IT系统及业务应用安全-西门子

Copyright©SiemensAG2008.Allrightsreserved.CorporateTechnologyIT系统/应用/业务安全西门子（中国）研究院信息安全部2009Page22008CorporateTechnology/CTITSHuJianJunforinternaluseonly目录应用及Web安全二三五业务逻辑及流程安全四一IT基础设施安全成功案例互联网系统及业务现状Page32008CorporateTechnology/CTITSHuJianJunforinternaluseonly运营商应用系统安全目前互联网上的应用系统多数采购自第三方，在部署之前往往只执行了功能测试，没有进行全面标准的安全评估，部署时也往往没有进行安全加固，导致各个应用系统安全水平不一，容易遭受黑客攻击。因此有必要对已部署的应用系统进行安全测评，并依据测评结果进行安全加固。对将要上线的应用系统进行统一的准入测评，并提供应用系统的安全整改建议应用层安全（web，ERP）操作系统及中间键层安全（OS，DB，WebServer）网络层安全应用系统存在的安全问题[2006/09]某运营商网站被黑事件：北京时间9月11日某运营商网站被黑客入侵，首页被替换Page42008CorporateTechnology/CTITSHuJianJunforinternaluseonly运营商Web应用漏洞案例（小灵通悦铃业务）用户可以篡改交易请求中的歌曲铃声价格，可以免费申请歌曲铃声，甚至可以将价格篡改为负数，达到充值效果不但可以免费，还能冲值？Page52008CorporateTechnology/CTITSHuJianJunforinternaluseonly运营商Web应用漏洞案例（彩铃悦铃业务）运营商悦铃Web应用存在安全漏洞，黑客可以利用此漏洞得到后台管理员帐号口令并登陆管理后台；Page62008CorporateTechnology/CTITSHuJianJunforinternaluseonly运营商Web应用漏洞案例（某运营商采购系统）利用跨站脚本及上传漏洞，替换首页，破解帐户登陆后台等等Page72008CorporateTechnology/CTITSHuJianJunforinternaluseonly案例－金融行业Web应用漏洞利用漏洞，攻击者无须知道用户名密码即可直接登陆证券应用Page82008CorporateTechnology/CTITSHuJianJunforinternaluseonly目录应用及Web安全二三五业务逻辑及流程安全四一IT基础设施安全成功案例互联网系统及业务现状Page92008CorporateTechnology/CTITSHuJianJunforinternaluseonly特点：•多为标准化产品及系统，一般不可定制，开发测试流程比较规范•产品实现细节不公开•厂商支持较好，定期发布补丁•部署广泛，较多参考资料IT基础设施安全应用(网上营业厅，BOSS..）业务逻辑(业务申请，找回密码..)IT基础设施网络（FW，Router，Switch..）操作系统(Server,PC,Embed..)中间件（DB，WebServer..）常见安全漏洞：•未进行必要的补丁升级•安装配置错误•规划架构设计不合理解决方案：•制定安全基线•补丁升级检查•安全配置检查•规划架构设计检查Page102008CorporateTechnology/CTITSHuJianJunforinternaluseonly安全基线设定针对应用层、操作系统/中间键层、网络层的不同特点及企业常见应用、产品及设备，创建详细的可操作的安全基线，可以作为产品准入、入网测试、工程验收、系统运维配置、自我评估、安全加固、安全巡检的权威性指南，从而整体提升系统和网络的安全性。安全基线应该具备以下几个要求：1.覆盖面广2.可操作性强3.定期更新4.部分可固化成工具进行自动测试设立安全基线的意义应用Web服务数据库操作系统网络Page112008CorporateTechnology/CTITSHuJianJunforinternaluseonlyIT基础设施安全基线检查平台操作系统数据库Web服务器等等安全基线自动检查工具结果报表借助安全基线符合性评估平台从远程或本地对各资产组进行安全配置评估并自动计算其达标率§达标率用于客观地评价不同资产组所具有的安全水平§极大减少人工工作量§避免人为因素，保证评估结果的公正性§完全依照用户自定义安全基线定制开发§智能识别系统类型，基本无人工干预§支持单点及大范围评估§报表自动生成§支持常用系统及应用Page122008CorporateTechnology/CTITSHuJianJunforinternaluseonly目录应用及Web安全二三五业务逻辑及流程安全四一IT基础设施安全成功案例互联网系统及业务现状Page132008CorporateTechnology/CTITSHuJianJunforinternaluseonly特点：•多为定制开发产品及系统，开发测试流程不够规范•实现细节可获得*•厂商一般不会定期发布安全补丁•部署范围小，实践检验少应用及Web安全应用(网上营业厅，BOSS..）业务逻辑(业务申请，找回密码..)IT基础设施网络（FW，Router，Switch..）操作系统(Server,PC,Embed..)中间件（DB，WebServer..）