可靠的安全保障方案

受控：C級(jí)

項(xiàng)目編號(hào)：DPlech-YNDW-AQFW-2023

XXX安全服務(wù)方案

DPtech

杭州迪普科技股份有限企業(yè)

HangzhouDPTechTechnologiesCo.,Ltd

年月

目錄

1項(xiàng)目概述............................................................7

2遵照原則............................................................7

3推薦服務(wù)內(nèi)容........................................................8

4服務(wù)詳細(xì)簡(jiǎn)介........................................................9

4.1網(wǎng)站安全監(jiān)控.......................................................10

服務(wù)簡(jiǎn)介....................................................10

服務(wù)功能....................................................12

服務(wù)特點(diǎn)....................................................15

輸出成果....................................................16

4.2滲透測(cè)試服務(wù).......................................................17

測(cè)翊施....................................................17

測(cè)試內(nèi)容....................................................19

實(shí)行環(huán)節(jié)...................................................20

輸出成果...................................................24

服務(wù)收益...................................................24

4.3網(wǎng)絡(luò)安全評(píng)估.......................................................24

閑古內(nèi)容...................................................25

I到古措施...................................................29

實(shí)行環(huán)節(jié)....................................................31

輸出成果...................................................42

4.4安軌檢服務(wù).......................................................42

服務(wù)內(nèi)容...................................................43

輸出成果...................................................44

服務(wù)收益........................................................44

服務(wù)頻率........................................................44

4.5安全加固服務(wù)...........................................................45

加固內(nèi)容........................................................45

力口固流程........................................................48

輸出成果........................................................53

月艮務(wù)收益........................................................54

月艮務(wù)頻率........................................................54

4.6應(yīng)急響應(yīng)服務(wù)............................................................54

服務(wù)內(nèi)容........................................................55

輸出成果........................................................57

服務(wù)蜘........................................................57

服務(wù)頻率........................................................57

4.7新系統(tǒng)入網(wǎng)安全評(píng)估.....................................................58

1列古內(nèi)容........................................................58

輸出成果........................................................60

服務(wù)收益........................................................61

服務(wù)頻率........................................................61

4.8安全攻防演習(xí)培訓(xùn).......................................................61

培訓(xùn)課程........................................................62

培訓(xùn)越........................................................69

培訓(xùn)考核........................................................70

培訓(xùn)優(yōu)勢(shì)........................................................71

4.9重要時(shí)期安全保障.......................................................71

現(xiàn)場(chǎng)值守........................................................72

預(yù)案制定...................................................73

應(yīng)急處理...................................................73

輸出成果...................................................74

5服務(wù)配套工具.......................................................75

6項(xiàng)目投資估算.......................................................75

7項(xiàng)目管理方案.......................................................76

7.1項(xiàng)目管理措施.......................................................76

7.2組織構(gòu)造圖.........................................................77

7.3項(xiàng)目溝通...........................................................78

平常溝通、記錄和備忘錄......................................78

匯報(bào).......................................................79

的義.......................................................79

7.4項(xiàng)目實(shí)行質(zhì)量保證...................................................80

項(xiàng)目執(zhí)行人員的質(zhì)量職責(zé)......................................80

安全服務(wù)質(zhì)量保證............................................81

7.5系統(tǒng)安全及風(fēng)險(xiǎn)規(guī)避方案.............................................84

項(xiàng)目實(shí)行工具................................................84

項(xiàng)目實(shí)行方略................................................84

項(xiàng)目實(shí)行中的配合............................................85

8保密承諾...........................................................86

8.1保密協(xié)議...........................................................86

保密協(xié)議的必要性............................................86

保密條款....................................................87

違約責(zé)任....................................................87

8.2項(xiàng)目實(shí)行人員專題保密承諾..........................................88

保密承諾的必要性...............................................88

保密內(nèi)容和范圍.................................................88

責(zé)任........................................................89

9迪普科技簡(jiǎn)介...........................................................89

9.1企業(yè)簡(jiǎn)介................................................................89

9.2服務(wù)資質(zhì)................................................................91

國(guó)內(nèi)最高的信息安全服務(wù)二級(jí)資質(zhì)................................91

中國(guó)通信企業(yè)協(xié)會(huì)風(fēng)險(xiǎn)評(píng)估資質(zhì)..................................93

ISO27001信息安全管理體系認(rèn)證.................................94

國(guó)家信息安全漏洞庫(kù)支撐單位....................................95

中國(guó)互玦網(wǎng)網(wǎng)絡(luò)安全威脅治理聯(lián)盟組員單位........................96

IS09001認(rèn)證....................................................97

ISO14001認(rèn)證..................................................98

部分漏洞提交證明...............................................98

9.3服務(wù)優(yōu)勢(shì)...............................................................1（X）

信息安全監(jiān)管機(jī)構(gòu)高度承認(rèn)......................................100

強(qiáng)大的漏洞挖掘研究能力........................................100

專業(yè)的安全征詢服務(wù)團(tuán)體........................................100

國(guó)家重大會(huì)議活動(dòng)首選安全保障團(tuán)體.............................101

1項(xiàng)目概述

近年來(lái)，伴隨棱鏡門(mén)事件的爆發(fā)，網(wǎng)絡(luò)和信息安全受到前所未有的關(guān)注。2023年

中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組的成立，習(xí)近平主席"沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全"

等指示時(shí)提出，無(wú)不表明網(wǎng)絡(luò)與信息安全工作已經(jīng)上升至國(guó)家戰(zhàn)略安全層面。

在這種形勢(shì)下，網(wǎng)絡(luò)安全的重要性被提到了前所未有的高度。在XXX中，假如網(wǎng)

絡(luò)和業(yè)務(wù)系統(tǒng)被黑客襲擊，頁(yè)面被得法自發(fā)、敏感信息被竊取，其影響將難以估計(jì)。同

步202361既將實(shí)行的網(wǎng)絡(luò)安全法中規(guī)定將對(duì)出現(xiàn)安全事件的組織負(fù)責(zé)人進(jìn)行懲罰。

伴隨安全技術(shù)的發(fā)展，各行業(yè)的網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)，必將成為黑客或反動(dòng)勢(shì)力H勺襲擊

目的。種種跡象表明，假如網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)存在安全漏洞，將非常輕易導(dǎo)致被襲擊者非

法入侵，并對(duì)敏感數(shù)據(jù)進(jìn)行非法竊取、篡改、刪除等操作。

編寫(xiě)本方案的目的，是但愿通過(guò)迪普科技長(zhǎng)期從事網(wǎng)絡(luò)安全、網(wǎng)站安全、安全B艮務(wù)

工作的經(jīng)驗(yàn)，以及對(duì)黑客襲擊過(guò)程的深入理解，為XXX的網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)提供全方位

的安全防護(hù)提議,并為XXX的安全運(yùn)行保駕護(hù)航。

2遵照原則

本次為XXX提供B勺安全服務(wù)，全程遵照如下原則。

?先進(jìn)性原則

安全服務(wù)和形成的規(guī)劃方案，在路線上應(yīng)與業(yè)界的主流發(fā)展趨勢(shì)相一致，保證根據(jù)

此方案進(jìn)行安全防護(hù)的XXX具有先進(jìn)性。

?原則性原則

安全服務(wù)和產(chǎn)品的選擇，按照國(guó)家安全管理、安全控制、安全規(guī)程為參照根據(jù)。

?實(shí)用性原則

具有多層次、多角度、全方位、立體化的安全保護(hù)功能。多種安全技術(shù)措施盡顯其

長(zhǎng)，互相補(bǔ)充。當(dāng)某一種或某一層保護(hù)失效時(shí)，其他仍可起到保護(hù)作用。

?可控性原則

安全服務(wù)和安全規(guī)劃的技術(shù)和處理方案，波及時(shí)工程實(shí)行應(yīng)具有可控性。

?系統(tǒng)性、均衡性、綜合性研究原則

安全服務(wù)從全系統(tǒng)出發(fā)，綜合分析多種安全風(fēng)險(xiǎn)，采用對(duì)應(yīng)的安全措施，并根據(jù)風(fēng)

