2024網(wǎng)絡(luò)安全服務(wù)檢測

第第17頁共96頁網(wǎng)絡(luò)安全服務(wù)檢測標(biāo)準目錄TOC\o"1-2"\h\u17910網(wǎng)絡(luò)安全服務(wù)檢測標(biāo)準 1320565.1.整體網(wǎng)絡(luò)安全服務(wù)框架 5253195.2.資產(chǎn)調(diào)研與梳理 657395.3.風(fēng)險評估 6310675.3.1安全掃描 65763掃描目標(biāo) 629135安全掃描風(fēng)險規(guī)避 831121安全掃描成果交付 8162695.3.2.安全配置檢查 85955網(wǎng)絡(luò)配置檢查 103790操作系統(tǒng)配置檢查 2130994數(shù)據(jù)庫配置檢查 278393編號：安全要求-設(shè)備-ORACLE-配置-2-可選 28108925.3.3滲透測試 3211577滲透測試目標(biāo) 327490滲透測試前期準備 337464滲透測試實施流程 3517640采用的技術(shù)手段 3620735漏洞分級 4330116系統(tǒng)備份與恢復(fù)措施 4329739滲透測試風(fēng)險交付 4475835.3.4web 44130195.4.業(yè)務(wù)系統(tǒng)威脅 45318275.4.2業(yè)務(wù)安全測試內(nèi)容 452711身份認證安全 4619765業(yè)務(wù)一致性安全 4629901業(yè)務(wù)數(shù)據(jù)篡改測試 4718592用戶輸入合規(guī)性 4725219密碼找回測試 4713619驗證碼繞過測試 4831434未授權(quán)訪問 4821757越權(quán)訪問 4822959業(yè)務(wù)流程安全 4954190重放攻擊 49152835.4.3業(yè)務(wù)安全檢測 4923578業(yè)務(wù)安全檢測方案 498727a)任意修改用戶資料 50289185.4.4安全測試結(jié)果輸出 5178125.5.網(wǎng)絡(luò)安全架構(gòu)分析 5244295.5.1網(wǎng)絡(luò)安全風(fēng)險分析 52104405.5.2主機安全風(fēng)險分析 52113285.5.3應(yīng)用安全風(fēng)險分析 54142865.5.4數(shù)據(jù)安全及備份恢復(fù) 54143915.6.專項安全檢查 55243075.6.1webshell 55325835.6.2web 56315915.6.3系統(tǒng)登錄日志專項檢查 57244855.7.安全管理咨詢 5864645.7.1安全管理方針和目標(biāo) 59104635.7.2信息安全管理方法 5913919ISMS 6117332ISMS 6131076ISMS 62442ISMS 62259115.7.3信息安全管理體系控制域 6369695.7.4ISMS 645622范圍 6521734調(diào)研和風(fēng)險管理 6514926ISMS 6721599ISMS 70216305.7.5現(xiàn)有信息安全管理制度體系分析 7085995.7.6基于標(biāo)準的信息安全管理體系設(shè)計 7126780一級文件 711170二級文件 7110704三級文件 7110791四級文件 7216985.7.7信息安全管理制度文檔體系 7239965.7.8信息安全策略 7613464信息安全組織策略 7629787資產(chǎn)管理策略 777585人力資源安全策略 7818958物理環(huán)境安全策略 8026165通訊操作安全策略 817912訪問控制策略 8414603信息系統(tǒng)的獲取、開發(fā)和維護策略 866882信息安全事件管理策略 8711723業(yè)務(wù)連續(xù)性管理策略 88123410符合性管理策略 8926155.7.9流程化解決的問題 90246705.7.10使安全制度執(zhí)行切實落地 90229315.7.11輔助決策 90169955.7.12安全運維體系建設(shè) 91297845.8.安全巡檢 9272285.8.1安全巡檢概述 9288225.8.2安全巡檢內(nèi)容 9312427防火墻安全巡檢 935296網(wǎng)絡(luò)設(shè)備安全巡檢 9311015主機防護安全巡檢 935595系統(tǒng)運行安全巡檢 93105665.8.3防病毒安全巡檢 9469135.8.4數(shù)據(jù)備份巡檢 9427605.8.5物理機房巡檢 94209255.8.6定期漏洞掃描 94190595.9.安全應(yīng)急演練及響應(yīng) 9416055.9.1應(yīng)急響預(yù)案制定 9529922建立應(yīng)急響應(yīng)小組與明確小組成員 9518176明確事件響應(yīng)目標(biāo) 9510804準備應(yīng)急響應(yīng)過程中所需的工具軟件 966558應(yīng)急響應(yīng)計劃 96202835.9.2應(yīng)急響應(yīng)實施 9630213事件識別 9728986攻擊事件分類 977568事件證據(jù)收集 9714492系統(tǒng)恢復(fù) 9722908事件處理報告提交 98272035.9.3應(yīng)急響應(yīng)計劃維護與演練 9816750應(yīng)急響應(yīng)模擬演練 98134035.9.4安全應(yīng)急響應(yīng)實施方案 9829561應(yīng)急響應(yīng)事件識別 9810976應(yīng)急響應(yīng)事件分析檢測與證據(jù)收集 99125625.9.5應(yīng)急響應(yīng)事件總結(jié)與報告歸檔 100146475.10.防火墻策略檢查與優(yōu)化 101124905.10.1策略檢查與優(yōu)化內(nèi)容 10114716防火墻策略評估 102130095.11.