UltraVR安全技术白皮书.docx

1、UltraVR安全技术白皮书UltraVR安全技术白皮书前 言概述本文档作为产品技术人员进行需求澄清一部分，与客户技术交流时使用，但本文只提供UltraVR安全部分的描述，本文档描述的安全特性已经在UltraVR V100R003C00版本落实。用于展示UltraVR平台安全架构，描述各层次上的UltraVR安全特性。符号约定在本文中可能出现下列标志，它们所代表的含义如下。符号说明用于警示紧急的危险情形，若不避免，将会导致人员死亡或严重的人身伤害。用于警示潜在的危险情形，若不避免，可能会导致人员死亡或严重的人身伤害。用于警示潜在的危险情形，若不避免，可能会导致中度或轻微的人身伤害。用于传递设备

2、或环境安全警示信息，若不避免，可能会导致设备损坏、数据丢失、设备性能降低或其它不可预知的结果。“注意”不涉及人身伤害。用于突出重要/关键信息、最佳实践和小窍门等。“说明”不是安全警示信息，不涉及人身、设备及环境伤害信息。目 录前 言 ii1 安全架构 12 产品安全性 53 产品安全组网建议 74 缩略语表/Acronyms and Abbreviations 81 安全架构关于本章2.1 系统安全架构介绍1.1 系统安全架构介绍UltraVR系统安全架构由三个层（Layer）构成，如表1-1所示。表1-1 系统安全架构模型安全层威胁对策应用安全 缓冲区溢出，跨站点脚本编写，SQL注入 网络窃

3、听，暴力破解，词典攻击，重放cookie，盗窃凭据 提高特权，泄露机密数据，篡改数据，引诱攻击，访问存储器中的敏感数据，窃听网络，篡改数据 敏感数据保护 认证，口令策略，访问控制与授权，加密，会话管理，日志，数据保护与运行安全平台安全 病毒，特洛伊木马和蠕虫 端口扫描，ping扫描和NetBIOS枚举 破解口令 未授权访问 系统加固 安全补丁 防病毒网络安全 信息收集：与其他类型系统相同的方法发现网络设备并对其进行剖析 嗅探：监视网络上的数据（例如明文密码或者配置信息）传输信息的行为 欺骗：隐藏某人在网上真实身份的方式 拒绝服务：拒绝服务就是拒绝合法用户访问服务器或者服务 网络管理协议使用SN

4、MP V2C以上的协议版本 使用SSH V2协议和Https协议 对OS和底层平台进行访问和维护 提供完整的端口列表，明确标识哪些端口系统需要使用，便于用户更好地管理网络1.1.2 架构分层UltraVR安全体系，可以系统地划分为 “应用安全”，“平台安全”，“网络安全”三个层次。1.1.3 安全面临的威胁：应用层 输入验证：缓冲区溢出，跨站点脚本编写，SQL 注入。 身份验证：网络窃听，暴力破解，词典攻击，重放 cookie，盗窃凭据。 授权：提高特权，泄漏机密数据，篡改数据，引诱攻击。 配置管理：XX访问管理接口，XX访问配置存储器，检索明文配置数据，越权访问配置数据。 敏感数据：访问存储

5、器中的敏感数据，窃听网络，篡改数据。 会话管理：会话劫持；会话重放，中间人。 加密技术：密钥生成或密钥管理差，脆弱的或者自定义的加密技术。 参数操作：查询字符串操作，窗体字段操作，cookie 操作，HTTP 标头操作。 异常处理：信息泄漏，拒绝服务。安全审计：用户拒绝执行某项操作，攻击者利用没有跟踪记录的应用程序，攻击者掩饰他或者她的跟踪记录。平台层 病毒、特洛伊木马和蠕虫：病毒是一种设计的程序，它进行恶意的行为，破坏操作系统或者应用程序。除了将恶意的代码包含在表面上是无害的数据文件或者可执行程序中，特洛伊木马很像一种病毒。除了可以从一个服务器自我复制到另一个服务器，蠕虫类似于特洛伊木马。蠕

6、虫很难检测到，因为它们不是定期创建可以看见的文件。通常只有当它们开始消耗系统资源时，才能注意到它们，因为这时系统运行缓慢或者其他执行的程序停止运行。 足迹：足迹的示例有端口扫描、ping 扫描和NetBIOS 枚举，它可以被攻击者用来收集系统级的有价值信息，有助于准备更严重的攻击。足迹揭示的潜在信息类型包括帐户详细信息、操作系统和其他软件的版本、服务器的名称和数据库架构的详细信息。 破解口令：如果攻击者不能够与服务器建立匿名连接，他将尝试建立验证连接。为此，攻击者必须知道一个有效的用户名和口令组合。如果您使用默认的帐户名称，您就给攻击者提供了一个顺利的开端，攻击者只需要破解帐户的口令即可。使用

