上海交通大學(xué)信息安全服務(wù)技術(shù)研究實(shí)驗(yàn)室XX 證券公司網(wǎng)站及WEB 交易交易系統(tǒng)安全評(píng)估方案上海交通大學(xué)信息安全服務(wù)技術(shù)研究實(shí)驗(yàn)室日期：2008年5月22日 ,上海交通大學(xué)信

上海交通大學(xué)信息安全服務(wù)技術(shù)研究實(shí)驗(yàn)室

XX 證券公司

網(wǎng)站及WEB 交易交易系統(tǒng)

安全評(píng)估方案

上海交通大學(xué)信息安全服務(wù)技術(shù)研究實(shí)驗(yàn)室

日期：2008年5月22日

上海交通大學(xué)信息安全服務(wù)技術(shù)研究實(shí)驗(yàn)室

目錄

1. 概述 . .................................................................................................................................. 1

1.1 評(píng)估對(duì)象 . ...................................................................................................................... 1

1.2 評(píng)估目標(biāo) . ...................................................................................................................... 1

1.3 評(píng)估范圍 . ...................................................................................................................... 1

1.4 評(píng)估方法 . ...................................................................................................................... 2

2. 評(píng)估原則 . .......................................................................................................................... 2

2.1. 標(biāo)準(zhǔn)性原則 . .................................................................................................................. 2

2.2. 可控性原則 . .................................................................................................................. 3

2.3. 完整性原則 . .................................................................................................................. 3

2.4. 最小影響原則 . .............................................................................................................. 3

2.5. 保密原則 . ...................................................................................................................... 3

3. 掃描策略 . .......................................................................................................................... 3

4. 資源需求 . .......................................................................................................................... 4

4.1. 人員需求 . ...................................................................................................................... 4

4.2. 評(píng)估工具 . ...................................................................................................................... 4

4.2.1. 網(wǎng)站及WEB 交易系統(tǒng)評(píng)估工具 .................................................................... 4

4.2.2. 數(shù)據(jù)庫弱點(diǎn)評(píng)估工具 . ...................................................................................... 4

4.2.3. 網(wǎng)站服務(wù)器漏洞評(píng)估工具 . .............................................................................. 5

4.2.4. 滲透測(cè)試評(píng)估工具 . .......................................................................................... 5

4.3. 其它資源 . ...................................................................................................................... 5

5. 檢測(cè)計(jì)劃 . .......................................................................................................................... 5

5.1. 網(wǎng)站及WEB 交易系統(tǒng)評(píng)估 . ....................................................................................... 6

5.1.1. 檢測(cè)對(duì)象 . .......................................................................................................... 6

5.1.2. 檢測(cè)內(nèi)容 . .......................................................................................................... 6

5.2. 數(shù)據(jù)庫弱點(diǎn)評(píng)估 . .......................................................................................................... 6

5.2.1. 檢測(cè)對(duì)象 . .......................................................................................................... 6

5.2.2. 檢測(cè)內(nèi)容 . .......................................................................................................... 7

5.3. 網(wǎng)站服務(wù)器漏洞評(píng)估 . .................................................................................................. 7

5.3.1. 檢測(cè)對(duì)象 . .......................................................................................................... 7

5.3.2. 檢測(cè)內(nèi)容 . .......................................................................................................... 7

5.4. 滲透測(cè)試 . ...................................................................................................................... 7

5.4.1. 測(cè)試范圍 . .......................................................................................................... 8

5.4.2. 滲透測(cè)試流程 . .................................................................................................. 9

5.4.3. 信息收集 . .......................................................................................................... 9

5.4.4. 權(quán)限提升 . .......................................................................................................... 9

6. 項(xiàng)目管理 . ........................................................................................................................ 10

6.1. 項(xiàng)目組成員 . ................................................................................................................ 10

6.2. 主要內(nèi)容與計(jì)劃 . ........................................................................................................ 10

7. 提交文檔 . ........................................................................................................................ 10