漏洞預(yù)警與通告 103整體網(wǎng)絡(luò)安全服務(wù)框架IT基礎(chǔ)架構(gòu)的安全建設(shè)，優(yōu)化、調(diào)整和挖掘潛力，提升整體信息安全的保資產(chǎn)調(diào)研與梳理對主機、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫、應(yīng)用系統(tǒng)資產(chǎn)進行調(diào)研梳理，可分為：資產(chǎn)管理：權(quán)限梳理：信息系統(tǒng)中資產(chǎn)權(quán)限梳理、權(quán)限變化梳理、有效賬戶與冗余賬戶梳理。敏感數(shù)據(jù)梳理：資產(chǎn)使用梳理：風(fēng)險評估安全掃描掃描目標(biāo)掃描目標(biāo)目標(biāo)類型掃描方式掃描策略http://www.掃描目標(biāo).com/門戶網(wǎng)站內(nèi)網(wǎng)掃描主機漏洞掃描、Web漏洞掃描、弱密碼漏洞掃描\hhttp://web.掃描目標(biāo).com/應(yīng)用系統(tǒng)內(nèi)網(wǎng)掃描主機漏洞掃描、Web漏洞掃描、弱密碼漏洞掃描\hhttp://web2.掃描目標(biāo).com/應(yīng)用系統(tǒng)內(nèi)網(wǎng)掃描主機漏洞掃描、Web漏洞掃描、弱密碼漏洞掃描\hhttp://web3.掃描目標(biāo).com/應(yīng)用系統(tǒng)內(nèi)網(wǎng)掃描測試主機漏洞掃描、Web漏洞掃描、弱密碼漏洞掃描安全掃描實施內(nèi)容項目經(jīng)理與委托單位就漏洞掃描項目進行前期溝通，接收被測單位提交的網(wǎng)絡(luò)狀況資IP實施過程中需要評估的項目包括但不限于：主機環(huán)境漏洞掃描。Web弱密碼漏洞掃描。掃描方案確定，開始執(zhí)行掃描任務(wù)，按照客戶的掃描要求配置漏洞掃描策略進行掃描。端口掃描階段，本階段主要是對目標(biāo)對外開放的端口和服務(wù)進行掃描，從而收集相關(guān)的信息。主機漏洞掃描階段，本階段主要是對目標(biāo)的主機環(huán)境進行安全掃描。WebWebFTP、SQLServer、RDP清除總結(jié)階段，清除在客戶系統(tǒng)中產(chǎn)生的痕跡和中間數(shù)據(jù)，然后根據(jù)以上階段內(nèi)容總結(jié)編寫《安全掃描服務(wù)報告》。安全掃描風(fēng)險規(guī)避人員值守配合掃描時段選擇一般會選擇在夜間或安排在業(yè)務(wù)量不大的時段進行漏洞掃描。掃描策略集選擇掃描前應(yīng)進行備份，根據(jù)系統(tǒng)的具體情況配置合理的掃描策略。安全掃描成果交付《漏洞掃描服務(wù)報告》漏洞掃描結(jié)果漏洞解決方案安全配置檢查checklist配置檢測支持包含如下：操作系統(tǒng)：AIX、Linux、Soalris、Windows、HP-UX數(shù)據(jù)庫：Mysql、SQLSERVER、Oracle、SYBASE、DB2網(wǎng)絡(luò)設(shè)備：CISCO、H3C防火墻、Hillstone防火墻、Huawei防火墻、中興交換機應(yīng)用程序：APACHE、IIS、Nginx、Resin、Tomcat、Weblogic網(wǎng)絡(luò)配置檢查例：cisco路由器編號：安全要求-設(shè)備-通用-配置-3-可選要求內(nèi)容限制具備管理員權(quán)限的用戶遠程登錄。遠程執(zhí)行管理員權(quán)限操作，操作指南1．參考配置操作Router#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#servicepassword-encryptionRouter(config)#usernamenormaluserpassword3d-zirc0niaRouter(config)#usernamenormaluserprivilege1Router(config)#linevty04Router(config-line)#loginlocalRouter(config-line)#exec-timeout50Router(config-line)#end2．補充操作說明設(shè)定賬號密碼加密保存normaluser1；設(shè)定遠程登錄啟用路由器賬號驗證；設(shè)定超時時間為5分鐘；檢測方法1.判定條件I.VTY使用用戶名和密碼的方式進行連接驗證II.2、賬號權(quán)限級別較低，例如：I2.檢測操作showrunning-configrunning-configBuildingconfiguration...Currentconfiguration:!servicepassword-encryptionusernamenormaluserpassword3d-zirc0niausernamenormaluserprivilege1linevty04loginlocal安全要求-設(shè)備-通用-配置-4要求內(nèi)容6字、小寫字母、大寫字母和特殊符號4類中至少2類。操作指南參考配置操作Router#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#aaanew-modelRouter(config)#aaaauthenticationlogindefaultgrouptacacs+Router(config)#aaaauthenticationenabledefaultgrouptacacs+Router(config)#tacacs-serverhost8Router(config)#tacacs-serverkeyIr3@1yh8n#w9@swDRouter(config)#endRouter#補充操作說明與外部TACACSserver8TACACS+serveryaTACACSserver檢測方法此項無法通過配置實現(xiàn)，建議通過管理實現(xiàn)2.檢測操作此項無法通過配置實現(xiàn)，建議通過管理實現(xiàn)編號：安全要求-設(shè)備-通用-配置-9要求內(nèi)容操作指南1．