03.05.2015 Views

大企业安全测试技术及全新的信息安全边界

大企业安全测试技术及全新的信息安全边界

大企业安全测试技术及全新的信息安全边界

SHOW MORE
SHOW LESS

Create successful ePaper yourself

Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.

Security Level: Internal<br />

大 企 业 安 全 测 试 技 术<br />

及 全 新 的 信 息 安 全 边 界<br />

关 键 字 : 安 全 测 试 端 到 端 防 护 体 系<br />

安 全 测 试 审 计<br />

安 全 边 界<br />

www.huawei.com<br />

HUAWEI TECHNOLOGIES CO., LTD.<br />

Huawei Confidential


袁 明 坤<br />

认 证 资 质<br />

CISP、 信 息 安 全 情 报 分 析 师 、CIW 安 全 讲 师 、PMP、ISO27001 LA、<br />

OSCP 进 攻 性 安 全 专 家 、 华 为 兼 职 讲 师<br />

OWASP 核 心 成 员<br />

华 为 技 术 :<br />

内 部 产 品 安 全 测 试<br />

外 部 安 全 服 务 解 决 方 案<br />

HUAWEI TECHNOLOGIES CO., LTD. Page 2


议 程<br />

‣ 华 为 安 全 测 试 技 术 框 架<br />

‣ 华 为 安 全 测 试 技 术 流 程<br />

‣ 端 到 端 的 安 全 体 系<br />

‣ 新 的 安 全 边 界


渗 透 测 试 & 安 全 测 试<br />

?


