滲透測試、風險評估技術(shù)方案

1、。一、滲透測試1.1 、概述滲透測試主要依據(jù)已經(jīng)發(fā)現(xiàn)的安全漏洞，模擬黑客的攻擊方法對系統(tǒng)和網(wǎng)絡進行非破壞性質(zhì)的攻擊性測試， 本次將作為評估重點對浙江省水利廳的應用網(wǎng)站系統(tǒng)每月一次進行全面的滲透測試，從而從深層次發(fā)現(xiàn)浙江省水利廳應用系統(tǒng)存在的安全問題。1.2 、滲透測試的方法黑客的攻擊入侵需要利用目標網(wǎng)絡的安全弱點，滲透測試也是同樣的道理。它模擬真正的黑客入侵攻擊方法，以人工滲透為主， 輔助以攻擊工具的使用， 這樣保證了整個滲透測試過程都在可以控制和調(diào)整的范圍之內(nèi)。1.3 、滲透測試前后系統(tǒng)的狀態(tài)由于采用可控制的、 非破壞性質(zhì)的滲透測試， 因此不會對被評估的系統(tǒng)造成嚴重的影響。在滲透測試結(jié)束后，

2、系統(tǒng)將基本保持一致。1.4 、滲透測試過程滲透測試流程圖如下圖所示：。1。實施計劃確認信息收集、分析存在遠程控制弱點是控制系統(tǒng)否否存在遠程普通弱點是信息收集、分析否獲取本地普通權(quán)限是本地信息收集、分析否本地權(quán)限提升、控制系統(tǒng)是信息收集、分析提交滲透測試報告滲透測試流程圖。2。預攻擊階段操作簡述1) 踩點獲取目標基本信息踩點可以了解目標主機和網(wǎng)絡的一些基本的安全信息，主要有：管理員聯(lián)系信息，電話號，傳真號；IP 地址范圍；DNS服務器；郵件服務器。相關(guān)搜索方法：搜索網(wǎng)頁確定目標信息，為以后發(fā)動字典和木馬入侵做準備；尋找網(wǎng)頁源代碼找注釋和隱藏域，尋找隱藏域中的"FORM"標記。

3、例如：<FORM action=/Poll/poll.asp method=post><input type=hidden name=vice value=vice></FORM>可以發(fā)起 SQL注入攻擊，為以后入侵數(shù)據(jù)庫做準備。相關(guān)工具： UNIX下的 Wget,Windows下的 Teleport等。鏈接搜索目標網(wǎng)站所在的服務器可能有其他具有弱點的網(wǎng)站，可以進行迂回入侵，而且可以發(fā)現(xiàn)某些隱含的信息。搜索方法介紹：通過各種搜索引擎：如GOOGLE。2) 查點確定目標的域名和相關(guān)的網(wǎng)絡信息Whois 查詢，通過 Whois 數(shù)據(jù)庫查詢可以得到以下的信息：1，

4、注冊機構(gòu)：顯示相關(guān)的注冊信息和相關(guān)的 Whois 服務器；2，機構(gòu)本身：顯示與某個特定機構(gòu)相關(guān)的所有信息；3，域名：顯示與某個特定域名相關(guān)的所有信息4，網(wǎng)絡：顯示與某個特定網(wǎng)絡或單個 IP 地址相關(guān)的所有信息；5，聯(lián)系點 : 顯示與某位特定人員相關(guān)的所有信息利用 ARIN數(shù)據(jù)庫查詢某個域名所對應的網(wǎng)絡地址分配信息。3。知道了目標所在的網(wǎng)絡，可以進行迂回滲透，尋找薄弱點，進入目標網(wǎng)絡，然后再攻擊目標。DNS信息查詢域名系統(tǒng)允許把一個 DNS命名空間分割成多個區(qū)，各個去分別保存一個或多個 DNS域的名字信息。區(qū)復制和區(qū)傳送： DNS服務器之間是采用區(qū)傳送的機制來同步和復制區(qū)內(nèi)數(shù)據(jù)的。區(qū)傳送的安全問