參考配置操作Router#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#servicepassword-encryptionRouter(config)#usernamenormaluserpassword3d-zirc0niaRouter(config)#usernamenormaluserprivilege1Router(config)#privilegeexeclevel15connectRouter(config)#privilegeexeclevel15telnetRouter(config)#privilegeexeclevel15rloginRouter(config)#privilegeexeclevel15showipaccess-listsRouter(config)#privilegeexeclevel15showaccess-listsRouter(config)#privilegeexeclevel15showloggingRouter(config)#!ifSSHissupported..Router(config)#privilegeexeclevel15sshRouter(config)#privilegeexeclevel1showip2．補充操作說明基本思想是創(chuàng)建賬號并賦予不同的權(quán)限級別，并將各命令綁定在不同的權(quán)限級別上；上例操作過程如下：設(shè)定賬號密碼加密保存創(chuàng)建normaluser賬號并指定權(quán)限級別為1；connect、telnet、rlogin、showipaccess-lists、showaccess-listsshowloggingssh15將showip指定為僅當(dāng)賬號權(quán)限級別大于1時才可使用；檢測方法1.判定條件用戶名綁定權(quán)限級別2.檢測操作showrunning-configrunning-configBuildingconfiguration...Currentconfiguration:!usernamenormaluserpassword3d-zirc0niausernamenormaluserprivilege1privilegeexeclevel15connectprivilegeexeclevel15telnetprivilegeexeclevel15rloginprivilegeexeclevel15showipaccess-listsprivilegeexeclevel15showaccess-listsprivilegeexeclevel15showloggingprivilegeexeclevel15sshprivilegeexeclevel1showip編號：安全要求-設(shè)備-通用-配置-14-可選要求內(nèi)容設(shè)備應(yīng)支持遠程日志功能。所有設(shè)備日志均能通過遠程日志功能傳輸?shù)饺罩痉?wù)器。設(shè)備應(yīng)支持至少一種通用的遠程標(biāo)準日志接口，如SYSLOG、FTP等。操作指南參考配置操作路由器側(cè)配置：Router#configEnterconfigurationcommands,oneperline.EndwithCNTL/ZRouter(config)#loggingonRouter(config)#loggingtrapinformationRouter(config)#logging00Router(config)#loggingfacilitylocal6Router(config)#loggingsource-interfaceloopback0Router(config)#exitRouter#showloggingSysloglogging:enabled(0messagesdropped,11flushes,0overruns)Consolelogging:levelnotifications,35messagesloggedMonitorlogging:leveldebugging,35messagesloggedBufferlogging:levelinformational,31messagesloggedLoggingto00,28messagelineslogged..Router#補充操作說明Irouter00syslog啟用日志記錄日志級別設(shè)定“information”記錄日志類型設(shè)定“l(fā)ocal6”日志發(fā)送到00日志發(fā)送源是loopback0配置完成可以使用“showlogging”驗證服務(wù)器側(cè)配置參考如下：SyslogSyslog.conf#Saveroutermessagestorouters.loglocal6.debug/var/log/routers.log創(chuàng)建日志文件#touch/var/log/routers.logII. snmptEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#loggingtrapinformationRouter(config)#snmp-serverhost00trapspublicRouter(config)#snmp-servertrap-sourceloopback0Router(config)#snmp-serverenabletrapssyslogRouter(config)#exitRouter#檢測方法1.判定條件SyslogloggingSNMPloggingenabled”LoggingtoIPIII. 2.檢測操作showloggingRouter#showloggingSysloglogging:enabledConsolelogging:disabledMonitorlogging:leveldebugging,266messageslogged.Traplogging:levelinformational,266messageslogged.Loggingto38SNMPlogging:disabled,retransmissionafter30seconds0messagesloggedRouter#編號：安全要求-設(shè)備-通用-配置-16-可選要求內(nèi)容TCP/UDPIPTCPUDPIP操作指南1．參考配置操作DNSaccess-list140permitudpanyhosteq53Router(config)#access-list140denyudpanyanylog/16DNSRouter(config)#access-list140permittcpany55Router(config)#access-list140denyipanyanylog2．