信息安全咨詢評估方案建議書

1、XX集團信息安全咨詢評估服務(wù)方案建議書目錄需求分析3.1.1 背景分析3.1.2 項目目標4.1.3 需求內(nèi)容分析4.1.3.1 技術(shù)風險評估需求分析41.3.2 管理風險評估需求分析51.4 時間進度需求 6.1.5 考核要求6.1.6 服務(wù)支撐需求6.項目實施方案6.2.1 技術(shù)安全風險評估.6.2.1.1 資產(chǎn)評估6.2.1.2 操作系統(tǒng)平臺安全評估 82.1.3 網(wǎng)絡(luò)安全評估 1.02.1.4 滲透測試.122.2 管理風險評估152.2.1 安全管理制度審計 1.52.2.2 業(yè)務(wù)流程管控安全評估1.62.3 評估工具1.72.4 形成報告1.8需求分析1.1 背景分析XX的信息化建

2、設(shè)正在朝著集中化和云化的方向發(fā)展，通過云計算技術(shù)的應 用把原來分散于各醫(yī)院和分支機構(gòu)的業(yè)務(wù)系統(tǒng)進行整合，實現(xiàn)基于云平臺的業(yè)務(wù) 系統(tǒng)和數(shù)據(jù)集中部署，從而解決了長期存在的大量信息孤島問題， 降低珍貴醫(yī)療 數(shù)據(jù)和商業(yè)數(shù)據(jù)的流失風險，也為未來的集團醫(yī)療大數(shù)據(jù)分析和精準醫(yī)療服務(wù)打 下扎實的基礎(chǔ)。從原來分散式的信息孤島到現(xiàn)在的云化集中部署，XX的信息化環(huán)境正在發(fā)生根本性的變化，帶來節(jié)約人力成本、提高工作效率、減少管理漏洞、提高數(shù)據(jù) 準確性等諸多的好處。當前，國內(nèi)外數(shù)據(jù)安全事件層出不窮，網(wǎng)絡(luò)信息安全環(huán)境 日趨復雜，信息化環(huán)境的變化也同時帶來了新的信息安全風險， 總體來說包括以 下幾個方面：一、實現(xiàn)系統(tǒng)和數(shù)據(jù)

3、的集中化部署后，等于把原來分散的信息安全風險 也進行了集中，一旦發(fā)生信息安全事故，其影響將是全局性的。比如 在原有的信息化環(huán)境下發(fā)生敏感數(shù)據(jù)泄漏， 其泄漏范圍只限于個別的 醫(yī)院或分支機構(gòu)。而現(xiàn)在一旦發(fā)生數(shù)據(jù)泄漏，泄漏范圍會是全集團所 有醫(yī)院和分支機構(gòu)，直接和間接的損失不可同日而語。二、云計算是一種顛覆傳統(tǒng)IT架構(gòu)的前沿技術(shù)，它可以增強協(xié)作，提高 敏捷性、可擴展性以及可用性。還可以通過優(yōu)化資源分配、提高計算 效率來降低成本。這也意味著基于傳統(tǒng) IT架構(gòu)的信息安全技術(shù)和產(chǎn) 品往往不能再為云端系統(tǒng)和數(shù)據(jù)提供足夠的防護能力。三、系統(tǒng)和數(shù)據(jù)的集中部署、云計算技術(shù)應用都要求建立可靠的信息安 全管理機制，改

4、變原有的離散管理模型，從管理規(guī)范和工作流程上實 現(xiàn)與現(xiàn)有集中模式的對接，降低因管理不當導致的信息安全風險。1.2 項目目標對XX當前的信息化環(huán)境從管理和技術(shù)上進行充分的信息安全風險評估，并 依據(jù)風險評估結(jié)果制訂相應的風險管控方案。具體建設(shè)內(nèi)容包括：1.技術(shù)風險評估：D對現(xiàn)有的信息系統(tǒng)、機房及基礎(chǔ)網(wǎng)絡(luò)資產(chǎn)和網(wǎng)絡(luò)拓撲、數(shù)據(jù)資產(chǎn)、特權(quán) 賬號資產(chǎn)等進行安全風險評估；2）對核心業(yè)務(wù)系統(tǒng)進行 WEBe全、數(shù)據(jù)安全、業(yè)務(wù)邏輯安全風險評估；3）對正在建設(shè)的云計算基礎(chǔ)平臺架構(gòu)及承載的操作系統(tǒng)進行安全風險評估；4）滲透模擬黑客可能使用的攻擊技術(shù)和漏洞發(fā)現(xiàn)技術(shù)，對業(yè)務(wù)系統(tǒng)進行授 權(quán)滲透測試，對目標系統(tǒng)進行深入的探測

