软件安全测试之网络安全&管理安全

书接上文：~软件安全测试之系统安全测试~

一、组网安全

1. 产品提供网络拓扑图：按照三层模型或者其他模型设计的具备安全性的拓扑图，图中必须标明所有网络设备的逻辑连接关系，网络物理连线图（包括无线网络连接）。

2. 安全域划分：依据业务系统内不同主机的服务类型、安全保护需求和安全等级进行网络安全域的划分，如核心业务区、OM 区、DMZ 区、非信任区、第三方互联区、远程维护区等。

3. DMZ区主机部署：必须将面向 Internet 提供服务的主机放入 DMZ 区。

4. 核心业务区主机部署：将数据库放置于核心业务区或其他内部网络区域，且必须与 DMZ 区隔离

5. 系统支持对管理平面的接口的访问保护

tips：

用Ping方式，测试步骤举例：
1、假设用户面的网元的地址为10.10.10.2，网元的网管的地址为10.10.11.2，这两个地址在不同的网段；
2、在被测网元的同一个网段内，找一台测试机，设置测试机网卡的IP地址为10.10.10.3网关的地址为10.10.10.2，通过测试机可以Ping通用户面的网元的IP地址；
3、在测试机上Ping 10.10.11.2，如果能够ping通，则说明网元隔离失败，如果Ping不通，则说管理流和生产流隔离了。
备注：如果测试环境不具备，则只能通过检查组典型网设计文档与安装配置指南，是否管理平面和用户平面进行隔离。对于Web应用，必须保证管理portal和用户portal的服务部署在不同的机器上，或者部署在同一台机器但端口不一样。

二、边界安全控制

1. 安全域边界控制

不同的安全域之间必须配置状态防火墙。

2. 防火墙进入访问控制策略

防火墙策略必须对所有进入的访问进行严格的限制，只允许业务必需的服务、协议、端口和IP地址的访问。

下面的内容，主要涉及产品资料的相关安全要求；这部分更多的是从法律层面保护我们的产品和公司。

三、软件发布安全

1. 软件包病毒扫描：

在软件包（含补丁包）发布前，需要经过至少一款防病毒软件扫描，保证防病毒软件不产生告警，特殊情况下对告警作出解释说明。扫描记录（防病毒软件名称、软件版本、病毒库版本、扫描时间、扫描结果等）存档并随软件包（含补丁包）发布给客户。

2. 软件数字签名机制：

基于通用操作系统的软件（包含软件包/补丁包）必须提供完整性校验机制，在安装、升级过程中对软件进行完整性验证。

产品的软件（包含软件包/补丁包/Firmware）存在完整性校验机制，按照校验方法对发布软件生成校验值，生成的值与产品提供的一致；

3. 源代码静态检查

可以使用Fortify、Coverity、Klockwork等工具进行源代码扫描和人工分析。确保产品发布时高风险级别及以上问题得到解决（包括：Coverity扫描中High级别；Fortify扫描中Critical和High级别；业务分析影响为高风险的问题）
使用Coverity进行源码安全扫描和分析，Coverity是目前业界知名的代码安全审计工具，提供了安全检查规则，能发现缓冲区溢出、整数溢出、格式串错误、命令注入和SQL注入等问题。

Fortify能够支持多种编程语言，能够发现不安全函数、注入漏洞等问题，相应给出这些问题的案例和解决方法，并且有一定的口令硬编码检测能力。Fortify需要依赖代码的编译环境，对于eclipse、VS系列IDE，有相应的代码检查插件，可以通过点击Fortify检查按钮，一键扫描。

四、安全技术资料

1. 安全特性描述：

产品的描述文档（如：产品的概述文档），对产品安全特性进行描述：
1、主要功能；
2、覆盖范围；
3、操作步骤；
4、其它影响

2. 通信端口说明书

1、产品对外发布资料中配套提供通信矩阵，通信矩阵记录如下信息：通信使用的端口、协议、IP地址、认证方式、端口用途信息等。
2、通信矩阵每一列都描述正确。
3、按照说明书开启端口的发布产品能够正常运行。

tip:对照端口说明书进行以下操作后需要满足对应的要求：

1、Nmap扫描结果中，未在通信端口矩阵中列出的端口都未开放。
2、Nmap扫描结果中，未在通信端口矩阵中列出的服务都未开放。
3、SDU必须对现网实际环境进行测试验证。
4、非客户明确说明，不允许存在任何远程控制类端口。

3. 安全维护

产品发布前提供安全维护手册。从解决方案角度提供业务日常安全维护方面的指导，包括安全补丁、安全配置、防病毒软件例行检查等，指导维护人员例行进行安全维护。
说明：
主要内容：
1、从解决方案角度提供业务日常安全维护方面的指导，包括安全补丁、安全配置等，指导维护人员例行进行安全维护。
2、系统应该拥有一个文档化的列表，列出日志记录的事件类型以及记录详细程度。（可以在产品的日志参考文档中提供安全日志的说明）
3、在附录中提供帐户、服务、进程列表的内容或给出安全相关的参考文档清单

