上海交通大學信息安全服務技術研究實驗室XX 證券公司網(wǎng)站及WEB 交易交易系統(tǒng)安全評估方案上海交通大學信息安全服務技術研究實驗室日期：2008年5月22日 ,上海交通大學信

上海交通大學信息安全服務技術研究實驗室

XX 證券公司

網(wǎng)站及WEB 交易交易系統(tǒng)

安全評估方案

上海交通大學信息安全服務技術研究實驗室

日期：2008年5月22日

上海交通大學信息安全服務技術研究實驗室

目錄

1. 概述 . .................................................................................................................................. 1

1.1 評估對象 . ...................................................................................................................... 1

1.2 評估目標 . ...................................................................................................................... 1

1.3 評估范圍 . ...................................................................................................................... 1

1.4 評估方法 . ...................................................................................................................... 2

2. 評估原則 . .......................................................................................................................... 2

2.1. 標準性原則 . .................................................................................................................. 2

2.2. 可控性原則 . .................................................................................................................. 3

2.3. 完整性原則 . .................................................................................................................. 3

2.4. 最小影響原則 . .............................................................................................................. 3

2.5. 保密原則 . ...................................................................................................................... 3

3. 掃描策略 . .......................................................................................................................... 3

4. 資源需求 . .......................................................................................................................... 4

4.1. 人員需求 . ...................................................................................................................... 4

4.2. 評估工具 . ...................................................................................................................... 4

4.2.1. 網(wǎng)站及WEB 交易系統(tǒng)評估工具 .................................................................... 4

4.2.2. 數(shù)據(jù)庫弱點評估工具 . ...................................................................................... 4

4.2.3. 網(wǎng)站服務器漏洞評估工具 . .............................................................................. 5

4.2.4. 滲透測試評估工具 . .......................................................................................... 5

4.3. 其它資源 . ...................................................................................................................... 5

5. 檢測計劃 . .......................................................................................................................... 5

5.1. 網(wǎng)站及WEB 交易系統(tǒng)評估 . ....................................................................................... 6

5.1.1. 檢測對象 . .......................................................................................................... 6

5.1.2. 檢測內(nèi)容 . .......................................................................................................... 6

5.2. 數(shù)據(jù)庫弱點評估 . .......................................................................................................... 6

5.2.1. 檢測對象 . .......................................................................................................... 6

5.2.2. 檢測內(nèi)容 . .......................................................................................................... 7

5.3. 網(wǎng)站服務器漏洞評估 . .................................................................................................. 7

5.3.1. 檢測對象 . .......................................................................................................... 7

5.3.2. 檢測內(nèi)容 . .......................................................................................................... 7

5.4. 滲透測試 . ...................................................................................................................... 7

5.4.1. 測試范圍 . .......................................................................................................... 8

5.4.2. 滲透測試流程 . .................................................................................................. 9

5.4.3. 信息收集 . .......................................................................................................... 9

5.4.4. 權(quán)限提升 . .......................................................................................................... 9

6. 項目管理 . ........................................................................................................................ 10

6.1. 項目組成員 . ................................................................................................................ 10

6.2. 主要內(nèi)容與計劃 . ........................................................................................................ 10

7. 提交文檔 . ........................................................................................................................ 10

上海交通大學信息安全服務技術研究實驗室

1. 概述

1.1 評估對象

本次安全評估的對象是XX 證券有限責任公司（以下簡稱“XX 證券”）的網(wǎng)站和WEB 交易系統(tǒng)（網(wǎng)址：http://www.bocichina.com）。

XX 證券的網(wǎng)站是公司宣傳及開展網(wǎng)上證券業(yè)務的重要平臺，目前有sun solaris 平臺的服務器6—7臺，其中包括兩臺oracle 數(shù)據(jù)庫服務器；支持WEB 交易的為一臺Windows 平臺的服務器。

上海交通大學信息安全服務技術研究實驗室（Lab of Information Security Service ，以下簡稱“實驗室”或“LISS ”）通過對XX 證券網(wǎng)站和WEB 交易系統(tǒng)的信息安全評估，將對項目范圍內(nèi)的信息系統(tǒng)的漏洞風險得到很好的識別與分析，并對安全加固提供意見與建議等。