5、，以發(fā)現(xiàn)系統(tǒng)最脆弱的環(huán)節(jié)、可能被利 用的入侵點以及現(xiàn)網(wǎng)存在的安全隱患。2 .管理風險評估1）采用調(diào)查訪談并結(jié)合實地考察的形式，對數(shù)據(jù)中心和核心系統(tǒng)的安全管 理制度進行疏理和安全風險評估；2）對業(yè)務(wù)管控制度和流程進行安全風險評估，采用閱讀流程資料和相關(guān)人 員訪談的形式了解業(yè)務(wù)和系統(tǒng)內(nèi)控制度和實現(xiàn)的業(yè)務(wù)流程，試用流程中涉及的軟件，察看各個業(yè)務(wù)控制點是否都得到有效的實施，各個接口的處理是否妥當，監(jiān)督檢查辦法是否健全；3 .信息安全風險管控方案其于上述風險評估結(jié)果，針對具體的安全漏洞和風險設(shè)計管控方案， 包括但 不限于安全漏洞加固方案、信息安全管理規(guī)范優(yōu)化提升方案、信息安全防護技術(shù) 解決方案等。1.3

6、需求內(nèi)容分析1.3.1 技術(shù)風險評估需求分析本項目對技術(shù)風險評估的內(nèi)容要求主要是:1、資產(chǎn)評估資產(chǎn)評估對象不僅包括設(shè)備設(shè)施等物理資產(chǎn)， 同時也包括敏感數(shù)據(jù)、特權(quán)賬 號等信息資產(chǎn)，具評估步驟如下：第一步：通過資產(chǎn)識別，對重要資產(chǎn)做潛在價值分析，了解其資產(chǎn)利用、維護和管理現(xiàn)狀，并提交資產(chǎn)清單；第二步：通過對資產(chǎn)的安全屬性分析和風險評估， 明確各類資產(chǎn)具備的保護 價值和需要的保護層次，從而使企業(yè)能夠更合理的利用現(xiàn)有資產(chǎn)，更有效地進行 資產(chǎn)管理，更有針對性的進行資產(chǎn)保護，最具策略性的進行新的資產(chǎn)投入。2、 操作系統(tǒng)平臺安全評估針對資產(chǎn)清單中重要和核心的操作系統(tǒng)平臺進行安全評估，完整、全面地發(fā)現(xiàn)系統(tǒng)主機

7、的漏洞和安全隱患。3、 網(wǎng)絡(luò)拓撲、網(wǎng)絡(luò)設(shè)備安全評估針對資產(chǎn)清單中邊界網(wǎng)絡(luò)設(shè)備和部分核心網(wǎng)絡(luò)設(shè)備，結(jié)合網(wǎng)絡(luò)拓撲架構(gòu)，分析存在的網(wǎng)絡(luò)安全隱患。4、 應用系統(tǒng)安全評估（滲透測試）：通過模擬黑客可能使用的攻擊技術(shù)和漏洞發(fā)現(xiàn)技術(shù)，對 XX集團授權(quán)滲透測 試的目標系統(tǒng)進行深入的探測，以發(fā)現(xiàn)系統(tǒng)最脆弱的環(huán)節(jié)、可能被利用的入侵點 以及現(xiàn)網(wǎng)存在的安全隱患，并指導進行安全加固。1.3.2管理風險評估需求分析1、安全管理制度審計：通過調(diào)研重要和核心資產(chǎn)管理、關(guān)鍵業(yè)務(wù)及數(shù)據(jù)、相關(guān)系統(tǒng)的基本信息、現(xiàn) 有的安全措施等情況，并了解目前XX集團所實施的安全管理流程、制度和策略， 分析目前XX集團在安全管理上存在的不合理制度或