上海交通大學(xué)信息安全服務(wù)技術(shù)研究實(shí)驗(yàn)室

1. 概述

1.1 評(píng)估對(duì)象

本次安全評(píng)估的對(duì)象是XX 證券有限責(zé)任公司（以下簡稱“XX 證券”）的網(wǎng)站和WEB 交易系統(tǒng)（網(wǎng)址：http://www.bocichina.com）。

XX 證券的網(wǎng)站是公司宣傳及開展網(wǎng)上證券業(yè)務(wù)的重要平臺(tái)，目前有sun solaris 平臺(tái)的服務(wù)器6—7臺(tái)，其中包括兩臺(tái)oracle 數(shù)據(jù)庫服務(wù)器；支持WEB 交易的為一臺(tái)Windows 平臺(tái)的服務(wù)器。

上海交通大學(xué)信息安全服務(wù)技術(shù)研究實(shí)驗(yàn)室（Lab of Information Security Service ，以下簡稱“實(shí)驗(yàn)室”或“LISS ”）通過對(duì)XX 證券網(wǎng)站和WEB 交易系統(tǒng)的信息安全評(píng)估，將對(duì)項(xiàng)目范圍內(nèi)的信息系統(tǒng)的漏洞風(fēng)險(xiǎn)得到很好的識(shí)別與分析，并對(duì)安全加固提供意見與建議等。

1.2 評(píng)估目標(biāo)

為了充分了解XX 證券網(wǎng)站和WEB 交易系統(tǒng)的當(dāng)前安全狀況（安全隱患），需要進(jìn)行相關(guān)掃描和安全弱點(diǎn)分析，最終工作目標(biāo)為：

通過基于網(wǎng)站的掃描工具及人工分析檢測(cè)網(wǎng)站及WEB 交易可能存在的

安全漏洞；

通過專門的數(shù)據(jù)庫弱點(diǎn)掃描工具及人工分析檢測(cè)數(shù)據(jù)庫可能存在的安

全漏洞；

通過基于網(wǎng)絡(luò)的掃描工具及人工分析檢測(cè)網(wǎng)站服務(wù)器可能存在的安全

漏洞；

分析安全漏洞的檢測(cè)結(jié)果，通過滲透測(cè)試予以確認(rèn)，并給出適宜的建議，

作為提高XX 證券網(wǎng)站和WEB 交易系統(tǒng)安全的重要參考依據(jù)。

1.3 評(píng)估范圍

此次評(píng)估檢測(cè)的對(duì)象為：

網(wǎng)站及WEB 交易應(yīng)用系統(tǒng)；

后臺(tái)數(shù)據(jù)庫；

網(wǎng)站服務(wù)器。

第1頁 共10頁

上海交通大學(xué)信息安全服務(wù)技術(shù)研究實(shí)驗(yàn)室

1.4 評(píng)估方法

此次評(píng)估的工作方法如下：

確定檢測(cè)對(duì)象；

擬定檢測(cè)方案；

用自動(dòng)檢測(cè)工具及人工分析檢測(cè)受測(cè)對(duì)象存在的安全漏洞；

通過滲透測(cè)試方法分析檢測(cè)結(jié)果，并給出適宜的建議。

2. 評(píng)估原則

為了確保XX 證券網(wǎng)站和WEB 交易系統(tǒng)評(píng)估項(xiàng)目高效、順利地進(jìn)行，我們的評(píng)估工作將遵循以下原則進(jìn)行。

2.1. 標(biāo)準(zhǔn)性原則

依據(jù)國際國內(nèi)標(biāo)準(zhǔn)開展工作是本次評(píng)估工作的指導(dǎo)原則，也是LISS 提供信息安全服務(wù)的一貫原則。

在提供本次評(píng)估服務(wù)中，將會(huì)依據(jù)相關(guān)的國內(nèi)和國際標(biāo)準(zhǔn)進(jìn)行。這些標(biāo)準(zhǔn)包括：

