安全運(yùn)維服務(wù)規(guī)范及流程

ANYUNTECANYUNTECTITLEXXX安全運(yùn)維服務(wù)規(guī)范及流程目錄XXX安全運(yùn)維服務(wù)規(guī)范及流程 1一.概述 11.1目的 11.2范圍 11.3原則 11.4參考標(biāo)準(zhǔn) 1二.運(yùn)維服務(wù)流程 32.1總體流程 32.1.1準(zhǔn)備階段 32.1.2實(shí)施階段 42.1.3監(jiān)視評(píng)審階段 52.1.4持續(xù)改進(jìn)階段 52.2各階段輸入輸出 52.3各分項(xiàng)流程 72.3.1風(fēng)險(xiǎn)評(píng)估流程 72.3.2漏洞掃描流程 82.3.3配置核查流程 82.3.4滲透測(cè)試流程 92.3.5網(wǎng)絡(luò)架構(gòu)分析流程 92.3.6安全加固流程 102.3.7代碼審計(jì)流程 112.3.8業(yè)務(wù)上線前檢查流程 122.3.9應(yīng)急演練流程 13三.運(yùn)維服務(wù)內(nèi)容介紹 143.1網(wǎng)站類 143.1.1檢測(cè) 143.1.2防護(hù) 143.1.3監(jiān)測(cè) 153.2互聯(lián)網(wǎng)類 163.2.1安全預(yù)警 163.2.2安全監(jiān)測(cè) 163.2.3安全云防護(hù) 173.2.4互聯(lián)網(wǎng)漏洞掃描 173.2.5滲透測(cè)試 183.2.6互聯(lián)網(wǎng)應(yīng)急響應(yīng) 183.3內(nèi)網(wǎng)類 193.3.1系統(tǒng)調(diào)研 193.3.2漏洞掃描 193.3.3配置核查 213.3.4滲透測(cè)試 233.3.5網(wǎng)絡(luò)架構(gòu)分析 233.3.6安全加固 233.3.7駐場(chǎng)運(yùn)維 243.3.8安全巡檢 243.3.9安全通過(guò)和安全預(yù)警 25PAGE概述目的為規(guī)范公司的安全運(yùn)維工作，保障項(xiàng)目實(shí)施質(zhì)量，特制定本文檔。范圍本文檔提出了安全運(yùn)維的規(guī)范、流程；適用于規(guī)范公司開(kāi)展的安全運(yùn)維工作。原則標(biāo)準(zhǔn)性原則整個(gè)服務(wù)過(guò)程遵循國(guó)際和國(guó)內(nèi)的多項(xiàng)標(biāo)準(zhǔn)，包括ISO27001、ISO13335、ISO15408/GB18336、SSE-CMM、SP800-30、PMI項(xiàng)目管理規(guī)范、《信息安全等級(jí)保護(hù)管理辦法》等?？煽匦栽瓌t進(jìn)行項(xiàng)目實(shí)施時(shí)，XXX將從用戶信譽(yù)、成功經(jīng)驗(yàn)、人員水平、工具可控性、項(xiàng)目過(guò)程可控性多個(gè)角度保證整個(gè)項(xiàng)目過(guò)程和結(jié)果的可控性。整體性原則項(xiàng)目實(shí)施中，XXX將從國(guó)際標(biāo)準(zhǔn)、行業(yè)規(guī)范、需求分析和我們長(zhǎng)期的實(shí)施經(jīng)驗(yàn)等多個(gè)角度保證評(píng)估的整體全面性，包括安全涉及的各個(gè)層面，避免遺漏。最小影響原則XXX會(huì)從項(xiàng)目管理層面、測(cè)試工具層面、技術(shù)層面進(jìn)行嚴(yán)格把控，將可能出現(xiàn)的影響降低到最低限度。保密性原則此次安全服務(wù)項(xiàng)目的所有項(xiàng)目組成員，都必須和客戶簽署相關(guān)的保密協(xié)議和非侵害協(xié)議。