8、漏洞。2、業(yè)務(wù)管控安全評估：通過調(diào)研業(yè)務(wù)系統(tǒng)內(nèi)控制度和實現(xiàn)的業(yè)務(wù)流程， 試用流程中涉及的軟件，察 看各個業(yè)務(wù)控制點是否都得到有效的實施， 各個接口的處理是否妥當，監(jiān)督檢查 辦法是否健全，從而改進內(nèi)控制度和業(yè)務(wù)流程的合理性和數(shù)據(jù)流的安全性。1.4 時間進度需求項目的時間需按照整體時間要求完成全部工作，并且需提交階段性工作成 果。1.5 考核要求XX集團將對項目的交付成果和執(zhí)行過程中的質(zhì)量進行考核，考核結(jié)果將作 為最終結(jié)算的依據(jù)?？己宿k法將由 XX集團和項目服務(wù)提供方共同協(xié)商制定。1.6 服務(wù)支撐需求本項目的服務(wù)供應方需與XX集團項目組成員組成項目團隊，并且共同完成 該項目所有工作。項目團隊采取緊

9、密溝通的方式，分為每周例會定期溝通和重大問題共同討論 的溝通方式。該項目的辦公時間為5天*8小時/周；值班電話須7天*24小時/周保持通話 暢通。交付成果需求本項目在開展過程中需進行日報、周報、月報等相關(guān)工作計劃與總結(jié)的提交， 并根據(jù)實際工作內(nèi)容及時提交相應工作成果及報告。二項目實施方案2.1 技術(shù)安全風險評估2.1.1 資產(chǎn)評估保護資產(chǎn)免受安全威脅是安全工程實施的根本目標。要做好這項工作，首先需要詳細了解資產(chǎn)分類與管理的詳細情況。項目名稱資產(chǎn)識別簡要描述米集資產(chǎn)信息，進行資產(chǎn)分類，劃分資產(chǎn)重要級別；達成目標米集資產(chǎn)信息，進行資產(chǎn)分類，劃分資產(chǎn)重要級別； 進一步明確評估的范圍和重點；主要內(nèi)容米

10、集資產(chǎn)信息，獲取資產(chǎn)清單；進行資產(chǎn)分類劃分；確定資產(chǎn)的重要級別；實現(xiàn)方式填表式調(diào)查資產(chǎn)調(diào)查表，包含計算機設(shè)備、通訊設(shè)備、存儲及保障設(shè)備、 信息、軟件等。交流? 審閱已有的針對資產(chǎn)的安全管理規(guī)章、制度；? 匕高級主管、業(yè)務(wù)人員、網(wǎng)絡(luò)管理員（系統(tǒng)管理員）等進 行交流。工作條件1-2人工作環(huán)境，2臺Win2000PC,電源和網(wǎng)絡(luò)環(huán)境，客戶人員和 資料配合工作結(jié)果資產(chǎn)類別、資產(chǎn)重要級別；參加人員依據(jù)現(xiàn)場X犬況,由XX集團提供現(xiàn)有資產(chǎn)清單，并由全體評估人員 在XX相關(guān)技術(shù)和管理人員的配合下進行資產(chǎn)分類調(diào)查。項目名稱風險評估簡要描述評估資產(chǎn)的安全等級和應給予的安全保護等級達成目標評估資產(chǎn)的安全等級；評估資

11、產(chǎn)應給予的安全保護等級；主要內(nèi)容確定資產(chǎn)的安全等級；對安全保障進行等級分類； 確定資產(chǎn)的應給予的保護級別；實現(xiàn)方式填表式調(diào)查：資產(chǎn)調(diào)查表，包含計算機設(shè)備、通訊設(shè)備、存儲及保障設(shè)備、 信息、軟件等。交流? 審閱已有的針對資產(chǎn)的安全管理規(guī)章、制度；? 與高級主管、業(yè)務(wù)人員、網(wǎng)絡(luò)管理員（系統(tǒng)管理員）等進 行交流。工作條件2-3人工作環(huán)境，3臺Win2000PC,電源和網(wǎng)絡(luò)環(huán)境，客戶人員和 資料配合工作結(jié)果資產(chǎn)安全級別；資產(chǎn)應給予的安全保障級別；資產(chǎn)安全保障建議參加人員依據(jù)現(xiàn)場狀況，由全體評估人員在XX集團相關(guān)技術(shù)和管理人員的 配合下進行。2.1.2操作系統(tǒng)平臺安全評估2.1.2.1 工具掃描使用業(yè)界

