第三方安全測(cè)評(píng)服務(wù)評(píng)估方案（技術(shù)方案）

第三方安全測(cè)評(píng)服務(wù)評(píng)估技術(shù)方案（技術(shù)方案）投標(biāo)方案投標(biāo)人名稱：****有限責(zé)任公司地址：****號(hào)二樓聯(lián)系人：****報(bào)告說(shuō)明聲明：本文內(nèi)容信息來(lái)源于公開(kāi)渠道，對(duì)文中內(nèi)容的準(zhǔn)確性、完整性、及時(shí)性或可靠性不作任何保證。本文內(nèi)容僅供參考與學(xué)習(xí)交流使用，不構(gòu)成相關(guān)領(lǐng)域的建議和依據(jù)。目錄1技術(shù)建議書(shū) 1 1 1 2 21.1.3.1.1滲透測(cè)試概述 21.1.3.1.2滲透測(cè)試意義 31.1.3.1.3滲透測(cè)試步驟 1.1.3.1.4滲透測(cè)試流程 71.1.3.1.5滲透測(cè)試報(bào)告 1.1.3.2三同步工作 1.1.3.2.2新業(yè)務(wù)上線安全檢查范圍 1.1.3.2.3新業(yè)務(wù)上線安全檢查內(nèi)容 1.1.3.3安全運(yùn)維 1.1.3.3.1執(zhí)行運(yùn)維作業(yè)計(jì)劃 21.1.3.3.4應(yīng)急響應(yīng)演練 251.1.3.4系統(tǒng)運(yùn)維 1.1.3.4.1系統(tǒng)運(yùn)維概述 1.1.3.4.3系統(tǒng)運(yùn)維的內(nèi)容 1.1.3.4.5系統(tǒng)運(yùn)維注意事項(xiàng) 1.1.3.5重大節(jié)日安全保障 1.1.3.5.2重大節(jié)日安全保障范圍 1.1.3.5.3重大節(jié)日安全保障內(nèi)容 1.1.3.6安全加固服務(wù) 1.1.3.6.1加固方法確定 1.1.3.6.2安全加固流程 411.1.3.6.4實(shí)施驗(yàn)證 411.1.3.6.5加固驗(yàn)證 411.1.3.6.6補(bǔ)丁管理 42 43 4 45 45 461.2.2.1人員角色 1.2.2.2項(xiàng)目辦公環(huán)境 1.2.2.3審計(jì)顧問(wèn)訪談 1.2.2.4資料文檔 481.2.2.4.1信息資產(chǎn)清單 48 481.2.2.5網(wǎng)絡(luò)系統(tǒng)信息 1.2.2.6現(xiàn)有安全文檔 1.2.2.7項(xiàng)目設(shè)備 1.3.1.2.2功能模塊 1.3.1.2.3功能列表 1.3.1.2.4功能描述 1.3.1.2.5軟件和安裝所在硬件設(shè)備對(duì)照表 1.3.1.3軟件的體系結(jié)構(gòu) 1.3.1.4關(guān)鍵技術(shù) 1.3.1.5工具特點(diǎn) 1.3.1.5.1操作系統(tǒng)獨(dú)立 51.3.1.5.2編譯器獨(dú)立、實(shí)施環(huán)境獨(dú)立，搭建測(cè)試環(huán)境簡(jiǎn)單快速且 1.3.1.5.3工具學(xué)習(xí)、培訓(xùn)和使用的成本少，最小化影響實(shí)施 51.3.1.5.4低誤報(bào) 1.3.1.5.5安全漏洞覆蓋面廣且全面(低漏報(bào)) 1.3.1.5.6安全查詢規(guī)則清晰且完全公開(kāi)實(shí)現(xiàn) 1.3.1.5.7安全規(guī)則自定義簡(jiǎn)單高效 1.3.1.5.9安全規(guī)則自定義簡(jiǎn)單高效 1.3.1.5.10業(yè)務(wù)邏輯和架構(gòu)風(fēng)險(xiǎn)調(diào)查 1.3.1.5.11攻擊路徑的可視化，并以3D形式展現(xiàn) 1.3.1.5.12代碼實(shí)踐的加強(qiáng) 581.3.1.5.13該產(chǎn)品目前支持主流語(yǔ)言 1.3.1.5.14支持的主流框架() 1.3.1.5.17支持多任務(wù) 59 1.3.2.2.2功能模塊 1.3.2.2.3功能列表 1.3.2.2.5軟件和安裝所在硬件設(shè)備對(duì)照表 1.3.2.3軟件的體系結(jié)構(gòu) 1.3.2.4關(guān)鍵技術(shù) 1.3.2.5工具特點(diǎn) 61.3.3.1信息收集工具 1.3.3.1.2運(yùn)行環(huán)境 1.3.3.1.3資源要求 1.3.3.2網(wǎng)絡(luò)掃描工具 1.3.3.2.1工具介紹 1.3.3.2.2運(yùn)行環(huán)境 1.3.3.2.3資源要求 1.3.3.3漏洞掃描系統(tǒng) 1.3.3.3.2運(yùn)行環(huán)境 1.3.3.4應(yīng)用掃描系統(tǒng) 1.3.3.4.2運(yùn)行環(huán)境 1.3.3.4.3資源要求 1.3.3.5安全配置核查系統(tǒng) 1.3.3.5.2運(yùn)行環(huán)境 1.3.3.6集成滲透測(cè)試系統(tǒng) 1.3.3.6.1系統(tǒng)介紹 1.3.3.6.2運(yùn)行環(huán)境 1.3.3.7注入工具 1.3.3.7.1工具介紹 1.3.3.7.2運(yùn)行環(huán)境 1.3.3.8應(yīng)用代理 1.3.3.8.2運(yùn)行環(huán)境 1.3.3.8.3資源要求 1.3.3.9協(xié)議分析工具 1.3.3.9.1工具介紹 1.3.3.9.2運(yùn)行環(huán)境 1.3.3.9.3資源要求 1.4.2安全策略文檔 1.4.3測(cè)試工具文檔 1.5服務(wù)內(nèi)容 1.6實(shí)施計(jì)劃 1.6.1.1項(xiàng)目啟動(dòng)計(jì)劃 1.6.1.2項(xiàng)目進(jìn)度時(shí)表 1.6.1.3項(xiàng)目進(jìn)度保障 1.6.1.3.1項(xiàng)目進(jìn)度質(zhì)量保證 1.6.1.3.2項(xiàng)目進(jìn)度控制方法 1.6.1.3.3項(xiàng)目執(zhí)行跟蹤監(jiān)控 1.6.1.3.4項(xiàng)目管理會(huì)議措施 1.6.2項(xiàng)目質(zhì)量管理 1.6.2.1質(zhì)量控制 1.6.2.2質(zhì)量記錄 1.6.2.3標(biāo)識(shí)可追溯 1.6.2.4審核與評(píng)審 1.6.2.5誤差控制 1.6.2.6加固質(zhì)量保障 1.6.2.7評(píng)估質(zhì)量保證 1.6.3應(yīng)急安全保障 87 1.6.3.2應(yīng)急流程 1.6.3.3事件處理 1.7成果驗(yàn)收 1.7.1項(xiàng)目成果交付 911.7.1.1安全評(píng)估交付物 1.7.1.2測(cè)試整改交付物 1.7.1.3其他項(xiàng)目交付物 1.7.2.1項(xiàng)目驗(yàn)收標(biāo)準(zhǔn) 1.7.2.2項(xiàng)目?jī)?nèi)容驗(yàn)收 1.7.2.3項(xiàng)目質(zhì)量驗(yàn)收 1.8.2安全培訓(xùn)服務(wù)范圍 961.8.3安全培訓(xùn)服務(wù)內(nèi)容 961.8.4培訓(xùn)計(jì)劃 971.8.5培訓(xùn)原則 981.8.6培訓(xùn)流程 98 981.8.6.2培訓(xùn)實(shí)施階段 91.8.6.3培訓(xùn)評(píng)估階段 91.8.6.4培訓(xùn)流程示圖 1001.8.7培訓(xùn)質(zhì)量管理 1001.8.8培訓(xùn)相關(guān)文檔 1012安全整改建議 101 101 1012.3安全整改措施 1022.3.1關(guān)于與組織管理的整改 1022.3.2關(guān)于網(wǎng)絡(luò)與系統(tǒng)安全的整改 1022.3.3關(guān)于網(wǎng)絡(luò)服務(wù)與應(yīng)用系統(tǒng)的整改 1032.3.4關(guān)于安全技術(shù)管理與設(shè)備運(yùn)行狀況的整改 1032.3.5關(guān)于存儲(chǔ)備份系統(tǒng)的整改 1032.3.6關(guān)于介質(zhì)安全的整改 1043項(xiàng)目進(jìn)度安排 1051.1服務(wù)方案常態(tài)化漏洞掃描，弱口令檢查，業(yè)務(wù)系統(tǒng)滲透測(cè)試及相關(guān)文檔、總結(jié)撰寫(xiě)●全網(wǎng)掃描(范圍)?！窀鶕?jù)目標(biāo)主機(jī)數(shù)量制定掃描計(jì)劃，每個(gè)月能保證至少完成一次對(duì)全部維護(hù)對(duì)象●出具安全掃描結(jié)果并和維護(hù)人員進(jìn)行面對(duì)面溝通確認(rèn)，督促維護(hù)人員進(jìn)行整改和加固，加固結(jié)束后進(jìn)行再次復(fù)查并出具復(fù)查報(bào)告對(duì)于新的業(yè)務(wù)系統(tǒng)上線前，值守人員配合完成上線設(shè)備的●通過(guò)使用現(xiàn)有遠(yuǎn)程安全評(píng)估系統(tǒng)對(duì)上線設(shè)備進(jìn)行掃描，確保沒(méi)有高、中等級(jí)的安全問(wèn)題，對(duì)于低等級(jí)的安全問(wèn)題，應(yīng)確保該問(wèn)題不會(huì)泄露設(shè)備敏感信息●配合安全加固的對(duì)上線設(shè)備進(jìn)行檢查，以確保上線設(shè)備已進(jìn)行了必要的安全設(shè)置●注：若已制定相關(guān)的安全準(zhǔn)入規(guī)范，將使用提供的替代的●對(duì)復(fù)雜的應(yīng)用系統(tǒng)，如：系統(tǒng)，根據(jù)需求進(jìn)遠(yuǎn)程滲透測(cè)試滲透測(cè)試()是指是從一個(gè)攻擊者的角度來(lái)檢查和審核一個(gè)網(wǎng)絡(luò)系統(tǒng)的安全性的過(guò)程。通常由安全工程師盡可能完整地模擬黑客使用的漏洞發(fā)現(xiàn)技