險(xiǎn)日勺大小，采用不一樣強(qiáng)度B勺安全措施，提供具有最優(yōu)B勺性能價(jià)格比H勺安全處理方案。

?可行性、可靠性原則

技術(shù)和處理方案，需在保證網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)正常運(yùn)轉(zhuǎn)的前提下，提供最優(yōu)安全保障。

?可擴(kuò)展性原則

良好的可擴(kuò)展性，能適應(yīng)安全技術(shù)的迅速發(fā)展和更新，能伴隨安全需求的變化而變

化，充足保證投資的效益。

3推薦服務(wù)內(nèi)容

根據(jù)國(guó)家監(jiān)管機(jī)構(gòu)規(guī)定以及XXX安全需求，我們推薦如下服務(wù)內(nèi)容。

序號(hào)服務(wù)內(nèi)容服務(wù)描述服務(wù)方式

對(duì)XXX指定的網(wǎng)站進(jìn)行7*24小時(shí)安全監(jiān)控，并

1網(wǎng)站安全監(jiān)控提供監(jiān)控日?qǐng)?bào)、周報(bào)、月報(bào)，在網(wǎng)站出現(xiàn)異常狀

況時(shí)（被襲擊、篡改、掛馬），進(jìn)行實(shí)時(shí)告警。

通過(guò)人工方式，模擬黑客襲擊措施,對(duì)XXX的網(wǎng)

2滲透測(cè)試服務(wù)站進(jìn)行非破壞性質(zhì)的安全測(cè)試,查找應(yīng)用層面漏遠(yuǎn)程/現(xiàn)場(chǎng)

洞并給出對(duì)應(yīng)的修復(fù)提議。

評(píng)估XXX的網(wǎng)絡(luò)拓?fù)浼軜?gòu)、安全域規(guī)劃、邊界防

護(hù)、安全防護(hù)措施、關(guān)鍵設(shè)備安全配置、設(shè)備脆

3網(wǎng)絡(luò)安全評(píng)估販

弱性等，從而全面評(píng)估網(wǎng)絡(luò)的安全現(xiàn)實(shí)狀況，查

找安全隱患。

定期對(duì)XXX的業(yè)務(wù)系統(tǒng)進(jìn)行安全漏洞檢測(cè)、基線

配置核查、安全日志審計(jì)，評(píng)估業(yè)務(wù)系統(tǒng)的安全

4安全巡檢服務(wù)販

現(xiàn)實(shí)狀況，假如存在安全風(fēng)險(xiǎn)，則提供對(duì)應(yīng)的整

雌議。

對(duì)安全巡檢發(fā)現(xiàn)的漏洞進(jìn)行修復(fù)、配置隱患進(jìn)行

優(yōu)化的過(guò)程。加固內(nèi)容包括但不限于系統(tǒng)補(bǔ)丁、

5安全加固服務(wù)遠(yuǎn)程/現(xiàn)場(chǎng)

防火墻、防病毒、危險(xiǎn)服務(wù)、共享、自動(dòng)播放、

密碼安全。

當(dāng)XXX的網(wǎng)站或服務(wù)器遭受黑客入侵襲擊時(shí)，第

6應(yīng)急響應(yīng)服務(wù)一時(shí)間對(duì)入侵事件進(jìn)行分析、檢測(cè)、克制、處理，遠(yuǎn)程/現(xiàn)場(chǎng)

查找入侵來(lái)源并恢復(fù)系統(tǒng)正常運(yùn)行。

在新系統(tǒng)入網(wǎng)前，對(duì)其進(jìn)行全面的安全評(píng)估，包

新系統(tǒng)入網(wǎng)安括滲透測(cè)試、漏洞檢測(cè)、基線核查，評(píng)估新系統(tǒng)

7遠(yuǎn)程/現(xiàn)場(chǎng)

全評(píng)估的安全狀況，查找不符合安全規(guī)定的配置項(xiàng)以及

安全風(fēng)險(xiǎn)點(diǎn)。

為XXX提供一種理論結(jié)合實(shí)際、可以實(shí)戰(zhàn)演習(xí)、

安全攻防演習(xí)

8場(chǎng)景真實(shí)逼真的安全攻防培訓(xùn)1,從而真正提高受販

培訓(xùn)

訓(xùn)人員的安全技術(shù)和實(shí)際動(dòng)手能力。

在重要時(shí)期（如重大會(huì)議、重大節(jié)假日），我司

重要時(shí)期安全

9派出安全攻防經(jīng)驗(yàn)豐富的安全專家，進(jìn)駐顧客現(xiàn)則

保障

場(chǎng)，對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行現(xiàn)場(chǎng)安全值守和保障。

4服務(wù)詳細(xì)簡(jiǎn)介

下面，對(duì)每項(xiàng)服務(wù)內(nèi)容，進(jìn)行詳細(xì)闡明。

4.1網(wǎng)站安全監(jiān)控

伴隨互聯(lián)網(wǎng)技術(shù)的迅速發(fā)展，網(wǎng)站襲擊時(shí)門(mén)檻不停減少。各類型網(wǎng)站受到的安全威

脅越來(lái)越多，為形象、各Web應(yīng)用系統(tǒng)的正常使用。應(yīng)實(shí)現(xiàn)如下基本安全需求：

?監(jiān)控網(wǎng)站頁(yè)面內(nèi)容完整、不被篡改；

?監(jiān)控網(wǎng)站存在KJSQL注入、XSS、非法訪問(wèn)、信息泄露等應(yīng)用層漏洞，從而提

前處理潛在風(fēng)險(xiǎn)；

?監(jiān)控網(wǎng)站，防止網(wǎng)站掛馬而導(dǎo)致日勺客戶滿意度損失；

?監(jiān)控網(wǎng)站與否存在敏感信息，對(duì)于網(wǎng)站的敏感信息內(nèi)容自行配制告警功能，

以便管理者及時(shí)理解到發(fā)生B勺安全事件，可根據(jù)量化的原則，對(duì)網(wǎng)站的安全

事件嚴(yán)重程度進(jìn)行不一樣形式的告警，杜絕也許存在的政治風(fēng)險(xiǎn)和聲譽(yù)損失；

?監(jiān)控網(wǎng)站與否被釣魚(yú)，導(dǎo)致有關(guān)的聲譽(yù)損失。

4.1.1服務(wù)簡(jiǎn)介

WEB網(wǎng)站安全監(jiān)控平臺(tái)安全監(jiān)控系統(tǒng)是迪普科技根據(jù)"云”的理念研發(fā)出的一款全

天候Web監(jiān)測(cè)系統(tǒng)。WEB網(wǎng)站安全監(jiān)控平臺(tái)監(jiān)控系統(tǒng)基于PAAS(Platform-As-A-Service)

模式，通過(guò)布署于各信息節(jié)點(diǎn)的監(jiān)測(cè)引擎對(duì)客戶指定時(shí)網(wǎng)站(WEB應(yīng)用)進(jìn)行可用率和

站點(diǎn)安全性檢測(cè)，以保障客戶網(wǎng)站業(yè)務(wù)持續(xù)性，從而向客戶提供網(wǎng)站安全的保障。

4.1.2服務(wù)功能

4.L2.1被動(dòng)防御

被動(dòng)防御重要提供如下服務(wù)：

?網(wǎng)站異常推送

無(wú)需時(shí)時(shí)刻刻緊盯著網(wǎng)站，也無(wú)需變化任何網(wǎng)絡(luò)的布署，也不需專門(mén)B勺人員進(jìn)行安