補充操作說明訪問控制列表命令格式：標(biāo)準訪問控制列表access-listlist-number{deny|permit}source[source-wildcard][log]擴展訪問控制列表access-listlist-number{deny|permit}protocolsourcesource-wildcardsource-qualifiersdestinationdestination-wildcarddestination-qualifiers[log|log-input]檢測方法1.判定條件acl；IPIPany2.檢測操作showipaccess-list[access-list-number|name如下例：Router#showipaccess-listExtendedIPaccesslist101denyudpanyanyeqntppermittcpanyanypermitudpanyanyeqtftppermiticmpanyanypermitudpanyanyeqdomain編號：安全要求-設(shè)備-通用-配置-17-可選要求內(nèi)容IPSSH操作指南1．參考配置操作router#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.router(config)#hostnameRouterRouter(config)#ipdomain-nameRouter.domain-name配置訪問控制列表Router(config)#noaccess-listRouter(config)#access-list12permithost00Router(config)#linevty04Router(config-line)#access-class12inRouter(config-line)#exit配置賬號和連接超時Router(config)#servicepassword-encryptionRouter(config)#usernamenormaluserpassword3d-zirc0niaRouter(config)#usernamenormaluserprivilege1Router(config)#linevty04Router(config-line)#loginlocalRouter(config-line)#exec-timeout50rsaRouter(config)#cryptokeygeneratersaThenameforthekeyswillbe:Router.domain-nameChoosethesizeofthekeymodulusintherangeof360to2048foryourGeneralPurposeKeys.Choosingakeymodulusgreaterthan512maytakeafewminutes.Howmanybitsinthemodulus[512]:2048GeneratingRSAKeys...[OK]sshsshRouter(config-line)#exitRouter(config)#2．補充操作說明配置描述：ssh00ssh配置遠程訪問里連接超時rsarsasshdrsasshdssh操作系統(tǒng)配置檢查例：HP-UX系統(tǒng)編號：安全要求-設(shè)備-HP-UX-配置-1要求內(nèi)容應(yīng)按照不同的用戶分配不同的賬號，避免不同用戶間共享賬號，避免用戶賬號和設(shè)備間通信使用的賬號共享。操作指南1、參考配置操作為用戶創(chuàng)建賬號：#useraddusername#創(chuàng)建賬號#passwdusername#設(shè)置密碼修改權(quán)限：#chmod750directory#其中755為設(shè)置的權(quán)限，可根據(jù)實際情況設(shè)置相應(yīng)的權(quán)限，directory是要更改權(quán)限的目錄)使用該命令為不同的用戶分配不同的賬號，設(shè)置不同的口令及權(quán)限信息等。2、補充操作說明檢測方法1、判定條件能夠登錄成功并且可以進行常用操作；2、檢測操作使用不同的賬號進行登錄并進行一些常用操作；3、補充說明編號：安全要求-設(shè)備-HP-UX-配置-2要求內(nèi)容應(yīng)刪除或鎖定與設(shè)備運行、維護等工作無關(guān)的賬號。系統(tǒng)內(nèi)存在不可刪除的內(nèi)置賬號，包括root,bin等。操作指南1、參考配置操作刪除用戶：#userdelusername;鎖定用戶：修改/etc/shadowNP將/etc/passwdshell/bin/noshell3)#passwd-lusername只有具備超級用戶權(quán)限的使用者方可使用，#passwdlusername#passwddusername2、補充操作說明需要鎖定的用戶：lp,nuucp,hpdb,www,demon。檢測方法1、判定條件被刪除或鎖定的賬號無法登錄成功；2、檢測操作使用刪除或鎖定的與工作無關(guān)的賬號登錄系統(tǒng)；3、補充說明需要鎖定的用戶：lp,nuucp,hpdb,www,demon。編號：安全要求-設(shè)備-HP-UX-配置-3要求內(nèi)容限制具備超級管理員權(quán)限的用戶遠程登錄。遠程執(zhí)行管理員權(quán)限操作，應(yīng)先以普通權(quán)限用戶遠程登錄后，再切換到超級管理員權(quán)限賬號后執(zhí)行相應(yīng)操作。操作指南1、 參考配置操作編輯/etc/securetty，加上：console保存后退出，并限制其他用戶對此文本的所有權(quán)限：chownroot:sys/etc/securettychmod600/etc/securettyroottelnetssh2、補充操作說明rootssh/etc/ssh/sshd_configPermitRootLoginyesPermitRootLoginno，重啟sshd檢測方法1、判定條件root遠程登錄不成功，提示“Notonsystemconsole”；普通用戶可以登錄成功，而且可以切換到root用戶；2、檢測操作root從遠程使用telnet登錄；telnetrootssh普通用戶從遠程使用ssh登錄；3、補充說明限制rootssh/etc/ssh/sshd_configPermitRootLoginyesPermitRootLoginnosshd服務(wù)。編號：安全要求-設(shè)備-HP-UX-配置-4-可選要求內(nèi)容根據(jù)系統(tǒng)要求及用戶的業(yè)務(wù)需求，建立多帳戶組，將用戶賬號分配到相應(yīng)的帳戶組。