1.2 評估目標

為了充分了解XX 證券網(wǎng)站和WEB 交易系統(tǒng)的當前安全狀況（安全隱患），需要進行相關掃描和安全弱點分析，最終工作目標為：

通過基于網(wǎng)站的掃描工具及人工分析檢測網(wǎng)站及WEB 交易可能存在的

安全漏洞；

通過專門的數(shù)據(jù)庫弱點掃描工具及人工分析檢測數(shù)據(jù)庫可能存在的安

全漏洞；

通過基于網(wǎng)絡的掃描工具及人工分析檢測網(wǎng)站服務器可能存在的安全

漏洞；

分析安全漏洞的檢測結(jié)果，通過滲透測試予以確認，并給出適宜的建議，

作為提高XX 證券網(wǎng)站和WEB 交易系統(tǒng)安全的重要參考依據(jù)。

1.3 評估范圍

此次評估檢測的對象為：

網(wǎng)站及WEB 交易應用系統(tǒng)；

后臺數(shù)據(jù)庫；

網(wǎng)站服務器。

第1頁 共10頁

上海交通大學信息安全服務技術研究實驗室

1.4 評估方法

此次評估的工作方法如下：

確定檢測對象；

擬定檢測方案；

用自動檢測工具及人工分析檢測受測對象存在的安全漏洞；

通過滲透測試方法分析檢測結(jié)果，并給出適宜的建議。

2. 評估原則

為了確保XX 證券網(wǎng)站和WEB 交易系統(tǒng)評估項目高效、順利地進行，我們的評估工作將遵循以下原則進行。

2.1. 標準性原則

依據(jù)國際國內(nèi)標準開展工作是本次評估工作的指導原則，也是LISS 提供信息安全服務的一貫原則。

在提供本次評估服務中，將會依據(jù)相關的國內(nèi)和國際標準進行。這些標準包括：

ISO 17799

ISO 13335

ISO 15408 / GB18336

SSE-CMM

ISO 13569

《計算機信息系統(tǒng)安全保護等級劃分準則》（GB 17895－1999）

在提供本次評估服務中，除了依據(jù)相關的國內(nèi)和國際標準之外，還要參考一些沒有成為國際和國內(nèi)標準，但是已經(jīng)成為業(yè)界事實上標準的一些規(guī)范和約定。這些規(guī)范和約定包括：

CVE 公共漏洞和暴露

PMI 項目管理方法學

第2頁 共10頁

上海交通大學信息安全服務技術研究實驗室

2.2. 可控性原則

LISS 將從多個方面配合XX 證券，以便達到XX 證券對評估工作的可控性。這些可控性包括：

人員可控性

LISS 項目組人員的資歷都事先通知XX 證券，并經(jīng)過XX 證券的認可。并確保項目組成員工作的連續(xù)性。

工具可控性

LISS 所使用的所有技術工具都事先通告XX 證券。確保不使用對現(xiàn)有網(wǎng)絡的運行和業(yè)務的正常有重大影響的工具。

項目過程可控性

本評估項目的管理將依據(jù)PMI 項目管理方法學，突出“溝通管理”，達到項目過程的可控性。

2.3. 完整性原則

LISS 將按照確定的評估范圍進行全面的評估，從范圍上滿足XX 證券的要求。

2.4. 最小影響原則

LISS 會從項目管理層面和工具技術層面，將評估工作對XX 證券網(wǎng)站及交易系統(tǒng)正常運行的可能影響降低到最低限度，不會對現(xiàn)有網(wǎng)絡的運行和業(yè)務的正常提供產(chǎn)生顯著影響。

2.5. 保密原則

LISS 和參加此次評估項目的所有項目組成員，都會遵從實驗室與XX 證券簽署的相關保密協(xié)議。

3. 掃描策略

為降低評估工作的安全風險，本次評估采用如下掃描策略：

掃描時機避開業(yè)務高峰期；

選用合適的掃描工具；

第3頁 共10頁

上海交通大學信息安全服務技術研究實驗室

重要數(shù)據(jù)、服務器等應備份；

最小資源開銷；

使用最新的安全漏洞庫；

注：最小資源開銷。即不影響正在運行的網(wǎng)站及應用系統(tǒng)，降低掃描造成的影響，盡量使用其它方法進行信息收集。

4. 資源需求

此次評估所需要的資源包括LISS 評估項目組評估工程師、受測機構(gòu)協(xié)助人員、檢測工具及檢測對象。

4.1. 人員需求

LISS 評估項目組評估工程師：5人

受測機構(gòu)協(xié)助人員：

評估網(wǎng)站及交易系統(tǒng)時，需要系統(tǒng)安全管理員、應用系統(tǒng)管理員備份重

要數(shù)據(jù)，提供相應測試帳號，確定掃描工具接口；

評估服務器及網(wǎng)絡設備時，需網(wǎng)絡管理人員配合，提供具體的網(wǎng)絡拓撲

圖，幫助在網(wǎng)絡中確定并接入掃描工具。

4.2. 評估工具

4.2.1. 網(wǎng)站及WEB 交易系統(tǒng)評估工具

4.2.2. 數(shù)據(jù)庫弱點評估工具

第4頁 共10頁

上海交通大學信息安全服務技術研究實驗室

4.2.3. 網(wǎng)站服務器漏洞評估工具

4.2.4. 滲透測試評估工具

4.3. 其它資源

分析準備階段所獲取的資料可知，實施安全評估還需如下信息： 網(wǎng)絡拓撲圖及主要檢測對象（如服務器）的IP 地址。

服務器操作系統(tǒng)的相關信息，包括補丁版本、業(yè)務上需要打開的服務、原有評估結(jié)果等。

5. 檢測計劃

此次安全評估主要包括如下方面： 網(wǎng)站及WEB 交易系統(tǒng)的應用安全評估、數(shù)據(jù)庫弱點評估、網(wǎng)絡設備漏洞的安全評估，以及基于此的滲透測試。

