证券行业网站及WEB交易系统安全评估方案
上海交通大学信息安全服务技术研究实验室XX 证券公司网站及WEB 交易交易系统安全评估方案上海交通大学信息安全服务技术研究实验室日期:2008年5月22日 ,上海交通大学信
上海交通大学信息安全服务技术研究实验室
XX 证券公司
网站及WEB 交易交易系统
安全评估方案
上海交通大学信息安全服务技术研究实验室
日期:2008年5月22日
,上海交通大学信息安全服务技术研究实验室
目录
1. 概述 . .................................................................................................................................. 1
1.1 评估对象 . ...................................................................................................................... 1
1.2 评估目标 . ...................................................................................................................... 1
1.3 评估范围 . ...................................................................................................................... 1
1.4 评估方法 . ...................................................................................................................... 2
2. 评估原则 . .......................................................................................................................... 2
2.1. 标准性原则 . .................................................................................................................. 2
2.2. 可控性原则 . .................................................................................................................. 3
2.3. 完整性原则 . .................................................................................................................. 3
2.4. 最小影响原则 . .............................................................................................................. 3
2.5. 保密原则 . ...................................................................................................................... 3
3. 扫描策略 . .......................................................................................................................... 3
4. 资源需求 . .......................................................................................................................... 4
4.1. 人员需求 . ...................................................................................................................... 4
4.2. 评估工具 . ...................................................................................................................... 4
4.2.1. 网站及WEB 交易系统评估工具 .................................................................... 4
4.2.2. 数据库弱点评估工具 . ...................................................................................... 4
4.2.3. 网站服务器漏洞评估工具 . .............................................................................. 5
4.2.4. 渗透测试评估工具 . .......................................................................................... 5
4.3. 其它资源 . ...................................................................................................................... 5
5. 检测计划 . .......................................................................................................................... 5