操作指南1、參考配置操作創(chuàng)建帳戶組：#groupaddgGIDgroupnameGIDGIDGID#usermod–ggroupusername#將用戶username分配到group組中。GID：#idusername可以根據(jù)實際需求使用如上命令進行設(shè)置。2、補充操作說明gGID0499binmail499。GID當(dāng)grop_nmegropaddnewgrp命令進行更改，如#newgrpsyssys檢測方法1、判定條件可以查看到用戶賬號分配到相應(yīng)的帳戶組中；或都通過命令檢查賬號是否屬于應(yīng)有的組：#idusername2、檢測操作查看組文件：cat/etc/group3、補充說明文件中的格式說明：group_name::GID:user_list編號：安全要求-設(shè)備-HP-UX-配置-5-可選要求內(nèi)容對系統(tǒng)賬號進行登錄限制，確保系統(tǒng)賬號僅被守護進程和服務(wù)使用，不應(yīng)直接由該賬號登錄系統(tǒng)。如果系統(tǒng)沒有應(yīng)用這些守護進程或服務(wù)，應(yīng)刪除這些賬號。操作指南1、參考配置操作禁止賬號交互式登錄：foruserinwwwsyssmbnulliwwwowwwsshd\hpsmhnameduucpnuucpadmdaemonbinlp\nobodynoaccesshpdbuseradm;dopasswd–l"$user"/usr/sbin/usermod-s/bin/false"$user"if[["$(uname-r)"=B.10*]];then/usr/lbin/modprpw-w"*""$user"else/usr/lbin/modprpw-w"$user"fidone刪除賬號：#userdelusername;2、補充操作說明wwwsyssmbnulliwwwowwwsshdhpsmhnameduucpnuucpadmdaemonbinlpnobodynoaccesshpdbuseradm.檢測方法1、判定條件被禁止賬號交互式登錄的帳戶遠程登錄不成功；2、檢測操作rootloginincorrectroot3、補充說明數(shù)據(jù)庫配置檢查例：oracle數(shù)據(jù)庫ORACLE要求內(nèi)容應(yīng)按照用戶分配賬號，避免不同用戶間共享賬號。操作指南1、 參考配置操作createuserabc1identifiedbypassword1;createuserabc2identifiedbypassword2;建立role，并給role授權(quán)，把role賦給不同的用戶2、 補充操作說明1abc1abc2檢測方法3、 判定條件不同名稱的用戶可以連接數(shù)據(jù)庫4、 檢測操作connectabc1/password1連接數(shù)據(jù)庫成功5、補充說明編號：安全要求-設(shè)備-ORACLE-配置-2-可選要求內(nèi)容應(yīng)刪除或鎖定與數(shù)據(jù)庫運行、維護等工作無關(guān)的賬號。操作指南1、 參考配置操作alteruserusernamelock;dropuserusernamecascade;2、 補充操作說明檢測方法3、 判定條件首先鎖定不需要的用戶在經(jīng)過一段時間后，確認該用戶對業(yè)務(wù)確無影響的情況下，可以刪除4、檢測操作5、補充說明編號：安全要求-設(shè)備-ORACLE-配置-3要求內(nèi)容限制具備數(shù)據(jù)庫超級管理員（SYSDBA）權(quán)限的用戶遠程登錄。（導(dǎo)致數(shù)據(jù)庫重起后，無法打開數(shù)據(jù)庫）操作指南1、參考配置操作spfileREMOTE_LOGIN_PASSWORDFILE=NONEsqlnet.oraSQLNET.AUTHENTICATION_SERVICES=NONESYSDBA2、補充操作說明檢測方法3、判定條件Sql*NetSYSDBAsqlplus/assysdba’連接到數(shù)據(jù)庫需要輸入口令。4、檢測操作Oraclesqlplus/assysdbasqlplusshowparameterNONE。ShowparameterREMOTE_LOGIN_PASSWORDFILE檢查在$ORACLE_HOME/network/admin/sqlnet.oraNONE。5、補充說明編號：安全要求-設(shè)備-ORACLE-配置-8要求內(nèi)容在數(shù)據(jù)庫權(quán)限配置能力內(nèi)，根據(jù)用戶的業(yè)務(wù)需要，配置其所需的最小權(quán)限。操作指南1、參考配置操作grant權(quán)限tousername;revoke權(quán)限fromusername;2、補充操作說明用第一條命令給用戶賦相應(yīng)的最小權(quán)限用第二條命令收回用戶多余的權(quán)限檢測方法3、判定條件4、檢測操作5、補充說明編號：安全要求-設(shè)備-ORACLE-配置-9要求內(nèi)容使用數(shù)據(jù)庫角色（ROLE）來管理對象的權(quán)限。操作指南1、參考配置操作CreateRoleGrantRole2、補充操作說明檢測方法3、判定條件DBARoleDBAsqlplusdba_role_privs、dba_sys_privsdba_tab_privsROLE5、補充說明編號：安全要求-設(shè)備-ORACLE-配置-10-可選要求內(nèi)容對用戶的屬性進行控制，包括密碼策略、資源限制等。操作指南1、參考配置操作可通過下面類似命令來創(chuàng)建profile，并把它賦予一個用戶CREATEPROFILEapp_user2LIMITFAILED_LOGIN_ATTEMPTS6PASSWORD_LIFE_TIME60PASSWORD_REUSE_TIME60PASSWORD_REUSE_MAX5PASSWORD_VERIFY_FUNCTIONverify_functionPASSWORD_LOCK_TIME1/24PASSWORD_GRACE_TIME90;ALTERUSERjdPROFILEapp_user2;2、補充操作說明檢測方法3、判定條件profileprofileCPUDBAsqlplus查詢視圖dba_profilesdba_usresprofile編號：安全要求-設(shè)備-ORACLE-配置-13要求內(nèi)容啟用數(shù)據(jù)字典保護，只有SYSDBA用戶才能訪問數(shù)據(jù)字典基礎(chǔ)表。