4. 安全加固指南

主要内容：
1、安全加固及检查，主要包括操作系统、数据库或WEB服务器等加固内容，需要包含具体的加固内容和操作步骤
2、应用的安全配置，针对产品业务安全应用，需要启用哪些安全选项，配置哪些内容。（对于需要通过对产品开局时进行安全策略配置才能生效的安全功能，需要提供此部分内容）
3、资料中有明确要求每个版本（包括PDU基线版本和SDU定制版本在内的所有版本）在加固后的环境上进行兼容性测试，并且根据实际产品提供必测兼容性的主要业务流程。
4、安全配置指南进行的安全策略配置在导致业务出错的情况下可以回退，资料中有回退步骤、错误记录或定位方法。
内容要求：
1.需要加固的对象，都有对应的加固资料。 
2.明确了加固的网元和加固的对象。 
3.说明了加固操作的时间点（如安装完后加固、调测后加固、或者系统在线运行时等）以及耗时时长。 
4.说明了加固影响，包括对加固对象和业务的影响。 
5.如果使用工具加固，需要提供加固策略包以及加固工具的获取方式。 
6.提供了加固清单，或者对加固项进行了说明。 
7.提供了正确的加固的操作步骤。如数据库双机加固时，将主机和备机添加在一个分组中，然后对分组进行加固。 
8.说明了加固后的生效方式，如手工重启或者自动生效。 
9.提供加固结果验证和判断方法。 
10."提供异常处理，例如如何回退。
11.对于无法自动回退的项进行说明，并提供了手工回退指导（可选）。

5. 防病毒软件部署指南（Windows系统平台必选）

主要包含：
防病毒软件部署前的准备、流程、执行步骤失败后回退处理，以及病毒特征库升级配置指导

五、合法监听

1. 遵循通用国际标准：

合法监听功能开发遵循通用的国际标准（如：欧洲的ETSI合法监听系列标准、北美的ANSI相关标准）。
访谈该产品的销售国家
1.销售国家是否包含对合法监听有特殊要求的国家.如果有,检查产品文档,是否有明显的说明.是否有限制只能在该国销售或应用。
合法监听（Lawful Interception）：是指执法机构经相应的授权机关批准，根据国家相关法律和公众通信网行业规范对公众通信网的通信业务进行监听的执法行为。

2. 合法监听功能的禁用

如果被要求不能提供合法监听功能时，必须从产品和解决方案中删除此接口，确保现网设备无法通过任何形式启用。

3. 合法监听接口的调用

1、不存在合法监听网关正常接口之外的任何其它调用方式（包括命令、脚本、调试接口等）
2、所有合法监听接口的调用方式都有安全性控制（认证和权限控制），不存在被盗用、误用或滥用，不存在被监听对象以及任何未经授权的第三方感知，没有信息或内容泄露的风险。
3、所有合法监听接口的调用方式都有通过资料向客户说明。

4. 禁止采集用户原始通信内容

在安全敏感市场:
1.禁止出于保障网络运营和服务目的提供采集最终用户原始通信内容（语音类、短信/彩信类、传真类、数据业务类）的功能，如录音、抓包，必须通过版本的形式去除（如编译宏、模块化加载，不允许采用License控制）。
2.如果问题定位不得不依赖于通信内容，产品必须提供替代方案（如：使用测试号码进行测试、采集特定音频、语音质量相关指标等方案），确保所采集的内容无法还原为最终用户的原始通信内容，防止相关功能被怀疑为非法监听。
3 产品信令跟踪功能中如果涉及短信内容：
必须在呈现界面上（如命令行显示、trace、LMT显示界面、文件存储/导出等）对短信内容进行过滤，以确保在任何情况下任何人无法看到原始的短信内容。
4.除满足上述要求外，对于涉及采集用户通信内容的相关功能还需满足以下要求：
1）必须提供严格的安全控制机制（管理员级的操作权限，日志记录，功能缺省关闭等）；
2）任何涉及客户现网数据的相关操作必须得到客户的授权，并在GPI资料中增加相关提示。
3） 产品CPI资料中对产品涉及采集用户通信内容的功能进行描述和声明：
    - 描述该功能采集用户通信内容的目的、范围、处理方式、时限。
    - 声明：要求客户使用该功能时遵从当地适用的法律法规。
4）在具体销售合同中，要求客户保证使用（包括要求本公司根据其指示使用）涉及此类功能时符合当地使用的法律法规，并保证本公司不因此产品功能的开发设计，遵循其指示或授权进行维保等操作行为而遭受任何损害及风险，包括但不限于直接或间接的个人损害、商业赢利的丧失、贸易中断、商业信息的丢失或任何其它经济损失。