參考標(biāo)準(zhǔn)GB/T20269-2006信息安全技術(shù)信息系統(tǒng)安全管理要求；GB/T20271-2006信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求；GB/T20270-2006信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求；GB/T20272-2006信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求；GB/T20273-2006信息安全技術(shù)數(shù)據(jù)庫(kù)管理系統(tǒng)安全技術(shù)要求；GB/T20282-2006信息安全技術(shù)信息系統(tǒng)安全工程管理要求；GB/T21082-2007信息安全技術(shù)服務(wù)器安全技術(shù)要求；GB/T20984-2007信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范；CC–ISO15408和GB/T18336信息技術(shù)安全性評(píng)估準(zhǔn)則；ISO/IEC27002《信息技術(shù)—安全技術(shù)—信息安全管理實(shí)施指南》；ISO/IEC27001:2005《信息技術(shù)—安全技術(shù)—信息安全管理體系要求》；ISO15408（CC）《信息技術(shù)—安全技術(shù)—IT安全評(píng)估準(zhǔn)則》；ISO13335《IT安全管理方針》；GAO/AIMD-00-33《信息安全風(fēng)險(xiǎn)評(píng)估》；GB17859《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》；AS/NZS4360:2004《風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)》；GB/T20984-2007信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范；GB/T21052-2007信息安全技術(shù)信息系統(tǒng)物理安全技術(shù)要求；運(yùn)維服務(wù)流程總體流程準(zhǔn)備階段需求調(diào)研與分析采集客戶對(duì)信息系統(tǒng)運(yùn)維服務(wù)時(shí)間的需求。進(jìn)行信息系統(tǒng)運(yùn)維預(yù)算，定義運(yùn)維服務(wù)。與客戶進(jìn)行溝通，達(dá)成共識(shí)并形成記錄。運(yùn)維服務(wù)設(shè)計(jì)制定安全運(yùn)維服務(wù)目錄，包括但不限于：初始服務(wù)、安全設(shè)備運(yùn)維、日常巡檢服務(wù)、健康檢查、安全事件審計(jì)。對(duì)信息系統(tǒng)相關(guān)的IT資產(chǎn)進(jìn)行識(shí)別。對(duì)安全設(shè)備進(jìn)行日常維護(hù)及監(jiān)控，并記錄硬件故障。提供安全設(shè)備、業(yè)務(wù)系統(tǒng)的健康檢查服務(wù)，并約定服務(wù)方式、檢查頻次和檢查內(nèi)容。采集系統(tǒng)配置、流量信息、系統(tǒng)狀態(tài)等安全信息。收集與分析網(wǎng)絡(luò)及安全設(shè)備、服務(wù)器、操作系統(tǒng)、網(wǎng)絡(luò)應(yīng)用的日志。運(yùn)維服務(wù)導(dǎo)入收集與建立配置管理數(shù)據(jù)庫(kù)，確保配置項(xiàng)目的機(jī)密性、完整性、可用性。專業(yè)人員負(fù)責(zé)安全管理的接口。建立服務(wù)目錄。建立事件響應(yīng)和解決的機(jī)制，有基本的安全運(yùn)維報(bào)告模式。明確服務(wù)協(xié)議特殊要求明確安全事件處理與應(yīng)急響應(yīng)流程，包括但不限于：安全事件的分類、安全事件上報(bào)流程、安全事件處理流程、安全事件的事后處理。明確安全運(yùn)維方式，包括但不限于：駐場(chǎng)值守方式，定期巡檢方式，遠(yuǎn)程值守方式。實(shí)施階段實(shí)施初始服務(wù)：完成資產(chǎn)識(shí)別，定期配置項(xiàng)的更新和維護(hù)，實(shí)施相關(guān)運(yùn)維流程。實(shí)施安全設(shè)備運(yùn)維服務(wù)：完成日常維護(hù)，狀態(tài)檢查，定期查殺，故障處理、保養(yǎng)、更新、升級(jí)、故障檢測(cè)及排除，并對(duì)安全設(shè)備出現(xiàn)的硬件故障進(jìn)行統(tǒng)計(jì)記錄。實(shí)施日常巡檢服務(wù)：完成安全設(shè)備監(jiān)控；病毒監(jiān)測(cè)、查殺及網(wǎng)絡(luò)防病毒維護(hù)，并有相關(guān)記錄。