信息安全體系描述

信息安全體系按照OSI 7層模型來劃分，其中包括物理層安全、數(shù)據(jù)鏈路層安全、網(wǎng)絡(luò)層安全、傳輸層安全、會話層安全、表示層安全、應(yīng)用層安全。而應(yīng)用層安全性則是業(yè)務(wù)數(shù)據(jù)實際落地的重要部分，是業(yè)務(wù)整體安全性對外的表現(xiàn)。所以應(yīng)用層安全是高校信息安全重中之重。而對于高校信息安全而言，應(yīng)用層安全大多體現(xiàn)在網(wǎng)站業(yè)務(wù)：主站、教務(wù)、一卡通、身份認(rèn)證等web系統(tǒng)。另外存在少量的基于微信端的web業(yè)務(wù)和基于安卓或蘋果IOS操作系統(tǒng)的app應(yīng)用。

高校應(yīng)用層安全現(xiàn)狀

目前，從智圣安全團(tuán)隊對已授權(quán)的高校應(yīng)用進(jìn)行安全審計（漏洞掃描、代碼審計、滲透測試等手段審計安全性）的結(jié)果看來，大多數(shù)高校應(yīng)用層業(yè)務(wù)存在大量缺陷，如代碼邏輯、應(yīng)用服務(wù)器（IIS Weblogic Apache Tomcat等）、開發(fā)框架等均有或輕或重的應(yīng)用安全問題。

2.1-代碼缺陷

邏輯缺陷：未設(shè)計好的表單，邏輯設(shè)計錯誤，導(dǎo)致可以任意用戶更改統(tǒng)一身份認(rèn)證點的認(rèn)證，獲取全校師生賬號。

邏輯缺陷：越權(quán)行為，未對賬號權(quán)限和seesion信息綁定，學(xué)校學(xué)生可以越權(quán)使用教師功能權(quán)限，如教務(wù)系統(tǒng)。

邏輯缺陷和參數(shù)校驗缺陷：萬能密碼，利用sql注入行為和后端校驗邏輯缺陷繞過登錄，’or’a’=’a為恒等式邏輯?；蛘哳愃?rsquo;or’a’=’a’--,’or+len(‘a’)=len(‘b’)#等，密碼123456是數(shù)據(jù)庫查詢賬號閉合到表第一個賬號字段，弱密碼123456是此類特殊情況。

參數(shù)校驗缺陷：文件上傳，未對上傳文件進(jìn)行判斷，可能導(dǎo)致用戶上傳應(yīng)用服務(wù)器可解析的動態(tài)代碼，實現(xiàn)遠(yuǎn)程代碼執(zhí)行，造成服務(wù)器RCE（遠(yuǎn)程命令執(zhí)行）的webshell在后端留存，實現(xiàn)服務(wù)器完全控制。

上文中僅舉例幾處目前高校普遍存在的代碼缺陷，另外sql注入、XSS、信息泄露、配置失當(dāng)導(dǎo)致的代碼問題不做過多贅述，在智圣軟件開發(fā)過程中，會全面規(guī)避。

2.2-應(yīng)用服務(wù)器漏洞

IIS：應(yīng)用服務(wù)器IIS版本較低，包含已知高危漏洞，可以進(jìn)行遠(yuǎn)程命令執(zhí)行等操作。

Weblogic：weblogic版本低導(dǎo)致的遠(yuǎn)程反序列化命令執(zhí)行。

遠(yuǎn)程服務(wù)器控制

2.3-框架漏洞

Struts、Struts2框架:目前已知的開發(fā)框架例如struts2、struts、spring等均有高危漏洞可以利用獲取服務(wù)器控制權(quán)限。

Spring框架：spring框架遠(yuǎn)程命令執(zhí)行導(dǎo)致的服務(wù)器控制權(quán)限。

智圣軟件中心代碼設(shè)計規(guī)范

智圣軟件研發(fā)中心與智圣安全服務(wù)小組之間配合對安全代碼合規(guī)進(jìn)行緊密聯(lián)系，以保證智圣軟件中心代碼安全性和業(yè)務(wù)應(yīng)用安全性。流程如下所示：

3.1-安全開發(fā)設(shè)計

智圣安全服務(wù)團(tuán)隊在軟件開發(fā)時融入開發(fā)團(tuán)隊，制定安全開發(fā)標(biāo)準(zhǔn)，定期進(jìn)行代碼安全培訓(xùn)，在開發(fā)時規(guī)避各類安全問題。開發(fā)生命周期如下圖所示：

3.2-安全檢查

公司內(nèi)部檢查：智圣安全服務(wù)小組，在開發(fā)之后對開發(fā)業(yè)務(wù)進(jìn)行黑白盒測試，檢查業(yè)務(wù)安全性，并提交協(xié)助整改。

真實上線后檢查：業(yè)務(wù)上線后，智圣安全團(tuán)隊對業(yè)務(wù)系統(tǒng)進(jìn)行壓力測試、滲透測試、漏洞掃描、代碼審計等實際環(huán)境檢查，確認(rèn)安全性后，向客戶提交相應(yīng)報告合規(guī)后再交付。

總結(jié)

智圣安全服務(wù)小組在保障高?？蛻舻臉I(yè)務(wù)安全同時，也合力配合軟件中心進(jìn)行代碼安全開發(fā)，并實時追蹤最新漏洞保障及時第一時間修復(fù)智圣軟件產(chǎn)品安全隱患。智圣軟件部代碼規(guī)范性從自身代碼的編寫安全，到代碼容器應(yīng)用服務(wù)器的使用安全版本、再到新型安全框架springMVC的使用，為高校師生創(chuàng)造出一個安全、穩(wěn)定的業(yè)務(wù)系統(tǒng)。