【摘要】2013年6月至8月,全项目出四个重要的阶段性,包括:运维工具使用管理办法、现网远程安全风险测评报告、电子渠道(门户、网厅、掌厅、积分)业务系统安全风险分析、手机客户端安全风险分析与测评报告。
年6月至8月,全项目出四个重要的阶段性,包括:运维工具使用管理办法、现网远程安全风险测评报告、电子渠道(门户、网厅、掌厅、积分)业务系统安全风险分析、手机客户端安全风险分析与测评报告。
1:运维工具安全使用管理办法
描述
根据对现网在用运维工具进行安全分析和测评,详细描述了工具可能引入的安全风险,以及具体的测评方法,包括静态安全检测和动态行为分析等。最后制定和发布运维工具安全使用管理办法,包括工具的统一管理、下载、测评、更新等流程和机制。
具体产出
《运维工具安全使用管理办法》
《运维工具安全分析报告》
落地和结合一线情况
已经全网发布并使用。
2:远程安全风险测评报告
描述
定期对现网设备进行弱口令扫描和重要网站远程安全测评,累计发现自有设备弱口令150个,高危网站11个,并制定安全修复方案,避免被恶意者利用;struts2 0day漏洞,及时制定修复方案,有效避免两省彩铃被者恶意利用。
具体产出
《弱口令扫描报告》、《重要网站远程安全测评报告》、《DDOS安全演练与分析报告》、《最新漏洞发布站点与漏洞原则》、《struts2远程命令漏洞执行漏洞预警》
落地和结合一线情况
协助省公司进行安全修复,避免漏洞影响的进一步扩大。并形成了一套最新周期和预警机制,发现问题及时协助对现网进行加固。
3:电子渠道(门户、网厅、掌厅、积分)业务系统安全风险分析
描述
对电子渠道重要业务(门户、积分、掌厅、网厅)进行了安全风险分析,归纳可能存在的安全问题,排查109个重要安全风险点,发现陕西、重庆、、掌厅用户信息泄露、认证绕过、跨站回显等11个重要问题,涉及多省用户真实身份、服务口令等机密信息的泄露。
具体产出
《电子渠道业务安全风险分析报告--积分商城》
《电子渠道业务安全风险分析报告--门户及网厅》
《电子渠道业务安全风险分析报告--掌厅》
《福建公司APN融合试点方案安全测试报告》
落地和结合一线情况
已发现漏洞的省公司均已对漏洞进行整改并通过正式公文回复集团公司。以该工作为基础,下一步将继续开展电渠业务面临的通用安全问题的归纳,用于指导省公司业务设计与开发。
4:手机客户端安全风险分析与测评报告
描述
对手机客户端安全测评技术进行研究,制定包含68个测试项,覆盖代码安全、业务流程安全、流量安全和客户端防安全等方面。执行了2个版本客户端的安全性测试,发现安全问题3个,并给出了修复;对10086_Client_Right和10086_Client_Wrong两个版本手机客户端进行了防能力测试,验证了10086_Client_Right版本具有一定防能力,并给出了增强防能力。
具体产出
《手机客户端业务安全风险Checklist》
《V1.0.0版手机客户端业务安全测评报告》
《V1.5.2版手机客户端业务安全测评报告》
《手机客户端APK防防安全测试报告》
落地和结合一线情况
针对发现的部分问题,业支部电渠中心已对新版本手机客户端进行了加固和升级。
项目下一步工作重点:
1)按照运维工具安全使用管理办法要求,持续运行工具的更新、测评和发布等;
2)对安全运维工具进行分析整理,制定使用参考手册,供全网运维人员参考使用;
3)完善最新漏洞自动化手段和技术,发现高危漏洞及时预警。
网友评论 ()条 查看