實(shí)施健康檢查服務(wù)：完成安全設(shè)備、業(yè)務(wù)系統(tǒng)的健康檢查服務(wù)。實(shí)施安全事件審計(jì)服務(wù)：完成網(wǎng)絡(luò)及安全設(shè)備日志、服務(wù)器、操作系統(tǒng)、網(wǎng)絡(luò)應(yīng)用的日志、并且進(jìn)行記錄。組建運(yùn)維服務(wù)臺(tái)職能，培養(yǎng)服務(wù)臺(tái)人員的專業(yè)能力。建立事件管理程序和信息安全服務(wù)請(qǐng)求管理程序。監(jiān)視評(píng)審階段應(yīng)定期收集與分析安全運(yùn)維報(bào)告的數(shù)據(jù)，包括但不限于：異常報(bào)告及時(shí)率、異常漏報(bào)率、維護(hù)作業(yè)計(jì)劃的及時(shí)完成率、故障隱患發(fā)現(xiàn)率、異常主動(dòng)發(fā)現(xiàn)率、問(wèn)題解決率、漏洞掃描覆蓋率、加固設(shè)備覆蓋率安全補(bǔ)丁安裝及時(shí)率、安全事件次數(shù)。對(duì)運(yùn)維實(shí)現(xiàn)情況進(jìn)行監(jiān)視測(cè)量，未能實(shí)現(xiàn)的目標(biāo)應(yīng)采取糾正預(yù)防措施。建立與分析客戶滿意度調(diào)查。持續(xù)改進(jìn)階段應(yīng)在運(yùn)維過(guò)程和監(jiān)視過(guò)程中識(shí)別改進(jìn)項(xiàng)目，制定持續(xù)改進(jìn)計(jì)劃，包括但不限于對(duì)改進(jìn)機(jī)會(huì)的評(píng)估標(biāo)準(zhǔn)。應(yīng)有文件化的程序，用以識(shí)別、記錄、批準(zhǔn)、評(píng)估、測(cè)量和報(bào)告改進(jìn)措施。應(yīng)采取預(yù)防措施，以消除潛在的不符合項(xiàng)的原因，以防止其發(fā)生。各階段輸入輸出各階段輸入輸出職責(zé)準(zhǔn)備階段項(xiàng)目合同需求調(diào)研報(bào)告調(diào)研人員與客戶充分溝通，確定客戶對(duì)運(yùn)維服務(wù)的時(shí)間要求，確認(rèn)重點(diǎn)服務(wù)內(nèi)容，確認(rèn)客戶安全運(yùn)維服務(wù)現(xiàn)狀，明確服務(wù)頻次等關(guān)鍵信息。實(shí)施階段項(xiàng)目合同需求調(diào)研報(bào)告實(shí)施方案保密協(xié)議根據(jù)項(xiàng)目合同、需求調(diào)研報(bào)告，編制詳細(xì)的實(shí)施方案，包括時(shí)間進(jìn)度、項(xiàng)目組人員、溝通計(jì)劃等，方案經(jīng)過(guò)用戶最終確認(rèn)實(shí)施方案項(xiàng)目啟動(dòng)會(huì)ppt根據(jù)最終的實(shí)施方案，編制項(xiàng)目啟動(dòng)會(huì)ppt，召集相關(guān)人員參與，落實(shí)實(shí)施方案，明確各階段目標(biāo)及需要用戶配合的人員客戶已有的資產(chǎn)表資產(chǎn)調(diào)研表調(diào)研收集客戶現(xiàn)有的資產(chǎn)表，并通過(guò)資產(chǎn)存活發(fā)現(xiàn)，結(jié)合實(shí)地勘查，編寫信息系統(tǒng)資產(chǎn)表，包括IP段、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器等客戶已有的網(wǎng)絡(luò)拓?fù)渚W(wǎng)絡(luò)拓?fù)鋱D調(diào)研收集客戶現(xiàn)有的網(wǎng)絡(luò)拓?fù)?