测 试 技 术 驱 动 力<br />

需 求 驱 动<br />

<br />

BT 21 cn、NIST、x805 、 各 运 营 商 特 殊 安 全 要 求<br />

全 球 客 户<br />

安 全 红 线 、 安 全 能 力 建 设 , 深 度 安 全 测 试 全 面 推 广<br />

服 务 创 新


Huawei Security Testing Methodology Framework<br />

源 代 码 审 计<br />

华<br />

为<br />

安<br />

全<br />

测<br />

试<br />

技<br />

术<br />

框<br />

架<br />

逆 向 工 程 测 试<br />

物 理 安 全 测 试<br />

业 务 流 安 全 测 试<br />

协 议 抗 攻 击 测 试<br />

特 殊 溢 出 攻 击 测 试<br />

系 统 服 务 攻 击 测 试<br />

网 络 设 备 攻 击 测 试<br />

数 据 库 攻 击 测 试<br />

Web 平 台 安 全 测 试<br />

Click to add Text<br />

无 线 网 络 安 全 测 试<br />

白 盒<br />

灰 盒<br />

黑 盒<br />

目<br />

标<br />

系<br />

统<br />

社 会 工 程 安 全 测 试


安 全 评 估 测 试 框 架 ( 依 照 项 目 要 求 进 行 裁 切 设 计 )<br />

Page 7


物 理 & 固 件 安 全


协 议 抗 攻 击 测 试<br />

Page 9


安 全 基 线 设 计 ( 实 例 )<br />

业 务 系 统<br />

网 元<br />

风 险<br />

级 别<br />

APM 高 任 意 文 件 下 载 漏 洞<br />

风 险 名 称 风 险 影 响 基 线 解 决 方 法<br />

方 法 一 、<br />

HS_DFNS_WEB_CODE_TRANS_01:<br />

必 须 在 服 务 器 端 采 用 白 名 单 对 上 传 或 下 载 的 文 件 类 型 、 大<br />

小 进 行 严 格 的 限 制<br />

HS_DFNS_WEB_CODE_TRANS_02:<br />

禁 止 以 用 户 提 交 的 数 据 作 为 读 / 写 / 上 传 / 下 载 文 件 的 路 径 或<br />

攻 击 者 可 获 取 服 务 器 任 意 文 件 及 用 户 敏 感 信 息 , 文 件 名 , 以 防 止 目 录 跨 越 攻 击 ;<br />

如 FTP 帐 号 口 令 , 数 据 库 连 接 口 令 , 并 可 通 过<br />

此 控 制 AAA 服 务 器 。<br />

建 议 对 写 / 上 传 文 件 的 路 径 或 文 件 名 采 用 随 机 方 式 生 成 , 或<br />

将 写 / 上 传 文 件 放 置 在 有 适 当 访 问 许 可 的 专 门 目 录 。 对 读 /<br />

下 载 文 件 采 用 映 射 表 ( 例 如 , 用 户 提 交 的 读 文 件 参 数 为 1,<br />

则 读 取 file1, 参 数 为 2, 则 读 取 file2)。 防 止 恶 意 用 户 构<br />

造 路 径 和 文 件 名 , 实 施 目 录 跨 越 攻 击 。<br />

对 URL 中 文 件 参 数 和 程 序 中 文 件 名 变 量 进 行 安 全 检 查 , 禁 止<br />

跨 目 录 访 问 系 统 敏 感 文 件 和 目 录 , 如 访 问 /etc/passwd,<br />

/etc/shadow,/etc/xinetd.d/vsftpd 等


安 全 测 试 矩 阵<br />

安 全 测 试 矩 阵<br />

安 全 测 试 模 块 测 试 领 域 说 明 是 否 测 试<br />

威 胁 分 析 评 估 威 胁 来 源 层 面 Yes<br />

评 估 威 胁 来 源 可 能 性<br />

Yes<br />

评 估 威 胁 存 在 的 潜 在 环 境 No<br />

硬 件 检 查 设 计 文 档 安 全 视 检 No<br />

安 全 架 构 检 查<br />

Yes<br />

组 件 识 别<br />

No<br />

危 险 组 件 安 全 评 估<br />

No<br />

硬 件 主 体 安 全 视 检<br />

Yes<br />

代 码 审 计 源 代 码 审 计 No<br />

硬 件 代 码 审 计<br />

No<br />

本 地 源 代 码 开 发 过 程 文 档 审 计 No<br />

代 码 认 证 信 息 审 计<br />

No<br />

固 件 更 新 来 源 检 查<br />

Yes<br />

固 件 反 编 译 功 能 检 查<br />

Yes<br />

界 面 测 试 以 太 网 接 口 Yes<br />

WIFI 接 口<br />

No<br />

USB 接 口<br />

Yes<br />

ADSL<br />

No<br />

3G&4G<br />

No<br />

协 议 压 力 测 试 端 口 压 力 测 试 No<br />

DoS<br />

No<br />

IP 协 议 测 试 (tcp,udp) No<br />

业 务 安 全 测 试 业 务 接 口 安 全 性 分 析 Yes<br />

业 务 逻 辑 安 全 性 分 析<br />

Yes<br />

业 务 相 关 协 议 测 试<br />

Yes<br />

渗 透 测 试 社 会 工 程 测 试 No<br />

脆 弱 性 扫 描 测 试<br />

Yes<br />

开 放 服 务 测 试<br />

Yes<br />

web 测 试<br />

No<br />

数 据 库 测 试<br />

Yes<br />

os 安 全 测 试<br />

Yes<br />

认 证 方 式 测 试<br />

Yes<br />

fuzz 测 试<br />

Yes<br />

生 成 当 前 业 务 系 统 安 全 测 试 矩 阵<br />

识 别 测 试 覆 盖 范 围<br />

定 制 化 的 安 全 测 试 框 架<br />

固 定 标 准 来 框 架 测 试 内 容 及 范 围 , 使 专 业 人 员 和<br />

非 专 业 人 员 可 以 针 对 安 全 测 试 的 过 程 和 结 果 达 成<br />

共 识 , 也 可 以 使 甲 乙 双 方 达 成 商 务 上 的 认 可 .