全設(shè)備維護(hù)及分析日志，一旦Web出現(xiàn)任＜可異常行為，迪普科技WEB網(wǎng)站安全監(jiān)控平

臺(tái)會(huì)自動(dòng)把異常推送到云端，然后在云端進(jìn)行分析檢測(cè)。您完全不用緊張找不到異常的

處理措施，WEB網(wǎng)站安全監(jiān)控平臺(tái)會(huì)幫你完畢這一系列繁雜的任務(wù)。

?預(yù)警服務(wù)

每一種顧客所發(fā)生的異常行為都會(huì)在推送到云端分析結(jié)束后保留在云端特性庫(kù)中，

一旦該異常再次發(fā)生，異常比對(duì)后，云端幾乎可無(wú)間隔預(yù)警。也就是說(shuō)我們的顧客越多，

WEB網(wǎng)站安全監(jiān)控平臺(tái)全方位立體式的監(jiān)控就越完善，您的網(wǎng)站也越加安全。

?專業(yè)團(tuán)體

Web異常原因根據(jù)系統(tǒng)環(huán)境，人員等多種原因各式各樣。在碰到云端無(wú)法處理的狀

況下，我們專業(yè)團(tuán)體會(huì)在第一時(shí)間告知您，并提供處理方案。

?系統(tǒng)報(bào)表

每日監(jiān)測(cè)后網(wǎng)站性能等監(jiān)測(cè)指標(biāo)都可以隨時(shí)生成對(duì)應(yīng)時(shí)報(bào)表，以便您的查閱。您無(wú)

需在去找人進(jìn)行參數(shù)整頓等反復(fù)性工作，處理大量的人力反復(fù)勞動(dòng)。

4.1.2.2積極掃描

積極掃描重要提供如下服務(wù)：

?網(wǎng)站性能監(jiān)控

性能監(jiān)控重要對(duì)服務(wù)器性能、網(wǎng)站訪問(wèn)可用率、延遲、故障時(shí)間的一種持續(xù)評(píng)測(cè)。

是積極掃描中基礎(chǔ)模塊之一，它能更精確的讓您清晰每天網(wǎng)站運(yùn)行的狀態(tài)。

檢測(cè)功能：

■有效的監(jiān)測(cè)網(wǎng)站實(shí)時(shí)的可用率，愈加直觀時(shí)體現(xiàn)出網(wǎng)站的性能；

■記錄網(wǎng)站的故障時(shí)間，可有效的查出故障時(shí)間段，針對(duì)性處理網(wǎng)站故障；

■網(wǎng)站性能分析，根據(jù)監(jiān)測(cè)成果智能分析出網(wǎng)站也許出現(xiàn)的異常狀況。

?網(wǎng)站篡改檢測(cè)

網(wǎng)站防線攻破后，入侵者會(huì)對(duì)網(wǎng)站的頁(yè)面內(nèi)容進(jìn)行篡改，公布某些危害網(wǎng)站正常運(yùn)

行的言論，從對(duì)網(wǎng)站形象帶來(lái)巨大負(fù)面影響。

檢測(cè)功能：

■有效防止掛黑鏈，防止影響網(wǎng)站優(yōu)化，導(dǎo)致排名下降；

■及時(shí)發(fā)現(xiàn)留后門(mén)，防止網(wǎng)站二次入侵；

■第一時(shí)間發(fā)現(xiàn)惡意修改的虛假信息，防止誤導(dǎo)顧客;

■時(shí)刻檢測(cè)惡意代碼植入，防止網(wǎng)站被殺軟警報(bào)屏蔽；

■防止主頁(yè)被篡改，減少聲譽(yù)損失，防止網(wǎng)站服務(wù)中斷。

?網(wǎng)站掛馬監(jiān)控

掛馬檢測(cè)模塊采用大規(guī)模、分布式、動(dòng)態(tài)行為檢測(cè)和靜態(tài)檢測(cè)相結(jié)合B勺掛馬識(shí)別方

式，可以精確判斷出網(wǎng)站的掛馬頁(yè)面，并及時(shí)發(fā)出警報(bào)，可以有效維護(hù)網(wǎng)站安全和利益。

同步，通過(guò)高級(jí)木馬檢測(cè)服務(wù)，顧客可指定監(jiān)控間隔周期、監(jiān)控頁(yè)面深度、報(bào)警方式等

參數(shù)，更好的滿足顧客需求。

檢測(cè)功能：

■檢測(cè)iframe框架掛馬，讓您及時(shí)清理，防止成為木馬散布點(diǎn)；

■檢測(cè)script掛馬，防止通過(guò)script的調(diào)用來(lái)掛馬；

■檢測(cè)圖片偽裝掛馬，讓您及時(shí)處理，防止網(wǎng)頁(yè)被殺軟報(bào)警；

■檢測(cè)網(wǎng)頁(yè)漏洞，讓您及時(shí)修復(fù)，防止被掛馬；

■實(shí)時(shí)監(jiān)控網(wǎng)站掛馬狀況，讓您及時(shí)處理掛馬問(wèn)題。

?網(wǎng)站敏感詞監(jiān)控

敏感詞監(jiān)控重要是針對(duì)網(wǎng)站敏感詞B勺一種檢測(cè)過(guò)濾，它能精確的檢測(cè)出你在其管理

平臺(tái)中設(shè)置的敏感詞。一旦發(fā)現(xiàn)存在某個(gè)頁(yè)面中,WEB網(wǎng)站安全監(jiān)控平臺(tái)會(huì)積極提醒您。

檢測(cè)功能：

■檢測(cè)網(wǎng)頁(yè)源碼中敏感詞出現(xiàn)；

■檢測(cè)數(shù)據(jù)庫(kù)中敏感詞出現(xiàn)；

■記錄敏感詞出現(xiàn)次數(shù)，定位到詳細(xì)代碼數(shù)據(jù)。

?網(wǎng)跨站釣魚(yú)檢測(cè)

跨站釣魚(yú)檢測(cè)模塊通過(guò)靜態(tài)分析技術(shù)與虛擬機(jī)沙箱行為檢測(cè)技術(shù)相結(jié)合，對(duì)網(wǎng)站進(jìn)

行跨站釣魚(yú)檢測(cè)，能在最快B勺時(shí)間內(nèi)完畢跨站檢測(cè)。

檢測(cè)功能：

■檢測(cè)iframe框架跨站釣魚(yú)；

■檢測(cè)script跨站釣魚(yú)，防止通過(guò)script的調(diào)用來(lái)跨站釣魚(yú)；

■檢測(cè)img跨站釣魚(yú)；

■對(duì)頁(yè)面的中的鏈接域名進(jìn)行監(jiān)測(cè)，保障顧客訪問(wèn)B勺域名對(duì)的性。

4.1.3服務(wù)特點(diǎn)

4.1.3.1易操作

顧客只需要登錄我們的平臺(tái)，在其授權(quán)管理后，設(shè)置網(wǎng)站所需要監(jiān)控的項(xiàng)目。迪普

科技本著“以人為本”理念，在產(chǎn)品設(shè)計(jì)時(shí)非常重視顧客體驗(yàn)，您只需要簡(jiǎn)樸的幾步操

作既可完畢整個(gè)網(wǎng)站B勺監(jiān)控。同步產(chǎn)品中擁有豐富B勺協(xié)助文檔，雖然您沒(méi)有接觸過(guò)類似

產(chǎn)品，在協(xié)助文檔H勺指導(dǎo)下也可以順利的完畢操作?？梢栽诠芾砥脚_(tái)中根據(jù)您設(shè)置對(duì)網(wǎng)