5.1. 网站及WEB 交易系统评估 . ....................................................................................... 6
5.1.1. 检测对象 . .......................................................................................................... 6
5.1.2. 检测内容 . .......................................................................................................... 6
5.2. 数据库弱点评估 . .......................................................................................................... 6
5.2.1. 检测对象 . .......................................................................................................... 6
5.2.2. 检测内容 . .......................................................................................................... 7
5.3. 网站服务器漏洞评估 . .................................................................................................. 7
5.3.1. 检测对象 . .......................................................................................................... 7
5.3.2. 检测内容 . .......................................................................................................... 7
5.4. 渗透测试 . ...................................................................................................................... 7
5.4.1. 测试范围 . .......................................................................................................... 8
5.4.2. 渗透测试流程 . .................................................................................................. 9
5.4.3. 信息收集 . .......................................................................................................... 9
5.4.4. 权限提升 . .......................................................................................................... 9
6. 项目管理 . ........................................................................................................................ 10
6.1. 项目组成员 . ................................................................................................................ 10
6.2. 主要内容与计划 . ........................................................................................................ 10
7. 提交文档 . ........................................................................................................................ 10
,上海交通大学信息安全服务技术研究实验室
1. 概述
1.1 评估对象
本次安全评估的对象是XX 证券有限责任公司(以下简称“XX 证券”)的网站和WEB 交易系统(网址:http://www.bocichina.com)。
XX 证券的网站是公司宣传及开展网上证券业务的重要平台,目前有sun solaris 平台的服务器6—7台,其中包括两台oracle 数据库服务器;支持WEB 交易的为一台Windows 平台的服务器。
上海交通大学信息安全服务技术研究实验室(Lab of Information Security Service ,以下简称“实验室”或“LISS ”)通过对XX 证券网站和WEB 交易系统的信息安全评估,将对项目范围内的信息系统的漏洞风险得到很好的识别与分析,并对安全加固提供意见与建议等。
1.2 评估目标
为了充分了解XX 证券网站和WEB 交易系统的当前安全状况(安全隐患),需要进行相关扫描和安全弱点分析,最终工作目标为:
通过基于网站的扫描工具及人工分析检测网站及WEB 交易可能存在的
安全漏洞;
通过专门的数据库弱点扫描工具及人工分析检测数据库可能存在的安
全漏洞;
通过基于网络的扫描工具及人工分析检测网站服务器可能存在的安全
漏洞;
分析安全漏洞的检测结果,通过渗透测试予以确认,并给出适宜的建议,
作为提高XX 证券网站和WEB 交易系统安全的重要参考依据。
1.3 评估范围
此次评估检测的对象为:
网站及WEB 交易应用系统;
后台数据库;
网站服务器。
第1页 共10页
,上海交通大学信息安全服务技术研究实验室
1.4 评估方法
此次评估的工作方法如下:
确定检测对象;
拟定检测方案;