议 程<br />

‣ 华 为 安 全 测 试 技 术 框 架<br />

‣ 华 为 安 全 测 试 技 术 流 程<br />

‣ 端 到 端 的 安 全 体 系<br />

‣ 新 的 安 全 边 界


整 体 安 全 保 障 方 案<br />

ITUT X.805<br />

八 层 堆 栈<br />

接 入 控 制<br />

人 际 层<br />

认 证<br />

应 用 层<br />

全 球 安 全 问<br />

题 汇 总 分 类<br />

不 可 否 认<br />

数 据 机 密 性<br />

通 信 安 全<br />

数 据 完 整 性<br />

表 示 层<br />

会 话 层<br />

传 输 层<br />

网 络 层<br />

华 为<br />

安 全<br />

测 试<br />

技 术<br />

框 架<br />

网 络 和<br />

基 础 设 施<br />

计 算 环 境<br />

区 域 边 界<br />

支 撑 性<br />

基 础 设 施<br />

风 险 管 理<br />

可 用 性<br />

数 据 链 路 层<br />

保 密 性<br />

物 理 层


威 胁 识 别<br />

TRVA 威 胁 分 析 表<br />

X.805 安 全 纬 度 含 义 可 能 面 临 威 胁<br />

鉴 权 与 身 份 认 证<br />

(Authentication)<br />

权 限 控 制 (Access<br />

control)<br />

日 志 与 审 计 (Nonrepudiantion)<br />

机 密 性 (Data<br />

confidentiality)<br />

通 信 安 全<br />

(Communication<br />

security<br />

dimension)<br />

完 整 性 (Date<br />

integrity )<br />

1、 识 别 可 能 遭 受 攻 击 的 组 件<br />

此 纬 度 主 要 验 证 通 信 方 的 真 实 身 份 , 是 否 像 其 宣 称 的 那 样 , 避 免 身 份<br />

仿 冒 和 重 播 攻 击 。<br />

stride 说 明<br />

2、 已 知 漏 洞 攻 击 绕 过 鉴 权 与 身 份 认 证<br />

3、 web 及 telnet 管 理 面 攻 击<br />

威 胁 定 义 对 应 的 安 全 属 性<br />

Spoofing( 伪 装 ) 冒 充 他 人 身<br />

4、<br />

份<br />

TR069 协 议 绕 过<br />

认 证<br />

1、 vpn ,IPsec 保 护 功 能 被 绕 过<br />

此 纬 度 主 要 防 止 对 网 络 资 源 的 未 授 权 使 用 , 包 括 网 元 、 存 储 的 信 息<br />

、 信 息 流 、 业 务 与 服 务 以 及 应 用 程 序 等 。<br />

3、 USB 接 口 攻 击<br />

Tampering( 篡 改 ) 修 改 数 据 或 2、 代 码 防 火 墙 类 访 问 控 制 措 施 缺 陷 完 整 性<br />

Repudiation( 抵 赖 ) 否 认 做 个 的 1、 事 当 情 前 系 统 日 志 是 否 全 面 ( 是 否 涉 及 隐 私 泄 不 露 ?)。 可 抵 赖 性<br />