7、空白或者脆弱的口令可以使攻击者的工作更为轻松。 拒绝服务：可以通过多种方法实现拒绝服务，针对的是基础结构中的几个目标。在主机上，攻击者可以通过强力攻击应用程序而破坏服务，或者知道应用程序在其上寄宿的服务中以及运行服务器的操作系统中存在的缺陷。 任意执行代码：如果攻击者可以在您的服务器上执行恶意的代码，攻击者要么会损害服务器资源，要么会更进一步攻击下游系统。如果攻击者的代码所运行的服务器进程被越权执行，任意执行代码所造成的危险将会增加。常见的缺陷时允许遍历路径和缓冲区溢出攻击的未打补丁的服务器，这种情况可能导致任意执行代码。 未授权访问：不足的访问控制可能允许未授权的用户访问受限制信息或者执行受

8、限制操作。网络层 信息收集：可以用与其他类型系统相同的方法发现网络设备并对其进行剖析。通常，攻击者最初是扫描端口，识别出开放端口后，他们利用标题抓取与枚举的方法检测设备类型，并确定操作系统和应用程序的版本。具有这些信息后，攻击者可以攻击已知的可能没有更新安全补丁的缺陷。 嗅探：嗅探是监视网络上数据（例如明文密码或者配置信息）传输信息的行为。利用简单的数据包探测器，攻击者可以很轻松地读取所有的明文传输信息。同时，攻击者可以破解用轻量级散列算法加密的数据包，并解密您认为是安全的有用负荷。 欺骗：欺骗是一种隐藏某人在网上真实身份的方式。为创建一个欺骗身份，攻击者要使用一个伪造的源地址，该地址不代表数

9、据包的真实地址。可以使用欺骗来隐藏最初的攻击源，或者绕开存在的网络访问控制列表（ACL，它根据源地址规则限制主机访问）。 拒绝服务（DoS/DDoS）：拒绝服务就是拒绝合法用户访问服务器或者服务。1.1.4 对策概述应用安全层 在应用层，安全方案包括认证、口令策略、访问控制与授权、加密、会话管理、日志、数据保护和运行安全等。平台安全层 选用安全稳定的操作系统版本和数据库版本，以解决最基本的安全问题。 通过Linux最小化安装，确保只安装和启用系统必须的服务，减少被黑客攻击的风险。 通过对Linux 操作系统加固，确保应用程序运行在安全的环境中。网络安全层 网络管理协议使用SNMP V2C以上的

10、协议版本。 使用SSH V2协议和Https协议，对OS和UltraVR进行访问和维护。 提供完整的端口列表，明确标识哪些端口系统需要使用，便于用户更好地管理网络。2 产品安全性2.1.1 应用层安全安全编程 按照网络安全性质量属性标准I级CheckListV1.0的要求进行开发和测试，确保UltraVR系统的安全性。帐号管理、认证与鉴权 采用强口令方案，对口令长度、特殊字符组合要求、密码错误次数和解锁时间等进行限制，详见“安全策略”。 系统中除超级用户外的其他用户都是通过配置维护添加的，并且通过配置维护可以修改和删除。 操作员帐号和程序帐号等可配置为只有最小权限。 UltraVR系统基于会话

11、对用户登录与鉴权进行管理。登录时引入验证码机制加强Web应用的安全。安全日志与审计 管理人员对帐号的增删改操作均有记录。 用户登录系统、注销登录日志均有记录。 安全日志可用于审计。2.1.2 平台层安全操作系统安全 对Suse-Linux操作系统进行安全加固，以保证Suse-Linux操作系统安全。 通过SSH协议和SFTP协议保护系统帐号与密码不泄露。数据库安全 对数据库进行安全加固，以保护数据库服务。Web服务安全 对Tomcat服务进行安全加固，以保证UltraVR系统运行在安全的Web服务之上。日志与审计 操作系统与数据库可以与日志审计服务器对接，实现安全日志的集中存放与审计。 如果操

12、作系统与日志审计服务器对接，对接时推荐采用syslog协议而不是ftp协议对接以保证更高的安全性。2.1.3 网络层安全安全通信协议 日常维护时，可使用SSH协议进行登录以保护系统数据与应用数据。 通过浏览器访问UltraVR系统时，登录过程采用Https协议以保护应用程序所使用的帐号与密码。 支持使用SFTP协议上传文件以保护系统帐号与数据安全。 支持使用SNMPV3、SSH协议访问设备。3 产品安全组网建议3.1 组网建议UltraVR基于Web架构，通过浏览器登录系统并进行相关的管理操作，主要的安全威胁来自Web攻击，攻击者可通过Web进行远程攻击，因此，除了对Web进行必要的安全加固之

13、外，组网方面也需要从安全方面进行考虑。下图是UltraVR的典型组网图，建议通过防火墙将UltraVR进行隔离，通过防火墙只允许访问UltraVR的 https端口（缺省是9443端口），其他端口都通过防火墙将其屏蔽和过滤。图3-1 UltraVR组网建议4 缩略语表/Acronyms and Abbreviations缩略语英文全名中文解释HTTPHyper Text Transport Protocol超级文本传送协议OSOperation System操作系统SNMPSimple Network Management Protocol简单网络管理协议SSHSecure Shell安全外壳SSLSecurity Socket Layer加密套接字协议层