12、專業(yè)漏洞掃描軟件，根據(jù)已有的安全漏洞知識庫，模擬黑客的攻擊 方法，檢測主機操作系統(tǒng)存在的安全隱患和漏洞。1、主要檢測內(nèi)容：服務(wù)器主機操作系統(tǒng)內(nèi)核、版本及補丁審計服務(wù)器主機操作系統(tǒng)通用/默認應用程序安全性審計服務(wù)器主機后門檢測服務(wù)器主機漏洞檢測服務(wù)器主機安全配置審計服務(wù)器主機用戶權(quán)限審計服務(wù)器主機口令審計服務(wù)器主機文件系統(tǒng)安全性審計操作系統(tǒng)內(nèi)核的安全性文件傳輸服務(wù)安全性2、掃描策略提供可定制掃描策略的策略編輯器。按照掃描強度，默認的掃描策略模板包 括:?高強度掃描?中強度掃描?低強度掃描按照掃描的漏洞類別，默認的掃描策略模板包括：? NetBIOS漏洞掃描? Web&CGI漏洞掃描?主機

13、信息掃描?帳戶掃描?端口掃描?數(shù)據(jù)庫掃描在遠程掃描過程中，將對遠程掃描的目標按照操作系統(tǒng)類型和業(yè)務(wù)應用情況 進行分類，采用定制的安全的掃描策略。2.1.2.2人工分析對于主要的操作系統(tǒng)，安全專家將主要從下面幾個方面來獲取系統(tǒng)的運行信 息：賬號；資源；系統(tǒng)；網(wǎng)絡(luò)；審核、日志和監(jiān)控；這些信息主要包括：網(wǎng)絡(luò)狀況、網(wǎng)絡(luò)配置情況、用戶賬號、服務(wù)配置情況、 安全策略配置情況、文件系統(tǒng)情況、日志配置和紀錄情況等。在技術(shù)審計過程中，安全服務(wù)專家將采用多種技術(shù)來進行信息收集，這些技 術(shù)包括：審計評估工具：開發(fā)了自己的審計評估腳本工具，通過執(zhí)行該工具，就 可以獲取系統(tǒng)的運行信息。常見后門分析工具：通過使用專業(yè)工具

14、，檢查系統(tǒng)是否存在木馬后門 深層挖掘技術(shù)：通過安全專家的深層挖掘，檢查系統(tǒng)是否被安裝了Rootkit等很難被發(fā)現(xiàn)的后門程序收集了系統(tǒng)信息之后，安全專家將對這些信息進行技術(shù)分析， 審計的結(jié)果按 照評估對象和目標對結(jié)果從補丁管理、 最小服務(wù)原則、最大安全性原則、用戶管 理、口令管理、日志安全管理以及入侵管理七個方面進行歸類處理并評分。評估目標評估內(nèi)容補丁管理檢查系統(tǒng)、應用的版本情況、補丁安裝情況最小服務(wù)原則檢查系統(tǒng)、應用的服務(wù)運行配置情況，察看是否遵循最小 服務(wù)原則最大安全性原則檢查系統(tǒng)是否進行了安全配置或者是否采用了恰當?shù)陌踩?防護機制。帳戶安全管理檢查系統(tǒng)或應用中賬號的配置情況，是否存在默認賬