，并通過(guò)訪談、實(shí)地勘查的方式，繪制詳細(xì)的網(wǎng)絡(luò)拓?fù)鋱D實(shí)施方案漏洞掃描報(bào)告對(duì)用戶信息系統(tǒng)進(jìn)行漏洞掃描，并編寫漏洞掃描報(bào)告及加固建議配置核查報(bào)告對(duì)用戶系統(tǒng)進(jìn)行配置核查，編寫配置核查報(bào)告及加固建議日志審計(jì)報(bào)告對(duì)用戶相關(guān)的安全設(shè)備進(jìn)行日志審計(jì)，并編寫日志審計(jì)報(bào)告工作周報(bào)每周編寫本周的工作周報(bào)，內(nèi)部包括本周運(yùn)維服務(wù)的所有內(nèi)容，包括漏洞掃描、安全加固、巡檢等日常設(shè)備巡檢報(bào)告包括設(shè)備的運(yùn)行狀態(tài)，補(bǔ)丁策略更新等安全事件統(tǒng)計(jì)報(bào)告記錄安全事件發(fā)生的次數(shù)，并提供事件發(fā)生的原因及分析記錄項(xiàng)目合同驗(yàn)收?qǐng)?bào)告根據(jù)項(xiàng)目合同，編寫驗(yàn)收?qǐng)?bào)告監(jiān)視評(píng)審階段運(yùn)維報(bào)告運(yùn)維月報(bào)漏洞掃描覆蓋率、加固設(shè)備覆蓋率安全補(bǔ)丁安裝及時(shí)率、安全事件次數(shù)持續(xù)改進(jìn)階段已有運(yùn)維資料改進(jìn)計(jì)劃根據(jù)已有的運(yùn)維資料，結(jié)合實(shí)際項(xiàng)目中的使用情況，提出改進(jìn)計(jì)劃各分項(xiàng)流程風(fēng)險(xiǎn)評(píng)估流程漏洞掃描流程配置核查流程滲透測(cè)試流程網(wǎng)絡(luò)架構(gòu)分析流程安全加固流程代碼審計(jì)流程業(yè)務(wù)上線前檢查流程應(yīng)急演練流程運(yùn)維服務(wù)內(nèi)容介紹網(wǎng)站類檢測(cè)XXX互聯(lián)網(wǎng)漏洞掃描服務(wù)為客戶提供專業(yè)的Web網(wǎng)站、Web應(yīng)用、網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫(kù)、常見(jiàn)服務(wù)器等范圍的深度掃描。按照國(guó)際通用的CVSS漏洞評(píng)分標(biāo)準(zhǔn)，將掃描對(duì)象的結(jié)果按照不同風(fēng)險(xiǎn)等級(jí)劃分，將客戶的Web網(wǎng)站、業(yè)務(wù)系統(tǒng)存在的安全問(wèn)題暴露出來(lái)，并提供每條漏洞的整改建議。防護(hù)XXX網(wǎng)站云防護(hù)服務(wù)以大數(shù)據(jù)為基礎(chǔ)，基于安全自愈架構(gòu)，在互聯(lián)網(wǎng)上搭建人工智能云防御平臺(tái)，可以為安全基礎(chǔ)為0的web系統(tǒng)提供百分百的安全防御支持。利用全網(wǎng)平臺(tái)的高性能集群清洗設(shè)備，可以抵御幾百G的大規(guī)模DDoS攻擊。同時(shí)，在特殊時(shí)期，網(wǎng)站云防護(hù)服務(wù)可以保障客戶網(wǎng)站永久在線，即使本地服務(wù)器發(fā)生宕機(jī)，也不影響正常訪問(wèn)。監(jiān)測(cè)XXXWeb安全監(jiān)測(cè)服務(wù)可以為客戶的Web網(wǎng)站、業(yè)務(wù)系統(tǒng)提供7*24小時(shí)的安全掃描和監(jiān)測(cè)服務(wù)。Web安全監(jiān)測(cè)服務(wù)將網(wǎng)站可用性、脆弱性、暗鏈、掛馬、篡改、DDos攻擊等多項(xiàng)監(jiān)控內(nèi)容融為一體，不間斷的進(jìn)行監(jiān)測(cè)，真正確保將風(fēng)險(xiǎn)拒于門外。服務(wù)類別服務(wù)介紹服務(wù)內(nèi)容監(jiān)測(cè)服務(wù)可用性檢測(cè)提供該站的站點(diǎn)可用性監(jiān)測(cè)，當(dāng)有站點(diǎn)可用性事件發(fā)生時(shí)，在30分鐘之內(nèi)，通過(guò)郵件、短信、電話通知用戶。網(wǎng)站篡改監(jiān)測(cè)提供對(duì)網(wǎng)頁(yè)文件的完整性檢測(cè)，當(dāng)有頁(yè)面篡改事件發(fā)生時(shí)，在30分鐘之內(nèi)，通過(guò)郵件、短信、電話通知用戶。掛馬監(jiān)測(cè)提供網(wǎng)站是否存在被黑客植入惡意代碼的檢測(cè)，當(dāng)有掛馬事件發(fā)生時(shí)，在30分鐘之內(nèi)，通過(guò)郵件、短信、電話通知用戶。暗鏈監(jiān)測(cè)提供網(wǎng)站是否存在未經(jīng)用戶允許，非法掛載其他網(wǎng)站連接的檢測(cè)，當(dāng)有暗鏈?zhǔn)录l(fā)生時(shí)，在30分鐘之內(nèi)，通過(guò)郵件、短信、電話通知用戶。