第5頁 共10頁

上海交通大學信息安全服務技術研究實驗室

5.1. 網(wǎng)站及WEB 交易系統(tǒng)評估

LISS 采用專門的web 弱點掃描軟件，結(jié)合人工分析，在內(nèi)網(wǎng)和外網(wǎng)分別實施WEB 應用弱點評估。其原理是采用攻擊技術的原理和滲透性測試的方法，對WEB 應用進行深度漏洞探測，可幫助應用開發(fā)者和管理者了解應用系統(tǒng)存在的脆弱性，為改善并提高應用系統(tǒng)安全性提供依據(jù)，幫助用戶建立安全可靠的WEB 應用服務。

5.1.1. 檢測對象

XX 證券網(wǎng)站及WEB 交易系統(tǒng)

5.1.2. 檢測內(nèi)容

WEB 弱點評估范圍包括：

SQL 注入

網(wǎng)頁木馬

表單繞過

跨站腳本

登錄口令破解

源碼泄露

CGI 弱點

ActiveX 弱點

5.2. 數(shù)據(jù)庫弱點評估

針對數(shù)據(jù)庫弱點的評估，LISS 采用專門的數(shù)據(jù)庫弱點掃描工具，結(jié)合人工分析，進行數(shù)據(jù)庫弱點評估，以發(fā)現(xiàn)數(shù)據(jù)庫在安全配置、權(quán)限管理等方面存在的安全漏洞，提高數(shù)據(jù)庫的安全。

5.2.1. 檢測對象

XX 證券網(wǎng)站數(shù)據(jù)庫和相關支持數(shù)據(jù)庫。

第6頁 共10頁

上海交通大學信息安全服務技術研究實驗室

5.2.2. 檢測內(nèi)容

數(shù)據(jù)庫弱點掃描項目包括：

檢查數(shù)據(jù)庫是否采用弱密碼或默認密碼；

檢查數(shù)據(jù)庫中具有各種操作權(quán)限的用戶列表；

對數(shù)據(jù)庫規(guī)則掃描；

對數(shù)據(jù)庫補丁掃描；

對數(shù)據(jù)庫對象掃描。

5.3. 網(wǎng)站服務器漏洞評估

針對網(wǎng)站服務器的安全評估一般分為兩個步驟進行。第一步利用現(xiàn)有的優(yōu)秀安全評估軟件來模擬攻擊行為進行自動的探測安全隱患；第二步根據(jù)第一步得出的掃描結(jié)果進行分析由評估小組的工程師對網(wǎng)絡設備安全檢查列表某些項進行手動檢測，與客戶系統(tǒng)管理員進行溝通分析，以排除誤報情況，查找掃描軟件無法找到的安全漏洞即消除漏報情況。

5.3.1. 檢測對象

XX 證券網(wǎng)站服務器。

5.3.2. 檢測內(nèi)容

網(wǎng)站服務器的檢測內(nèi)容如下：

現(xiàn)有版本、補丁情況

脆弱口令

開放的端口與服務

可遠程訪問或執(zhí)行的權(quán)限

緩沖區(qū)溢出安全漏洞

CGI 安全漏洞

5.4. 滲透測試

滲透測試是一種從攻擊者的角度來對主機系統(tǒng)的安全程度進行安全評估的手

第7頁 共10頁

上海交通大學信息安全服務技術研究實驗室

段，在對現(xiàn)有信息系統(tǒng)不造成任何損害的前提下，利用安全掃描器和富有經(jīng)驗的安全工程師的人工經(jīng)驗模擬入侵者對指定系統(tǒng)進行攻擊測試。事后將入侵的詳細過程和細節(jié)以報告的形式提交給用戶。由此確定用戶系統(tǒng)所存在的安全威脅。并能及時使安全管理員發(fā)現(xiàn)系統(tǒng)維護和管理中的不足，以降低安全風險。滲透測試通常能以非常明顯，直觀的結(jié)果來反映出系統(tǒng)的安全現(xiàn)狀。該手段也越來越受到國際/國內(nèi)信息安全業(yè)界的認可和重視。為了解本項目主機系統(tǒng)的安全現(xiàn)狀，在許可和控制的范圍內(nèi)，將對主機系統(tǒng)進行滲透測試。本次測試將作為安全評估的一個重要組成部分。

5.4.1. 測試范圍

XX 證券委托是LISS 進行滲透測試的必要條件。LISS 將盡最大努力做到使XX 證券對滲透測試所有細節(jié)和風險的知曉、所有過程都在XX 證券的控制下進行。這也是LISS 的專業(yè)服務與黑客攻擊入侵的本質(zhì)不同。

滲透測試的范圍僅限制于經(jīng)過XX 證券以書面形式進行授權(quán)的系統(tǒng)，使用的手段也須經(jīng)過XX 證券的書面同意。LISS 承諾不會對授權(quán)范圍之外的主機及網(wǎng)絡設備進行測試和模擬攻擊。

注：所有攻擊測試將在XX 證券的授權(quán)和監(jiān)督下進行。

第8頁 共10頁