15、號或 者不必要賬號口令安全管理檢查系統(tǒng)的賬號口令配置情況，是否有賬號是弱口令。日志安全管理檢查系統(tǒng)或應用的日志配置情況,是否有嚴格的日志配置 或者日志服務(wù)器。入侵管理檢查系統(tǒng)的安全漏洞情況，以及是否被入侵等。這7個方面將能夠充分體現(xiàn)系統(tǒng)目前的運行和安全現(xiàn)狀。通過數(shù)字分數(shù)的形式，并結(jié)合資產(chǎn)的重要性，將能夠很直觀地表現(xiàn)出系統(tǒng)的情況。 并且可以根據(jù)其 中存在的缺陷，制定相應的解決辦法。2.1.3 網(wǎng)絡(luò)安全評估2.1.3.1 網(wǎng)絡(luò)拓撲分析對XX集團網(wǎng)絡(luò)結(jié)構(gòu)進行全面的分析，發(fā)現(xiàn)網(wǎng)絡(luò)結(jié)構(gòu)存在的風險和安全問題 以及對提供相應的調(diào)整建議。項目名稱網(wǎng)絡(luò)拓撲分析簡要描述網(wǎng)絡(luò)拓撲的風險評估是針對用戶的網(wǎng)絡(luò)結(jié)構(gòu)進行分

16、析，根據(jù)客戶的安全需求查找相應的安全脆弱性，最終提交詳盡的報告和相應 的建議。達成目標通過網(wǎng)絡(luò)結(jié)構(gòu)的風險評估，可以知悉當前網(wǎng)絡(luò)結(jié)構(gòu)的安全脆弱性主要內(nèi)容調(diào)查安全需求分析網(wǎng)絡(luò)結(jié)構(gòu)當前網(wǎng)絡(luò)結(jié)構(gòu)的安全脆弱性可能存在的安全風險網(wǎng)絡(luò)結(jié)構(gòu)中需要改進的方面網(wǎng)絡(luò)安全域評估分析實現(xiàn)方式信息收集 調(diào)查分析 交流現(xiàn)場查看工作條件1-2人工作環(huán)境，2臺Windows PC,電源和網(wǎng)絡(luò)環(huán)境，客戶 人員和資料配合工作結(jié)果網(wǎng)絡(luò)結(jié)構(gòu)分析結(jié)果參加人員評估小組，XX集團網(wǎng)絡(luò)管理人員、系統(tǒng)管理人員、數(shù)據(jù)庫管 理人員2.1.3.2 網(wǎng)絡(luò)設(shè)備安全評估對網(wǎng)絡(luò)設(shè)備（路由、交換、防火墻等）的安全評估，是對網(wǎng)絡(luò)設(shè)備的功能、 設(shè)置、管理、環(huán)境、弱

17、點、漏洞等進行全面的評估。1、評估條件評估前需要明確以下內(nèi)容：網(wǎng)絡(luò)設(shè)備配置；網(wǎng)絡(luò)設(shè)備及周圍設(shè)備在網(wǎng)絡(luò)上的名字和 IP地址；網(wǎng)絡(luò)設(shè)備網(wǎng)絡(luò)連接情況（網(wǎng)絡(luò)設(shè)備每個網(wǎng)絡(luò)界面的IP和鄰近設(shè)備）；2、評估內(nèi)容查看網(wǎng)絡(luò)設(shè)備的配置、環(huán)境、和運行情況。至少包括以下幾個方面:網(wǎng)絡(luò)設(shè)備的操作系統(tǒng)及版本；檢查網(wǎng)絡(luò)設(shè)備的規(guī)則檢查；對網(wǎng)絡(luò)設(shè)備實施攻擊測驗，以測驗網(wǎng)絡(luò)設(shè)備的真實安全性。這需要最謹 慎從事；3、評估結(jié)果提供策略變更建議提供日志管理建議提供審計服務(wù)2.1.4 滲透測試2.1.4.1 測試流程本次項目，將按照以下滲透性測試步驟及流程對 XX集團授權(quán)的應用系統(tǒng)進 行滲透性測試：滲透性測試步驟與流程圖1、內(nèi)部計劃制定

18、、二次確認根據(jù)XX集團委托范圍和時間，并結(jié)合前一步初步的信息收集得到的設(shè)備存 活情況、網(wǎng)絡(luò)拓撲情況以及掃描得到的服務(wù)開放情況、 漏洞情況制定內(nèi)部的詳細 實施計劃。具體包括每個地址下一步可能采用的測試手段，詳細時間安排。并將以下一步工作的計劃和時間安排與 XX集團進行確認。2、取得權(quán)限、提升權(quán)限通過初步的信息收集分析，存在兩種可能性，一種是目標系統(tǒng)存在重大的安 全弱點，測試可以直接控制目標系統(tǒng)；另一種是目標系統(tǒng)沒有重大的安全弱點， 但是可以獲得普通用戶權(quán)限，這時可以通過該普通用戶權(quán)限進一步收集目標系統(tǒng) 信息。接下來盡最大努力取得超級用戶權(quán)限、 收集目標主機資料信息，尋求本地 權(quán)限提升的機會。這樣