應(yīng)急響應(yīng)提供web漏洞告警檢測(cè)，當(dāng)檢測(cè)到有緊急漏洞出現(xiàn)時(shí)，在30分鐘之內(nèi)，通過(guò)郵件、短信、電話通知用戶?；ヂ?lián)網(wǎng)類安全預(yù)警XXX安全預(yù)警采用公司自主研發(fā)的量安全平臺(tái)，可對(duì)網(wǎng)絡(luò)中的資產(chǎn)和存在的安全威脅進(jìn)行檢查和管理的平臺(tái)，具備資產(chǎn)普查、漏洞檢查及風(fēng)險(xiǎn)預(yù)警的功能。平臺(tái)基于指紋識(shí)別技術(shù)，可對(duì)網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器、操作系統(tǒng)、數(shù)據(jù)庫(kù)、中間件、工業(yè)控制設(shè)備等進(jìn)行詳細(xì)的指紋識(shí)別，包括資產(chǎn)類型、廠家、版本、框架、組建、CMS等，做到全網(wǎng)資產(chǎn)準(zhǔn)確識(shí)別定位，一旦有突發(fā)漏洞事件，可立即獲知漏洞影響范圍，并結(jié)合平臺(tái)自身的的漏洞掃描功能，對(duì)識(shí)別出的資產(chǎn)進(jìn)行安全檢查，可獲得準(zhǔn)確的漏洞檢測(cè)結(jié)果。安全監(jiān)測(cè)XXXWeb安全監(jiān)測(cè)服務(wù)可以為客戶的Web網(wǎng)站、業(yè)務(wù)系統(tǒng)提供7*24小時(shí)的安全掃描和監(jiān)測(cè)服務(wù)。Web安全監(jiān)測(cè)服務(wù)將網(wǎng)站可用性、脆弱性、暗鏈、掛馬、篡改、DDos攻擊等多項(xiàng)監(jiān)控內(nèi)容融為一體，不間斷的進(jìn)行監(jiān)測(cè)，真正確保將風(fēng)險(xiǎn)拒于門外。服務(wù)類別服務(wù)介紹服務(wù)內(nèi)容監(jiān)測(cè)服務(wù)可用性檢測(cè)提供該站的站點(diǎn)可用性監(jiān)測(cè)，當(dāng)有站點(diǎn)可用性事件發(fā)生時(shí)，在30分鐘之內(nèi)，通過(guò)郵件、短信、電話通知用戶。網(wǎng)站篡改監(jiān)測(cè)提供對(duì)網(wǎng)頁(yè)文件的完整性檢測(cè)，當(dāng)有頁(yè)面篡改事件發(fā)生時(shí)，在30分鐘之內(nèi)，通過(guò)郵件、短信、電話通知用戶。掛馬監(jiān)測(cè)提供網(wǎng)站是否存在被黑客植入惡意代碼的檢測(cè)，當(dāng)有掛馬事件發(fā)生時(shí)，在30分鐘之內(nèi)，通過(guò)郵件、短信、電話通知用戶。暗鏈監(jiān)測(cè)提供網(wǎng)站是否存在未經(jīng)用戶允許，非法掛載其他網(wǎng)站連接的檢測(cè)，當(dāng)有暗鏈?zhǔn)录l(fā)生時(shí)，在30分鐘之內(nèi)，通過(guò)郵件、短信、電話通知用戶。應(yīng)急響應(yīng)提供web漏洞告警檢測(cè)，當(dāng)檢測(cè)到有緊急漏洞出現(xiàn)時(shí)，在30分鐘之內(nèi)，通過(guò)郵件、短信、電話通知用戶。安全云防護(hù)XXX網(wǎng)站云防護(hù)服務(wù)以大數(shù)據(jù)為基礎(chǔ)，基于安全自愈架構(gòu)，在互聯(lián)網(wǎng)上搭建人工智能云防御平臺(tái)，可以為安全基礎(chǔ)為0的web系統(tǒng)提供百分百的安全防御支持。利用全網(wǎng)平臺(tái)的高性能集群清洗設(shè)備，可以抵御幾百G的大規(guī)模DDoS攻擊。同時(shí)，在特殊時(shí)期，網(wǎng)站云防護(hù)服務(wù)可以保障客戶網(wǎng)站永久在線，即使本地服務(wù)器發(fā)生宕機(jī)，也不影響正常訪問(wèn)?；ヂ?lián)網(wǎng)漏洞掃描XXX互聯(lián)網(wǎng)漏洞掃描服務(wù)的服務(wù)方式為遠(yuǎn)程掃描，與客戶簽訂協(xié)議，客戶授權(quán)之后，XXX的專業(yè)安全工程師將對(duì)目標(biāo)IP或域名進(jìn)行掃描，掃描結(jié)果出來(lái)后再進(jìn)行統(tǒng)一分析，出具相應(yīng)的報(bào)告。