站安全狀況進(jìn)行日?qǐng)?bào)、周報(bào)、月報(bào)的匯報(bào)通告，并通過(guò)郵件及時(shí)告知您。

4.1.3.2智能管理

?積極掃描模式，被動(dòng)防御模式

積極掃描模式可積極更深入H勺測(cè)查出網(wǎng)站所存在的安全隱患，可積極發(fā)現(xiàn)多種網(wǎng)頁(yè)

掛馬、敏感詞的出現(xiàn)、以及網(wǎng)站實(shí)時(shí)性能的一種總體分析。您可隨意調(diào)整掃描模式，到

達(dá)預(yù)期效果。被動(dòng)防御模式可全天候監(jiān)測(cè)網(wǎng)站異常，并在異常出現(xiàn)第一時(shí)間預(yù)警通您。

?節(jié)省投資與管理成本

提供365*7*24全天候時(shí)在線木馬監(jiān)測(cè)服務(wù)，讓您的站點(diǎn)每一分鐘都在監(jiān)控中。大

大節(jié)省您在安全設(shè)備采購(gòu)的投資，并且您無(wú)需親自動(dòng)手操作多種安全設(shè)備,防止在使用

設(shè)備過(guò)程中的繁瑣,節(jié)省您的時(shí)間和精力。

?訂閱故障記錄匯報(bào)

站點(diǎn)安全狀況可根據(jù)顧客需求進(jìn)行訂閱，讓顧客可以理解到行業(yè)內(nèi)、地區(qū)內(nèi)站點(diǎn)的

安全狀況，及時(shí)做好維護(hù)升級(jí)，防止不必要的損失。

4.1.4輸出成果

網(wǎng)站安全監(jiān)控時(shí)輸出成果如下：

?《XXX網(wǎng)站安全監(jiān)控周報(bào)》

?《XXX網(wǎng)站安全監(jiān)控月報(bào)》

4.2滲透測(cè)試服務(wù)

滲透測(cè)試服務(wù)，是在XXX授權(quán)的前提下，以模擬黑客襲擊B勺方式，對(duì)XXX網(wǎng)站日勺安

全漏洞、安全隱患進(jìn)行全面檢測(cè)，最終目的是查找網(wǎng)站的安全漏洞、評(píng)估網(wǎng)站的安全狀

態(tài)、提供漏洞修復(fù)提議。

在滲透過(guò)程中，我們會(huì)采用業(yè)界領(lǐng)先的漏洞檢測(cè)技術(shù)、襲擊技術(shù)、襲擊工具不夠普

安全團(tuán)體編寫(xiě)的腳本。過(guò)程分為四步：計(jì)劃與準(zhǔn)備、信息搜集、實(shí)行滲透、輸出匯報(bào)。

計(jì)劃與準(zhǔn)備階段重要是根據(jù)網(wǎng)站反饋的內(nèi)容制定項(xiàng)目實(shí)行方案與計(jì)劃；信息搜集與實(shí)行

滲透是項(xiàng)目的實(shí)行階段，輸出匯報(bào)重要是匯總和評(píng)估項(xiàng)目中發(fā)現(xiàn)的安全威脅，并輸出文

檔。

4.2.1測(cè)試措施

我司提供的滲透測(cè)試服務(wù)，采用的測(cè)試措施如下,

?信息搜集

信息探測(cè)階段包括信息搜集，端口、服務(wù)掃描，計(jì)算機(jī)漏洞檢測(cè)，此階段重要做滲

透前的踩點(diǎn)用。

使用工具：

?Maltego,搜集管理員email、tel、常用id,網(wǎng)絡(luò)拓?fù)涞?/p>

?Nmap,端口、服務(wù)掃描，弱口令破解，系統(tǒng)信息探測(cè)

?X-scan,端口、服務(wù)掃描，弱口令破解，系統(tǒng)信息探測(cè)

?POf,系統(tǒng)識(shí)別

?Appscan,Web漏洞檢測(cè)程序

?WVS,Web漏洞檢測(cè)程序

?W3AF,Web漏洞檢測(cè)程序

?Scanner1000,迪普科技開(kāi)發(fā)的漏洞檢測(cè)產(chǎn)品，支持系統(tǒng)漏洞檢測(cè)，Web漏洞

檢測(cè)等一系列功能

?端口掃描

通過(guò)對(duì)目的地址KJTCP/UDP端口掃描，確定其所開(kāi)放的服務(wù)的數(shù)量和類型，這是所

有滲透測(cè)試的基礎(chǔ)。通過(guò)端口掃描，可以基本確定一種系統(tǒng)的基本信息，結(jié)合安全工程

師的經(jīng)驗(yàn)可以確定其也許存在以及被運(yùn)用的安全弱點(diǎn),為進(jìn)行深層次的滲透提供根據(jù)。

?口令猜測(cè)

口令猜測(cè)也是一種出現(xiàn)概率很高的風(fēng)險(xiǎn)，幾乎不需要任何襲擊工具，運(yùn)用一種簡(jiǎn)樸

B勺暴力襲擊程序和一種比較完善的字典，就可以猜測(cè)口令。

對(duì)一種系統(tǒng)賬號(hào)的猜測(cè)一般包括兩個(gè)方面：首先是對(duì)顧客名的猜測(cè)，另一方面是對(duì)

密碼的猜測(cè)。

?腳本測(cè)試

腳本測(cè)試專門(mén)針對(duì)Web服務(wù)器進(jìn)行。根據(jù)最新KJ技術(shù)記錄，腳本安全弱點(diǎn)為目前

Web系統(tǒng)尤其存在動(dòng)態(tài)內(nèi)容的Web系統(tǒng)存在的重要比較嚴(yán)重的安全弱點(diǎn)之一。運(yùn)用腳

本有關(guān)弱點(diǎn)輕則可以獲取系統(tǒng)其他目錄的訪問(wèn)權(quán)限，重則將有也許獲得系統(tǒng)B勺控制權(quán)限。

因此對(duì)于具有動(dòng)態(tài)頁(yè)面B勺Web系統(tǒng)，腳本測(cè)試將是必不可少的一種環(huán)節(jié)。

?Hydra，暴力破解工具，支持Samba,FTP,POP3,IMAP,Telnet,Auth,LDAP,

NNTP,MySQL,VNC,ICQ,Socks5,PCNFS,Cisco等多種協(xié)議B勺暴力破解

?Metasploit,溢出程序運(yùn)用平臺(tái)

?菜刀，Webshell功力工具

?Pwdump7,讀取系統(tǒng)HASH

?Cain,內(nèi)網(wǎng)sniffer工具

?Disniff,linux下嗅探工具

?人工滲透

人工滲透，重要針對(duì)系統(tǒng)的業(yè)務(wù)邏輯漏洞進(jìn)行安全測(cè)試，運(yùn)用業(yè)務(wù)邏輯漏洞查找可

精確、切實(shí)的找出業(yè)務(wù)中存在的安全隱患，防止被惡意顧客運(yùn)用，對(duì)系統(tǒng)導(dǎo)致重大損失。

4.2.2測(cè)試內(nèi)容

對(duì)XXX網(wǎng)站H勺滲透測(cè)試，除使用產(chǎn)品和工具掃描外，更重要H勺需要進(jìn)行人工滲透，

滲透內(nèi)容包括但不限于如下項(xiàng)，且需要對(duì)發(fā)現(xiàn)的漏洞進(jìn)行驗(yàn)證和運(yùn)用。

序號(hào)滲透測(cè)試大項(xiàng)滲透測(cè)試小項(xiàng)