此 纬 度 主 要 防 止 个 人 或 实 体 对 已 经 执 行 过 的 操 作 进 行 抵 赖 。<br />

2、 哪 些 攻 击 有 日 志 。<br />

InformationDisclosure( 信 息 泄 露 ) 机 密 信 息 泄 露 机 密 性<br />

此 纬 度 主 要 对 数 据 提 供 保 护 使 之 不 被 非 授 权 地 泄 露 。<br />

Denial of Service ( 拒 绝 服 务 ) 拒 绝 服 务 可 用 性<br />

Elevation of Privilege ( 提 升 权 限 ) 未 经 授 权 获 得 许 可 授 权<br />

如 : 采 用 IPSec ESP 保 护 终 端 的 媒 体 流 在 接 入 XXX 时 ( 无 论 是 移 动 或<br />

固 定 方 式 ), 即 使 被 窃 听 也 不 会 造 成 通 信 信 息 的 非 授 权 地 泄 露 。<br />

1、 窃 取 通 话 信 息 : 攻 击 者 捕 获 报 文 , 获 得 敏 感 信 息<br />

2、 IP/TCP/UDP/ICMP 协 议 fuzz 攻 击<br />

3、 802.1x ,UPnP ,IGMP 协 议 攻 击<br />

此 纬 度 主 要 确 保 数 据 的 准 确 性 , 对 非 授 权 地 删 除 、 修 改 能 够 提 供 指 示<br />

。<br />

如 :XXX 网 络 在 计 费 信 息 中 采 取 的 数 据 完 整 性 保 护 的 安 全 机 制 , 防 止<br />

1、 固 件 更 新 来 源 被 篡 改<br />

计 费 信 息 被 非 法 的 篡 改 。<br />

1. 固 件 被 反 编 译<br />

2. 硬 件 中 敏 感 数 据 文 件 被 非 法 获 取 (ssl key 类 机 密 信 息 )<br />

可 用 性<br />

(Availability)<br />

此 纬 度 主 要 确 保 授 权 的 访 问 不 被 拒 绝 ( 包 括 容 灾 )。 如 :XXX 网 络 边<br />

沿 采 用 了 防 DOS 攻 击 的 安 全 机 制 , 保 证 合 法 用 户 可 以 正 常 访 问 XXX 网<br />

络 , 而 不 受 到 DOS 攻 击 的 影 响 。<br />

1、IP DoS 攻 击 攻 击 : 单 用 户 发 起 IP 层 Dos 攻 击 。 导 致 系 统 过 载 而 无 法 处 理 正 常 业<br />

务 。<br />

隐 私 保 护<br />

(Privacy)<br />

此 纬 度 主 要 针 对 个 人 的 信 息 提 供 保 护 , 例 如 个 人 访 问 过 的 WEB 站 点 、<br />

个 人 的 位 置 数 据 、 以 及 个 人 的 通 信 内 容 包 括 语 音 、 短 信 等 。<br />

1、 用 户 账 号 密 码 泄 露<br />

2、 网 络 信 息 泄 露


风 险 定 量<br />

等 级<br />

说 明<br />

DREAD 说 明<br />

高 3 中 2 低 1<br />

Damage Potential 影 响 等 级 获 取 完 全 验 证 权 限 ; 执 行 管 理 员 操 作 ; 非 法 上 传 文 件 泄 露 敏 感 歇 息 泄 露 其 他 信 息<br />

Reproducibility 重 复 性 攻 击 者 可 以 随 意 再 次 攻 击 攻 击 者 可 以 重 复 攻 击 , 但 是 有 限 制 攻 击 者 很 难 重 复 攻 击<br />

Exploitability 易 用 性 初 学 者 可 以 短 期 内 掌 握 攻 击 方 法 熟 练 的 攻 击 者 才 能 完 成 这 次 攻 击 漏 洞 利 用 条 件 非 常 苛 刻<br />

Affected users 受 影 响 用 户 所 有 用 户 , 默 认 配 置 , 关 键 用 户 部 分 用 户 , 默 认 配 置 极 少 数 用 户 , 匿 名 用 户<br />

Discoverability 利 用 难 度<br />

漏 洞 很 明 显 , 攻 击 条 件 很 容 易 获 得<br />

在 私 有 区 域 , 部 分 人 能 看 到 , 需 要 深 入<br />

挖 掘 漏 洞<br />

发 现 该 漏 洞 及 其 困 难<br />

说 明<br />

风 险<br />

DREAD 风 险 分 析 矩 阵<br />

Damage Potential 影 Reproducibility Exploitability Affected users Discoverability<br />