滲透測(cè)試XXX人工滲透測(cè)試服務(wù)由專業(yè)的滲透測(cè)試人員依據(jù)流程，基于對(duì)攻擊者能力的全面了解，推演可能攻擊方式的威脅測(cè)試手段。注重對(duì)抗性，實(shí)現(xiàn)攻擊路徑的模擬、安全功能的測(cè)試。測(cè)試包括黑盒測(cè)試和白盒測(cè)試，是互聯(lián)網(wǎng)漏洞掃描服務(wù)的一種很好的補(bǔ)充，尤其彌補(bǔ)了漏洞掃描設(shè)備在業(yè)務(wù)邏輯漏洞探測(cè)方面的不足?；ヂ?lián)網(wǎng)應(yīng)急響應(yīng)應(yīng)急響應(yīng)是WEB安全防護(hù)的“最后一道防線”。發(fā)生安全事件不可怕，可怕的是出現(xiàn)事故之后響應(yīng)不及時(shí)，事件持續(xù)發(fā)酵，進(jìn)而一發(fā)不可收拾，造成惡劣的社會(huì)影響。因此，做好應(yīng)急響應(yīng)也是WEB安全防護(hù)重要的組成部分，沒(méi)有應(yīng)急響應(yīng)的安全工作是不完善的。XXX互聯(lián)網(wǎng)應(yīng)急響應(yīng)服務(wù)為客戶提供在Web網(wǎng)站、業(yè)務(wù)系統(tǒng)出現(xiàn)黑客入侵、信息竊取、拒絕服務(wù)攻擊、網(wǎng)絡(luò)流量異常等突發(fā)事件時(shí)的相應(yīng)措施和行動(dòng)。主要支持的安全事件類型為：網(wǎng)站頁(yè)面被篡改系統(tǒng)被安裝木馬敏感數(shù)據(jù)泄露大量賬號(hào)被盜取病毒蠕蟲(chóng)傳播異常流量攻擊其他安全相關(guān)事件內(nèi)網(wǎng)類系統(tǒng)調(diào)研系統(tǒng)調(diào)研是確定被評(píng)估對(duì)象的過(guò)程，風(fēng)險(xiǎn)評(píng)估小組應(yīng)進(jìn)行充分的系統(tǒng)調(diào)研，為風(fēng)險(xiǎn)評(píng)估依據(jù)和方法的選擇、評(píng)估內(nèi)容的實(shí)施奠定基礎(chǔ)。調(diào)研內(nèi)容主要內(nèi)容有：業(yè)務(wù)戰(zhàn)略及管理制度主要的業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)拓?fù)溥吔缭L問(wèn)控制；IP地址規(guī)劃，網(wǎng)絡(luò)設(shè)備、安全設(shè)備等軟硬件信息相關(guān)人員（甲乙雙方及第三方人員）；其他。系統(tǒng)調(diào)研可以采取問(wèn)卷調(diào)查、現(xiàn)場(chǎng)面談、設(shè)備資產(chǎn)存活探測(cè)相結(jié)合的方式進(jìn)行。調(diào)查問(wèn)卷是提供一套關(guān)于管理或操作控制的問(wèn)題表格，供系統(tǒng)技術(shù)或管理人員填寫；現(xiàn)場(chǎng)面談則是由評(píng)估人員到現(xiàn)場(chǎng)觀察并收集系統(tǒng)在物理、環(huán)境和操作方面的信息；設(shè)備資產(chǎn)存活探測(cè)則是通過(guò)漏洞掃描、NMAP等工具做存活發(fā)現(xiàn)和端口探測(cè)。漏洞掃描安全漏洞(securityhole)漏洞是在硬件、軟件、協(xié)議的具體實(shí)現(xiàn)或系統(tǒng)安全策略上存在的缺陷，從而可以使攻擊者能夠在未授權(quán)的情況下訪問(wèn)或破壞系統(tǒng)。是受限制的計(jì)算機(jī)、組件、應(yīng)用程序或其他聯(lián)機(jī)資源的無(wú)意中留下的不受保護(hù)的入口點(diǎn)。安全漏洞掃描會(huì)對(duì)信息系統(tǒng)內(nèi)的網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、應(yīng)用軟件、中間件和服務(wù)等進(jìn)行安全漏洞識(shí)別，詳細(xì)內(nèi)容如下：網(wǎng)絡(luò)層漏洞識(shí)別版本漏洞，包括但不限于IOS存在的漏洞，涉及包括所有在線網(wǎng)絡(luò)設(shè)備及安全設(shè)備。