上海交通大學(xué)信息安全服務(wù)技術(shù)研究實(shí)驗(yàn)室XX 證券公司網(wǎng)站及WEB 交易交易系統(tǒng)安全評估方案上海交通大學(xué)信息安全服務(wù)技術(shù)研究實(shí)驗(yàn)室日期：2008年5月22日 ,上海交通大學(xué)信

上海交通大學(xué)信息安全服務(wù)技術(shù)研究實(shí)驗(yàn)室

XX 證券公司

網(wǎng)站及WEB 交易交易系統(tǒng)

安全評估方案

上海交通大學(xué)信息安全服務(wù)技術(shù)研究實(shí)驗(yàn)室

日期：2008年5月22日

上海交通大學(xué)信息安全服務(wù)技術(shù)研究實(shí)驗(yàn)室

目錄

1. 概述 . .................................................................................................................................. 1

1.1 評估對象 . ...................................................................................................................... 1

1.2 評估目標(biāo) . ...................................................................................................................... 1

1.3 評估范圍 . ...................................................................................................................... 1

1.4 評估方法 . ...................................................................................................................... 2

2. 評估原則 . .......................................................................................................................... 2

2.1. 標(biāo)準(zhǔn)性原則 . .................................................................................................................. 2

2.2. 可控性原則 . .................................................................................................................. 3

2.3. 完整性原則 . .................................................................................................................. 3

2.4. 最小影響原則 . .............................................................................................................. 3

2.5. 保密原則 . ...................................................................................................................... 3

3. 掃描策略 . .......................................................................................................................... 3

4. 資源需求 . .......................................................................................................................... 4

4.1. 人員需求 . ...................................................................................................................... 4

4.2. 評估工具 . ...................................................................................................................... 4

4.2.1. 網(wǎng)站及WEB 交易系統(tǒng)評估工具 .................................................................... 4

4.2.2. 數(shù)據(jù)庫弱點(diǎn)評估工具 . ...................................................................................... 4

4.2.3. 網(wǎng)站服務(wù)器漏洞評估工具 . .............................................................................. 5

4.2.4. 滲透測試評估工具 . .......................................................................................... 5

4.3. 其它資源 . ...................................................................................................................... 5

5. 檢測計(jì)劃 . .......................................................................................................................... 5

5.1. 網(wǎng)站及WEB 交易系統(tǒng)評估 . ....................................................................................... 6

5.1.1. 檢測對象 . .......................................................................................................... 6

5.1.2. 檢測內(nèi)容 . .......................................................................................................... 6

5.2. 數(shù)據(jù)庫弱點(diǎn)評估 . .......................................................................................................... 6

5.2.1. 檢測對象 . .......................................................................................................... 6

5.2.2. 檢測內(nèi)容 . .......................................................................................................... 7

5.3. 網(wǎng)站服務(wù)器漏洞評估 . .................................................................................................. 7

5.3.1. 檢測對象 . .......................................................................................................... 7

5.3.2. 檢測內(nèi)容 . .......................................................................................................... 7

5.4. 滲透測試 . ...................................................................................................................... 7

5.4.1. 測試范圍 . .......................................................................................................... 8

5.4.2. 滲透測試流程 . .................................................................................................. 9

5.4.3. 信息收集 . .......................................................................................................... 9

5.4.4. 權(quán)限提升 . .......................................................................................................... 9

6. 項(xiàng)目管理 . ........................................................................................................................ 10

6.1. 項(xiàng)目組成員 . ................................................................................................................ 10

6.2. 主要內(nèi)容與計(jì)劃 . ........................................................................................................ 10

7. 提交文檔 . ........................................................................................................................ 10

上海交通大學(xué)信息安全服務(wù)技術(shù)研究實(shí)驗(yàn)室

1. 概述

1.1 評估對象

本次安全評估的對象是XX 證券有限責(zé)任公司（以下簡稱“XX 證券”）的網(wǎng)站和WEB 交易系統(tǒng)（網(wǎng)址：http://www.bocichina.com）。

XX 證券的網(wǎng)站是公司宣傳及開展網(wǎng)上證券業(yè)務(wù)的重要平臺，目前有sun solaris 平臺的服務(wù)器6—7臺，其中包括兩臺oracle 數(shù)據(jù)庫服務(wù)器；支持WEB 交易的為一臺Windows 平臺的服務(wù)器。

上海交通大學(xué)信息安全服務(wù)技術(shù)研究實(shí)驗(yàn)室（Lab of Information Security Service ，以下簡稱“實(shí)驗(yàn)室”或“LISS ”）通過對XX 證券網(wǎng)站和WEB 交易系統(tǒng)的信息安全評估，將對項(xiàng)目范圍內(nèi)的信息系統(tǒng)的漏洞風(fēng)險(xiǎn)得到很好的識別與分析，并對安全加固提供意見與建議等。