操作指南1、參考配置操作SYSDBAO7_DICTIONARY_ACCESSIBILITY=FALSE2、補充操作說明檢測方法3、判定條件以普通dba用戶登陸到數(shù)據(jù)庫，不能查看X$開頭的表，比如：select*fromsys.x$ksppi;4、檢測操作Oraclesqlplus/assysdbasqlplusshowparameterFALSE。ShowparameterO7_DICTIONARY_ACCESSIBILITY5、補充說明滲透測試（滲透測試報告的價值直接依賴于測試者的專業(yè)技能滲透測試目標(biāo)掃描目標(biāo)目標(biāo)類型掃描方式掃描策略http://www.滲透目標(biāo).com/門戶網(wǎng)站內(nèi)網(wǎng)掃描主機漏洞掃描、Web漏洞掃描、弱密碼漏洞掃描\hhttp://web.滲透目標(biāo).com/應(yīng)用系統(tǒng)內(nèi)網(wǎng)掃描主機漏洞掃描、Web漏洞掃描、弱密碼漏洞掃描\hhttp://web2.應(yīng)用系統(tǒng)內(nèi)網(wǎng)掃描主機漏洞掃描、Web漏洞掃滲透目標(biāo).com/描、弱密碼漏洞掃描\hhttp://web3.滲透目標(biāo).com/應(yīng)用系統(tǒng)內(nèi)網(wǎng)掃描測試主機漏洞掃描、Web漏洞掃描、弱密碼漏洞掃描滲透測試工作標(biāo)準依據(jù)如下標(biāo)準實施滲透測試服務(wù)：GB/T18336-2001信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準則。OSSTMM-Open-SourceSecurityTestingMethodologyManualISSAF-InformationSystemsSecurityAssessmentFrameworkOWASP-OpenWebApplicationSecurityProjectWASC-WebApplicationSecurityConsortium滲透測試前期準備客戶書面同意確定滲透目標(biāo)范圍滲透測試時間范圍此外客戶可根據(jù)其對自身系統(tǒng)安全狀態(tài)的了解情況為滲透測試者規(guī)定一個測試時間窗，要求滲透測試者在此時間窗內(nèi)完成其滲透測試工作。IP確定滲透測試的人員風(fēng)險規(guī)避措施滲透測試實施流程滲透測試流程：信息收集信息收集是指滲透實施前盡可能多地獲取目標(biāo)信息系統(tǒng)相關(guān)信息，例如網(wǎng)站注冊信息、弱點分析獲取權(quán)限對目標(biāo)信息系統(tǒng)滲透成功，獲取目標(biāo)信息系統(tǒng)普通權(quán)限。權(quán)限提升采用的技術(shù)手段主要是通過網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層三個方面進行滲透測試。網(wǎng)絡(luò)層安全針對該系統(tǒng)所在網(wǎng)絡(luò)層進行網(wǎng)絡(luò)拓撲的探測、路由測試、防火墻規(guī)則試探、規(guī)避測試、Vlan由于服務(wù)器系統(tǒng)和網(wǎng)絡(luò)設(shè)備研發(fā)生產(chǎn)過程中所固有的安全隱患及系統(tǒng)管理員或網(wǎng)絡(luò)管理員的疏忽，一般網(wǎng)絡(luò)層安全漏洞包括以下安全威脅：明文保存密碼由于管理員的疏忽，設(shè)備配置密碼以明文的方式保存，這帶來了一定的安全威脅。未配置登錄超時AAA系統(tǒng)沒有配置統(tǒng)一的AAA認證，這不便于權(quán)限的管理。ACL交換機沒有配置管理IP的ACL，可導(dǎo)致任意地址訪問設(shè)備，應(yīng)該增加ACL進行限制。其他配置問題系統(tǒng)層安全版本過低（Apache版本過底，可能存在大量溢出漏洞）。遠程溢出漏洞（使用者輸入?yún)?shù)對所接收數(shù)據(jù)本地提權(quán)漏洞本地提權(quán)漏洞是指低權(quán)限、受限制的用戶，可以提升到系統(tǒng)最高權(quán)限或比較大的權(quán)限，從而取得對網(wǎng)站服務(wù)器的控制權(quán)。弱口令權(quán)限過大權(quán)限過大是指某用戶操作權(quán)限超出他本身安全操作權(quán)限范圍之外，這存在一定的安全風(fēng)險。高危服務(wù)/端口開放系統(tǒng)很多高危服務(wù)和端口會被默認開放，例如，80，443，843，80018010，其中8001~8010TCPUDPSSH、Telnet、X-windows、Rlogin、ms-rpc、SNMP、FTP、TFTPIPC$連接允許匿名IPC$連接，是一個遠程登錄功能，同時所有的邏輯盤(c$,d$,e$……)和系統(tǒng)目錄winnt或windows(admin$)資源可共享，存在一定的安全風(fēng)險。其他配置問題應(yīng)用層安全SQLCSRFSQLSQLSQLSQL跨站腳本XSSCSS(CrossSiteScriptExecution)，是指服務(wù)器端的CGIHTMLWEBHTML表單繞過SQL上傳漏洞上傳漏洞是指網(wǎng)站開發(fā)者在開發(fā)時在上傳頁面中針對文件格式（asp、php）和文webshell文件包含已知木馬PCPC敏感信息泄露WEBSQLSQL以下幾個是比較典型的敏感信息泄露漏洞：源碼信息泄露；……惡意代碼解析漏洞遠程代碼執(zhí)行漏洞（有時我們在用戶認證只顯示給用戶認證過的任意文件讀取系統(tǒng)開發(fā)過程中沒有重視安全問題或使用不安全的第三方組件等，導(dǎo)致任意文件可讀取，可導(dǎo)致入侵者獲得數(shù)據(jù)庫權(quán)限，并利用數(shù)據(jù)庫提權(quán)進一步獲得系統(tǒng)權(quán)限。目錄遍歷目錄遍歷是指由于程序中沒有過濾用戶輸入的../和./之類的目錄跳轉(zhuǎn)符,導(dǎo)致攻擊者通過提交目錄跳轉(zhuǎn)來遍歷服務(wù)器上的任意文件。