟通在项目实施过程中，确定不同阶段的测试人员以及客户方的配合人员，建立直接沟通的渠道，并在项目出现难题的过程中保持合理沟通。 2.1.5.6 系统监测在评估过程中，由于渗透测试的特殊性，用户可以对整体测试流程进行监控（可能提高渗透测试的成本）。 2.1.5.7 测试方自控由测试者对本次测透测试过程中的三方面数据进行完整记录：操作、响应、分析，最终形成完整有效的渗透测试报告提交给用户。用户监控可以有三种形式 1) 全程监控：优点是全过程都能完整记录。缺点是数据量太大，不易分析；要大容量存储设备。 2) 择要监控：对扫描过程不进行录制，仅仅在安全项目师分析数据后，准备发起渗透前。 3) 主机监控：仅监控受测主机的存活状态，避免意外情况发生。目前国内应用比较多的是这种监控手段. 2.1.6 渗透测试报告渗透测试之后，针对每个系统要向客户提供一份渗透测试报告《XX系统网络渗透测试报告》，报告十分详细的说明渗透测试过程中的得到的数据和信息，并且将会详细的纪录整个渗透测试的全部操作。渗透测试报告应包含如下内容：渗透结论包括目标系统的安全状况、存在的问题、渗透测试的结果等渗透测试项目的介绍包括项目情况、时间、参与人员、操作地点等渗透测试过程包括渗透测试的各个实施阶段中的方法、工具、技术及其操作细节等渗透测试的证据渗透测试的一些过程及证明文件解决方案针对渗透测试中发现的问题给出对应的解决办法和建议附录部分渗透测试中的一些其它相关内容，如异常事件的记录和处理等 2.2 代码审计服务解决方案依据集团公司、的具体安全规范和，在业务支撑系统规划、开发、建设、运行和退出服务五个环节全生命周期中加强安全加固和安全管控，以安全控制流程为切入口，逐步建立持续改进的工作机制。 2.2.1 代码审计概述信息安全是一个随时都在发展和变化的动态事物，攻击的领域已经由传统的网络和系统层面上升到了应用层面，近期越来越多的应用系统面临攻击威胁。应用系统的安全性能，一方面立足于系统安全方案的分析与设计，而另一方面同样也取决于系统实现过程中是否存在安全性缺陷。为降低应用系统的安全风险，减少软件代码编写中可能出现的安全漏洞，提高应用系统自身安全防护能力，软件的应用方越来越依赖于采用源代码安全审计工具在软件开发的过程中去帮助软件开发团队快速查找、定位、修复和管理软件代码安全问题，应用静态源代码安全审计的的主要价值在于能够快速、准确地查找，定位和修复软代码中存在的安全风险，增加工具投资所带来的最大效益，节约代码安全分析的成本，最终开发安全的软件。 2.2.2 代码审计原理静态源代码审计是近年被人提及较多的软件应用安全解决方案之一。它是指在软件项目中，程序员在写好源代码后，无需经过编译器编译，而直接使用一些审计工具对其进行审计，找出代码当中存在的一些安全漏洞的解决方案。这个方案的优点在于，无需进行编译、也无需去搭建运行环境，就可以对程序员所写的源代码进行审计。可以节大量的人力和时间成本，提高开发效率，并且能够发现很多靠人力无法发现的安全漏洞，站在黑客的角度上去审查程序员的代码，大大降低项目中的安全风险，提高软件质量。在静态源代码审计技术上，现在被普遍应用的是第一代和第二代技术。 2.2.3 现有代码审计的不足第一代技术是指：传统的静态分析，传统的静态分析都是基于语法解析或者编译器，这些方式分析代码的缺陷是以代码所匹配的规则模式（patterns）去评估代码，只要模式匹配或者相似就报出来。要人工去分辨出其中的真假，主要存在的问题： – False positive（误报） – False negative（漏报）出现上述问题的原因是：在作静态分析时，要先描绘出代码所有的路径，然后去对每种路径上的变量作计算，并比较。基于语法的解析路径是可以描绘出路径来的，但要计算每个路径上的变量在使用前后的值，并跟踪,目前采用的算法几乎不可能，就是上面的程序也要花费相当长的时间，几乎无法接受。