5、題不在于所傳輸?shù)挠蛎畔?，而在于其配置是否正確。因為有些域名信息當中包含了不應該公開的內(nèi)部主機和服務器的域名信息。3) 網(wǎng)絡掃描通過使用漏洞掃描工具和定制的腳本工具這些自動化工具對浙江省水利廳應用系統(tǒng)進行掃描，發(fā)現(xiàn)存在的明顯安全漏洞。大多數(shù)網(wǎng)絡攻擊者就是使用這種簡便快捷的方式來收集被攻擊系統(tǒng)的相關(guān)信息，從而有針對性對系統(tǒng)進行攻擊。4) 獲取進一步信息從這一步可以得到比之前更多更具體的有用信息，例如：帳戶信息等。Windows系統(tǒng)查點技術(shù)利用 NetBIOS 規(guī)則，首先介紹 NetBIOS,NetBOIS 位于 TCP/IP 之上，定義了多個 TCP和 UDP端口。TCP方式（1）， 139：n

6、bsession:NetBOIS 會話。例如： net use IPipc$ " " /user:" ".（2）， 42：WINS：Windows Internet名字系統(tǒng)（ UDP端口也是 42）。UDP方式（1）137： nbname:名字查詢。例如： nbtstat -A IP /03中顯示的不是計算機名就是用戶名（2）138： nbdatagram:UDP數(shù)據(jù)報服務例如： net send /d:domain-name "Hello"滲透攻擊階段1)WEB注入。4。現(xiàn)在的入侵事件，攻擊WWW居多，原因也很簡單，那就是程序員在編

7、寫WEB腳本程序時根本不注重安全因素， 導致了上傳 shell,提升權(quán)限之類的嚴重后果，入侵滲透測試主要通過以下幾個方面進行測試：搜索 SQL注入點；搜索特定目錄和文件，例如：上傳程序文件；尋找管理員登陸網(wǎng)頁，進行字典或者SQL饒過入侵；尋找 WEB程序的源代碼，進行漏洞挖掘，主要涉及的漏洞類型有： SQL注入，跨站腳本，文件包含漏洞，目錄跳轉(zhuǎn)漏洞，以腳本文件格式保存錯誤日志漏洞，上傳漏洞；2) 遠程溢出這是當前出現(xiàn)的頻率最高、威脅最嚴重，同時又是最容易實現(xiàn)的一種滲透方法，一個具有一般網(wǎng)絡知識的入侵者就可以在很短的時間內(nèi)利用現(xiàn)成的工具實現(xiàn)遠程溢出攻擊。對于防火墻內(nèi)的系統(tǒng)同樣存在這樣的風險，只要

8、對跨接防火墻內(nèi)外的一臺主機攻擊成功，那么通過這臺主機對防火墻內(nèi)的主機進行攻擊就易如反掌。3) 口令猜測口令猜測也是一種出現(xiàn)概率很高的風險，幾乎不需要任何攻擊工具，利用一個簡單的暴力攻擊程序和一個比較完善的字典，就可以猜測口令。對一個系統(tǒng)賬號的猜測通常包括兩個方面：首先是對用戶名的猜測，其次是對密碼的猜測。4) 本地溢出所謂本地溢出是指在擁有了一個普通用戶的賬號之后，通過一段特殊的指令代碼獲得管理員權(quán)限的方法。 使用本地溢出的前提是首先要獲得一個普通用戶密碼。也就是說由于導致本地溢出的一個關(guān)鍵條件是設置不當?shù)拿艽a策略。多年的實踐證明，在經(jīng)過前期的口令猜測階段獲取的普通賬號登錄系統(tǒng)之后，對系統(tǒng)實施

9、本地溢出攻擊， 就能獲取不進行主動安全防御的系統(tǒng)的控制管理權(quán)限。1.5 、滲透測試計劃制定滲透測試計劃將使得安全掃描將在浙江省水利廳的授權(quán)和監(jiān)督下進行，避免攻擊意味和惡意攻擊者的乘勢利用。同時滲透計劃在確定后應控制在一定范圍。5。滲透測試可以分為黑盒和白盒滲透。 黑盒滲透是浙江省水利廳只告訴被滲透目標的域名（或IP ），然后由滲透測試方去進行安全滲透測試，白盒滲透是浙江省水利廳提供被滲透目標的域名、IP 、系統(tǒng)版本、數(shù)據(jù)庫版本、測試帳號等一系列信息，然后由滲透測試方去進行安全滲透測試。滲透測試也可以分為外部滲透和內(nèi)部滲透。外部滲透是滲透測試方在互聯(lián)網(wǎng)上模擬入侵者對浙江省水利廳網(wǎng)站系統(tǒng)進行安全滲