ISO 17799

ISO 13335

ISO 15408 / GB18336

SSE-CMM

ISO 13569

《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》（GB 17895－1999）

在提供本次評(píng)估服務(wù)中，除了依據(jù)相關(guān)的國內(nèi)和國際標(biāo)準(zhǔn)之外，還要參考一些沒有成為國際和國內(nèi)標(biāo)準(zhǔn)，但是已經(jīng)成為業(yè)界事實(shí)上標(biāo)準(zhǔn)的一些規(guī)范和約定。這些規(guī)范和約定包括：

CVE 公共漏洞和暴露

PMI 項(xiàng)目管理方法學(xué)

第2頁 共10頁

上海交通大學(xué)信息安全服務(wù)技術(shù)研究實(shí)驗(yàn)室

2.2. 可控性原則

LISS 將從多個(gè)方面配合XX 證券，以便達(dá)到XX 證券對(duì)評(píng)估工作的可控性。這些可控性包括：

人員可控性

LISS 項(xiàng)目組人員的資歷都事先通知XX 證券，并經(jīng)過XX 證券的認(rèn)可。并確保項(xiàng)目組成員工作的連續(xù)性。

工具可控性

LISS 所使用的所有技術(shù)工具都事先通告XX 證券。確保不使用對(duì)現(xiàn)有網(wǎng)絡(luò)的運(yùn)行和業(yè)務(wù)的正常有重大影響的工具。

項(xiàng)目過程可控性

本評(píng)估項(xiàng)目的管理將依據(jù)PMI 項(xiàng)目管理方法學(xué)，突出“溝通管理”，達(dá)到項(xiàng)目過程的可控性。

2.3. 完整性原則

LISS 將按照確定的評(píng)估范圍進(jìn)行全面的評(píng)估，從范圍上滿足XX 證券的要求。

2.4. 最小影響原則

LISS 會(huì)從項(xiàng)目管理層面和工具技術(shù)層面，將評(píng)估工作對(duì)XX 證券網(wǎng)站及交易系統(tǒng)正常運(yùn)行的可能影響降低到最低限度，不會(huì)對(duì)現(xiàn)有網(wǎng)絡(luò)的運(yùn)行和業(yè)務(wù)的正常提供產(chǎn)生顯著影響。

2.5. 保密原則

LISS 和參加此次評(píng)估項(xiàng)目的所有項(xiàng)目組成員，都會(huì)遵從實(shí)驗(yàn)室與XX 證券簽署的相關(guān)保密協(xié)議。

3. 掃描策略

為降低評(píng)估工作的安全風(fēng)險(xiǎn)，本次評(píng)估采用如下掃描策略：

掃描時(shí)機(jī)避開業(yè)務(wù)高峰期；

選用合適的掃描工具；

第3頁 共10頁

上海交通大學(xué)信息安全服務(wù)技術(shù)研究實(shí)驗(yàn)室

重要數(shù)據(jù)、服務(wù)器等應(yīng)備份；

最小資源開銷；

使用最新的安全漏洞庫；

注：最小資源開銷。即不影響正在運(yùn)行的網(wǎng)站及應(yīng)用系統(tǒng)，降低掃描造成的影響，盡量使用其它方法進(jìn)行信息收集。

4. 資源需求

此次評(píng)估所需要的資源包括LISS 評(píng)估項(xiàng)目組評(píng)估工程師、受測(cè)機(jī)構(gòu)協(xié)助人員、檢測(cè)工具及檢測(cè)對(duì)象。

4.1. 人員需求

LISS 評(píng)估項(xiàng)目組評(píng)估工程師：5人

受測(cè)機(jī)構(gòu)協(xié)助人員：

評(píng)估網(wǎng)站及交易系統(tǒng)時(shí)，需要系統(tǒng)安全管理員、應(yīng)用系統(tǒng)管理員備份重

要數(shù)據(jù)，提供相應(yīng)測(cè)試帳號(hào)，確定掃描工具接口；

評(píng)估服務(wù)器及網(wǎng)絡(luò)設(shè)備時(shí)，需網(wǎng)絡(luò)管理人員配合，提供具體的網(wǎng)絡(luò)拓?fù)?/p>