19、不停地進行信息收集分析、權(quán)限提升的結(jié)果形成了整個的 滲透性測試過程。2.1.4.2 測試內(nèi)容和方法1、測試內(nèi)容通過采用適當測試手段，發(fā)現(xiàn)測試目標在系統(tǒng)認證及授權(quán)、 代碼審查、被信 任系統(tǒng)的測試、文件接口模塊、應急流程測試、信息安全、報警響應等方面存在 的安全漏洞，并現(xiàn)場演示再現(xiàn)利用該漏洞可能造成的損失， 并提供避免或防范此 類威脅、風險或漏洞的具體改進或加固措施。2、測試方法滲透測試的方法比較多，主要包括端口掃描，漏洞掃描，拓撲發(fā)現(xiàn)，口令破 解，本地或遠程溢出以及腳本測試等方法。 這些方法有的有工具，有的需要手工 操作，和具體的操作人員習慣管理比較大。本次項目，根據(jù)獲取的信息制定滲透性測試計劃

20、并取得 XX集團同意后，具 體的滲透性測試過程將按照以下滲透性測試技術(shù)流程圖進行。滲透性測試技術(shù)流程圖信息的收集和分析伴隨著每一個滲透性測試步驟，每一個步驟又有三個組成 部分：操作、響應和結(jié)果分析。（1）網(wǎng)絡(luò)信息搜集信息收集是每一步滲透攻擊的前提，通過信息收集可以有針對性地制定模擬 攻擊測試計劃，提高模擬攻擊的成功率，同時可以有效地降低攻擊測試對系統(tǒng)正 常運行造成地不利影響。信息收集的方法包括 Ping Sweep DNS Sweep、DNS zone transfer、操作系 統(tǒng)指紋判別、應用判別、賬號掃描、配置判別等。信息收集常用的工具包括商業(yè) 網(wǎng)絡(luò)安全漏洞掃描軟件（如，大鏡等），免費安全

21、檢測工具（如，NMAP、NESSUS 等）。操作系統(tǒng)內(nèi)置的許多功能（如,TELNET、NSLOOKUP、IE等）也可以作為 信息收集的有效工具。（2）端口掃描通過對目標地址的TCP/UDP端口掃描，確定其所開放的服務(wù)的數(shù)量和類型， 這是所有滲透性測試的基礎(chǔ)。通過端口掃描，可以基本確定一個系統(tǒng)的基本信息， 結(jié)合安全工程師的經(jīng)驗可以確定其可能存在以及被利用的安全弱點，為進行深層次的滲透提供依據(jù)。(3)遠程溢出這是當前出現(xiàn)的頻率最高、威脅最嚴重，同時又是最容易實現(xiàn)的一種滲透方 法，一個具有一般網(wǎng)絡(luò)知識的入侵者就可以在很短的時間內(nèi)利用現(xiàn)成的工具實現(xiàn) 遠程溢出攻擊。對于在防火墻內(nèi)的系統(tǒng)存在同樣的風險，只

22、要對跨接防火墻內(nèi)外的一臺主機 攻擊成功，那么通過這臺主機對防火墻內(nèi)的主機進行攻擊就易如反掌。(4) 口令猜測口令猜測也是一種出現(xiàn)概率很高的風險， 幾乎不需要任何攻擊工具，利用一 個簡單的暴力攻擊程序和一個比較完善的字典，就可以猜測口令。對一個系統(tǒng)賬號的猜測通常包括兩個方面：首先是對用戶名的猜測，其次是對密碼的猜測。(5)本地溢出所謂本地溢出是指在擁有了一個普通用戶的賬號之后， 通過一段特殊的指令 代碼獲得管理員權(quán)限的方法。使用本地溢出的前提是首先要獲得一個普通用戶的 密碼。也就是說由于導致本地溢出的一個關(guān)鍵條件是設(shè)置不當?shù)拿艽a策略。多年的實踐證明，在經(jīng)過前期的口令猜測階段獲取的普通賬號登錄系統(tǒng)