開(kāi)放服務(wù)，包括但不限于路由器開(kāi)放的Web管理界面、其他管理方式等?？杖蹩诹?，例如空/弱telnet口令、snmp口令等。網(wǎng)絡(luò)資源的訪問(wèn)控制：檢測(cè)到無(wú)線訪問(wèn)點(diǎn)，……域名系統(tǒng)：ISCBINDSIG資源記錄無(wú)效過(guò)期時(shí)間拒絕服務(wù)攻擊漏洞，MicrosoftWindowsDNS拒絕服務(wù)攻擊，……路由器：CiscoIOSWeb配置接口安全認(rèn)證可被繞過(guò)，Nortel交換機(jī)/路由器缺省口令漏洞，華為網(wǎng)絡(luò)設(shè)備沒(méi)有設(shè)置口令，…………操作系統(tǒng)層漏洞識(shí)別操作系統(tǒng)（包括Windows、AIX和Linux、HPUX、Solaris、VMware等）的系統(tǒng)補(bǔ)丁、漏洞、病毒等各類異常缺陷，……空/弱口令系統(tǒng)帳戶檢測(cè)，例如：身份認(rèn)證：通過(guò)telnet進(jìn)行口令猜測(cè)，……訪問(wèn)控制：注冊(cè)表HKEY_LOCAL_MACHINE普通用戶可寫，遠(yuǎn)程主機(jī)允許匿名FTP登錄，ftp服務(wù)器存在匿名可寫目錄，……系統(tǒng)漏洞：SystemV系統(tǒng)Login遠(yuǎn)程緩沖區(qū)溢出漏洞，MicrosoftWindowsLocator服務(wù)遠(yuǎn)程緩沖區(qū)溢出漏洞，……安全配置問(wèn)題：部分SMB用戶存在薄弱口令，試圖使用rsh登錄進(jìn)入遠(yuǎn)程系統(tǒng)，…………應(yīng)用層漏洞識(shí)別應(yīng)用程序（包括但不限于數(shù)據(jù)庫(kù)Oracle、DB2、MSSQL，Web服務(wù)，如Apache、WebSphere、Tomcat、IIS等，其他SSH、FTP等）缺失補(bǔ)丁或版本漏洞檢測(cè)，……空弱口令應(yīng)用帳戶檢測(cè)。數(shù)據(jù)庫(kù)軟件：Oracletnslsnr沒(méi)有設(shè)置口令，MicrosoftSQLServer2000Resolution服務(wù)多個(gè)安全漏洞，……Web服務(wù)器：ApacheMod_SSL/Apache-SSL遠(yuǎn)程緩沖區(qū)溢出漏洞，MicrosoftIIS5.0.printerISAPI遠(yuǎn)程緩沖區(qū)溢出，SunONE/iPlanetWeb服務(wù)程序分塊編碼傳輸漏洞，……電子郵件系統(tǒng)：Sendmail頭處理遠(yuǎn)程溢出漏洞，MicrosoftWindows2000SMTP服務(wù)認(rèn)證錯(cuò)誤漏洞，……防火墻及應(yīng)用網(wǎng)管系統(tǒng)：AxentRaptor防火墻拒絕服務(wù)漏洞，……其它網(wǎng)絡(luò)服務(wù)系統(tǒng)：WingatePOP3USER命令遠(yuǎn)程溢出漏洞，Linux系統(tǒng)LPRng遠(yuǎn)程格式化串漏洞，…………配置核查安全配置本服務(wù)提及的安全配置為操作系統(tǒng)（也包括：網(wǎng)絡(luò)設(shè)備和安全設(shè)備等）、數(shù)據(jù)庫(kù)、中間件、第三方應(yīng)用和業(yè)務(wù)系統(tǒng)可更改的配置中與安全相關(guān)的配置；信息系統(tǒng)的網(wǎng)絡(luò)設(shè)備、主機(jī)、數(shù)據(jù)庫(kù)、中間件、應(yīng)用軟件的安全策略是安全配置檢查的主要對(duì)象。安全策略的作用是為網(wǎng)絡(luò)和應(yīng)用系統(tǒng)提供必要的保護(hù)，其安全性也必然關(guān)系到網(wǎng)絡(luò)和應(yīng)用系統(tǒng)的安全性是否可用、可控和可信。通過(guò)安全配置檢查可以發(fā)現(xiàn)這些設(shè)備和安全系統(tǒng)是否存在以下問(wèn)題：是否最優(yōu)的劃分了VLAN和不同的網(wǎng)段，保證了每個(gè)用戶的最小權(quán)限原則；內(nèi)外網(wǎng)之間、重要的網(wǎng)段之間是否進(jìn)行了必要的隔離措施；路由器、交換機(jī)等網(wǎng)絡(luò)設(shè)備的配置是否最優(yōu)，是否配置了安全參數(shù)；安全設(shè)備的接入方式是否正確，是否最大化的利用了其安全功能而又占系統(tǒng)資源最小，是否影響業(yè)務(wù)和系統(tǒng)的正常運(yùn)行；主機(jī)服務(wù)器的安全配置策略是否嚴(yán)謹(jǐn)有效。