預(yù)攻擊階段(尋找滲透突破口)

攻擊階段(獲取目標(biāo)權(quán)限)

后攻擊階段(擴(kuò)大攻擊滲透成果)●網(wǎng)絡(luò)配置、狀態(tài)，服務(wù)器信息

●其它相關(guān)信息(如服務(wù)器信息，服務(wù)器管理員信息等)

●常規(guī)掃描及漏洞發(fā)現(xiàn)確認(rèn)

端口掃描及指紋識(shí)別

利用各種掃描工具進(jìn)行漏洞掃描(、等)

采用、3等工具進(jìn)行防火墻規(guī)則探測(cè)

采用對(duì)網(wǎng)絡(luò)設(shè)備等進(jìn)行發(fā)現(xiàn)

采用、等軟件對(duì)常見(jiàn)漏洞進(jìn)行掃描

采用如之類的商用軟件對(duì)數(shù)據(jù)庫(kù)進(jìn)行掃描分析●應(yīng)用分析(及數(shù)據(jù)庫(kù)應(yīng)用)

采用、、、等工具進(jìn)行分析對(duì)服務(wù)進(jìn)行分析檢測(cè)

某些特定應(yīng)用或程序的漏洞的手工驗(yàn)證檢測(cè)(如注入、某些論壇網(wǎng)站的上傳漏

采用類似的工具對(duì)數(shù)據(jù)庫(kù)進(jìn)行分析Aichitocturo…Y基于、數(shù)據(jù)庫(kù)或特定的或結(jié)構(gòu)的網(wǎng)絡(luò)應(yīng)用程序存在的弱點(diǎn)進(jìn)行攻擊，常見(jiàn)的如注重要文件暴露等均屬于這一類型，特定的對(duì)象及其漏洞有其后攻擊階段主要是在達(dá)到一定的攻擊效果后，隱藏和清除自己的入侵痕跡，并利用1)植入后門木或者鍵盤記錄工具等，獲得對(duì)對(duì)象的再一次的控制權(quán)在真實(shí)的黑客入侵事件中，這一步往往還要進(jìn)行入侵行為的2)獲得對(duì)象的完全權(quán)限這一步主要以破解系統(tǒng)的管理員權(quán)限賬號(hào)為主，有許多著名的口令破解軟件，如通通過(guò)滲透實(shí)施修改未通過(guò)修改末通過(guò)合法性即客戶書(shū)面授權(quán)委托并同意實(shí)施方案，這是進(jìn)行測(cè)試首先必須將實(shí)施方法、實(shí)施時(shí)間、實(shí)施人員、實(shí)施工具

項(xiàng)目基本情況及目標(biāo)介紹

滲透測(cè)試實(shí)施方案及計(jì)劃

滲透測(cè)試成果的審核確認(rèn)信息收集是每一步滲透攻擊的前提，通過(guò)信息收集尋找滲

域名及分布

網(wǎng)絡(luò)拓補(bǔ)、設(shè)備及操作系統(tǒng)

端口及服務(wù)情況

應(yīng)用系統(tǒng)情況

最新漏洞情況

其它信息(如服務(wù)器管理員的相關(guān)信息等)根據(jù)預(yù)攻擊階段信息收集的結(jié)果，對(duì)滲透測(cè)試方案進(jìn)行細(xì)及針對(duì)這些漏洞的可能采用的測(cè)試手段，詳細(xì)時(shí)間安排，以及可戶配合或關(guān)注的地方等。方案細(xì)化后再次知會(huì)客戶并取得客

獲得目標(biāo)系統(tǒng)權(quán)限

后門木馬植入，保持控制權(quán)