因此目前许多静态工具只是把感染的路径找到，但不计算和不作比较，要借助人工去分辨所有可能的情况，这就是误报率非常高的原因。　　在小量的代码前提下，简单的代码将不是问题，也是可以接受的。但是，如果是大量的代码，复杂的代码，传统的审计技术将几乎不可行，因为它将大量浪费开发和安全审计人员的时间，有时人眼也无能为力。 2.2.4 代码审计产品简介选用的静态源代码安全漏洞审计和管理方案是业界最全面的、综合的源代码安全审计和管理方案，该方案提供用户、角色和团队管理、权限管理、审计结果管理、审计调度和自动化管理、审计资源管理、查询规则管理、审计策略管理、更新管理、报表管理等多种企业环境下实施源代码安全审计和管理功能。最大化方便和节约了企业源代码安全开发、审计、审计和风险管理的成本和开销。其无与伦比的准确性和方便的企业部署和实施的特性赢得了全球众多客户的青睐。比如Salesforce.Com、道琼斯（新闻集团）、雅高、NDS公司、美国陆军、Amdocs等都在采用这种新一代的静态分析技术做源代码安全检测和风险评估。至今，改代码审计产品的客户量数目庞大，其中包括涉及电信、金融银行、保险、汽车、媒体娱乐、软件、服务和军事等行业的财富1000的企业。2010年4月15日该产品被全球领先的行业分析公司Gartner评为“2010年度最酷应用安全供应商”。 2.2.5 代码审计工具功能及特性 2.2.5.1 操作系统独立代码审计不依赖于特定操作系统，只在在企业范围内部署一台审计服务器，就可以审计其它操作系统开发环境下的代码，包括但不限于如下操作系统Windows、Linux、AIX，HP-Unix, Mac OS, Solaris,无在每种平台安装相应的版本,节约相关平台的软硬件成本。 2.2.5.2 编译器独立、开发环境独立，搭建测试环境简单快速且统一由于采用了独特的虚拟编译器技术，代码审计不要依赖编译器和开发环境，无为每种开发语言的代码安装编译器和测试环境，只要通过客户端、浏览器、开发环境服务插件登录到管理应用 Application服务器，提供本地代码审计代码的目录、远程代码目录、和版本管理代码目录（Subversion、CVS，ClearCase即可，审计代码无通过编译过程。搭建测试环境快速简单，无像其它的静态分析工具，在相应的操作系统上安装相应的工具软件包，安装众多开发工具和代码依赖的第三方库及软件包、安全服务代码通过编译，方可进行测试。安装一次，即可审计Java代码、C/C++代码、.NET代码JSP、JavaSript、VBSript、 .、C# 、 ASP.net 、VB.Net、 VB6、、ASP 、Perl、Apex VisualForce,Android、OWASP ESAPI、MISRA、和Objective-C (iOS)…等各种语言代码，并且不管这些代码是在windows平台、Linux平台或者其它平台的。 2.2.5.3 工具学习、培训和使用的成本少，最小化影响开发进度由于编译器、操作系统和开发环境独立，使用者无去学习每种平台下如何去编译代码，安全服务代码、如何审计测试代码，无去看每种平台下繁琐的使用手则。因为该服务只要提供源代码即可审计，并给出精确的审计结果。 2.2.5.4 低误报该产品企业服务在审计过程中全面分析应用的所有路径和变量。准确的分析结果，验证可能的风险是否真正导致安全问题，自动排除噪音信息，审计结果几乎就是最终的分析结果，其误报率（False Positive）几乎为零。极大的减少了审计分析的人工劳动成本，极大的节了代码审计的时间，为开发团队赢得更多的开发时间。 2.2.5.5 安全漏洞覆盖面广且全面 (低漏报) 数以百计的安全漏洞检查适合任于何组织，支持最新的OWASP 、CWE、SANS、PCI、SOX等国际权威组织对软件安全漏洞的定义。漏洞覆盖面广，安全检查全面，其自定义查询语言CxQL可以让用户灵活制定要的代码规则，极大的丰富组织特定的代码安全和代码质量的要。 