23、之 后，對系統(tǒng)實施本地溢出攻擊，就能獲取不進行主動安全防御的系統(tǒng)的控制管理 權(quán)限。(6)腳本測試腳本測試專門針對 Web服務(wù)器進行。根據(jù)最新的技術(shù)統(tǒng)計，腳本安全弱點 為當前Web系統(tǒng)尤其存在動態(tài)內(nèi)容的 Web系統(tǒng)存在的主要比較嚴重的安全弱點 之一。利用腳本相關(guān)弱點輕則可以獲取系統(tǒng)其他目錄的訪問權(quán)限，重則將有可能取得系統(tǒng)的控制權(quán)限。因此對于含有動態(tài)頁面的Web系統(tǒng)，腳本測試將是必不可少的一個環(huán)節(jié)。2.1.4.3風險控制措施本次項目，為了保證滲透性測試不對 XX集團AGIS網(wǎng)絡(luò)和系統(tǒng)造成不必要 的影響，建議本次滲透性測試采取以下方式進行風險控制。1、工具選擇為防止造成真正的攻擊，本次滲透性測試項目

24、，會嚴格選擇測試工具，杜絕 因工具選擇不當造成的將病毒和木馬植入的情況發(fā)生。2、時間選擇為減輕滲透性測試對XX集團網(wǎng)絡(luò)和系統(tǒng)的影響，本次滲透性測試項目，建 議在晚上業(yè)務(wù)不繁忙時進行。3、策略選擇為防止?jié)B透性測試造成XX集團網(wǎng)絡(luò)和系統(tǒng)的服務(wù)中斷，建議在滲透性測試 中不使用含有拒絕服務(wù)的測試策略。4、有效溝通本次項目，建議：在工程實施過程中，確定不同階段的測試人員以及客戶方 的配合人員，建立直接溝通的渠道，并在工程出現(xiàn)難題的過程中保持合理溝通。評估團隊的高級安全專家在客戶可控的范圍內(nèi)， 完成對目標系統(tǒng)的滲透測試 工作，并做出詳細的記錄，最終形成滲透測試報告。報告對滲透測試過程中 發(fā)現(xiàn)的脆弱性進行細

25、致的分析、描述脆弱性對整個系統(tǒng)造成的潛在危害以及基本 的修補建議等等。2.2 管理風險評估2.2.1 安全管理制度審計項目名稱安全管理制度審計簡要描述通過對信息安全管理策略的分析，發(fā)現(xiàn)制度缺陷。達成目標調(diào)研重要和核心資產(chǎn)管理、關(guān)鍵業(yè)務(wù)及數(shù)據(jù)、相關(guān)系統(tǒng)的基本信 息、現(xiàn)有的安全措施等情況，并了解目前業(yè)務(wù)支持中心系統(tǒng)所實 施的安全管理流程、制度和策略；分析目前業(yè)務(wù)支持中心系統(tǒng)在安全管理上存在的不合理制度或漏 洞并提出整改意見；主要內(nèi)容調(diào)研重要和核心資產(chǎn)管理、關(guān)鍵業(yè)務(wù)及數(shù)據(jù)、相關(guān)系統(tǒng)的基本信息、現(xiàn)有的安全措施等情況，形成安全現(xiàn)狀報告；收集安全管理制度，形成安全策略清單；分析安全管理制度缺陷；分析報告提交整改意見；實現(xiàn)方式收集?向各業(yè)務(wù)單元收集信息安全管理制度并提交風險評估小組。評審?分析安全管理規(guī)章、制度；?匕高級主管、業(yè)務(wù)人員、網(wǎng)絡(luò)管理員（系統(tǒng)管理員）等進行 交流。工作條件2-3人工作環(huán)境，2臺桌間電腦（WINDOWS乍系統(tǒng)），電源和網(wǎng) 絡(luò)環(huán)境，客戶人員和資料配合工作結(jié)果安全管理策略缺陷分析報告和整改意見；參加人員XX集團安全管理人員