跳板滲透，進(jìn)一步擴(kuò)展攻擊成果

獲取敏感信息數(shù)據(jù)或資源在實(shí)施過(guò)程中，特別提請(qǐng)注意的是采取的滲透測(cè)試技術(shù)及手業(yè)務(wù)中斷和工作異常，必須對(duì)對(duì)象的狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)控，必要的情況下可以要求客戶協(xié)滲透測(cè)試之后，針對(duì)每個(gè)系統(tǒng)需要向客戶提供一份滲透滲透結(jié)論包括目標(biāo)系統(tǒng)的安全狀況、存在的問(wèn)題、滲透測(cè)試的結(jié)果等滲透測(cè)試項(xiàng)目的介紹包括項(xiàng)目情況、時(shí)間、參與人員、操作地點(diǎn)等滲透測(cè)試過(guò)程包括滲透測(cè)試的各個(gè)實(shí)施階段中的方法、工具、技術(shù)及其操作細(xì)節(jié)等滲透測(cè)試的證據(jù)滲透測(cè)試的一些過(guò)程及證明文件解決方案針對(duì)滲透測(cè)試中發(fā)現(xiàn)的問(wèn)題給出對(duì)應(yīng)的解決辦法和建議附錄部分滲透測(cè)試中的一些其它相關(guān)內(nèi)容，如異常事件的記錄和處理等定期巡檢結(jié)合故障現(xiàn)場(chǎng)運(yùn)行運(yùn)維服務(wù)的基本操作流程如下圖所示：從網(wǎng)絡(luò)的連通性、網(wǎng)絡(luò)的性能、網(wǎng)絡(luò)的監(jiān)控管理三個(gè)1現(xiàn)場(chǎng)備件安裝配合進(jìn)行，按備件到達(dá)現(xiàn)場(chǎng)時(shí)間工程師到達(dá)現(xiàn)場(chǎng)2現(xiàn)場(chǎng)軟件升級(jí)首先分析軟件升級(jí)的必要性和風(fēng)險(xiǎn)，配合進(jìn)行軟件升級(jí)3現(xiàn)場(chǎng)故障診斷按服務(wù)級(jí)別：7×24小時(shí)5×8小時(shí)電話遠(yuǎn)程技術(shù)支持7×24小時(shí)問(wèn)題管理系統(tǒng)對(duì)遇到的問(wèn)題進(jìn)行匯總和發(fā)布(1)現(xiàn)場(chǎng)技術(shù)人員值守根據(jù)的需求提供長(zhǎng)期的現(xiàn)場(chǎng)技術(shù)人員值守服務(wù)，保證網(wǎng)絡(luò)接入交換機(jī)、匯聚交換機(jī)和核心交換機(jī)的正常運(yùn)轉(zhuǎn)?，F(xiàn)場(chǎng)值守的對(duì)重點(diǎn)事件進(jìn)行記錄，對(duì)安全事件的產(chǎn)生原因進(jìn)行判斷和解決，同時(shí)能夠?qū)υO(shè)備的運(yùn)行數(shù)據(jù)進(jìn)行記錄，形成報(bào)表進(jìn)行統(tǒng)計(jì)分析，便于進(jìn)行網(wǎng)絡(luò)系統(tǒng)配置數(shù)據(jù)性能數(shù)據(jù)故障數(shù)據(jù)(2)現(xiàn)場(chǎng)巡檢服務(wù)現(xiàn)場(chǎng)巡檢服務(wù)是對(duì)客戶的設(shè)備及網(wǎng)絡(luò)進(jìn)行全面檢查的1硬件運(yùn)行狀態(tài)檢查項(xiàng)目單板狀態(tài)檢查電源模塊狀態(tài)檢查設(shè)備地線檢查2軟件運(yùn)行情況檢查項(xiàng)目設(shè)備運(yùn)行情況檢查網(wǎng)絡(luò)報(bào)文分析設(shè)備對(duì)接運(yùn)行狀況檢查路由運(yùn)行情況檢查3網(wǎng)絡(luò)運(yùn)行問(wèn)題調(diào)查網(wǎng)絡(luò)變更情況調(diào)查網(wǎng)絡(luò)歷史故障調(diào)查網(wǎng)絡(luò)運(yùn)行分析與管理服務(wù)是指技術(shù)服務(wù)工程師通過(guò)對(duì)網(wǎng)絡(luò)運(yùn)行狀況、網(wǎng)絡(luò)問(wèn)題進(jìn)行服務(wù)優(yōu)點(diǎn)網(wǎng)絡(luò)專家組每周與客戶進(jìn)行不少于2小時(shí)的電話技術(shù)交流以最小成本保證及時(shí)解答客戶關(guān)心的技術(shù)問(wèn)題，并就某一領(lǐng)域技術(shù)問(wèn)題展開(kāi)深層次溝通。每月向客戶提交匯總分析報(bào)告，并可擴(kuò)展到每年17次(月度、季度、年度)防建議，最大程度減少網(wǎng)絡(luò)故障隱患，更高效的保證重要時(shí)刻設(shè)備穩(wěn)定運(yùn)行對(duì)客戶成功尤為關(guān)鍵，因此專人現(xiàn)場(chǎng)值守支持，包括政府客戶的重大會(huì)議期間、金融客如需專人值守，客戶需至少提前3周與授權(quán)服務(wù)商客戶服務(wù)經(jīng)理聯(lián)系。對(duì)每位合約客戶，授權(quán)服務(wù)商均需按事先合同約定提供專人值守服務(wù)?？蛻羧缧璩龊贤s定范圍提供的主機(jī)、存儲(chǔ)系統(tǒng)的運(yùn)維服務(wù)包括：主機(jī)、存儲(chǔ)設(shè)1配合進(jìn)行。按備件到達(dá)現(xiàn)場(chǎng)時(shí)間工程師到達(dá)現(xiàn)場(chǎng)2消除軟件漏洞給系統(tǒng)帶來(lái)的安全隱患，并對(duì)安裝補(bǔ)345×8小時(shí)5電話遠(yuǎn)程技術(shù)支持7×24小時(shí)6問(wèn)題管理系統(tǒng)7系統(tǒng)優(yōu)化>內(nèi)存使用情況管理；>監(jiān)控主機(jī)運(yùn)行狀況；監(jiān)控備份服務(wù)進(jìn)程、備份情況(起止時(shí)間、是否成功、出錯(cuò)告警);提供的數(shù)據(jù)庫(kù)運(yùn)行運(yùn)維服務(wù)是包括主動(dòng)數(shù)據(jù)庫(kù)性能管理，數(shù)據(jù)庫(kù)的主動(dòng)性能管理對(duì)系統(tǒng)運(yùn)維非常重要。通過(guò)主動(dòng)式性能管理可了解數(shù)性能問(wèn)題發(fā)生在什么地方，有針對(duì)性地進(jìn)行性能優(yōu)化。同的數(shù)據(jù)庫(kù)運(yùn)行運(yùn)維服務(wù)，主要工作是使用技術(shù)手段來(lái)達(dá)到管理的目標(biāo)，以系統(tǒng)最終1務(wù)產(chǎn)品技術(shù)專家直接同客戶對(duì)話，幫助解決客戶提出23數(shù)據(jù)庫(kù)產(chǎn)品系統(tǒng)健康檢查對(duì)系統(tǒng)的配置及運(yùn)作框架提出建議，以幫助您得到一個(gè)更堅(jiān)強(qiáng)可靠的運(yùn)作環(huán)境降低系統(tǒng)潛在的風(fēng)險(xiǎn)，包括數(shù)據(jù)丟失、安全漏洞、系統(tǒng)崩潰、性能降低及資源緊張檢查并分析系統(tǒng)日志及跟蹤文件，發(fā)現(xiàn)并排除數(shù)據(jù)庫(kù)系統(tǒng)錯(cuò)誤隱患明確您系統(tǒng)的能力及不足時(shí)間4分析的應(yīng)用類型和行為■檢查日志文件是否有異常報(bào)錯(cuò)1.1.3.3.2.7運(yùn)維服務(wù)管理制度故障級(jí)別響應(yīng)時(shí)間故障解決時(shí)間30分鐘，30小時(shí)內(nèi)提交故障處理方案1小時(shí)以內(nèi)30分鐘，30小時(shí)內(nèi)提交故障處理方案2小時(shí)以內(nèi)系統(tǒng)報(bào)錯(cuò)或警告，但業(yè)務(wù)系統(tǒng)能繼續(xù)運(yùn)行且性能30分鐘，30小時(shí)內(nèi)提交故障處理方案12小時(shí)以內(nèi)30分鐘，30小時(shí)內(nèi)提交故障處理方案24天內(nèi)(3)問(wèn)題確認(rèn)、解決。服務(wù)的技術(shù)人員和業(yè)務(wù)人員收到系對(duì)提交的問(wèn)題進(jìn)行歸類匯總和分析、確認(rèn)?？梢越鉀Q的，明確問(wèn)(4)問(wèn)題上報(bào)。