1配置管理備份測(cè)試、措施測(cè)試、傳播安全

2身份鑒別顧客注冊(cè)、賬戶權(quán)限、賬戶枚舉、弱口令

3認(rèn)證授權(quán)認(rèn)證繞過(guò)、目錄遍歷、授權(quán)繞過(guò)、權(quán)限提高

超時(shí)測(cè)試、會(huì)話管理繞過(guò)測(cè)試、會(huì)話令牌泄露測(cè)試、

4會(huì)話管理

跨站點(diǎn)祈求偽造CSRF測(cè)試

5輸入驗(yàn)證SQL注入、代碼注入、命令執(zhí)行注入、跨站腳本XSS

6錯(cuò)誤處理錯(cuò)誤碼分析、棧追蹤分析

7業(yè)務(wù)邏輯數(shù)據(jù)驗(yàn)證、祈求偽造、完整性、次數(shù)限制、上傳測(cè)試

4.2.3實(shí)行環(huán)節(jié)

根據(jù)黑客入侵的過(guò)程，并結(jié)合滲透測(cè)試的規(guī)定，我司滲透測(cè)試的實(shí)行環(huán)節(jié)如下。

4.2.3.1計(jì)劃與準(zhǔn)備階段

1）工作目的

計(jì)劃與準(zhǔn)備階段，需要明確滲透測(cè)試的實(shí)行范圍與測(cè)試對(duì)象，制定實(shí)行措施與方案,

并制定詳細(xì)的實(shí)行計(jì)劃，為滲透測(cè)試的順利進(jìn)行，作重要準(zhǔn)備。滲透測(cè)試時(shí)實(shí)行,將按

照方案和計(jì)劃進(jìn)行。

2）工作內(nèi)容

計(jì)劃與準(zhǔn)備階段B勺工作，重要是對(duì)滲透測(cè)試實(shí)行舉行研討會(huì)，討論滲透測(cè)試操作思

緒，闡明滲透測(cè)試的實(shí)行范圍和測(cè)試對(duì)象，然后根據(jù)研討內(nèi)容制定對(duì)應(yīng)得實(shí)行方案與計(jì)

劃。由領(lǐng)導(dǎo)審核同意實(shí)行方案與計(jì)劃，項(xiàng)目組根據(jù)實(shí)際狀況日勺需要，會(huì)對(duì)實(shí)行方案與計(jì)

劃進(jìn)行一定的調(diào)整。

3）實(shí)行計(jì)劃

序號(hào)任務(wù)名稱工作內(nèi)容計(jì)劃時(shí)間

討論滲透測(cè)試的工作思緒，闡明測(cè)試范

1滲透測(cè)試研討會(huì)圍、測(cè)試目的對(duì)象、實(shí)行方式以及實(shí)行

人員和大體的時(shí)間計(jì)劃

制定滲透測(cè)試實(shí)行方根據(jù)研討會(huì)B勺討論內(nèi)容，制定對(duì)應(yīng)的滲

2

案與計(jì)劃透測(cè)試實(shí)行方案和實(shí)行計(jì)劃

3提交滲透測(cè)試實(shí)行方提交滲透測(cè)試實(shí)行方案與計(jì)劃

案與計(jì)劃

項(xiàng)目組提交滲透測(cè)試實(shí)行方案與計(jì)劃，

審核與確認(rèn)滲透測(cè)試

4由領(lǐng)導(dǎo)進(jìn)行審核確認(rèn)，提出對(duì)應(yīng)的意見(jiàn)

實(shí)行方案與計(jì)劃

與提議

根據(jù)領(lǐng)導(dǎo)審核意見(jiàn)和提議，對(duì)實(shí)行方案

5修正實(shí)行方案與計(jì)劃

與計(jì)劃進(jìn)行對(duì)應(yīng)的修正

4.23.2信息搜集階段

1）工作目的

信息搜集是所有入侵襲擊的前奏和基礎(chǔ)。通過(guò)信息搜集分析，襲擊者可以有針對(duì)性

地制定入侵襲擊的措施方略，提高入侵B勺成功率、減小暴露或被發(fā)現(xiàn)的機(jī)率。因此以模

擬黑客襲擊方式進(jìn)行的滲透測(cè)試，也以信息搜集為第一種實(shí)行的階段過(guò)程。

2）工作內(nèi)容

信息搜集階段的）工作內(nèi)容是對(duì)目的所在的整個(gè)IP網(wǎng)段進(jìn)行掃描探測(cè)與手工查閱。

通過(guò)對(duì)目的地址的TCP/UDP端口掃描，確定其所開(kāi)放的服務(wù)的數(shù)量和類型,這是

所有滲透性測(cè)試的基礎(chǔ)。通過(guò)信息探測(cè)漏洞檢測(cè)，可以基本確定一種系統(tǒng)的基本信息,

結(jié)合安全工程師的經(jīng)驗(yàn)可以確定其也許存在以及被運(yùn)用的安全弱點(diǎn)，為進(jìn)行深層次的滲

透提供根據(jù)。并且用手工的方式對(duì)應(yīng)用、網(wǎng)頁(yè)等內(nèi)容進(jìn)行某些信息查看。

3）實(shí)行計(jì)劃

序號(hào)任務(wù)名稱工作內(nèi)容時(shí)間

滲透測(cè)試變更流程與變更根據(jù)滲透測(cè)試的需要，進(jìn)行對(duì)應(yīng)的

1

操作變更

按照實(shí)行方案，進(jìn)行信息搜集階段

2信息搜集階段實(shí)行操作

實(shí)行操作

4.23.3滲透實(shí)行階段

4.2.3.4輸出匯報(bào)階段

1）工作目的

本階段為根據(jù)滲透測(cè)試得出的成果，進(jìn)行匯總分析，輸出《滲透測(cè)試匯報(bào)》。

2）工作內(nèi)容

編寫(xiě)、整頓滲透測(cè)試匯報(bào)。

3）實(shí)行計(jì)劃

序號(hào)任務(wù)名稱工作內(nèi)容計(jì)劃時(shí)間

對(duì)滲透測(cè)試得出的成果進(jìn)行分析，并輸

1編寫(xiě)滲透測(cè)試匯報(bào)

出，口g

4.2.4輸出成果

滲透測(cè)試的輸出成果如下：

?《XXX滲透測(cè)試服務(wù)匯報(bào)》

?《XXX滲透測(cè)試服務(wù)復(fù)測(cè)匯報(bào)》

4.2.5服務(wù)收益

對(duì)網(wǎng)站進(jìn)行滲透測(cè)試，可為XXX帶來(lái)如下收益：

?評(píng)估網(wǎng)站中存在的安全隱患、安全隱患；

?發(fā)現(xiàn)網(wǎng)站存在的深層次安全隱患；

?驗(yàn)證網(wǎng)站既有安全措施的防護(hù)強(qiáng)度；

?評(píng)估網(wǎng)站被入侵時(shí)也許性，并在入侵者發(fā)起襲擊前封堵也許被運(yùn)用的襲擊途徑。

4.3網(wǎng)絡(luò)安全評(píng)估

網(wǎng)絡(luò)安全評(píng)估是對(duì)網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)的安全漏洞、安全隱患、安全風(fēng)險(xiǎn)，進(jìn)行探測(cè)、

識(shí)別、控制、消除的全過(guò)程，它從風(fēng)險(xiǎn)管理角度，運(yùn)用科學(xué)的措施和手段,系統(tǒng)地分析

網(wǎng)絡(luò)與應(yīng)用系統(tǒng)所面臨日勺威脅及其存在的脆弱性,評(píng)估安全事件一旦發(fā)生也許導(dǎo)致的危

害程度，提出有針對(duì)性日勺抵御威脅的防護(hù)對(duì)策和整改措施。

網(wǎng)絡(luò)安全評(píng)估的內(nèi)容，包括網(wǎng)絡(luò)拓?fù)浼軜?gòu)、安全域規(guī)劃、邊界防護(hù)、安全防護(hù)措施、