是否配置最優(yōu)，實(shí)現(xiàn)其最優(yōu)功能和性能，保證網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)行；自身的保護(hù)機(jī)制是否實(shí)現(xiàn)；管理機(jī)制是否安全；為網(wǎng)絡(luò)提供的保護(hù)措施是否正常和正確；是否定期升級(jí)或更新；是否存在漏洞或后門。對(duì)信息系統(tǒng)的網(wǎng)絡(luò)設(shè)備和主機(jī)的安全性進(jìn)行安全配置檢查內(nèi)容主要包括以下內(nèi)容：安全系統(tǒng)是否配置最優(yōu)，實(shí)現(xiàn)其最優(yōu)功能和性能，保證網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)行；安全系統(tǒng)自身的保護(hù)機(jī)制是否實(shí)現(xiàn)；安全系統(tǒng)的管理機(jī)制是否安全；安全系統(tǒng)為網(wǎng)絡(luò)提供的保護(hù)措施，且這些措施是否正常和正確；安全系統(tǒng)是否定期升級(jí)或更新；安全系統(tǒng)是否存在漏洞或后門。具體來(lái)說(shuō)，操作系統(tǒng)的主機(jī)安全檢查的內(nèi)容包括兩部分，一是信息搜集，二是配置檢查。針對(duì)Unix和Linux系統(tǒng)（AIX、HP-UX、Solaris、Redhat、Suse）檢查項(xiàng)包括：基本信息檢查系統(tǒng)版本、補(bǔ)丁檢查及漏洞檢查。用戶賬號(hào)及口令清查系統(tǒng)授權(quán)驗(yàn)證日志檢查檢查用戶登錄日志設(shè)置、登錄失敗日志和各種操作日志。系統(tǒng)網(wǎng)絡(luò)應(yīng)用配置檢查針對(duì)WindowsServer系統(tǒng)檢查項(xiàng)包括：系統(tǒng)基本信息操作系統(tǒng)版本補(bǔ)丁檢查、各分區(qū)文件格式檢查、自動(dòng)更新檢查、系統(tǒng)時(shí)鐘檢查。用戶身份檢查用戶登錄和密碼檢查系統(tǒng)授權(quán)檢查日志檢查系統(tǒng)網(wǎng)絡(luò)應(yīng)用配置檢查防火墻和防病毒軟件檢查針對(duì)數(shù)據(jù)庫(kù)的檢查項(xiàng)包括但不限于：基本信息檢查用戶身份驗(yàn)證用戶登錄和密碼驗(yàn)證系統(tǒng)授權(quán)驗(yàn)證日志檢查針對(duì)Web服務(wù)器檢查項(xiàng)包括但不限于：基本信息檢查用戶身份驗(yàn)證用戶登錄和密碼驗(yàn)證日志檢查滲透測(cè)試XXX人工滲透測(cè)試服務(wù)由專業(yè)的滲透測(cè)試人員依據(jù)流程，基于對(duì)攻擊者能力的全面了解，推演可能攻擊方式的威脅測(cè)試手段。注重對(duì)抗性，實(shí)現(xiàn)攻擊路徑的模擬、安全功能的測(cè)試。測(cè)試包括黑盒測(cè)試和白盒測(cè)試，是互聯(lián)網(wǎng)漏洞掃描服務(wù)的一種很好的補(bǔ)充，尤其彌補(bǔ)了漏洞掃描設(shè)備在業(yè)務(wù)邏輯漏洞探測(cè)方面的不足。網(wǎng)絡(luò)架構(gòu)分析網(wǎng)絡(luò)架構(gòu)分析會(huì)對(duì)目標(biāo)網(wǎng)絡(luò)的網(wǎng)絡(luò)現(xiàn)狀、網(wǎng)絡(luò)建設(shè)規(guī)范性、網(wǎng)絡(luò)可靠性、網(wǎng)絡(luò)邊界安全、網(wǎng)絡(luò)流量分析、網(wǎng)絡(luò)通信安全、網(wǎng)絡(luò)設(shè)備安全和網(wǎng)絡(luò)安全管理這八個(gè)方面進(jìn)行網(wǎng)絡(luò)架構(gòu)安全性的全面分析，對(duì)整體網(wǎng)絡(luò)中的脆弱點(diǎn)進(jìn)行識(shí)別，評(píng)估結(jié)果包括定性和定量分析，讓用戶對(duì)網(wǎng)絡(luò)