目錄列出URL（URL跨站請求偽造（Cross-siterequestforgeryoneclickattacksessionridingCSRFXSRFXSSXSSCSRFXSS攻擊相比，CSRF攻擊往往不大流行（因此對其進行防范的資源也相當(dāng)稀少）和難以防范，所以被認為比XSS更具危險性。弱口令不安全對象引用安全配置錯誤HTTP鏈接地址重定向（而某些程序在重定向的跳轉(zhuǎn)過程中，對重定向的地址未進行必要的有效性和安全性檢URL，而導(dǎo)致用戶信息受損。跳轉(zhuǎn)漏洞URLXSS后臺管理會話管理會話管理主要是針對需授權(quán)的登錄過程的一種管理方式，以用戶密碼驗證為常見方式，通過對敏感用戶登錄區(qū)域的驗證，可有效校驗系統(tǒng)授權(quán)的安全性，測試包含以下部分：用戶口令易猜解通過對表單認證、HTTP是否存在驗證碼防護是否存在易暴露的管理登錄地址某些管理地址雖無外部鏈接可介入，但由于采用了容易猜解的地址（如：admin）而導(dǎo)致登錄入口暴露，從而給外部惡意用戶提供了可乘之機。是否提供了不恰當(dāng)?shù)尿炞C錯誤信息HTTPFuzzingSession是否隨機SessionSessionSession校驗前后Session是否變更SessionSession會話存儲是存儲于客戶端本地（cookie）還是存儲于服務(wù)端（Session無效驗證碼目標(biāo)系統(tǒng)管理入口（或數(shù)據(jù)庫外部連接）存在缺少驗證碼，攻擊者可利用弱口令漏洞，漏洞分級根據(jù)漏洞危害程度將漏洞等級分為高危、中危、低危三個級別：高危：漏洞很明顯，容易被利用，黑客通過該漏洞可獲取完全驗證權(quán)限，執(zhí)行管理中危該漏洞需通過深入挖掘發(fā)現(xiàn)，攻擊者利用該漏洞可獲得敏感信息，影響到部分用戶，同時攻擊者在一定時間內(nèi)可重復(fù)攻擊。低危：該漏洞發(fā)現(xiàn)困難，利用難度大，重復(fù)攻擊難，危害影響小。系統(tǒng)備份與恢復(fù)措施網(wǎng)絡(luò)應(yīng)用系統(tǒng)類：對網(wǎng)絡(luò)應(yīng)用服務(wù)系統(tǒng)及其配置、用戶信息、數(shù)據(jù)庫等進行備份。網(wǎng)絡(luò)設(shè)備類：對網(wǎng)絡(luò)設(shè)備的配置文件進行備份。桌面系統(tǒng)類：備份用戶信息，用戶文檔，電子郵件等信息資料。滲透測試風(fēng)險交付交付成果報告列表：《滲透測試報告》滲透測試結(jié)果安全加固方案web安全專家針對源代碼、頁面以及網(wǎng)站中存在的安全漏洞，進行點對點安全修復(fù)與加固。安全加固風(fēng)險與控制措施安全加固和優(yōu)化服務(wù)存在以下安全風(fēng)險：安全加固過程中的誤操作；安全加固后造成業(yè)務(wù)服務(wù)性能下降、服務(wù)中斷；廠家提供的加固補丁和工具可能存在新的漏洞，帶來新的風(fēng)險；我們將采取以下措施，控制和避免上述風(fēng)險：嚴格審核安全加固的流程和規(guī)范；嚴格審核安全加固的各子項內(nèi)容和加固操作方法、步驟，實施前進行統(tǒng)一的培訓(xùn)；嚴格員工工作紀律和操作規(guī)范，實施前進行統(tǒng)一的培訓(xùn)；制訂意外事件的緊急處理和恢復(fù)流程；收集系統(tǒng)信息做好備份工作webweb復(fù)查配置對加固后的系統(tǒng)，全部復(fù)查一次所作加固內(nèi)容，確保正確無誤。應(yīng)急恢復(fù)業(yè)務(wù)系統(tǒng)威脅業(yè)務(wù)安全業(yè)務(wù)安全測試內(nèi)容身份認證安全sessioncookie暴力破解burpsuitesessioncookiesessionsessionIDIDsessionidCookiecooikiecookiecookie加密測試https業(yè)務(wù)一致性安全用戶信息篡改訂單/用戶/IDIDID（加減一）能夠查看其它用戶的訂單信息、或者IDID業(yè)務(wù)數(shù)據(jù)篡改測試業(yè)務(wù)數(shù)據(jù)的篡改常見于在商品的數(shù)量價格方面進行繞過篡改，造成經(jīng)濟損失。金額數(shù)據(jù)修改商品數(shù)量修改jsJavascriptJavascript用戶輸入合規(guī)性XSSFUZZ密碼找回測試密碼是用戶的重要身份憑證之一，在測試用戶密碼時一般流程：首先嘗試正常密碼找回流程，選擇不同找回方式，記錄所有數(shù)據(jù)包；分析數(shù)據(jù)包，找到敏感部分；分析后臺找回機制所采用的驗證手段；修改數(shù)據(jù)包驗證推測。驗證碼繞過測試驗證碼不單單在登錄、找密碼應(yīng)用，提交敏感數(shù)據(jù)的地方也有類似應(yīng)用，故單獨分類，并進一步詳情說明。burpsuite驗證碼時間、次數(shù)測試：抓取攜帶驗證碼的數(shù)據(jù)包不斷重復(fù)提交，例如：在投訴建驗證碼客戶端回顯測試：當(dāng)客戶端有需要和服務(wù)器進行交互，發(fā)送驗證碼時，即可使用瀏覽器調(diào)試功能就可看到客戶端與服務(wù)器進行交互的詳細信息；驗證碼繞過測試：當(dāng)?shù)谝徊较虻诙教D(zhuǎn)時，抓取數(shù)據(jù)包，對驗證碼進行篡改清空測試，驗證該步驟驗證碼是否可以繞過；jsjs未授權(quán)訪問非授權(quán)訪問是指用戶在沒有通過認證授權(quán)的情況下能夠直接訪問需要通過認證才能訪越權(quán)訪問垂直越權(quán)：垂直越權(quán)是指使用權(quán)限低的用戶可以訪問權(quán)限較高的用戶；水平越權(quán)：水平越權(quán)是指相同權(quán)限的不同用戶可以互相訪問。業(yè)務(wù)流程安全ABCDBDCCC重放攻擊（（重放（重放后被多次生成有效的業(yè)務(wù)或數(shù)據(jù)結(jié)果，可以造成惡意注冊、短信炸彈等漏洞。業(yè)務(wù)安全檢測業(yè)務(wù)安全檢測準備2burpsuiteFiddlerFirefox+hackbarcookiemanagerpython等安全工具。業(yè)務(wù)安全檢測方案惡意注冊驗證碼繞過6burpsuite密碼找回重置短信驗證碼越權(quán)訪問常見于任意修改用戶用戶名密碼資料、用戶銀行賬號信息、用戶購買商品信息等。