服務(wù)人員收到經(jīng)業(yè)務(wù)或技術(shù)人員確認(rèn)的系同時(shí)做好變更記錄。將解決方案匯總后及時(shí)向問(wèn)題提交單位或問(wèn)題交辦客戶作出回復(fù)，現(xiàn)場(chǎng)值守人員在接收到安全通告后，對(duì)通告內(nèi)容進(jìn)行必要的關(guān)注，同時(shí)，結(jié)合資產(chǎn)信息表來(lái)確認(rèn)哪些業(yè)務(wù)相關(guān)的系統(tǒng)可能面臨安全威脅，對(duì)于此類業(yè)務(wù)系統(tǒng)，將通知其管基于關(guān)鍵業(yè)務(wù)點(diǎn)面向業(yè)務(wù)系統(tǒng)可用性和業(yè)務(wù)連續(xù)性進(jìn)行績(jī)效指標(biāo)指導(dǎo)和考核信息系統(tǒng)運(yùn)行質(zhì)量和運(yùn)維管理工作的實(shí)施和執(zhí)行，使用全面覆蓋信息系統(tǒng)的監(jiān)測(cè)中心，并對(duì)各類事件做出快速、準(zhǔn)確的定位和展現(xiàn)。實(shí)現(xiàn)對(duì)信息系統(tǒng)運(yùn)行動(dòng)態(tài)的快速掌握，以及運(yùn)行運(yùn)維管理過(guò)程中的事前預(yù)警、事發(fā)時(shí)快速定位。其主1.集中監(jiān)控：采用開(kāi)放的、遵循國(guó)際標(biāo)準(zhǔn)的、可擴(kuò)展的架構(gòu)，整合各類監(jiān)控管理工具的監(jiān)控信息，實(shí)現(xiàn)對(duì)信息資產(chǎn)的集中監(jiān)視、控系統(tǒng)。監(jiān)控的主要內(nèi)容包括：基礎(chǔ)環(huán)境、網(wǎng)絡(luò)、通信、安全、主機(jī)、中間件、數(shù)據(jù)借鑒并融合了(信息系統(tǒng)基礎(chǔ)設(shè)施庫(kù))(服務(wù)管理)的先進(jìn)管理規(guī)范和最佳實(shí)踐審計(jì)：是以跨平臺(tái)多數(shù)據(jù)源信息安全審計(jì)為框架，以電子數(shù)據(jù)處理審計(jì)為基礎(chǔ)的信息審計(jì)系統(tǒng)。主要包括：系統(tǒng)流程和輸入輸出數(shù)據(jù)以及資產(chǎn)管理是全面實(shí)現(xiàn)信息系統(tǒng)運(yùn)行運(yùn)維管理的基礎(chǔ)，提供的豐富的資產(chǎn)信息屬性基于關(guān)鍵業(yè)務(wù)點(diǎn)配置關(guān)鍵業(yè)務(wù)的基礎(chǔ)設(shè)施關(guān)聯(lián)，通過(guò)資應(yīng)用系統(tǒng)的運(yùn)行運(yùn)維內(nèi)容，實(shí)現(xiàn)各類基礎(chǔ)設(shè)施與關(guān)鍵業(yè)務(wù)的綜合運(yùn)行態(tài)勢(shì)：是全面整合現(xiàn)有各類設(shè)備和系統(tǒng)的各類異構(gòu)信息，包括網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)和終端管理中各種事件，經(jīng)過(guò)采集相關(guān)異構(gòu)監(jiān)控系統(tǒng)的信息，通過(guò)對(duì)不同來(lái)源的信息數(shù)據(jù)的系統(tǒng)配置管理：從系統(tǒng)容錯(cuò)、數(shù)據(jù)備份與恢行運(yùn)維體系，采用平臺(tái)監(jiān)測(cè)器實(shí)時(shí)監(jiān)測(cè)、運(yùn)行檢測(cè)安全事件分類與定級(jí)安全事件發(fā)生后，建議由中國(guó)公司負(fù)責(zé)人對(duì)信針對(duì)最常見(jiàn)的主流攻擊手段，通過(guò)網(wǎng)絡(luò)或其他技術(shù)手段●拒絕服務(wù)攻擊●非授權(quán)訪問(wèn)攻擊●不當(dāng)應(yīng)用根據(jù)安全事件的性質(zhì)和嚴(yán)重程度劃分等級(jí)，分別指定問(wèn)表1.1安全事件定級(jí)事件級(jí)別I網(wǎng)絡(luò)或業(yè)務(wù)系統(tǒng)出現(xiàn)故障，但暫時(shí)不影響業(yè)務(wù)系統(tǒng)的運(yùn)行。網(wǎng)絡(luò)或業(yè)務(wù)系統(tǒng)出現(xiàn)異常，運(yùn)行效率降低或出現(xiàn)嚴(yán)重網(wǎng)絡(luò)或業(yè)務(wù)系統(tǒng)無(wú)法正常工作。緊急網(wǎng)絡(luò)或業(yè)務(wù)系統(tǒng)中斷或癱瘓。安全事件檢測(cè)和分析介紹進(jìn)行初步判斷和分析，如現(xiàn)象和以下描述吻合應(yīng)立即啟動(dòng)應(yīng)急●拒絕服務(wù)攻擊●非授權(quán)訪問(wèn)攻擊●不當(dāng)應(yīng)用應(yīng)急啟動(dòng)形成7×24小時(shí)應(yīng)急響應(yīng)機(jī)制(包括現(xiàn)場(chǎng)值守人員和遠(yuǎn)程后臺(tái)支持團(tuán)隊(duì)),在接●一般需求響應(yīng)，響應(yīng)時(shí)限為24小時(shí)內(nèi)；●一般安全事件響應(yīng)，響應(yīng)時(shí)限為12小時(shí)內(nèi)；●重大安全事件響應(yīng)，響應(yīng)時(shí)限為2小時(shí)內(nèi)；●應(yīng)急響應(yīng)團(tuán)隊(duì)，從本地(包括駐場(chǎng)人員)、分支、總部三級(jí)，都有實(shí)現(xiàn)技術(shù)人客戶到電話是否●客戶事件檔案●與客戶就故障級(jí)別進(jìn)行定義●準(zhǔn)備安全事件緊急響服務(wù)相關(guān)資源●為一個(gè)突發(fā)事件的處理取得管理方面支持●組建事件處理隊(duì)伍●制定一個(gè)緊急后備方案●隨時(shí)與管理員保持聯(lián)系●初步評(píng)估，確定事件來(lái)源●注意保護(hù)可追查的線索，諸如立即對(duì)日志、數(shù)據(jù)進(jìn)行備份(該保存在磁帶上或其它不聯(lián)機(jī)存儲(chǔ)設(shè)備)●聯(lián)系客戶系統(tǒng)的相關(guān)服務(wù)商廠商●根據(jù)求制定相的急措施●事件的起因分析●事后取證追查●后門檢查●漏洞分析●生成緊急響報(bào)告響應(yīng)時(shí)間接到服務(wù)請(qǐng)求后5分鐘內(nèi)給予答復(fù)，15分鐘內(nèi)到達(dá)現(xiàn)場(chǎng)；20分鐘內(nèi)修復(fù)公司對(duì)所提供的安全應(yīng)急響應(yīng)服務(wù)制定了完善的應(yīng)急流程，如果在系統(tǒng)運(yùn)行過(guò)程中出現(xiàn)任何不可預(yù)知的安全事件，都要嚴(yán)格按照以下流程進(jìn)行應(yīng)急響應(yīng)：通知系統(tǒng)管理員人復(fù)如果在安全服務(wù)過(guò)程中出現(xiàn)一些不可預(yù)知的安全事件，則在事件處理完畢后出具相針對(duì)信息系統(tǒng)提供最少4次/年的應(yīng)急響應(yīng)服務(wù)，在信息系統(tǒng)運(yùn)行工作期間，若出現(xiàn)突發(fā)緊急事件(病毒爆發(fā)、嚴(yán)重攻擊、信息外泄、網(wǎng)絡(luò)入侵),安全應(yīng)急人員迅速響應(yīng)并系統(tǒng)運(yùn)維工作在整個(gè)系統(tǒng)生命周期中常常被作量將越來(lái)越大。系統(tǒng)運(yùn)維的費(fèi)用往往占整個(gè)系統(tǒng)生命周期總費(fèi)用的60%以上，因此有遠(yuǎn)比露出水面的部分大得多，但由于不易被人看到而常被忽對(duì)具有“開(kāi)創(chuàng)性”的項(xiàng)目實(shí)施來(lái)講，系統(tǒng)運(yùn)維工作屬于“繼強(qiáng)，成績(jī)不顯著,使很多技術(shù)人員不安心于系統(tǒng)運(yùn)維工作，這也是造成人們重視實(shí)施而輕視運(yùn)維的原因。