2.2.5.6 安全查询规则清晰且完全公开实现规则定义清晰，并完全公开所有规则的定义和实现让用户清楚知道工具如何去定义风险、如何去查找风险，透明各种语言风险。让用户知道工具已经做了那些工作，没有做那些该工作。而不是给用户一个黑匣子，用户无法了解工具的细节和缺陷，无法在代码审计过程中规避工具的风险（比如漏报和误报），比如利用人工或者其它手段查找工具不能定位的问题。 2.2.5.7 安全规则自定义简单高效由于公开了所有规则实现的细节和语法，用户可以快速修改规则或者参考已有的规则语句自定义自己需要规则，规则学习，定义简单高效。能快速实现组织软件安全策略。可以累积试验室的安全研究成果,把实验室的成果转换成查询规则,然后用自动化的方式去验证试验室的安全知识对实际系统的应用情况。 2.2.5.8 审计性能 10万行代码审计时间在10~30分钟不等，视代码复杂度和硬件配置而不同。 2.2.5.9 安全规则自定义简单高效由于公开了所有规则实现的细节和语法，用户可以快速修改规则或者参考已有的规则语句自定义自己要规则，规则学习，定义简单高效。能快速实现组织软件安全策略。 2.2.5.10 业务逻辑和架构风险调查该产品服务可以对所有审计代码的任意一个代码元素（词汇）做动态的数据影响、控制影响和业务逻辑研究和调查。分析代码逻辑和架构特有的安全风险，并最后定义规则精确查找这些风险。这是目前唯一能动态分析业务逻辑和软件架构的静态技术。 2.2.5.11 攻击路径的可视化，并以3D形式展现每一个安全漏洞的攻击模式和路径完全呈现出来，以3D图形的方式显示，便于安全问题调查和分析。 2.2.5.12 代码实践的加强内置软件代码质量问题检测，同时也提供自定义规则去验证编程策略和最佳实践。 2.2.5.13 该产品目前支持主流语言 Java、JSP、JavaSript、VBSript、C# 、ASP.net 、VB.Net、 VB6、 C/C++ 、ASP 、PHP, Ruby、Perl、 Android、OWASP ESAPI、MISRA、和Objective-C (iOS) .(AppExchange platform)、API to 3rd party languages 。 2.2.5.14 支持的主流框架（Framework） Struts 、Spring、Ibatis、GWT、Hiberante、Enterprise Libraries、Telerik、ComponentArt、Infragistics、FarPoint，Ibatis.NET、 Hibernate.Net [*] 、MFC，并可针对客户特定框架快速定制支持。 2.2.5.15 服务独立，全面的团队审计支持作为服务器运行。开发人员、管理人员和审计人员都可以凭各自的身份凭证从任何一处登录服务器，进行代码审计、安全审计、团队、用户和审计任务管理。 2.2.5.16 高度自动化审计任务自动服务版本管理（SubVersion、TFS）、SMTP邮件服务器和Windows账户管理，实现自动审计代码更新、自动审计、自动报警和自动邮件通知等。 2.2.5.17 支持多任务排队审计、并发审计、循环审计、按时间调度审计。提高团队审计效率。 2.2.5.18 云服务实现支持跨Internet实现源代码安全审计“云服务”。 2.3 基础设备安全评估解决方案 2.3.1 安全风险评估方法论 2.3.1.1 概述风险管理（Risk Management）旨在对潜在机会和不利影响进行有效管理的文化、程序和结构。风险管理是良好管理的一个组成部分，它用一种将损失减小到最低程度而使商业机会达到最大限度的方式，对与机构的任何活动、功能和过程相关的风险进行环境建立、鉴定、分析、评价、处理、监控和信息交流。风险管理既是为了发现商业机会，同样也是为了避免或减轻损失。风险管理过程（Risk Management Process）是指系统地将管理方针、程序和实施应用于风险的环境建立、鉴定、分析、评价、处理、监控和信息交流等任务。