圖，幫助在網(wǎng)絡(luò)中確定并接入掃描工具。

4.2. 評(píng)估工具

4.2.1. 網(wǎng)站及WEB 交易系統(tǒng)評(píng)估工具

4.2.2. 數(shù)據(jù)庫弱點(diǎn)評(píng)估工具

第4頁 共10頁

上海交通大學(xué)信息安全服務(wù)技術(shù)研究實(shí)驗(yàn)室

4.2.3. 網(wǎng)站服務(wù)器漏洞評(píng)估工具

4.2.4. 滲透測(cè)試評(píng)估工具

4.3. 其它資源

分析準(zhǔn)備階段所獲取的資料可知，實(shí)施安全評(píng)估還需如下信息： 網(wǎng)絡(luò)拓?fù)鋱D及主要檢測(cè)對(duì)象（如服務(wù)器）的IP 地址。

服務(wù)器操作系統(tǒng)的相關(guān)信息，包括補(bǔ)丁版本、業(yè)務(wù)上需要打開的服務(wù)、原有評(píng)估結(jié)果等。

5. 檢測(cè)計(jì)劃

此次安全評(píng)估主要包括如下方面： 網(wǎng)站及WEB 交易系統(tǒng)的應(yīng)用安全評(píng)估、數(shù)據(jù)庫弱點(diǎn)評(píng)估、網(wǎng)絡(luò)設(shè)備漏洞的安全評(píng)估，以及基于此的滲透測(cè)試。

第5頁 共10頁

上海交通大學(xué)信息安全服務(wù)技術(shù)研究實(shí)驗(yàn)室

5.1. 網(wǎng)站及WEB 交易系統(tǒng)評(píng)估

LISS 采用專門的web 弱點(diǎn)掃描軟件，結(jié)合人工分析，在內(nèi)網(wǎng)和外網(wǎng)分別實(shí)施WEB 應(yīng)用弱點(diǎn)評(píng)估。其原理是采用攻擊技術(shù)的原理和滲透性測(cè)試的方法，對(duì)WEB 應(yīng)用進(jìn)行深度漏洞探測(cè)，可幫助應(yīng)用開發(fā)者和管理者了解應(yīng)用系統(tǒng)存在的脆弱性，為改善并提高應(yīng)用系統(tǒng)安全性提供依據(jù)，幫助用戶建立安全可靠的WEB 應(yīng)用服務(wù)。

5.1.1. 檢測(cè)對(duì)象

XX 證券網(wǎng)站及WEB 交易系統(tǒng)

5.1.2. 檢測(cè)內(nèi)容

WEB 弱點(diǎn)評(píng)估范圍包括：

SQL 注入

網(wǎng)頁木馬

表單繞過

跨站腳本

登錄口令破解

源碼泄露

CGI 弱點(diǎn)

ActiveX 弱點(diǎn)

5.2. 數(shù)據(jù)庫弱點(diǎn)評(píng)估

針對(duì)數(shù)據(jù)庫弱點(diǎn)的評(píng)估，LISS 采用專門的數(shù)據(jù)庫弱點(diǎn)掃描工具，結(jié)合人工分析，進(jìn)行數(shù)據(jù)庫弱點(diǎn)評(píng)估，以發(fā)現(xiàn)數(shù)據(jù)庫在安全配置、權(quán)限管理等方面存在的安全漏洞，提高數(shù)據(jù)庫的安全。