常见安全漏洞：•产品设计，代码实现上存在安全漏洞•应用部署配置错误解决方案：•制定安全基线，产品准入制度•应用架构及设计安全审计•源代码或Bytecode安全审计•应用部署安全审计Page142008CorporateTechnology/CTITSHuJianJunforinternaluseonly应用系统安全问题防火墙加固OSWeb服务器应用服务器防火墙数据库历史遗留系统WebServices文件目录人力系统计费系统定制的应用程序应用层攻击IT基础设施层应用层应用层作为安全边界的一部分，可能存在危险的漏洞仅仅使用基于IT基础设施层的防护手段(防火墙,SSL,IDS,DB加固..)无法阻止或检测到应用层攻击SQL注入，跨站脚本..Page152008CorporateTechnology/CTITSHuJianJunforinternaluseonlyWSAS@ITS采用创新技术，可自动对Web应用生命周期进行安全评估，支持：§Questionnaire–设计漏洞§BytecodeAudit–编码漏洞§RuntimeScan–安装部署漏洞§PenetrationTesting–手工测试§ReportGenerating－基于checklist自动报表生成PenetrationTestingQuestionnaireSourceCodeAuditRuntimeScanningAssessbyWSAS@ITSAssessbyWSAS@ITSDetectVulnerabilities,ProtectyourWeb!WSAS－全生命周期安全自动评估平台Page162008CorporateTechnology/CTITSHuJianJunforinternaluseonlyBytecodeAudit@WSAS组件技术优势特色优势•直接基于部署程序进行分析，无需源代码•可检查SQL注入、命令注入、路径遍历等常见安全漏洞•全局数据流分析，完整展现从页面到系统底层的攻击路径•可检查主流ORM框架，如Hibernate2，Hibernate3，iBatis等•可检查主流MVC框架，如Spring，Struts等•Classbyteanalysis•Dataflowanalysis•Javatypecheck•Taintpropagation•…•SQL注入•命令注入•PathTraversal•跨站脚本•HTTPSplitting•…•JSP•Class•JAR•WARBytecodeAuditorPage172008CorporateTechnology/CTITSHuJianJunforinternaluseonlyWSAS:应用场景--规范的西门子Web应用准入制度ADVANCED测评HIGH测评BASIC测评MINIMUN测评DDDCCCCCCIOCIO根根据测评据测评结果结果决定是决定是否准入否准入webapplicationwebapplicationapplicationserverapplicationserverwebserverwebserverdatabasedatabaseapplicationoperatingsystemoperatingsystem应用重要性：高应用重要性：低非公开的方法和工具由有经验的web应用安全顾问实施非公开的方法及工具由有经验的web应用安全顾问实施公开的checklist由（web应用）安全顾问实施公开的checklist由管理员实施，基本可以自动化评估方法不能完全用checklist来描述评估内容帮助抵御不安全的密码系统、业务逻辑攻击、命令注入、客户端攻击及权限提升评估实施需要经验、灵感及时间HIGH不能完全用checklist来描述评估内容帮助抵御业务逻辑攻击、权限提升和命令注入ADVANCED可以用详细的checklist来描述评估的内容，但是评估的执行需要一定的安全知识基础可以抵御认证/授权攻击、信息泄漏和跨站脚本BASIC可以用详细的checklist来描述评估的内容，基于checklist的评估并不需要很深的安全知识确保应用模块最基础的安全特性MINIMUM描述安全级别Page182008CorporateTechnology/CTITSHuJianJunforinternaluseonlyWSAS应用场景设计开发测评准入运维响应新Web系统拥有者CIOCERT/ITSWSAS3.请求安全评估4.评估结果/建议1.请求准入5.批准、整改或拒绝2.判断关键程度，给出所需评估级别6.定期发送安全通告，复查设计开发时必须考虑安全，有时必须对设计开发人员进行必要的培训：n安全设计n安全编码n安全测试依据web应用的重要性，采用不同的测评标准，由专业人员基于WSAS执行。决定是否准许部署或者整改：n判断应用关键程度n执行安全测评信息安全部门负责定期发送安全通告，由系统管理员按照安全通告内容进行安全维护。信息安全部门负责对突发性安全事件进行紧急响应。Page192008CorporateTechnology/CTITSHuJianJunforinternaluseonly应用安全评估服务总体流程远程自动测试（WSAS）源代码自动审计（WSAS）是否白盒测试？白盒底层测试（检查网络，主机，Web服务器配置）应用层源码测试（人工源码审核）底层渗透测试（探测网络，主机，Web服务器漏洞）应用层渗透测试（人工渗透）测试报告否是以应用测试框架为依据开始制定测试方案明确测试范围签署保密协议以IT基础设施基线为依据Page202008CorporateTechnology/CTITSHuJianJunforinternaluseonlyIT基础设施安全基线检查平台网络设备应用安全评估服务内容手工测试自动工具代码审计远程扫描WSAS业务逻辑Web服务器操作系统数据库问卷调查应用学习人工代码审计注入测试…攻击记录Session管理1.信息收集1.1Webapp指纹采集1.2应用发掘1.3GooglingandSpidering1.4……2.业务逻辑测试3.认证测试3.1缺省账号登录3.2暴力猜解3.3Bypass认证3.4目录回溯／文件包含3.5……4.会话管理测试4