总 计<br />

响 等 级<br />

重 复 性<br />

易 用 性<br />

受 影 响 用 户<br />

利 用 难 度<br />

3 3 1 2 3 12<br />

3 3 1 2 3 12<br />

1 3 3 1 8<br />

3 2 3 2 2 12<br />

2 3 3 1 1 10<br />

2 2 3 1 1 9<br />

3 2 2 2 2 11<br />

2 2 2 2 2 10<br />

3 3 2 2 3 13


风 险 分 析<br />

分 类 说 明 免 费 短 信 威 胁 分 析 结 论 暴 力 破 解 威 胁 分 析<br />

威 胁<br />

攻 击 场 景 分 析<br />

( 需 绘 制 模 型 图 )<br />

现 有 安 全 机 制 评 估<br />

威 胁 编 号<br />

威 胁 描 述<br />

攻 击 条 件<br />

攻 击 技 术<br />

攻 击 步 骤<br />

现 有 安 全 机 制<br />

威 胁 指 数<br />

威 胁 检 测 维 护 机 制<br />

差 距 分 析<br />

改 进 建 议<br />

威 胁 及 风 险 控 制 策 略 总 结


风 险 闭 环<br />

xxxx 安 全 测 试 / 新 增 风 险 问 题 清 单<br />

编 号 类 别 名 称 风 险 值 风 险 级 别 是 否 确 认 处 理 意 见 责 任 人<br />

NV-01 xxx 日 志 路 径 设 置 不 当 导 致 敏 感 信 息 泄 漏 10 中 工 程<br />

NV-02 xxxx 配 置 文 件 路 径 不 当 导 致 服 务 器 敏 感 泄 露 11 中 工 程<br />

NV-03 xxxxx 页 面 PMS 系 统 绝 对 路 径 泄 露 7 低 QS<br />

NV-04<br />

信 息 泄 漏<br />

xxxxxxp 配 置 文 件 路 径 不 当 导 致 服 务 器 敏 感 泄 露 10 中 QS<br />

NV-05 xxxxx 帮 助 文 档 包 含 员 工 工 号 信 息 7 低<br />

NV-06 代 码 注 释 中 存 在 员 工 姓 名 7 低 工 程<br />

NV-07 配 置 文 件 明 文 存 储 数 据 库 账 号 密 码 (Database..cfg) 10 中<br />

密 码 安 全<br />

NV-08 配 置 文 件 明 文 存 储 密 码 (loginInfo.xml) 10 中<br />

NV-09 不 安 全 的 Cookie 存 储 方 式 (HTTP Only) 11 中 QS<br />

NV-10 xxxx 模 板 导 入 功 能 可 导 入 非 法 文 件 14 高 QS<br />

NV-11<br />

编 码 安 全<br />

xxxxxxTask 页 面 可 执 行 系 统 风 险 命 令 13 高 QS<br />

NV-12 xxxxx Task 功 能 可 打 包 操 作 系 统 所 有 文 件 13 高 QS<br />

NV-13 xxxxx Task 描 述 信 息 输 入 框 存 在 跨 站 脚 本 攻 击 漏 洞 12 高 QS<br />

NV-14 xxxxx 模 板 文 件 导 入 未 作 合 法 性 检 查 存 在 XSS 漏 洞 12 高 QS<br />

NV-15<br />

跨 站 攻 击<br />

xxxxx 计 划 任 务 描 述 输 入 框 存 在 跨 站 脚 本 攻 击 漏 洞 12 高 QS<br />

NV-16 XXXX 页 面 存 在 跨 站 脚 本 攻 击 漏 洞 7 低 工 程<br />

NV-17 XXXXt 未 对 DumpPath 输 入 框 做 权 限 控 制 6 低 传 送<br />

NV-18 HA 配 置 管 理 界 面 未 做 访 问 鉴 权 6 低 QS<br />

NV-19<br />

权 限 控 制<br />

XXXX Maintenance Suite 备 份 软 件 未 限 定 备 份 目 录 6 低 工 程<br />

NV-20 xxxx 后 台 未 授 权 用 户 任 意 访 问 15 高 QS<br />

NV-21 配 置 缺 陷 Web 服 务 器 启 用 了 代 理 功 能 (8080) 11 中


项 目 技 能 传 承<br />

<br />

<br />

<br />

<br />

<br />

<br />

<br />

<br />

<br />

00 安 全 评 估 测 试 框 架<br />

01 威 胁 分 析 模 型<br />

02 安 全 测 试 策 略<br />

03 安 全 测 试 矩 阵<br />

04 网 络 安 全 红 线 建 议 说 明<br />

05 DREAD 风 险 分 析 矩 阵<br />

06 威 胁 及 风 险 控 制 策 略 总 结 或 安 全 测 试 风 险 清 单<br />

07 安 全 测 试 报 告<br />

08 人 员 培 养 计 划


培 训<br />

实 验<br />

实 践<br />

人 员 提 升 计 划 -- 大 纲<br />

安 全 测 试 技 术<br />

• 通 用 攻 防 技 能 | 高 级 扫 描 技 术<br />

• Web 安 全 |windows 主 机 攻 防 |<br />

Linux/Unix 攻 防 | 数 据 库 攻 防 | 网 络 层<br />