在信息安全的领域，同样适用于风险管理的理念和方法论。在当前信息技术得到普遍应用，并且很多成为关键业务系统的环境下，企业或组织的信息安全风险很大，而且普遍缺乏有效的控制和管理，但过度的风险管理，无疑会导致大量的金钱和人力的花费、和对工作效率的严重降低。如图所示。所以，如何适度和有效地进行信息安全的风险的管理和控制，成为了一项迫切和重要的任务。一般来说，安全风险的降低（即安全水平的提升）和相应的开销不是线性的关系，如图所示。在较高的安全水平上面，获得微小的提高可能要的巨大开销，甚至开销超出了所保护资产的价值。经过精细的资产评估和风险评估，企业就可以在投资提升安全降低风险、承受风险、转移风险等做出正确的选择。此处描述的风险的评估过程主要包括风险管理过程中的鉴定、分析、评价、处理等任务，它是一件非常复杂的工作，风险的来源、表现形式、造成的后果、出现的概率等千差万别，要非常精细的考虑和数学模型。本文下面的描述即是阐明风险评估过程的理念和方法论，以作为安全服务的标准方法论和理论基础，指导和规范的安全风险安全服务工作。 2.3.1.2 安全模型在国际标准ISO13335中，安全模型如下图所示，特点是以风险为核心。在国际标准ISO15408中，安全模型如下图所示，其特点是强调了模型的对抗性和动态性。可以看出，这两个安全模型非常类似，核心要素都是资产、弱点、威胁、风险、安全措施等，各要素之间的关系也基本类似，只是描述和关注的角度不同。在澳大利亚和新西兰国家标准《风险管理Risk Management》（AS/NZS 4360:1999）中描述了风险管理过程，如下图所示： 2.3.2 安全风险评估方案 2.3.2.1 资产调查与赋值 2.3.2.1.1 求调查求调查是整个安全评估服务的基础。考虑到安全评估服务的特殊性，安全服务项目师将尽可能与用户密切配合，根据对用户环境和安全求进行相当全面和细致的调查，以便准确理解用户求，全面实现安全服务保护用户系统的目的。安全评估服务将针对用户环境中的网络系统、服务器系统、应用系统以及数据系统等进行安全审计和操作、修复工作，因此用户求调查也针对这些方面进行。安全服务的用户求调查的主要内容如下图所示： 2.3.2.1.2 调查对象 l 管理人员调查客户现有管理体系和系统安全策略，了解现有安全组织的人员情况，向评估小组项目师提供现阶段的系统安全方面的规章制度，从而能够清楚了解现在安全策略的执行情况等。 l 机房管理人员调查机房物理环境，其中涵盖了该机房的物理分布图、安全区域的设置、访问控制设备情况、授权和验证情况、机房内物体堆放情况、防火安全设施、电力保障系统、应急照明设施、温湿度监测与控制情况、电磁屏蔽系统等。 l 网络管理员调查信息系统网络拓扑、设备信息等情况。其中包括网络设备的配置情况、使用情况、维护情况、用户情况、远程控制情况、服务开启情况、管理控制情况、路由情况、访问控制列表情况以及交换机的端口配置情况等信息。 l 应用系统管理员调查重要服务器以及所使用的重要服务情况，其中包括每台关键服务器的硬件配置情况、安装的操作系统以及软件情况、所提供的服务情况、维护情况、补丁情况、用户使用情况、密码策略情况、以前受攻击情况、服务器之间相互依存情况、开发平台情况、加密和认证情况等信息。 l 备份管理员调查系统备份情况，能够独立操作系统备份工作，其中包括备份时所采用的备份方式、备份介质、备份策略、备份设备、备份时间、备份所使用的软件情况以及备份的存放等情况。 l 其他工作人员对以上人员不能回答的调查表中涉及的问题，要找其他相关的工作人员进行补充，已达到能够完全对信息系统安全情况彻底了解的目的。 2.3.2.1.3 调查方式采用非现场问卷调查方式和现场勘查相结合的方式进行。 