5.2.1. 檢測(cè)對(duì)象

XX 證券網(wǎng)站數(shù)據(jù)庫和相關(guān)支持?jǐn)?shù)據(jù)庫。

第6頁 共10頁

上海交通大學(xué)信息安全服務(wù)技術(shù)研究實(shí)驗(yàn)室

5.2.2. 檢測(cè)內(nèi)容

數(shù)據(jù)庫弱點(diǎn)掃描項(xiàng)目包括：

檢查數(shù)據(jù)庫是否采用弱密碼或默認(rèn)密碼；

檢查數(shù)據(jù)庫中具有各種操作權(quán)限的用戶列表；

對(duì)數(shù)據(jù)庫規(guī)則掃描；

對(duì)數(shù)據(jù)庫補(bǔ)丁掃描；

對(duì)數(shù)據(jù)庫對(duì)象掃描。

5.3. 網(wǎng)站服務(wù)器漏洞評(píng)估

針對(duì)網(wǎng)站服務(wù)器的安全評(píng)估一般分為兩個(gè)步驟進(jìn)行。第一步利用現(xiàn)有的優(yōu)秀安全評(píng)估軟件來模擬攻擊行為進(jìn)行自動(dòng)的探測(cè)安全隱患；第二步根據(jù)第一步得出的掃描結(jié)果進(jìn)行分析由評(píng)估小組的工程師對(duì)網(wǎng)絡(luò)設(shè)備安全檢查列表某些項(xiàng)進(jìn)行手動(dòng)檢測(cè)，與客戶系統(tǒng)管理員進(jìn)行溝通分析，以排除誤報(bào)情況，查找掃描軟件無法找到的安全漏洞即消除漏報(bào)情況。

5.3.1. 檢測(cè)對(duì)象

XX 證券網(wǎng)站服務(wù)器。

5.3.2. 檢測(cè)內(nèi)容

網(wǎng)站服務(wù)器的檢測(cè)內(nèi)容如下：

現(xiàn)有版本、補(bǔ)丁情況

脆弱口令

開放的端口與服務(wù)

可遠(yuǎn)程訪問或執(zhí)行的權(quán)限

緩沖區(qū)溢出安全漏洞

CGI 安全漏洞

5.4. 滲透測(cè)試

滲透測(cè)試是一種從攻擊者的角度來對(duì)主機(jī)系統(tǒng)的安全程度進(jìn)行安全評(píng)估的手

第7頁 共10頁

上海交通大學(xué)信息安全服務(wù)技術(shù)研究實(shí)驗(yàn)室

段，在對(duì)現(xiàn)有信息系統(tǒng)不造成任何損害的前提下，利用安全掃描器和富有經(jīng)驗(yàn)的安全工程師的人工經(jīng)驗(yàn)?zāi)M入侵者對(duì)指定系統(tǒng)進(jìn)行攻擊測(cè)試。事后將入侵的詳細(xì)過程和細(xì)節(jié)以報(bào)告的形式提交給用戶。由此確定用戶系統(tǒng)所存在的安全威脅。并能及時(shí)使安全管理員發(fā)現(xiàn)系統(tǒng)維護(hù)和管理中的不足，以降低安全風(fēng)險(xiǎn)。滲透測(cè)試通常能以非常明顯，直觀的結(jié)果來反映出系統(tǒng)的安全現(xiàn)狀。該手段也越來越受到國際/國內(nèi)信息安全業(yè)界的認(rèn)可和重視。為了解本項(xiàng)目主機(jī)系統(tǒng)的安全現(xiàn)狀，在許可和控制的范圍內(nèi)，將對(duì)主機(jī)系統(tǒng)進(jìn)行滲透測(cè)試。本次測(cè)試將作為安全評(píng)估的一個(gè)重要組成部分。

5.4.1. 測(cè)試范圍

XX 證券委托是LISS 進(jìn)行滲透測(cè)試的必要條件。LISS 將盡最大努力做到使XX 證券對(duì)滲透測(cè)試所有細(xì)節(jié)和風(fēng)險(xiǎn)的知曉、所有過程都在XX 證券的控制下進(jìn)行。這也是LISS 的專業(yè)服務(wù)與黑客攻擊入侵的本質(zhì)不同。

滲透測(cè)試的范圍僅限制于經(jīng)過XX 證券以書面形式進(jìn)行授權(quán)的系統(tǒng)，使用的手段也須經(jīng)過XX 證券的書面同意。LISS 承諾不會(huì)對(duì)授權(quán)范圍之外的主機(jī)及網(wǎng)絡(luò)設(shè)備進(jìn)行測(cè)試和模擬攻擊。

注：所有攻擊測(cè)試將在XX 證券的授權(quán)和監(jiān)督下進(jìn)行。

第8頁 共10頁