但系統(tǒng)運(yùn)維是信息系統(tǒng)可靠運(yùn)行的重是是是否否否性運(yùn)維，報(bào)告中必須完整描述出現(xiàn)錯(cuò)誤的環(huán)境，包括統(tǒng)狀態(tài)信息；對(duì)于適應(yīng)性和完善性運(yùn)維，應(yīng)在報(bào)告中提出簡(jiǎn)要的需求規(guī)格說(shuō)明書(shū)。運(yùn)維管理員根據(jù)提交的申請(qǐng)，召集相關(guān)的系統(tǒng)管理員評(píng)價(jià)。對(duì)于情況屬實(shí)并合理的運(yùn)維要求，應(yīng)根據(jù)運(yùn)維的性質(zhì)、急程序或優(yōu)先級(jí)以及修改所響系統(tǒng)的運(yùn)行，是很嚴(yán)重，可與其他運(yùn)維項(xiàng)目結(jié)合起來(lái)從運(yùn)維實(shí)施善性運(yùn)維要求，高優(yōu)先級(jí)的安排在運(yùn)維計(jì)劃中，優(yōu)先級(jí)維費(fèi)用、維修以及驗(yàn)收標(biāo)準(zhǔn)產(chǎn)生的變化結(jié)果等，編批。運(yùn)維控制部門從整個(gè)系統(tǒng)出發(fā)，從業(yè)務(wù)功能合理性和技術(shù)要求進(jìn)行分析和審查，并對(duì)修改所產(chǎn)生的影響做充分的估與協(xié)商的條件下予以修改或撤銷。通過(guò)審批的運(yùn)運(yùn)維管理員將運(yùn)維計(jì)劃下達(dá)給系統(tǒng)管理員，有系統(tǒng)管理員作。修改后應(yīng)經(jīng)過(guò)嚴(yán)格的測(cè)試，以驗(yàn)證運(yùn)維工作的質(zhì)量。門對(duì)其進(jìn)行審核確認(rèn)，不能完全滿足運(yùn)維要求的應(yīng)返工修改。因?yàn)闊o(wú)論是直接找程序人還是程序人員自行修改程序，都將引起系及時(shí)更新文檔造成程序與文檔不一致，多個(gè)人修改的結(jié)果不一的局部修改等。當(dāng)然運(yùn)維審批過(guò)程的環(huán)節(jié)多也可能帶來(lái)反應(yīng)速惡性或緊急故障時(shí)，也即出現(xiàn)所謂“救火”的運(yùn)維要求為了評(píng)價(jià)運(yùn)維的有效性，確定系統(tǒng)的質(zhì)量，記載系運(yùn)維工作的全部?jī)?nèi)容以文檔的規(guī)范化形式記錄下來(lái)，主要運(yùn)維舊意味著對(duì)系統(tǒng)進(jìn)行修改，修改對(duì)于系統(tǒng)來(lái)講有一1.1.3.4.4系統(tǒng)運(yùn)維的類型占21%,適應(yīng)性運(yùn)維工作占25%,完善性運(yùn)維達(dá)到50%,而預(yù)防性運(yùn)維以及其他類型的(1)系統(tǒng)的當(dāng)前情況(2)運(yùn)維對(duì)象。(3)運(yùn)維所需的工作人員●在重大節(jié)日前和重要活動(dòng)前進(jìn)行一次系統(tǒng)的安全檢查(漏洞、弱口令、安全加固流程圖新加固方案新加固方案修改方案二次評(píng)估確一切正常一切正常繼續(xù)加固放棄加固加固報(bào)告放棄加固安裝安全補(bǔ)丁單等形式下發(fā)給相關(guān)管理員，用于告知補(bǔ)丁升級(jí)情況，安全通告符合甲方規(guī)范和管理問(wèn)題整改問(wèn)題整改蹤高層管理人員具有對(duì)商務(wù)、技術(shù)及所有相關(guān)部門進(jìn)行協(xié)調(diào)和最終決策的人員項(xiàng)目經(jīng)理協(xié)調(diào)實(shí)施方和客戶之間工作進(jìn)程和人員之間協(xié)調(diào)的工作商務(wù)負(fù)責(zé)人對(duì)所有商務(wù)人員具有管理權(quán)限的人員.技術(shù)負(fù)責(zé)人對(duì)所有信息技術(shù)人員具有管理權(quán)限的人員日常事務(wù)聯(lián)系人協(xié)助實(shí)施方顧問(wèn)人員提供各種幫助和服務(wù)的人員，如辦公用具、食宿安排等。安全顧問(wèn)客戶方聘請(qǐng)的其他項(xiàng)目安全顧問(wèn)采購(gòu)人員硬件采購(gòu)人員，軟件采購(gòu)人員，服務(wù)采購(gòu)人員律師和實(shí)施方公司的律師一起，確保項(xiàng)目各方面的法律符合性實(shí)施人員公司應(yīng)用項(xiàng)目實(shí)施人員硬件運(yùn)維人員對(duì)公司計(jì)算機(jī)及相關(guān)設(shè)備的運(yùn)維人員網(wǎng)絡(luò)運(yùn)維人員對(duì)公司的內(nèi)部網(wǎng)及廣域網(wǎng)進(jìn)行配置及運(yùn)維的人員系統(tǒng)運(yùn)維人員第三方應(yīng)用項(xiàng)目實(shí)施人員為客戶方提供應(yīng)用項(xiàng)目實(shí)施的第三方人員第三方信息系統(tǒng)運(yùn)維人員為客戶方提供信息系統(tǒng)運(yùn)維的第三方人員安全管理人員對(duì)客戶方的信息系統(tǒng)進(jìn)行安全管理的人員安全文檔運(yùn)維人員對(duì)所有相關(guān)的文檔進(jìn)行整理和管理的人員在項(xiàng)目實(shí)施過(guò)程中，提出書(shū)面的問(wèn)題調(diào)查清單，由顧問(wèn)進(jìn)行關(guān)人員共同回答，并詢問(wèn)相關(guān)背景和相關(guān)證據(jù)，詳細(xì)了解了其職責(zé)范圍內(nèi)的安全現(xiàn)狀。針對(duì)不同部門和人員的職責(zé)，需要安排不同部門和不同人員回回答人員1安全策略管理層2安全組織管理層3人員安全管理層或人力資源部人員4資產(chǎn)管理負(fù)責(zé)資產(chǎn)管理管理人員資金資產(chǎn)處負(fù)責(zé)資產(chǎn)人員5日常運(yùn)行管理運(yùn)維人員或運(yùn)行運(yùn)維處負(fù)責(zé)6物理和環(huán)境安全負(fù)責(zé)機(jī)房管理人員7軟件實(shí)施部門或外包軟件實(shí)施負(fù)責(zé)人員8訪問(wèn)控制技術(shù)人員9審計(jì)和跟蹤技術(shù)人員響應(yīng)和恢復(fù)技術(shù)人員內(nèi)容安全技術(shù)人員業(yè)務(wù)連續(xù)性規(guī)劃管理層信息資產(chǎn)清單中主要包括服務(wù)器，安全設(shè)備，網(wǎng)絡(luò)設(shè)備、策略文檔的搜集范圍包括信息安全相關(guān)的策略、規(guī)定、流程、指南、通知、條例、處理辦法等等任何正式成文的內(nèi)容。這些文檔可以是已經(jīng)正式發(fā)布的，也可以是正在編1故障處理管理辦法2軟件版本管理辦法3割接入網(wǎng)審批制度4外來(lái)人員進(jìn)入機(jī)房注意事項(xiàng)5值班與交接班制度6安全保密規(guī)定78運(yùn)維規(guī)則9請(qǐng)示報(bào)告制度申告管理系統(tǒng)運(yùn)維流程系列文件崗位職責(zé)定義系列文件策略綱要技術(shù)規(guī)范體系框架通信要害安全管理規(guī)定職工違紀(jì)懲處實(shí)施細(xì)則主要包括網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、業(yè)務(wù)系統(tǒng)拓?fù)浣Y(jié)構(gòu)文件、業(yè)務(wù)本次安全服務(wù)項(xiàng)目實(shí)施過(guò)程中將會(huì)使用漏洞評(píng)估系統(tǒng)、評(píng)估系統(tǒng)及滲透測(cè)試系統(tǒng)等由提供，施工時(shí)將由實(shí)施人員帶入現(xiàn)1.3工具詳細(xì)說(shuō)明1.3.1代碼審計(jì)工具查詢查詢順序棧詳盡流掃5瀏覽器、和:客戶端，用于公司局域網(wǎng)或者外部網(wǎng)絡(luò)采用或者實(shí)施插件使用5瀏覽器、和:客戶端，用于公司局域網(wǎng)或者外部網(wǎng)絡(luò)采用或者實(shí)施插件使用1.管理應(yīng)用：接受客戶端掃描和查詢請(qǐng)求，規(guī)則自定義，集中式提供企業(yè)級(jí)的、角色和團(tuán)隊(duì)管理、權(quán)限管理、掃描結(jié)果管理、掃描調(diào)度和自2.