關(guān)鍵設(shè)備安全配置、設(shè)備脆弱性等，從而全面評(píng)估網(wǎng)絡(luò)的安全現(xiàn)實(shí)狀況，查找安全隱患。

4.3.1評(píng)估內(nèi)容

資產(chǎn)評(píng)估

陲

信息資產(chǎn)的識(shí)別可以確定評(píng)估的對(duì)象，是整個(gè)安全服務(wù)工作的基礎(chǔ)。并且，本階

段可以協(xié)助XXX實(shí)現(xiàn)信息資產(chǎn)識(shí)別和整頓,完畢一份完整和最新的信息資產(chǎn)清單，

對(duì)XXX的信息資產(chǎn)管理工作會(huì)有所協(xié)助。

完畢一份完整和最新的信息資產(chǎn)清單。

過(guò)程描述I

首先識(shí)別信息資產(chǎn)，完畢所有重要信息資產(chǎn)的清單。按照資產(chǎn)性質(zhì)和業(yè)務(wù)類型等

可以提成若干資產(chǎn)類，一般分為數(shù)據(jù)，軟件，服務(wù)，硬件，設(shè)備和文檔等.根據(jù)不一樣

的項(xiàng)目目的與項(xiàng)目特點(diǎn)，重點(diǎn)識(shí)別的資產(chǎn)類別會(huì)有所不一樣，在一般的項(xiàng)目中，一股數(shù)

據(jù)、軟件和服務(wù)為重點(diǎn)。

4.3.1.2架構(gòu)安全評(píng)估

陲

對(duì)網(wǎng)絡(luò)構(gòu)造，邏輯網(wǎng)絡(luò)構(gòu)造及網(wǎng)絡(luò)的關(guān)鍵設(shè)備進(jìn)行評(píng)估，發(fā)現(xiàn)存在的安全性方面

的問(wèn)題。結(jié)合業(yè)務(wù)體系、系統(tǒng)體系等構(gòu)造的檢查邏輯網(wǎng)絡(luò)，由什么物理網(wǎng)絡(luò)構(gòu)成以及網(wǎng)

絡(luò)的關(guān)鍵設(shè)備的位置所在對(duì)于保持網(wǎng)絡(luò)的安全是非常重要的。此外，鑒定關(guān)鍵網(wǎng)絡(luò)拓?fù)?

對(duì)于成功地實(shí)行一種基于網(wǎng)絡(luò)的風(fēng)險(xiǎn)管理方案是非常關(guān)鍵的?；拘畔ňW(wǎng)絡(luò)帶寬,

協(xié)議，硬件（例如：互換機(jī)，路由器等）Internet接入，地理分布方式和網(wǎng)絡(luò)管理。

發(fā)現(xiàn)網(wǎng)絡(luò)構(gòu)造存在的安全性問(wèn)題。

過(guò)程描M

L網(wǎng)絡(luò)拓?fù)浞治?/p>

拓?fù)錁?gòu)造合理性分析，可擴(kuò)展性分析，例如網(wǎng)絡(luò)中重要節(jié)點(diǎn)的鏈路與否有冗余。

2.安全域評(píng)估

對(duì)XXX網(wǎng)絡(luò)進(jìn)行全面理解,查看安全域與否有劃分,安全域的劃分與否合理，安

全域間與否有對(duì)應(yīng)的安全防護(hù)措施，并提出對(duì)應(yīng)的改善方案。

對(duì)于信息系統(tǒng)的安全，除了自身的安全檢測(cè)外，還需要考慮與其他系統(tǒng)進(jìn)行對(duì)接日勺

接口安全，即邊界安全。劃分安全域并對(duì)其進(jìn)行安全防護(hù)，將有效保障系統(tǒng)與對(duì)接系統(tǒng)

日勺安全。

因此，安全域評(píng)估是架構(gòu)評(píng)估中的重中之重，我司將對(duì)XXX的安全域進(jìn)行詳細(xì)B勺

分析與劃分，并提出對(duì)應(yīng)的措施，以保障對(duì)接應(yīng)用系統(tǒng)B勺邊界安全，有效保障應(yīng)用系統(tǒng)

的安全運(yùn)行。

3.邊界接入評(píng)估

對(duì)邊界接入進(jìn)行全面調(diào)研分析，對(duì)多種接入狀況進(jìn)行安全風(fēng)險(xiǎn)評(píng)估，與非信任網(wǎng)

絡(luò)間互訪的安全管理，提出改善方案。

邊界接入評(píng)估，也能有效增進(jìn)系統(tǒng)與其他系統(tǒng)的對(duì)接接口安全。

4.訪問(wèn)控制狀況調(diào)查評(píng)估

在有關(guān)的網(wǎng)絡(luò)隔離點(diǎn)，與否有恰當(dāng)B勺訪問(wèn)控制規(guī)則設(shè)置,與否被有效B勺執(zhí)行。

5.接入/連接方式的安全性評(píng)估

各個(gè)接入節(jié)點(diǎn)部分與否具有安全措施保障，與否被對(duì)的配置和執(zhí)行。

6.信任網(wǎng)絡(luò)之間的安全性評(píng)估

信任網(wǎng)絡(luò)或者不信任網(wǎng)絡(luò)之間與否有控制，控制自身帶來(lái)的安全程度以及與否有

可以繞過(guò)控制的途徑。

■網(wǎng)絡(luò)架構(gòu)管理評(píng)估

網(wǎng)絡(luò)體系架構(gòu)是怎樣進(jìn)行管理的，與否有良好的機(jī)制和制度保障網(wǎng)絡(luò)架構(gòu)自身不

被變化，沒(méi)有非法H勺不符合安全方略的架構(gòu)變化。

8.網(wǎng)絡(luò)設(shè)備認(rèn)證管理評(píng)估

與否有集中的設(shè)備認(rèn)證管理機(jī)制，與否被對(duì)的的配置和執(zhí)行。

9.網(wǎng)絡(luò)的高可用性和可靠性評(píng)估

網(wǎng)絡(luò)建設(shè)中與否良好的考慮了網(wǎng)絡(luò)B勺高可用性和可靠性問(wèn)題，與否被對(duì)的使用和

良好的配置，與否有機(jī)制保障不被修改。

4.3.1.3配置安全評(píng)估

睡

對(duì)網(wǎng)絡(luò)及安全設(shè)備的配置進(jìn)行檢查，對(duì)IP地址分派與否對(duì)的、VLAN劃分與否合

理，路由協(xié)議、安全方略與否合理等多方面進(jìn)行分析，網(wǎng)絡(luò)配置是整個(gè)網(wǎng)絡(luò)安全的基礎(chǔ)。

發(fā)現(xiàn)網(wǎng)絡(luò)設(shè)備配置存在的不合理及安全性問(wèn)題。

過(guò)程描述I

L路由協(xié)議評(píng)估

分析所采用的路由協(xié)議，與否存在配置漏洞，冗余路由配置狀況，路由協(xié)議的信

任關(guān)系問(wèn)題。

2.安全方略評(píng)估

分析配置中與否采用安全有關(guān)配置，系統(tǒng)的安全方略與否存在，以及與否和業(yè)務(wù)

系統(tǒng)互相吻合。

3.協(xié)議選擇評(píng)估

對(duì)網(wǎng)絡(luò)管理有關(guān)協(xié)議的分析整頓；

對(duì)業(yè)務(wù)應(yīng)用有關(guān)協(xié)議的分析整頓。XXX業(yè)務(wù)系統(tǒng)自身業(yè)務(wù)服務(wù)所采用H勺有關(guān)協(xié)議,