1.2 評估目標(biāo)

為了充分了解XX 證券網(wǎng)站和WEB 交易系統(tǒng)的當(dāng)前安全狀況（安全隱患），需要進(jìn)行相關(guān)掃描和安全弱點(diǎn)分析，最終工作目標(biāo)為：

通過基于網(wǎng)站的掃描工具及人工分析檢測網(wǎng)站及WEB 交易可能存在的

安全漏洞；

通過專門的數(shù)據(jù)庫弱點(diǎn)掃描工具及人工分析檢測數(shù)據(jù)庫可能存在的安

全漏洞；

通過基于網(wǎng)絡(luò)的掃描工具及人工分析檢測網(wǎng)站服務(wù)器可能存在的安全

漏洞；

分析安全漏洞的檢測結(jié)果，通過滲透測試予以確認(rèn)，并給出適宜的建議，

作為提高XX 證券網(wǎng)站和WEB 交易系統(tǒng)安全的重要參考依據(jù)。

1.3 評估范圍

此次評估檢測的對象為：

網(wǎng)站及WEB 交易應(yīng)用系統(tǒng)；

后臺數(shù)據(jù)庫；

網(wǎng)站服務(wù)器。

第1頁 共10頁

上海交通大學(xué)信息安全服務(wù)技術(shù)研究實(shí)驗(yàn)室

1.4 評估方法

此次評估的工作方法如下：

確定檢測對象；

擬定檢測方案；

用自動檢測工具及人工分析檢測受測對象存在的安全漏洞；

通過滲透測試方法分析檢測結(jié)果，并給出適宜的建議。

2. 評估原則

為了確保XX 證券網(wǎng)站和WEB 交易系統(tǒng)評估項(xiàng)目高效、順利地進(jìn)行，我們的評估工作將遵循以下原則進(jìn)行。

2.1. 標(biāo)準(zhǔn)性原則

依據(jù)國際國內(nèi)標(biāo)準(zhǔn)開展工作是本次評估工作的指導(dǎo)原則，也是LISS 提供信息安全服務(wù)的一貫原則。

在提供本次評估服務(wù)中，將會依據(jù)相關(guān)的國內(nèi)和國際標(biāo)準(zhǔn)進(jìn)行。這些標(biāo)準(zhǔn)包括：

ISO 17799

ISO 13335

ISO 15408 / GB18336

SSE-CMM

ISO 13569

《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》（GB 17895－1999）

在提供本次評估服務(wù)中，除了依據(jù)相關(guān)的國內(nèi)和國際標(biāo)準(zhǔn)之外，還要參考一些沒有成為國際和國內(nèi)標(biāo)準(zhǔn)，但是已經(jīng)成為業(yè)界事實(shí)上標(biāo)準(zhǔn)的一些規(guī)范和約定。這些規(guī)范和約定包括：

CVE 公共漏洞和暴露

PMI 項(xiàng)目管理方法學(xué)

第2頁 共10頁

上海交通大學(xué)信息安全服務(wù)技術(shù)研究實(shí)驗(yàn)室

2.2. 可控性原則

LISS 將從多個(gè)方面配合XX 證券，以便達(dá)到XX 證券對評估工作的可控性。這些可控性包括：

人員可控性

LISS 項(xiàng)目組人員的資歷都事先通知XX 證券，并經(jīng)過XX 證券的認(rèn)可。并確保項(xiàng)目組成員工作的連續(xù)性。

工具可控性

LISS 所使用的所有技術(shù)工具都事先通告XX 證券。確保不使用對現(xiàn)有網(wǎng)絡(luò)的運(yùn)行和業(yè)務(wù)的正常有重大影響的工具。

項(xiàng)目過程可控性

本評估項(xiàng)目的管理將依據(jù)PMI 項(xiàng)目管理方法學(xué)，突出“溝通管理”，達(dá)到項(xiàng)目過程的可控性。

2.3. 完整性原則

LISS 將按照確定的評估范圍進(jìn)行全面的評估，從范圍上滿足XX 證券的要求。

2.4. 最小影響原則

LISS 會從項(xiàng)目管理層面和工具技術(shù)層面，將評估工作對XX 證券網(wǎng)站及交易系統(tǒng)正常運(yùn)行的可能影響降低到最低限度，不會對現(xiàn)有網(wǎng)絡(luò)的運(yùn)行和業(yè)務(wù)的正常提供產(chǎn)生顯著影響。