掃描引擎：執(zhí)行具體掃描(分布式掃描和并行掃描),接受管理應(yīng)用的掃描任務(wù)，3.客戶端：管理應(yīng)用的瘦客戶端，可以允許多個(gè)客戶端在局域網(wǎng)內(nèi)按照所賦予4客戶端：用于公司局域網(wǎng)或者外部網(wǎng)絡(luò)采用或者實(shí)施插件使用掃描服務(wù)。5瀏覽器、和:客戶端，用于公司局域網(wǎng)或者外部網(wǎng)絡(luò)采用或者實(shí)施插件使用掃描團(tuán)隊(duì)和權(quán)限管理掃描自動(dòng)化及任務(wù)調(diào)度管理操作系統(tǒng)瀏覽器7896支持的版本內(nèi)存[1]版本：512所有其他版本：1版本：1所有其他版本：至少4并且應(yīng)該隨著數(shù)據(jù)庫(kù)大小的增加而增處理器速度·x86處理器：1.0·x64處理器：1.4處理器類型第二代的靜態(tài)源代碼掃描技術(shù)。掃描和分析的輸入數(shù)據(jù)是軟件源代碼，不是二進(jìn)制代碼，因此不需要進(jìn)行代碼構(gòu)建或者編譯，也不需要提供任何代碼依賴的庫(kù)。只需要上傳源代碼，或設(shè)定自動(dòng)掃描時(shí)間，就可以定期收到掃描分析結(jié)果。代碼甚至不需要被正確編譯或鏈接。因此，可以在軟件項(xiàng)目的實(shí)施生命周期中任何一個(gè)給定時(shí)間點(diǎn)運(yùn)行掃描并生成安全報(bào)告。從而保證代碼安全漏洞和質(zhì)量缺陷一產(chǎn)生就可以被識(shí)別，盡早修復(fù)，降低軟件安全和質(zhì)量缺陷修復(fù)的成代碼審計(jì)不依賴于特定操作系統(tǒng)，只在在企業(yè)范圍內(nèi)部署一臺(tái)審計(jì)服務(wù)器，就可以由于采用了獨(dú)特的虛擬編譯器技術(shù)，代碼審計(jì)不需要依賴編譯每種實(shí)施語(yǔ)言的代碼安裝編譯器和測(cè)試環(huán)境，只要通過(guò)客戶端插件登錄到管理應(yīng)用服務(wù)器，提供本地代碼審計(jì)代碼的目錄、遠(yuǎn)理代碼目錄(、,即可，審計(jì)代碼無(wú)通過(guò)編譯過(guò)程。搭建靜態(tài)分析工具，在相應(yīng)的操作系統(tǒng)上安裝相應(yīng)的工具軟件包，安裝眾多實(shí)施工具和代碼依賴的第三方庫(kù)及軟件包、安全服務(wù)代碼通過(guò)編譯，方可計(jì)代碼、代碼、代碼、、、.、、、、6、、、、、、、和()…等各種語(yǔ)言代碼，并且由于編譯器、操作系統(tǒng)和實(shí)施環(huán)境獨(dú)立，使用者無(wú)去學(xué)習(xí)每種碼，安全服務(wù)代碼、如何審計(jì)測(cè)試代碼，無(wú)去看每種平臺(tái)下繁瑣該產(chǎn)品企業(yè)服務(wù)在審計(jì)過(guò)程中全面分析應(yīng)用的所有路徑和變量。準(zhǔn)確的分析結(jié)果，驗(yàn)證可能的風(fēng)險(xiǎn)是否真正導(dǎo)致安全問(wèn)題，自動(dòng)排除噪音信息，審分析結(jié)果，其誤報(bào)率()幾乎為零。極大的減少了審計(jì)分析的人工勞動(dòng)成本，極大的節(jié)mthedn.hnjtetkece("3nericgdn.Tis;r2rlscei"ncatthod.ns;st+tkese(3tnreDatatae.txesutEQ\*jc3\*hps13\o\al(\s\up3(4),o)EQ\*jc3\*hps13\o\al(\s\up3(*),e)EQ\*jc3\*hps13\o\al(\s\up3(b),c)EQ\*jc3\*hps13\o\al(\s\up3(ataset”),aaset)"0luntat·rtho4.Tindesterkgesn(4g28app.ontarce;+t+_fusacua(361)Dteon.a(110uca(42910040400.0(01_tEQ\*jc3\*hps13\o\al(\s\up7(0),0r)EQ\*jc3\*hps13\o\al(\s\up7(nc),D)EQ\*jc3\*hps13\o\al(\s\up7(00M),N_0t)EQ\*jc3\*hps20\o\al(\s\up0(L),at)tbadn.tis?ttkac(“l(fā)patastum.botacatatonn”EQ\*jc3\*hps13\o\al(\s\up3(e),t)EQ\*jc3\*hps13\o\al(\s\up3(d),t)EQ\*jc3\*hps13\o\al(\s\up3(u),o)EQ\*jc3\*hps13\o\al(\s\up3(t),:)EQ\*jc3\*hps13\o\al(\s\up3(k),s)EQ\*jc3\*hps13\o\al(\s\up3(ec),c)EQ\*jc3\*hps13\o\al(\s\up3(Destt),estu)EQ\*jc3\*hps16\o\al(\s\up4(is),s)EQ\*jc3\*hps16\o\al(\s\up4(st),n)EQ\*jc3\*hps16\o\al(\s\up4(e),t)EQ\*jc3\*hps16\o\al(\s\up4(k),e)EQ\*jc3\*hps16\o\al(\s\up4("),s)EQ\*jc3\*hps16\o\al(\s\up4(D),p)EQ\*jc3\*hps16\o\al(\s\up4(tat),at)EQ\*jc3\*hps16\o\al(\s\up4(ate8ong),taeste)EQ\*jc3\*hps16\o\al(\s\up4(r"),a)10萬(wàn)行代碼審計(jì)時(shí)間在10~30分鐘不等，視代碼復(fù)雜度和硬件配置而不同。由于公開(kāi)了所有規(guī)則實(shí)現(xiàn)的細(xì)節(jié)和語(yǔ)法，可以快速修改規(guī)則或者參考已有的規(guī)則語(yǔ)句自定義自己需要規(guī)則，規(guī)則學(xué)習(xí)，定義簡(jiǎn)單高效。能快速實(shí)現(xiàn)組織軟件安全策略。frarhnangAs該產(chǎn)品服務(wù)可以對(duì)所有審計(jì)代碼的任意一個(gè)代碼元素(詞匯)做動(dòng)態(tài)的數(shù)據(jù)影響、控制影響和業(yè)務(wù)邏輯研究和調(diào)查。分析代碼邏輯和架構(gòu)特有的安全風(fēng)險(xiǎn)，并最后定義規(guī)則精確查找這些風(fēng)險(xiǎn)。這是目前唯一能動(dòng)態(tài)分析業(yè)務(wù)邏輯和軟件架構(gòu)的靜態(tài)技術(shù)。內(nèi)置軟件代碼質(zhì)量問(wèn)題檢測(cè)，同時(shí)也提供自定義規(guī)則去驗(yàn)證編程策略和最佳實(shí)1.3.2滲透測(cè)試工具滲透測(cè)試主要依據(jù)(&公共漏洞和暴露)已經(jīng)發(fā)現(xiàn)的安全漏洞，以及隱患漏洞。輔助模塊()、滲透攻擊模塊()、后滲透攻擊模塊()、攻擊載荷模塊()、空指令模塊()和編碼器模塊()。的攻擊載荷模塊，從最簡(jiǎn)單的增加賬號(hào)、提供命令行，到基于的圖形化界面控制，以及最復(fù)雜、具有大量后滲透攻擊階段功能特性的，這使得滲透測(cè)試者可以在選定滲透攻擊代碼之后，從很多適用的攻擊載荷中選取他所中意的模塊進(jìn)行靈后獲得他所選擇的控制會(huì)話類型，這種模塊化設(shè)計(jì)與靈活組空指令()是一些對(duì)程序運(yùn)行狀態(tài)不會(huì)造成任何實(shí)質(zhì)影響的空操作或無(wú)關(guān)操作指令，最典型的空指令就是空操作，在x86體系架構(gòu)平臺(tái)上的操作碼是0x90。隨機(jī)化、返回地址計(jì)算偏差等原因造成的執(zhí)行失敗，提高滲透攻擊的可靠性。本軟件框攻擊載荷模塊與空指令模塊組裝完成一個(gè)指令序列后，加入邪惡數(shù)據(jù)緩沖區(qū)交由目標(biāo)系統(tǒng)運(yùn)行之前，本軟件框架還需要完成一道非常重要的工序——編碼()。