10、透測試，內(nèi)部滲透是滲透測試方在中浙江省水利廳內(nèi)部網(wǎng)模擬入侵者和內(nèi)部人員進行滲透測試。本次測試按照浙江省水利廳的要求，可以用白盒或者黑盒， 外部或者內(nèi)部的形式進行滲透測試。1.6 、滲透測試結(jié)果輸出滲透測試的結(jié)果將以報告（滲透測試報告）的形式（word）作為風險評估報告的一部分提交給浙江省水利廳，滲透測試可以作為安全威脅分析的一個重要數(shù)據(jù)來源。滲透測試報告詳細描述了滲透測試的結(jié)果和過程，并使用文字和抓圖的形式來描述滲透測試過程。1.7 、系統(tǒng)備份與恢復措施為防止在滲透測試過程中出現(xiàn)的異常的情況，所有被評估系統(tǒng)均應在被評估之前作一次完整的系統(tǒng)備份或者關(guān)閉正在進行的操作，以便在系統(tǒng)發(fā)生災難后及時恢復

11、。數(shù)據(jù)備份后進行恢復演習，檢測備份數(shù)據(jù)和應急恢復流程的有效性。操作系統(tǒng)類：制作系統(tǒng)應急盤， 根據(jù)不同系統(tǒng)對系統(tǒng)信息， 注冊表，sam 文件， /etc中的配置文件以及其他含有重要系統(tǒng)配置信息和用戶信息的目錄和文件進行備份，并應該確保備份的自身安全。數(shù)據(jù)庫系統(tǒng)類：對數(shù)據(jù)庫系統(tǒng)進行數(shù)據(jù)轉(zhuǎn)儲，并妥善保護好備份數(shù)據(jù)。同時對數(shù)據(jù)庫系統(tǒng)的配置信息和用戶信息進行備份。網(wǎng)絡應用系統(tǒng)類：對網(wǎng)絡應用服務系統(tǒng)及其配置、用戶信息、數(shù)據(jù)庫等進行備份。1.8 、風險與應對措施。6。滲透測試過程的最大的風險在于測試過程中對業(yè)務產(chǎn)生影響， 為此我們在本項目采取以下措施來減小風險：在滲透測試中不使用含有拒絕服務的測試策略；滲透

12、測試時間盡量安排在業(yè)務量不大的時段或者晚上；滲透測試在實施過程中，會增加被滲透網(wǎng)絡和主機的負載（ 5%以下），對系統(tǒng)性能不會造成影響。但是如果網(wǎng)站程序不夠健壯，可能會造成鏈接耗盡等影響正常業(yè)務的情況。在滲透測試過程中如果出現(xiàn)被評估系統(tǒng)沒有響應或其他明顯錯誤的情況，應當立即停止測試工作，與浙江省水利廳配合人員一起分析情況，在確定原因后，并正確恢復系統(tǒng)，采取必要的預防措施（比如調(diào)整測試策略等） 之后，才可以繼續(xù)進行如果被滲透測試的主機上除了有被滲透測試的網(wǎng)站，還有其他網(wǎng)站， 其他網(wǎng)站同樣會受到上述影響， 請相關(guān)人員做好備份等工作；實施人員在實施過程中，當滲透工作有進展的時候，應及時通知浙江省水利廳

13、相關(guān)人員當執(zhí)行對系統(tǒng)影響較大的操作的時候（如：向數(shù)據(jù)庫添加表），應先向浙江省水利廳相關(guān)人員申請，得到授權(quán)許可后再實施測試者和浙江省水利廳管理員保持良好溝通，隨時協(xié)商解決出現(xiàn)的各種難題；。7。二、風險評估2.1 、風險評估范圍此次風險評估的范圍為省社保 “金?！?業(yè)務專網(wǎng)，包括對公眾以及對內(nèi)提供服務的 73個業(yè)務系統(tǒng)和其所依托的物理環(huán)境、 網(wǎng)絡環(huán)境、主機操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)，以及安全管理情況。2.2 、風險評估分析在安全評估服務中， 參照 GB/T20984-2007安全模型，確定如下的風險評估方法，如下圖所示：風險評估模型風險分析中要涉及資產(chǎn)、 威脅、脆弱性等基本要素。每個要素有各自的屬性，資