2.5. 保密原則

LISS 和參加此次評估項(xiàng)目的所有項(xiàng)目組成員，都會遵從實(shí)驗(yàn)室與XX 證券簽署的相關(guān)保密協(xié)議。

3. 掃描策略

為降低評估工作的安全風(fēng)險(xiǎn)，本次評估采用如下掃描策略：

掃描時(shí)機(jī)避開業(yè)務(wù)高峰期；

選用合適的掃描工具；

第3頁 共10頁

上海交通大學(xué)信息安全服務(wù)技術(shù)研究實(shí)驗(yàn)室

重要數(shù)據(jù)、服務(wù)器等應(yīng)備份；

最小資源開銷；

使用最新的安全漏洞庫；

注：最小資源開銷。即不影響正在運(yùn)行的網(wǎng)站及應(yīng)用系統(tǒng)，降低掃描造成的影響，盡量使用其它方法進(jìn)行信息收集。

4. 資源需求

此次評估所需要的資源包括LISS 評估項(xiàng)目組評估工程師、受測機(jī)構(gòu)協(xié)助人員、檢測工具及檢測對象。

4.1. 人員需求

LISS 評估項(xiàng)目組評估工程師：5人

受測機(jī)構(gòu)協(xié)助人員：

評估網(wǎng)站及交易系統(tǒng)時(shí)，需要系統(tǒng)安全管理員、應(yīng)用系統(tǒng)管理員備份重

要數(shù)據(jù)，提供相應(yīng)測試帳號，確定掃描工具接口；

評估服務(wù)器及網(wǎng)絡(luò)設(shè)備時(shí)，需網(wǎng)絡(luò)管理人員配合，提供具體的網(wǎng)絡(luò)拓?fù)?/p>

圖，幫助在網(wǎng)絡(luò)中確定并接入掃描工具。

4.2. 評估工具

4.2.1. 網(wǎng)站及WEB 交易系統(tǒng)評估工具

4.2.2. 數(shù)據(jù)庫弱點(diǎn)評估工具

第4頁 共10頁

上海交通大學(xué)信息安全服務(wù)技術(shù)研究實(shí)驗(yàn)室

4.2.3. 網(wǎng)站服務(wù)器漏洞評估工具

4.2.4. 滲透測試評估工具

4.3. 其它資源

分析準(zhǔn)備階段所獲取的資料可知，實(shí)施安全評估還需如下信息： 網(wǎng)絡(luò)拓?fù)鋱D及主要檢測對象（如服務(wù)器）的IP 地址。

服務(wù)器操作系統(tǒng)的相關(guān)信息，包括補(bǔ)丁版本、業(yè)務(wù)上需要打開的服務(wù)、原有評估結(jié)果等。

5. 檢測計(jì)劃

此次安全評估主要包括如下方面： 網(wǎng)站及WEB 交易系統(tǒng)的應(yīng)用安全評估、數(shù)據(jù)庫弱點(diǎn)評估、網(wǎng)絡(luò)設(shè)備漏洞的安全評估，以及基于此的滲透測試。

第5頁 共10頁

上海交通大學(xué)信息安全服務(wù)技術(shù)研究實(shí)驗(yàn)室

5.1. 網(wǎng)站及WEB 交易系統(tǒng)評估

LISS 采用專門的web 弱點(diǎn)掃描軟件，結(jié)合人工分析，在內(nèi)網(wǎng)和外網(wǎng)分別實(shí)施WEB 應(yīng)用弱點(diǎn)評估。其原理是采用攻擊技術(shù)的原理和滲透性測試的方法，對WEB 應(yīng)用進(jìn)行深度漏洞探測，可幫助應(yīng)用開發(fā)者和管理者了解應(yīng)用系統(tǒng)存在的脆弱性，為改善并提高應(yīng)用系統(tǒng)安全性提供依據(jù)，幫助用戶建立安全可靠的WEB 應(yīng)用服務(wù)。

5.1.1. 檢測對象

XX 證券網(wǎng)站及WEB 交易系統(tǒng)

5.1.2. 檢測內(nèi)容

WEB 弱點(diǎn)評估范圍包括：

SQL 注入

網(wǎng)頁木馬

表單繞過

跨站腳本

登錄口令破解

源碼泄露

CGI 弱點(diǎn)

ActiveX 弱點(diǎn)