如果沒(méi)有這道工序，滲透攻擊可能完全不會(huì)奏效，或者中途就被檢測(cè)到編碼器模塊的第一個(gè)使命是確保攻擊載荷中不會(huì)出現(xiàn)滲透攻擊過(guò)程中應(yīng)加以避免標(biāo)完全輸入到存有漏洞的軟件例程中，從而使得滲透攻擊觸發(fā)漏洞之后無(wú)法正確執(zhí)行攻后滲透攻擊模塊()主要支持在滲透攻擊取得目標(biāo)系統(tǒng)遠(yuǎn)程控制權(quán)之后，在受控系統(tǒng)中進(jìn)行各式各樣的后滲透攻擊動(dòng)作，比如獲取敏感信息、進(jìn)一步拓展、實(shí)施跳板攻擊本軟件為滲透測(cè)試的信息搜集環(huán)節(jié)提供了大量的輔助模服務(wù)的掃描與查點(diǎn)、構(gòu)建虛假服務(wù)收集登錄密碼、口令猜測(cè)破敏感信息泄露、本軟件測(cè)試發(fā)掘漏洞、實(shí)施網(wǎng)絡(luò)協(xié)議欺騙等透測(cè)試者在進(jìn)行滲透攻擊之前得到目標(biāo)系統(tǒng)豐富的情報(bào)信息，從和運(yùn)行攻擊載荷，從而獲得對(duì)遠(yuǎn)程目標(biāo)系統(tǒng)訪問(wèn)權(quán)的代碼組實(shí)現(xiàn)的單一功能，比如在遠(yuǎn)程系統(tǒng)中添加新、啟動(dòng)一個(gè)命令行并綁定到網(wǎng)絡(luò)端口上等。能出現(xiàn)運(yùn)行不正常的情況，因此實(shí)施人員不僅需要有匯編語(yǔ)言知識(shí)和編寫(xiě)技能，還需要本軟件框架中引入的模塊化攻擊載荷完全消除了安全研究人員在滲透代碼實(shí)施時(shí)進(jìn)行編寫(xiě)、修改與調(diào)試的工作代價(jià)，而可以將精力集中在安全漏洞的攻擊載荷模塊，從最簡(jiǎn)單的增加賬號(hào)、提供命令行，到基于的圖形化界面控制，以及最復(fù)雜、具有大量后滲透攻擊階段功能特性的，這使得滲透測(cè)試者可以在選定滲透攻擊代碼之后，從很多適用的攻擊載荷中選取他所中意的模塊進(jìn)行靈后獲得他所選擇的控制會(huì)話類型，這種模塊化設(shè)計(jì)與靈活組空指令()是一些對(duì)程序運(yùn)行狀態(tài)不會(huì)造成任何實(shí)質(zhì)影響的空操作或無(wú)關(guān)操作指令，最典型的空指令就是空操作，在x86體系架構(gòu)平臺(tái)上的操作碼是0x90。這樣當(dāng)觸發(fā)滲透攻擊后跳轉(zhuǎn)執(zhí)行時(shí)，有一個(gè)較大的安全著陸區(qū)，隨機(jī)化、返回地址計(jì)算偏差等原因造成的執(zhí)行失敗，提高滲透攻擊的可靠性。本軟件框攻擊載荷模塊與空指令模塊組裝完成一個(gè)指令序列后，加入邪惡數(shù)據(jù)緩沖區(qū)交由目標(biāo)系統(tǒng)運(yùn)行之前，本軟件框架還需要完成一道非常重要的工序——編碼()。如果沒(méi)有這道工序，滲透攻擊可能完全不會(huì)奏效，或者中途就被檢測(cè)到編碼器模塊的第一個(gè)使命是確保攻擊載荷中不會(huì)出現(xiàn)滲透攻擊過(guò)程中應(yīng)加以避免標(biāo)完全輸入到存有漏洞的軟件例程中，從而使得滲透攻擊觸發(fā)漏洞之后無(wú)法正確執(zhí)行攻后滲透攻擊模塊()主要支持在滲透攻擊取得目標(biāo)系統(tǒng)遠(yuǎn)程控制權(quán)之后，在受控系統(tǒng)中進(jìn)行各式各樣的后滲透攻擊動(dòng)作，比如獲取敏感信息、進(jìn)一步拓展、實(shí)施跳板攻擊本軟件是一款安全漏洞檢測(cè)工具，可以幫助安全和專業(yè)漏洞的緩解措施，并管理專家驅(qū)動(dòng)的安全性進(jìn)行評(píng)估，提供真操作系統(tǒng)32/64位系列32/64位32/64位32/64位732/64位832/64位10內(nèi)存[1]最小值：版本：512所有其他版本：1建議：版本：1所有其他版本：至少4并且應(yīng)該隨著數(shù)據(jù)庫(kù)大小的增加而增處理器速度最小值：·x86處理器：2.0·x64處理器：2.4處理器類型Nops本軟件設(shè)計(jì)盡可能采用模塊化的理念，以提升代碼復(fù)用效率。在基礎(chǔ)庫(kù)文件()中提供了核心框架和一些基礎(chǔ)功能的支持；而實(shí)現(xiàn)滲透測(cè)試功能的主體代碼則以模塊化方式組織，并按照不同用途分為6種類型的模塊();為了擴(kuò)充框架對(duì)滲透測(cè)試全過(guò)程的支持功能特性，本軟件還引入了插件()機(jī)制，支持將外部的安全工具集成到框架中；本軟件框架對(duì)集成模塊與插件的滲透測(cè)試功能，通過(guò)接口()與功能程序()提供給滲透測(cè)試者和安全研究人員進(jìn)行使用。此外，本軟件在v3版本中還支持?jǐn)U展腳本()來(lái)擴(kuò)展攻擊載荷模塊的能力，而這部分腳本在v4版本中將作為后滲透攻擊模塊(),以統(tǒng)一化的組織方式融入到模塊代碼中，而這些擴(kuò)展腳本也將被逐步移植和裁剪。測(cè)試器來(lái)輔助的漏洞挖掘過(guò)程；在發(fā)現(xiàn)漏洞之后，使用調(diào)試型的攻擊載荷來(lái)讓漏洞機(jī)理分析與利用過(guò)程變得更加簡(jiǎn)單。此外，本軟件中集成的一系列功能程序可以充分剖析目標(biāo)程序，并精確定位出利用過(guò)程可能依賴的關(guān)鍵指令與地址；在編寫(xiě)滲透代碼時(shí)，1.3.3安全工具說(shuō)明:獲取網(wǎng)絡(luò)連接狀態(tài)信息():跟蹤一個(gè)消息從一臺(tái)計(jì)算機(jī)到另一臺(tái)計(jì)算機(jī)所走的路徑(路由信息):域名解析信息:提供了在上一臺(tái)主機(jī)或某個(gè)域的所有者的信息:獲取遠(yuǎn)程服務(wù)器上的信息(名、服務(wù)器名、當(dāng)前是否在線、登錄時(shí)間、的任務(wù)等信息):可以收集到一些對(duì)方計(jì)算機(jī)中的信息上述工具安裝部署于項(xiàng)目組安全評(píng)估/滲透測(cè)試工程師測(cè)試專用電腦上，測(cè)試專用提供項(xiàng)目組測(cè)試專用電腦接入業(yè)務(wù)網(wǎng)的網(wǎng)絡(luò)接口，確保本項(xiàng)目中網(wǎng)絡(luò)掃描工具采用，是一個(gè)知名的用來(lái)實(shí)現(xiàn)網(wǎng)序。采用一種新穎的方式利用原始包來(lái)決定網(wǎng)絡(luò)上是什么樣的主樣的服務(wù)(應(yīng)用程序名和版本),它們運(yùn)行著什么樣的操作系統(tǒng)(操作系統(tǒng)版本)它們使是安全掃描工具的一個(gè)官方的圖形界面，是一個(gè)跨平臺(tái)的開(kāi)源應(yīng)用，不僅初學(xué)者容提供項(xiàng)目組測(cè)試專用電腦接入業(yè)務(wù)網(wǎng)的網(wǎng)絡(luò)接口，確保測(cè)試專用電腦能夠訪問(wèn)被檢:是一個(gè)知名的網(wǎng)絡(luò)安全評(píng)估軟件，功能強(qiáng)大且更新極快。該系統(tǒng)被設(shè)計(jì)為客戶機(jī)漏洞掃描系統(tǒng)可以部署應(yīng)用在小規(guī)模網(wǎng)絡(luò)安全運(yùn)維環(huán)境中，使對(duì)于中小企業(yè)，網(wǎng)絡(luò)規(guī)模不大，但一般會(huì)劃分為多個(gè)業(yè)務(wù)子網(wǎng)，每個(gè)子網(wǎng)都分別部署漏洞管理系統(tǒng)成本過(guò)高，而要求子網(wǎng)防火墻開(kāi)放漏洞管理設(shè)全風(fēng)險(xiǎn)?？梢愿膾呙杈W(wǎng)段來(lái)掃描不同子網(wǎng)，無(wú)需防火墻單獨(dú)提供漏洞掃描系統(tǒng)接入業(yè)務(wù)網(wǎng)的網(wǎng)絡(luò)接口，確保漏洞掃跨站腳本，緩沖區(qū)溢出和應(yīng)用程序和2.0的漏洞掃描。(簡(jiǎn)稱)是一款知名的網(wǎng)絡(luò)漏洞掃描工具，它通過(guò)網(wǎng)絡(luò)爬蟲(chóng)測(cè)試網(wǎng)站安全，檢測(cè)適用于各種網(wǎng)站，部署靈活簡(jiǎn)單，只需要對(duì)目標(biāo)站點(diǎn)“網(wǎng)絡(luò)可達(dá)”即可進(jìn)行漏洞、掛馬等檢測(cè)。