2.3.2.1.4 调查内容调查内容将覆盖信息系统的管理、物理、技术、操作等多方面的内容，这些内容主要有以下几大类别： Ø 安全策略 Ø 组织的安全 Ø 资产分类和管理 Ø 人员安全 Ø 物理的和环境的安全 Ø 通信和运营管理 Ø 访问控制 Ø 系统的开发与维护 Ø 业务连续性管理 Ø 符合性 Ø 硬件和网络系统调查 Ø 操作系统调查 Ø 应用系统调查 Ø 防火墙系统调查 Ø 数据库存系统调查 Ø 用户其他安全求等等涉及到的安全信息调查表有： Ø 《安全管理调查表》 Ø 《人员调查表》 Ø 《设备调查表》 Ø 《网络结构调查表》 Ø 《物理环境调查表》 Ø 《业务应用调查表》 2.3.2.1.5 资产赋值 2.3.2.1.6 基本概念资产是企业、机构直接赋予了价值因而要保护的东西。它可能是以多种形式存在，有无形的、有有形的，有硬件、有软件，有文档、代码，也有服务、企业形象等。它们分别具有不同的价值属性和存在特点，存在的弱点、面临的威胁、要进行的保护和安全控制都各不相同。为此，有必要对企业、机构中的信息资产进行科学分类，以便于进行后期的信息资产抽样、制定风险评估策略、分析安全功能求等活动。资产还具有很强的时间特性，它的价值和安全属性都会随着时间的推移发生变化，所以应该根据时间变化的频度制定资产相关的评估和安全策略的频度。例如，某公司重要的市场活动策划方案（数据资产），在活动开始之前，为达成市场目标，要对该数据资产进行机密性、完整性和可用性方面的保护。但是在该活动之后，策划已经基本上都传达给了大众，所以资产价值已经大部分消失，相关的安全属性也失去保护意义。因此在本方案定义的评估工作内容，其中信息资产（Information Assets）的界定和赋值是整个阶段（现场测试和评估阶段）的前提，是信息资产抽样的基础和重要依据。为此，有必要实现信息资产界定和赋值过程的标准化，以便在所有项目参与者中形成一个共同的知识基础。 2.3.2.1.7 资产分类参照BS7799对信息资产的描述和定义，将信息相关资产按照下面的分类方法：类别简称解释/示例服务 Service WWW、SMTP、POP3、FTP、MRPII、DNS、呼叫中心、内部文件服务、内部BBS、网络连接等数据（电子媒介） Data 源代码、各种数据资料、运行管理规程、计划、报告、用户手册等软件 Software 应用软件、系统软件、开发工具和资源库等硬件 Hardware 计算机硬件、路由器、交换机、程控交换机、布线等文档（纸质） Document 文件、传真、电报、财务报告、发展计划设备 Facility 电源、空调、食品柜、文件柜等人员 HR 各级雇员和雇主、合同方雇员其它 Other 企业形象，客户关系等下面重点描述服务、数据和软件等三种与网络安全最为直接相关的信息资产类别。 l 服务服务在信息资产中占有非常重要的地位，通常作为企业运行管理、商业业务实现等形式存在。属于要重点评估、保护的对象。通常服务类资产最为要保护的安全属性是可用性。但是，对于某些服务资产，完整性和机密性也可能成为重要的保护对象。例如通常的门户站点的新闻浏览、计算环境等的可用性最为重要。但是，完整性也同样重要，门户站点的主页被修改，造成的损失也可能是灾难性的。另外，对于重要的软件下载服务，完整性也同样重要。例如，著名安全软件TCPWrapper作者的站点被入侵，软件被植入木马程序后被广泛下载使用，造成非常重大的影响和损失。服务分为以下几个子类：简称解释/举例 NT操作系统 NT 微软的操作系统各个版本，提供公众计算环境和应用运行平台。 Unix操作系统 Unix 包括各种Unix版本，例如Solaris，AIX，HP-UX，Linux，FreeBSD等，提供公众计算环境和应用运行平台。数据库 DB 包括各种商业数据库产品，例如Oracle，Sybase，SQL Server等，为其它应用提供开发和运行平台。 Domino服务 Domino Lotus Domino Notes系统是一种群件应用，它综合了数据库、各种应用于一身，专

展开阅读全文