以及由此而帶來(lái)B勺有關(guān)H勺網(wǎng)絡(luò)支撐設(shè)備。

4.訪問(wèn)控制狀況調(diào)查評(píng)估

在有關(guān)的網(wǎng)絡(luò)隔離點(diǎn)，與否有恰當(dāng)?shù)脑L問(wèn)控制規(guī)則設(shè)置，與否被有效日勺執(zhí)行。

5.VLAN劃分評(píng)估

分析XXX網(wǎng)絡(luò)中VLAN劃分與否合理，對(duì)應(yīng)設(shè)備上的）VLAN配置與否對(duì)的，1P

地址與否分派對(duì)時(shí)。

6.安全配置均衡性分析

安全配置自身與否具有不合理的配置或者弱點(diǎn)存在。

7.網(wǎng)絡(luò)的高可用性和可靠性評(píng)估

網(wǎng)絡(luò)建設(shè)中與否良好的考慮了網(wǎng)絡(luò)B勺高可用性和可靠性問(wèn)題,與否被對(duì)的使用和

良好的配置，與否有機(jī)制保障不被修改。

4.3.1.4設(shè)備漏洞掃描

蹄

為了充足理解XXX目前網(wǎng)絡(luò)存在日勺安全隱患，采用迪普綜合漏洞評(píng)估掃描工具對(duì)

XXX日勺網(wǎng)絡(luò)進(jìn)行全面掃描，檢查其網(wǎng)絡(luò)設(shè)備B勺弱點(diǎn)，識(shí)別被入侵者用來(lái)非法進(jìn)入網(wǎng)絡(luò)

的漏洞。

通過(guò)對(duì)XXX的網(wǎng)絡(luò)設(shè)備的掃描發(fā)現(xiàn)目前XXX網(wǎng)絡(luò)設(shè)備存在的技術(shù)性安全漏洞。

同步，也為安全加固工作提供根據(jù)。

過(guò)程描國(guó)

首先，確定掃描范圍，重要針對(duì)重要信息資產(chǎn)和抽樣網(wǎng)段。然后提交掃描方案和

掃描申請(qǐng)，明確掃描執(zhí)行人員和時(shí)間安排。采用迪普綜合漏洞評(píng)估掃描工具對(duì)網(wǎng)絡(luò)進(jìn)行

全面掃描，檢直其網(wǎng)絡(luò)設(shè)備日勺弱點(diǎn)，識(shí)別被入侵者用來(lái)非法進(jìn)入網(wǎng)絡(luò)的漏洞。

4.3.2評(píng)估措施

?資料搜集

現(xiàn)實(shí)狀況資料搜集是現(xiàn)實(shí)狀況調(diào)研重要的信息來(lái)源。項(xiàng)目組向業(yè)務(wù)管理部門(mén)和信息

系統(tǒng)的負(fù)責(zé)人搜集了網(wǎng)絡(luò)拓?fù)鋱D、IP地址規(guī)劃表、設(shè)備配置等資料，為全面評(píng)估XXX

三套網(wǎng)絡(luò)的安全狀況提供了數(shù)據(jù)根據(jù)。

?現(xiàn)場(chǎng)訪談

項(xiàng)目組對(duì)XXX三套網(wǎng)絡(luò)的維護(hù)人員，進(jìn)行了現(xiàn)場(chǎng)訪談。

針對(duì)訪談對(duì)象在信息安全管理和執(zhí)行信息安全控制中所飾演的角色，有重點(diǎn)的理解

了信息安全管理現(xiàn)實(shí)狀況及信息安全基礎(chǔ)設(shè)施建設(shè)狀況。

通過(guò)現(xiàn)場(chǎng)訪談，項(xiàng)目組可以獲取三套網(wǎng)絡(luò)安全現(xiàn)實(shí)狀況的第一手資料，并可驗(yàn)證之

前搜集到的資料，從而提高其精確度和完整性。

?現(xiàn)場(chǎng)勘直

對(duì)顧客網(wǎng)絡(luò)進(jìn)行現(xiàn)場(chǎng)檢查，查找也許存在的安全隱患和漏洞，如物理機(jī)房安全評(píng)估,

安全意識(shí)口號(hào)檢查等。

?調(diào)研問(wèn)卷

給顧客單位員工下發(fā)信息安全調(diào)查問(wèn)卷，根據(jù)員工填寫(xiě)的成果，理解顧客網(wǎng)絡(luò)安全

意識(shí)、安全方針、安全培訓(xùn)、安全應(yīng)急等狀況。

?漏洞掃描

漏洞掃描是指使用基于網(wǎng)絡(luò)的安全弱點(diǎn)掃描工具，根據(jù)其內(nèi)置的漏洞測(cè)試措施、掃

描方略，從網(wǎng)絡(luò)中對(duì)掃描對(duì)象進(jìn)行一系列的安全檢查，從而發(fā)現(xiàn)也許存在的安全漏洞、

安全隱患。

使用漏洞掃描工具可以實(shí)現(xiàn)遠(yuǎn)程自動(dòng)化掃描，減少安全評(píng)估的工作量，并能根據(jù)需

求輸出評(píng)估成果或者報(bào)表。

在對(duì)三套網(wǎng)絡(luò)進(jìn)行安全評(píng)估時(shí)，我們采用我司自己B勺漏洞掃描系統(tǒng)，對(duì)網(wǎng)絡(luò)設(shè)備、

安全設(shè)備進(jìn)行漏洞掃描，可以有效評(píng)估XXX三套的安全狀況。

?綜合分析

綜合分析，是指對(duì)上述所有措施獲得的有關(guān)信息，以及發(fā)現(xiàn)被評(píng)估對(duì)象所存在的安

全缺陷和風(fēng)險(xiǎn),進(jìn)行綜合分析。

評(píng)估人員分析和整頓通過(guò)上述過(guò)程中所搜集的各項(xiàng)信息，查找系統(tǒng)及有關(guān)的評(píng)估對(duì)

象之間的互相關(guān)聯(lián)、互相配合中所存在的缺陷和安全風(fēng)險(xiǎn)，并與安全管理人員核算所搜

集的信息與否真實(shí)反應(yīng)了網(wǎng)絡(luò)的真實(shí)安全狀況，核算有疑問(wèn)的信息。

4.3.3實(shí)行環(huán)節(jié)

安全風(fēng)險(xiǎn)評(píng)估項(xiàng)目的流程，一般劃分為5個(gè)階段：項(xiàng)目計(jì)劃，資料搜集，現(xiàn)場(chǎng)評(píng)估

-＞數(shù)據(jù)分析,評(píng)估匯報(bào)，如下。

詳細(xì)實(shí)行環(huán)節(jié)如下：

433.1風(fēng)險(xiǎn)評(píng)估準(zhǔn)備

■確定風(fēng)險(xiǎn)評(píng)估目的

明確開(kāi)展本次風(fēng)險(xiǎn)評(píng)估所期望獲得B勺目的。

■確定風(fēng)險(xiǎn)評(píng)估范圍

明確本次風(fēng)險(xiǎn)評(píng)估的詳細(xì)范圍，防止后期不必要的工作的開(kāi)展。

■組建項(xiàng)目實(shí)行團(tuán)體

組建風(fēng)險(xiǎn)評(píng)估實(shí)行團(tuán)體,包括項(xiàng)目經(jīng)理、實(shí)行工程師、質(zhì)量監(jiān)督人員在內(nèi)，實(shí)行團(tuán)