同時(shí)系統(tǒng)支持多路掃描技術(shù)，可對(duì)不同應(yīng)用環(huán)提供應(yīng)用漏洞掃描系統(tǒng)接入業(yè)務(wù)網(wǎng)的網(wǎng)絡(luò)接口，確保應(yīng)用漏洞掃描系統(tǒng)能夠訪問(wèn)到安全配置核查系統(tǒng)具備符合多個(gè)行業(yè)安全配置家推薦的安全配置知識(shí)庫(kù)，全面的指導(dǎo)信息系統(tǒng)的安全配并滿足行業(yè)規(guī)劃要求。同時(shí)也根據(jù)等級(jí)保護(hù)定級(jí)、安全配置核查系統(tǒng)通過(guò)自動(dòng)化的進(jìn)行安全配置配置檢查的時(shí)間，并避免傳統(tǒng)人工檢查方式所帶來(lái)的失誤風(fēng)險(xiǎn)測(cè)報(bào)告。它可以大大提高您檢查結(jié)果的準(zhǔn)確性和合規(guī)性，節(jié)省您的時(shí)間成本，讓檢查工并且優(yōu)先應(yīng)用輕量級(jí)部署方案，最大程度降低安全建設(shè)成本。安機(jī)單網(wǎng)絡(luò)、單機(jī)多網(wǎng)絡(luò)、安全平臺(tái)分布式管理、跳板機(jī)跳轉(zhuǎn)等多安全配置核查系統(tǒng)可以部署應(yīng)用在小規(guī)模網(wǎng)絡(luò)安全運(yùn)維環(huán)境中，使用，通過(guò)簡(jiǎn)單部署即對(duì)于中小企業(yè)，網(wǎng)絡(luò)規(guī)模不大，但一般會(huì)劃分為多個(gè)業(yè)務(wù)子網(wǎng)，每個(gè)子網(wǎng)都分別部署安全配置核查系統(tǒng)成本過(guò)高，而要求子網(wǎng)防火墻開(kāi)放安全配置核查設(shè)備的訪問(wèn)權(quán)限，又帶來(lái)安全風(fēng)險(xiǎn)。提供多條鏈路檢查方式，系統(tǒng)提供多個(gè)檢查網(wǎng)口，每個(gè)網(wǎng)口可以通過(guò)提供安全配置核查系統(tǒng)接入業(yè)務(wù)網(wǎng)的網(wǎng)絡(luò)接口，確保安本項(xiàng)目中集成滲透測(cè)試系統(tǒng)采用，是一款開(kāi)源的安全漏百個(gè)已知軟件漏洞的專業(yè)級(jí)漏洞攻擊工具，可以幫助安全和專業(yè)人士識(shí)別安全性問(wèn)題，提供項(xiàng)目組測(cè)試專用電腦接入業(yè)務(wù)網(wǎng)的網(wǎng)絡(luò)接口，確保本項(xiàng)目中注入工具采用，是一個(gè)開(kāi)放源碼的滲透測(cè)試工具，它可以自動(dòng)探測(cè)和利用注入漏洞來(lái)接管數(shù)據(jù)庫(kù)服務(wù)器。它配備了一個(gè)強(qiáng)大的探測(cè)引擎供很多強(qiáng)大的功能，可以拖庫(kù)、可以訪問(wèn)底層的文件系統(tǒng)、還提供項(xiàng)目組測(cè)試專用電腦接入業(yè)務(wù)網(wǎng)的網(wǎng)絡(luò)接口，確保本項(xiàng)目中應(yīng)用代理采用，是用于攻擊應(yīng)用程序的集成平臺(tái)。它包含了許多工具，并為這些工具設(shè)計(jì)了許多接口，以促進(jìn)加快攻擊應(yīng)用程序的過(guò)程。所有的工具都安裝部署于項(xiàng)目組安全評(píng)估/滲透測(cè)試工程師測(cè)提供項(xiàng)目組測(cè)試專用電腦接入業(yè)務(wù)網(wǎng)的網(wǎng)絡(luò)接口，確保網(wǎng)絡(luò)抓包及協(xié)議分析采用，(前稱)是一個(gè)網(wǎng)絡(luò)封包分析軟件。網(wǎng)絡(luò)封包分析功能是擷取網(wǎng)絡(luò)封包，并盡可能顯示出最為詳細(xì)的網(wǎng)絡(luò)提供項(xiàng)目組測(cè)試專用電腦接入業(yè)務(wù)網(wǎng)的網(wǎng)絡(luò)接口，確保1.4技術(shù)資料詳細(xì)清單信息資產(chǎn)清單中主要包括服務(wù)器，安全設(shè)備，網(wǎng)絡(luò)設(shè)備、策略文檔的搜集范圍包括信息安全相關(guān)的策略、規(guī)定、流程、指南、通知、條例、處理辦法等等任何正式成文的內(nèi)容。這些文檔可以是已經(jīng)正式發(fā)布的，也可以是正在編1網(wǎng)絡(luò)安全分析報(bào)告2故障處理管理辦法3軟件版本管理辦法5割接入網(wǎng)審批制度6外來(lái)人員進(jìn)入機(jī)房注意事項(xiàng)7值班與交接班制度8安全保密規(guī)定9運(yùn)維規(guī)則請(qǐng)示報(bào)告制度申告管理系統(tǒng)運(yùn)維流程系列文件崗位職責(zé)定義系列文件策略綱要技術(shù)規(guī)范體系框架通信要害安全管理規(guī)定20職工違紀(jì)懲處實(shí)施細(xì)則安全值守服務(wù)是公司將本組織的部分或全部安全安全值守的核心工作包括系統(tǒng)運(yùn)維、預(yù)警、日常安全監(jiān)控與分析、安全事件管理與響應(yīng)，主要提供安全預(yù)警、安全檢測(cè)和發(fā)現(xiàn)、安全應(yīng)對(duì)能力；另外，還包括了日常安全運(yùn)維(防護(hù))工作，提供安全防護(hù)和保障能力。擴(kuò)展服務(wù)是常見(jiàn)安全值守服務(wù)的一種擴(kuò)安全整合平臺(tái)為安全值守準(zhǔn)備、實(shí)施、管理工作的展開(kāi)和進(jìn)行提供了基礎(chǔ)；信息系統(tǒng)調(diào)研和分析提供了信息系統(tǒng)安全現(xiàn)狀方面的信息另外，從整體上看，安全值守工作還包括了安駐場(chǎng)安全值守交付文檔結(jié)合已有安全設(shè)備監(jiān)控日志信息輸出安全分析報(bào)告，包括周安全分析報(bào)告輸出、月安全分析報(bào)告輸出等工作。按照每周輸出報(bào)告方式，輸份月安全分析報(bào)告。輸出報(bào)告將體現(xiàn)出本階段安全狀況的總結(jié)每季度(前四個(gè)月按照一個(gè)季度計(jì)算，后文同此)進(jìn)行例行的安全掃描檢查工作；對(duì)新上線的設(shè)備嚴(yán)格按照三同步規(guī)范進(jìn)行安全檢查，并出具整改針對(duì)駐場(chǎng)服務(wù)，提供7×24小時(shí)應(yīng)急響應(yīng)服務(wù)。工作包括協(xié)助業(yè)務(wù)優(yōu)先恢復(fù)，主導(dǎo)節(jié)假日值守期間：每天統(tǒng)計(jì)和分析前一天的日志，發(fā)送日的對(duì)外的業(yè)務(wù)系統(tǒng)平臺(tái)，利用測(cè)試號(hào)進(jìn)行業(yè)務(wù)功能測(cè)試。交付物：輸出檢查報(bào)告配合招標(biāo)方進(jìn)行例行安全檢查工作(工信部/1.6實(shí)施計(jì)劃1.6.1實(shí)施方案里程碑1:完成需求分析里程碑2:威脅評(píng)估與賦值里程碑3:工具評(píng)估、人工評(píng)估及滲透測(cè)試?yán)锍瘫?:安全整改加固成果歸檔里程碑5:項(xiàng)目匯報(bào)、提交項(xiàng)目成果里程碑6:項(xiàng)目驗(yàn)收客戶代表(適用時(shí))等對(duì)項(xiàng)目執(zhí)行進(jìn)展作出評(píng)價(jià)，對(duì)變更請(qǐng)求作出決定。 項(xiàng)目結(jié)束時(shí)(初驗(yàn)/終驗(yàn)),項(xiàng)目經(jīng)理需編制《項(xiàng)目總結(jié)報(bào)告》,同時(shí)項(xiàng)進(jìn)度管理《項(xiàng)目進(jìn)度報(bào)表》:項(xiàng)目經(jīng)理需每周收集項(xiàng)目進(jìn)展數(shù)據(jù)，修訂項(xiàng)目風(fēng)險(xiǎn)管理《項(xiàng)目風(fēng)險(xiǎn)日志》:項(xiàng)目經(jīng)理需隨時(shí)識(shí)別項(xiàng)目中的風(fēng)險(xiǎn)，并定期跟>問(wèn)題管理通過(guò)問(wèn)題上報(bào)平臺(tái)進(jìn)行監(jiān)控管理；變更管理《項(xiàng)目變更日志》:項(xiàng)目中發(fā)生的各項(xiàng)變更，都需記錄在變更日志項(xiàng)目匯報(bào)《項(xiàng)目周報(bào)》:根據(jù)