14、產(chǎn)的屬性是資產(chǎn)價值； 威脅的屬性是威脅出現(xiàn)的頻率； 脆弱性的屬性是資產(chǎn)弱點的嚴重程度。風險分析主要內(nèi)容為：對資產(chǎn)進行識別，并對資產(chǎn)的重要性進行賦值；對威脅進行識別，描述威脅的屬性，并對威脅出現(xiàn)的頻率賦值；對資產(chǎn)的脆弱性進行識別，并對具體資產(chǎn)的脆弱性的嚴重程度賦值；根據(jù)威脅和脆弱性的識別結(jié)果判斷安全事件發(fā)生的可能性；根據(jù)脆弱性的嚴重程度及安全事件所作用資產(chǎn)的重要性計算安全事件的損失；根據(jù)安全事件發(fā)生的可能性以及安全事件的損失，計算安全事件一旦發(fā)生對組織的影響，即風險值。2.3 、風險管理規(guī)劃。8。風險評估流程風險評估的準備是整個風險評估過程有效性的保證。組織實施風險評估是一種戰(zhàn)略性的考慮，其結(jié)果

15、將受到組織業(yè)務戰(zhàn)略、業(yè)務流程、安全需求、系統(tǒng)規(guī)模和結(jié)構(gòu)等方面的影響。因此，在風險評估實施前，應做好以下工作準備：確定風險評估的范圍： 明確風險評估對象是正式進行風險評估的前提，否則無法全面、重點的發(fā)現(xiàn)問題；組建適當?shù)脑u估管理與實施團隊： 針對本次項目要求指定協(xié)調(diào)接口人和專人，由省社保和安全評估服務商的顧問團隊共同組成風險評估管理和實施團隊；選擇與組織相適應的具體的風險判斷方法：根據(jù)本次項目要求， 選擇并確定。9。風險分析方法；獲得最高管理者對風險評估工作的支持：通過啟動會議、 溝通會和匯報會等方式不斷加強和提升領(lǐng)導對于此項工作的關(guān)注和重視。2.4 、風險報告的出具我們采用下面的矩陣方法來得到安

16、全風險級別：1. 通過以下矩陣定義了威脅可能性和脆弱性等級的對應關(guān)系。威脅 - 脆弱性對應矩陣低等級威脅中等級威脅高等級威脅低等級脆弱性低威脅可能低威脅可能中威脅可能中等級脆弱性低威脅可能中威脅可能高威脅可能高等級脆弱性中威脅可能高威脅可能高威脅可能2. 通過以下矩陣提供了資產(chǎn)的風險確定方法。風險等級矩陣低威脅可能中威脅可能高威脅可能低價值資產(chǎn)低風險低風險中風險中等價值資產(chǎn)低風險中風險高風險高價值資產(chǎn)中風險高風險高風險。10。風險評估模型中， 主要是以保護省社保信息資產(chǎn)為核心， 因此風險的計算也是圍繞信息資產(chǎn)進行的。 主要分為兩類風險：安全管理類風險、安全技術(shù)類風險。其中安全技術(shù)類風險又分為物

17、理安全類風險、 網(wǎng)絡安全類風險、主機安全類風險、應用安全類風險和數(shù)據(jù)安全類風險。 安全管理風險評估是以等級保護為標準， 從整個宏觀管理層面上對安全風險進行的， 和具體的信息資產(chǎn)關(guān)聯(lián)度不高， 只對弱點和威脅進行評估，歸納出風險，而不單獨和資產(chǎn)進行風險計算。網(wǎng)絡安全風險主要對現(xiàn)有的網(wǎng)絡安全構(gòu)架的進行分析， 通過網(wǎng)絡安全整體構(gòu)架、安全域的劃分、網(wǎng)絡可用性、安全設備的監(jiān)控及信息審計等幾個方面評估。根據(jù)網(wǎng)絡安全構(gòu)架類風險普遍存在于信息資產(chǎn)中這一特點， 因此在這兩方面只進行弱點和威脅的評估，歸納出風險，而不單獨和信息資產(chǎn)進行風險計算。主機安全風險評估主要是對主機平臺進行安全性檢查， 評估設備所面臨風險。考慮到各個平臺設備的安全配置管理將統(tǒng)一標準， 因此對設備類的風險賦值是以系統(tǒng)平臺為對象， 對設備存在的威脅和弱點進行風險賦值。