體提前準(zhǔn)備好評(píng)估所需要的表格、文檔、檢測(cè)工具等各項(xiàng)準(zhǔn)備工作。

■進(jìn)行項(xiàng)目系統(tǒng)調(diào)研

系統(tǒng)調(diào)研為風(fēng)險(xiǎn)評(píng)估根據(jù)和措施B勺選擇、評(píng)估內(nèi)容的實(shí)行奠定基礎(chǔ)，調(diào)研內(nèi)容包括：

a）業(yè)務(wù)戰(zhàn)略及管理制度

b）重要B勺業(yè)務(wù)功能和規(guī)定

c）網(wǎng)絡(luò)構(gòu)造與網(wǎng)絡(luò)環(huán)境，包括內(nèi)部連接和外部連接

d）系統(tǒng)邊界

e）重要的硬件、軟件

0數(shù)據(jù)和信息

g）其他

■制定風(fēng)險(xiǎn)評(píng)估方案

指定風(fēng)險(xiǎn)評(píng)估方案，用于指導(dǎo)實(shí)行工作的開(kāi)展，內(nèi)容包括（但不僅限于）：

a）團(tuán)體組織：包括評(píng)估團(tuán)體組員、組織構(gòu)造、角色、責(zé)任等內(nèi)容

b）工作計(jì)劃：包括工作內(nèi)容，工作形式，工作成果等內(nèi)容

c）項(xiàng)目進(jìn)度：項(xiàng)目實(shí)行的時(shí)間進(jìn)度安排

43.3.2資產(chǎn)識(shí)別

■資產(chǎn)分類

資產(chǎn)被劃分為不一欄B勺類別，在進(jìn)行評(píng)估時(shí)可根據(jù)不一樣的資產(chǎn)分類使用不一樣的

評(píng)估方略。根據(jù)資產(chǎn)的使用特點(diǎn)及布署方式，可將資產(chǎn)分為如下幾種類別：

?主機(jī)設(shè)備

包括各類服務(wù)器、工作站、PC機(jī)等。重要針對(duì)主機(jī)設(shè)備上安裝的操作系繳如AIX、

WINDOWS\數(shù)據(jù)庫(kù)系統(tǒng)（如ORACLE、DB2\應(yīng)用服務(wù)軟件（如IIS、APACHE）

及有關(guān)的配置信息進(jìn)行評(píng)估。

?網(wǎng)絡(luò)設(shè)備

包括路由器、互換機(jī)、四層互換設(shè)備、撥號(hào)設(shè)備等多種網(wǎng)絡(luò)設(shè)備。雨古時(shí)重要對(duì)這

些網(wǎng)絡(luò)設(shè)備的配置、布署方式、拓?fù)錁?gòu)造等方面進(jìn)行分析。

?安全產(chǎn)品

包括多種安全設(shè)備,如防火墻、入侵檢測(cè)系統(tǒng)（IDS\入侵防御系統(tǒng)（IPS1安全

審計(jì)系統(tǒng)、漏洞掃描系統(tǒng)、防病毒系統(tǒng)、安全隔離系統(tǒng)、防拒絕服務(wù)襲擊設(shè)備、VPN

等安全設(shè)備及產(chǎn)品。評(píng)估時(shí)重要分析安全設(shè)備的配在參數(shù)及自身的安全性。

?應(yīng)用系統(tǒng)

包括組織的關(guān)鍵業(yè)務(wù)和辦公系統(tǒng)，如業(yè)務(wù)管理系統(tǒng)、財(cái)務(wù)管理系統(tǒng)、辦公自動(dòng)化系

統(tǒng)等。

■姿產(chǎn)調(diào)研

資產(chǎn)調(diào)查運(yùn)用了資產(chǎn)調(diào)查表，包括資產(chǎn)名稱、硬件型號(hào)、IP地址、操作系統(tǒng)及版本、

應(yīng)用程序及版本、布署位置、管理人員等信息。

資產(chǎn)屬性說(shuō)明

資產(chǎn)名稱記錄該資產(chǎn)的名稱

用途描述描述該資產(chǎn)日勺重要功能及用途

硬件型號(hào)資產(chǎn)的詳細(xì)型號(hào)，如CISCO6509

IP地址資產(chǎn)的IP地址

IP數(shù)量該資產(chǎn)同步具有的IP地址數(shù)量

操作系統(tǒng)及版本填寫(xiě)設(shè)備日勺OS或10S版本號(hào),如windows2023server

應(yīng)用程序及版本填寫(xiě)該資產(chǎn)上運(yùn)行的應(yīng)用程序，包括數(shù)據(jù)庫(kù)和應(yīng)用軟件

安裝地點(diǎn)填寫(xiě)該資產(chǎn)所屬的地理位置

所屬業(yè)務(wù)填寫(xiě)該資產(chǎn)所屬的業(yè)務(wù)

所屬系統(tǒng)填寫(xiě)該資產(chǎn)所屬的系統(tǒng)

管理員填寫(xiě)該資產(chǎn)的管理員

備注其他需闡明的問(wèn)題，例如與否采用雙機(jī)熱備

■資產(chǎn)賦值

通過(guò)度析資產(chǎn)的多種屬性，進(jìn)而對(duì)資產(chǎn)進(jìn)行安全價(jià)值分析。資產(chǎn)賦值是為資產(chǎn)及其

支撐的業(yè)務(wù)系統(tǒng)從安全角度量化價(jià)值的行為。

資產(chǎn)B勺價(jià)值可以從保密性、完整性、可用性等角度衡量?？蓞⒄盏馁Y產(chǎn)賦值措施,

如下表所示。

級(jí)別定義保密性(C)完整性(I)可用性(A)

屬于絕密信息，完全不容

完全不容許出現(xiàn)變更，必基本不容許中斷，可靠性

5許泄漏，只有組織高層可

須采用實(shí)時(shí)檢測(cè)機(jī)制到達(dá)99.9999%

以接觸

屬于機(jī)密信息，不容許泄不容許出現(xiàn)變更，應(yīng)采用可短時(shí)間中斷，可靠性到

4

漏，組織中層以上可以接實(shí)時(shí)檢測(cè)機(jī)制達(dá)99.99%

觸

屬于秘密信息，不容許泄

不容許出現(xiàn)變更，應(yīng)采用中斷時(shí)間不大于1天，可

3漏，業(yè)務(wù)有關(guān)人員可以接

檢測(cè)機(jī)制靠性到達(dá)99.9%

觸

屬于內(nèi)部信息，組織內(nèi)部

容許出現(xiàn)小范圍的不一中斷時(shí)間不大于1天，可

2人員可以接觸，可小范圍

致，并在短時(shí)間內(nèi)改正靠性到達(dá)99%

公開(kāi)

對(duì)故障時(shí)間基本沒(méi)有規(guī)

基本沒(méi)有規(guī)定，不一致時(shí)

1屬于公開(kāi)信息

定

可在一定期間內(nèi)改正

43.3.3威脅識(shí)別

■威脅分類

根據(jù)下表分類原則對(duì)威脅進(jìn)行分類。

種類威脅子類

軟硬件故障設(shè)備硬件故障、傳播設(shè)備故障、存儲(chǔ)媒體故障、系統(tǒng)軟件故

障、應(yīng)用軟件故障、數(shù)據(jù)庫(kù)軟件故障等

物理環(huán)境影響斷電、靜電、灰塵、潮濕、溫度、蟲(chóng)害、電磁干擾、火災(zāi)、

地震等

無(wú)作為或操作失誤維護(hù)錯(cuò)誤、操作失誤等

管理不到位管理制度和方略不完善、管理規(guī)程缺失、職責(zé)不明確等

惡意代碼病毒、木馬、蠕蟲(chóng)、惡意軟件等

越權(quán)或?yàn)E用非授權(quán)訪問(wèn)網(wǎng)絡(luò)資源、非授權(quán)訪問(wèn)系統(tǒng)資源、濫用權(quán)限非正

常修改系統(tǒng)配