用自动检测工具及人工分析检测受测对象存在的安全漏洞;
通过渗透测试方法分析检测结果,并给出适宜的建议。
2. 评估原则
为了确保XX 证券网站和WEB 交易系统评估项目高效、顺利地进行,我们的评估工作将遵循以下原则进行。
2.1. 标准性原则
依据国际国内标准开展工作是本次评估工作的指导原则,也是LISS 提供信息安全服务的一贯原则。
在提供本次评估服务中,将会依据相关的国内和国际标准进行。这些标准包括:
ISO 17799
ISO 13335
ISO 15408 / GB18336
SSE-CMM
ISO 13569
《计算机信息系统安全保护等级划分准则》(GB 17895-1999)
在提供本次评估服务中,除了依据相关的国内和国际标准之外,还要参考一些没有成为国际和国内标准,但是已经成为业界事实上标准的一些规范和约定。这些规范和约定包括:
CVE 公共漏洞和暴露
PMI 项目管理方法学
第2页 共10页
,上海交通大学信息安全服务技术研究实验室
2.2. 可控性原则
LISS 将从多个方面配合XX 证券,以便达到XX 证券对评估工作的可控性。这些可控性包括:
人员可控性
LISS 项目组人员的资历都事先通知XX 证券,并经过XX 证券的认可。并确保项目组成员工作的连续性。
工具可控性
LISS 所使用的所有技术工具都事先通告XX 证券。确保不使用对现有网络的运行和业务的正常有重大影响的工具。
项目过程可控性
本评估项目的管理将依据PMI 项目管理方法学,突出“沟通管理”,达到项目过程的可控性。
2.3. 完整性原则
LISS 将按照确定的评估范围进行全面的评估,从范围上满足XX 证券的要求。
2.4. 最小影响原则
LISS 会从项目管理层面和工具技术层面,将评估工作对XX 证券网站及交易系统正常运行的可能影响降低到最低限度,不会对现有网络的运行和业务的正常提供产生显著影响。
2.5. 保密原则
LISS 和参加此次评估项目的所有项目组成员,都会遵从实验室与XX 证券签署的相关保密协议。
3. 扫描策略
为降低评估工作的安全风险,本次评估采用如下扫描策略:
扫描时机避开业务高峰期;
选用合适的扫描工具;
第3页 共10页
,上海交通大学信息安全服务技术研究实验室
重要数据、服务器等应备份;
最小资源开销;
使用最新的安全漏洞库;
注:最小资源开销。即不影响正在运行的网站及应用系统,降低扫描造成的影响,尽量使用其它方法进行信息收集。
4. 资源需求
此次评估所需要的资源包括LISS 评估项目组评估工程师、受测机构协助人员、检测工具及检测对象。
4.1. 人员需求
LISS 评估项目组评估工程师:5人
受测机构协助人员:
评估网站及交易系统时,需要系统安全管理员、应用系统管理员备份重
要数据,提供相应测试帐号,确定扫描工具接口;
评估服务器及网络设备时,需网络管理人员配合,提供具体的网络拓扑
图,帮助在网络中确定并接入扫描工具。
4.2. 评估工具
4.2.1. 网站及WEB 交易系统评估工具
4.2.2. 数据库弱点评估工具
第4页 共10页
,上海交通大学信息安全服务技术研究实验室
4.2.3. 网站服务器漏洞评估工具
4.2.4. 渗透测试评估工具
4.3. 其它资源
分析准备阶段所获取的资料可知,实施安全评估还需如下信息: 网络拓扑图及主要检测对象(如服务器)的IP 地址。
服务器操作系统的相关信息,包括补丁版本、业务上需要打开的服务、原有评估结果等。
5. 检测计划
此次安全评估主要包括如下方面: 网站及WEB 交易系统的应用安全评估、数据库弱点评估、网络设备漏洞的安全评估,以及基于此的渗透测试。
第5页 共10页
上海交通大学信息安全服务技术研究实验室
5.1. 网站及WEB 交易系统评估
LISS 采用专门的web 弱点扫描软件,结合人工分析,在内网和外网分别实施WEB 应用弱点评估。其原理是采用攻击技术的原理和渗透性测试的方法,对WEB 应用进行深度漏洞探测,可帮助应用开发者和管理者了解应用系统存在的脆弱性,为改善并提高应用系统安全性提供依据,帮助用户建立安全可靠的WEB 应用服务。
5.1.1. 检测对象
XX 证券网站及WEB 交易系统
5.1.2. 检测内容
WEB 弱点评估范围包括:
SQL 注入
网页木马
表单绕过
跨站脚本
登录口令破解
源码泄露
CGI 弱点
ActiveX 弱点
5.2. 数据库弱点评估
针对数据库弱点的评估,LISS 采用专门的数据库弱点扫描工具,结合人工分析,进行数据库弱点评估,以发现数据库在安全配置、权限管理等方面存在的安全漏洞,提高数据库的安全。
5.2.1. 检测对象
XX 证券网站数据库和相关支持数据库。
第6页 共10页
,上海交通大学信息安全服务技术研究实验室
5.2.2. 检测内容
数据库弱点扫描项目包括:
检查数据库是否采用弱密码或默认密码;
检查数据库中具有各种操作权限的用户列表;
对数据库规则扫描;
对数据库补丁扫描;
对数据库对象扫描。
5.3. 网站服务器漏洞评估
针对网站服务器的安全评估一般分为两个步骤进行。第一步利用现有的优秀安全评估软件来模拟攻击行为进行自动的探测安全隐患;第二步根据第一步得出的扫描结果进行分析由评估小组的工程师对网络设备安全检查列表某些项进行手动检测,与客户系统管理员进行沟通分析,以排除误报情况,查找扫描软件无法找到的安全漏洞即消除漏报情况。
5.3.1. 检测对象
XX 证券网站服务器。
5.3.2. 检测内容
网站服务器的检测内容如下:
现有版本、补丁情况
脆弱口令
开放的端口与服务
可远程访问或执行的权限
缓冲区溢出安全漏洞
CGI 安全漏洞
5.4. 渗透测试
渗透测试是一种从攻击者的角度来对主机系统的安全程度进行安全评估的手
第7页 共10页
,上海交通大学信息安全服务技术研究实验室
段,在对现有信息系统不造成任何损害的前提下,利用安全扫描器和富有经验的安全工程师的人工经验模拟入侵者对指定系统进行攻击测试。事后将入侵的详细过程和细节以报告的形式提交给用户。由此确定用户系统所存在的安全威胁。并能及时使安全管理员发现系统维护和管理中的不足,以降低安全风险。渗透测试通常能以非常明显,直观的结果来反映出系统的安全现状。该手段也越来越受到国际/国内信息安全业界的认可和重视。为了解本项目主机系统的安全现状,在许可和控制的范围内,将对主机系统进行渗透测试。本次测试将作为安全评估的一个重要组成部分。
5.4.1. 测试范围
XX 证券委托是LISS 进行渗透测试的必要条件。LISS 将尽最大努力做到使XX 证券对渗透测试所有细节和风险的知晓、所有过程都在XX 证券的控制下进行。这也是LISS 的专业服务与黑客攻击入侵的本质不同。
渗透测试的范围仅限制于经过XX 证券以书面形式进行授权的系统,使用的手段也须经过XX 证券的书面同意。LISS 承诺不会对授权范围之外的主机及网络设备进行测试和模拟攻击。
注:所有攻击测试将在XX 证券的授权和监督下进行。
第8页 共10页