攻 防 技 术 | 社 会 工 程 技 术 | 恶 意 代 码 分 析<br />

技 能 | 终 端 安 全 技 术 | 安 全 评 估 技 术 框<br />

架 实 战<br />

• 代 码 安 全 分 析 与 审 计 | 逆 向 工 程 | 硬 件<br />

安 全 | 高 级 无 线 攻 防 (3g 手 机 )<br />

威 胁 识 别<br />

• 全 网 安 全 综 述 | 云 安 全 | 无 线 安 全 ( 初 级 )<br />

• IPV6 安 全 技 术 | 物 联 网 安 全 | 安 全 评 估<br />

技 术 框 架 | 威 胁 建 模<br />

• 8 纬 度 安 全 防 护 技 术<br />

风 险 控 制 技 术<br />

• 风 险 评 估 技 术 | 业 务 安 全 评 估 技 术<br />

• 应 急 响 应 及 取 证 技 术<br />

3<br />

2<br />

4<br />

1 5<br />

30%<br />

30%<br />

40%<br />

安 全 管 理<br />

• 网 络 安 全 体 系 概 述 | 网 络 安 全 体 系 设 计<br />

• ISO27001| 信 息 安 全 等 级 化 保 护 体 系 |<br />

COBIT 控 制 框 架 | SOX 萨 班 斯 法 案<br />

• 典 型 企 业 安 全 框 架 | 信 息 安 全 体 系 规 划<br />

与 治 理 模 拟<br />

• 企 业 安 全 团 队 架 构<br />

讲 师 技 巧<br />

• 内 训 课 程 分 析 介 绍 | 职 业 理 念 训 练 | 丏 业<br />

技 巧 及 教 法 训 练<br />

• 教 学 互 动 能 力 训 练 | 课 程 设 计 能 力 训 练 |<br />

HUAWEI TECHNOLOGIES CO., LTD. Page 19


议 程<br />

‣ 华 为 安 全 测 试 技 术 框 架<br />

‣ 华 为 安 全 测 试 技 术 流 程<br />

‣ 端 到 端 的 安 全 体 系<br />

‣ 新 的 安 全 边 界<br />

HUAWEI TECHNOLOGIES CO., LTD. Page 20


vulnerability database threat&attack database security design pattern database<br />

华 为 端 到 端 基 准 线<br />

安 全 性 体 系 结 构<br />

HUAWEI TECHNOLOGIES CO., LTD. Page 21


增 强 型 端 到 端 的 安 全 性 保 障 服 务<br />

--- 看 得 到 的 安 全 , 全 生 命 周 期 的 安 全 保 障<br />

解 决 方 案 层 层 检 测<br />

交 付 过 程 安 全 保 障<br />

安 全 运 维 持 续 改 进<br />

输 出<br />

• 产 品 安 全 白 皮 书<br />

• 产 品 安 全 评 估 报 告<br />

• 产 品 安 全 测 试 矩 阵<br />

输 出<br />

• 系 统 上 线 前 安 全 评 估 报 告<br />

• 系 统 环 境 威 胁 分 析 报 告<br />

输 出<br />

• 业 务 系 统 安 全 优 化 咨 询 报 告<br />

• 安 全 测 试 审 计 报 告<br />

• 安 全 人 员 培 训 课 程 ( 可 选 )<br />

HUAWEI TECHNOLOGIES CO., LTD. Page 22


足 够 强 大 的 安 全 测 试 团 队 和 机 制<br />

如 果 没 有 呢 ?<br />

HUAWEI TECHNOLOGIES CO., LTD. Page 23


议 程<br />

‣ 华 为 安 全 测 试 技 术 框 架<br />

‣ 华 为 安 全 测 试 技 术 流 程<br />

‣ 端 到 端 的 安 全 体 系<br />

‣ 新 的 安 全 边 界<br />

HUAWEI TECHNOLOGIES CO., LTD. Page 24


攻 击 路 径<br />

OSSTMM<br />

在 2.0 基 础 上 改 进 和 提 升 的 OSSTMM3.0 版 本 将 测 试 内 容 分<br />

为 3 层 :<br />

‣ PHRSEC<br />

‣ SPECSEC<br />

‣ COMSEC<br />

HUAWEI TECHNOLOGIES CO., LTD. Page 25


TEXT<br />

EXAMPLE<br />

Thank you<br />

www.huawei.com


用 户 名 密 码 IP 协 议 类 型<br />

74.125.140.108 IMAP<br />

:110 POP<br />

210.2.*.*:21 FTP<br />

211.167.*.*:993 IMAP<br />

OWASP<br />

杭 州 区 沙 龙<br />

HUAWEI TECHNOLOGIES CO., LTD. Page 27

Hooray! Your file is uploaded and ready to be published.

Saved successfully!

Ooh no, something went wrong!