5.2. 數(shù)據(jù)庫弱點(diǎn)評估

針對數(shù)據(jù)庫弱點(diǎn)的評估，LISS 采用專門的數(shù)據(jù)庫弱點(diǎn)掃描工具，結(jié)合人工分析，進(jìn)行數(shù)據(jù)庫弱點(diǎn)評估，以發(fā)現(xiàn)數(shù)據(jù)庫在安全配置、權(quán)限管理等方面存在的安全漏洞，提高數(shù)據(jù)庫的安全。

5.2.1. 檢測對象

XX 證券網(wǎng)站數(shù)據(jù)庫和相關(guān)支持?jǐn)?shù)據(jù)庫。

第6頁 共10頁

上海交通大學(xué)信息安全服務(wù)技術(shù)研究實(shí)驗(yàn)室

5.2.2. 檢測內(nèi)容

數(shù)據(jù)庫弱點(diǎn)掃描項(xiàng)目包括：

檢查數(shù)據(jù)庫是否采用弱密碼或默認(rèn)密碼；

檢查數(shù)據(jù)庫中具有各種操作權(quán)限的用戶列表；

對數(shù)據(jù)庫規(guī)則掃描；

對數(shù)據(jù)庫補(bǔ)丁掃描；

對數(shù)據(jù)庫對象掃描。

5.3. 網(wǎng)站服務(wù)器漏洞評估

針對網(wǎng)站服務(wù)器的安全評估一般分為兩個(gè)步驟進(jìn)行。第一步利用現(xiàn)有的優(yōu)秀安全評估軟件來模擬攻擊行為進(jìn)行自動的探測安全隱患；第二步根據(jù)第一步得出的掃描結(jié)果進(jìn)行分析由評估小組的工程師對網(wǎng)絡(luò)設(shè)備安全檢查列表某些項(xiàng)進(jìn)行手動檢測，與客戶系統(tǒng)管理員進(jìn)行溝通分析，以排除誤報(bào)情況，查找掃描軟件無法找到的安全漏洞即消除漏報(bào)情況。

5.3.1. 檢測對象

XX 證券網(wǎng)站服務(wù)器。

5.3.2. 檢測內(nèi)容

網(wǎng)站服務(wù)器的檢測內(nèi)容如下：

現(xiàn)有版本、補(bǔ)丁情況

脆弱口令

開放的端口與服務(wù)

可遠(yuǎn)程訪問或執(zhí)行的權(quán)限

緩沖區(qū)溢出安全漏洞

CGI 安全漏洞

5.4. 滲透測試

滲透測試是一種從攻擊者的角度來對主機(jī)系統(tǒng)的安全程度進(jìn)行安全評估的手

第7頁 共10頁

上海交通大學(xué)信息安全服務(wù)技術(shù)研究實(shí)驗(yàn)室

段，在對現(xiàn)有信息系統(tǒng)不造成任何損害的前提下，利用安全掃描器和富有經(jīng)驗(yàn)的安全工程師的人工經(jīng)驗(yàn)?zāi)M入侵者對指定系統(tǒng)進(jìn)行攻擊測試。事后將入侵的詳細(xì)過程和細(xì)節(jié)以報(bào)告的形式提交給用戶。由此確定用戶系統(tǒng)所存在的安全威脅。并能及時(shí)使安全管理員發(fā)現(xiàn)系統(tǒng)維護(hù)和管理中的不足，以降低安全風(fēng)險(xiǎn)。滲透測試通常能以非常明顯，直觀的結(jié)果來反映出系統(tǒng)的安全現(xiàn)狀。該手段也越來越受到國際/國內(nèi)信息安全業(yè)界的認(rèn)可和重視。為了解本項(xiàng)目主機(jī)系統(tǒng)的安全現(xiàn)狀，在許可和控制的范圍內(nèi)，將對主機(jī)系統(tǒng)進(jìn)行滲透測試。本次測試將作為安全評估的一個(gè)重要組成部分。

5.4.1. 測試范圍

XX 證券委托是LISS 進(jìn)行滲透測試的必要條件。LISS 將盡最大努力做到使XX 證券對滲透測試所有細(xì)節(jié)和風(fēng)險(xiǎn)的知曉、所有過程都在XX 證券的控制下進(jìn)行。這也是LISS 的專業(yè)服務(wù)與黑客攻擊入侵的本質(zhì)不同。

滲透測試的范圍僅限制于經(jīng)過XX 證券以書面形式進(jìn)行授權(quán)的系統(tǒng)，使用的手段也須經(jīng)過XX 證券的書面同意。LISS 承諾不會對授權(quán)范圍之外的主機(jī)及網(wǎng)絡(luò)設(shè)備進(jìn)行測試和模擬攻擊。

注：所有攻擊測試將在XX 證券的授權(quán)和監(jiān)督下進(jìn)行。

第8頁 共10頁