任意修改用戶資料BBABBAURLAB任意查詢修改用戶數(shù)據(jù)uid輸入數(shù)據(jù)合規(guī)性SQLSQLXSS業(yè)務(wù)流程繞過服務(wù)接口測試通過測試服務(wù)接口的功能來驗證是否存在用戶可控的信息。安全測試結(jié)果輸出通過以上一系列的針對業(yè)務(wù)的檢測手段，可以快速發(fā)掘定位業(yè)務(wù)系統(tǒng)中存在的安全漏網(wǎng)絡(luò)安全架構(gòu)分析網(wǎng)絡(luò)安全風(fēng)險分析網(wǎng)絡(luò)結(jié)構(gòu)存在單點故障，設(shè)備性能不足以支撐業(yè)務(wù)系統(tǒng)需求等原因造成網(wǎng)絡(luò)堵塞，業(yè)務(wù)丟包率較高。由于網(wǎng)絡(luò)互連引起越權(quán)訪問、惡意攻擊、病毒入侵等原因，使得網(wǎng)絡(luò)邊界存在安全隱患。缺乏必要的身份鑒別、安全防范、安全審計等技術(shù)手段，容易造成設(shè)備的無權(quán)限訪問和惡意更改設(shè)備參數(shù)。缺乏必要的網(wǎng)絡(luò)安全檢測、主動防御設(shè)備，使得惡意攻擊、非法訪問、網(wǎng)絡(luò)病毒、DOS（拒絕服務(wù)）/DDOS主機安全風(fēng)險分析WindowsLinux都可能存在安全漏洞，影響主機運行安全的風(fēng)險主要有：缺乏必要的身份鑒別、安全審計等手段，容易造成設(shè)備的無權(quán)限訪問和惡意更改設(shè)備參數(shù)。系統(tǒng)中殘存有未及時刪除的過期賬號、測試賬號、共享賬號、默認用戶等可非法入侵的賬戶信息。病毒入侵導(dǎo)致信息泄漏、文件丟失、機器死機等不安全因素。應(yīng)用安全風(fēng)險分析用戶賬號被非法使用，冒用他人身份非法訪問信息系統(tǒng)，導(dǎo)致數(shù)據(jù)被非法竊取、非授權(quán)訪問、惡意篡改等非法操作。應(yīng)用軟件存在漏洞或在開發(fā)過程中存在后門，為黑客留下入侵的可操作性；同時軟數(shù)據(jù)安全及備份恢復(fù)在數(shù)據(jù)傳輸過程中無法檢測用戶數(shù)據(jù)和重要業(yè)務(wù)數(shù)據(jù)等在傳輸過程中是否受到破壞或因關(guān)鍵數(shù)據(jù)未及時備份，在主節(jié)點遭到破壞后無法及時進行數(shù)據(jù)恢復(fù)。5）管理安全風(fēng)險分析責(zé)權(quán)不明、管理混亂、沒有相應(yīng)的安全管理組織，缺少安全管理人員編制，安全管理組織不健全會造成上下級管理混亂，遇到突發(fā)情況時無法及時有效地進行應(yīng)急響應(yīng)。人員安全意識淡薄，在日常工作中無意泄露系統(tǒng)口令、隨意放置操作員卡、私接外網(wǎng)、非法拷貝系統(tǒng)信息、私自安裝/卸載程序、違規(guī)操作、擅離崗位等均會造成安全隱患。人員分工和職責(zé)不明，缺乏必要的監(jiān)督、約束、獎罰制度等造成的潛在管理風(fēng)險。專項安全檢查webshellwebwebshellWebshellwebwebwebshell（webshellwebphp、asp、aspx、jspwebshellwebshellPHPwebshellASP/ASPXwebshell:JSP/JSPXwebshell:webWebwebIP，useragentApache日志格式:IIS日志格式例：日志匯總wvs掃描特征：系統(tǒng)登錄日志專項檢查通過對系統(tǒng)日志進行分析，可以對登錄時間、登錄IP進行判定，查找出可疑的登錄行為。LINUX日志示例：Windows登錄檢測：安全管理咨詢3-5制定安全策略，并根據(jù)策略完善相關(guān)制度體系；建立信息安全管理體系（ISMS），提升總體安全管理水平；IS27000ISMS建立安全運維管理體系；結(jié)合信息安全整體規(guī)劃進行實施；結(jié)合安全域劃分進行實施；結(jié)合等級保護相關(guān)內(nèi)容進行實施。安全管理方針和目標(biāo)信息安全管理方法ISO/IEC27001:2005PDCA建立健全信息安全管理體系的過程模式如下圖所示。信息安全管理體系的建立、實施、運作、監(jiān)視、評審、保持和改進的策劃活動包括：1、信息安全管理體系的策劃與準備。策劃與準備階段主要是做好建立信息安全管理體系的各種前期工作。內(nèi)容包括教育培訓(xùn)、擬定計劃、信息安全管理現(xiàn)狀調(diào)查與風(fēng)險評估，及信息安全管理體系設(shè)計。2、信息安全管理體系文件的編制。為實現(xiàn)風(fēng)險控制、評價和改進信息安全管理體系、實現(xiàn)持續(xù)改進提供不可或缺的依據(jù)。3、信息安全管理體系運行。信息安全管理體系文件編制完成以后，按照文件的控制要求進行審核與批準并發(fā)布實4、信息安全管理體系審核與評審。ISMS根據(jù)ISO/IEC27001:2005的要求，按以下步驟建立ISMS：ISMSISMS定義適用于行業(yè)的風(fēng)險評估方法；識別信息系統(tǒng)涉及的資產(chǎn)面臨的各種風(fēng)險；對各種風(fēng)險加以評估，判斷風(fēng)險是否可以接受或需要進行必要的處置；選擇風(fēng)險處置的控制目標(biāo)和控制方式；根據(jù)行業(yè)的信息安全方針，處置不可接受的風(fēng)險。管理層批準可接受的殘留風(fēng)險；ISMS；ISMS在信息安全管理體系文件編制完成以后，分成兩個階段來實施并運作ISMS：公布風(fēng)險處置計劃；實施風(fēng)險處置計劃以達到確定的控制目標(biāo)；評估控制措施的有效性；對員工進行培訓(xùn)。PDCAISMSISMS實施程序及其他控制以及時檢測、響應(yīng)安全事故。ISMS執(zhí)行監(jiān)視程序和其它控制；及時檢測過程、結(jié)果中的錯誤；及時識別失敗的或成功的安全違規(guī)和事故；決定反映業(yè)務(wù)優(yōu)先級的安全違規(guī)的解決措施。ISMS評審殘留風(fēng)險和可接受風(fēng)險的等級考慮以下方面的變化：組織結(jié)構(gòu)變化技術(shù)變革更新業(yè)務(wù)目標(biāo)和過程已識別的威脅外部事件如法律法規(guī)環(huán)境的變化、社會風(fēng)氣的變化ISMSISMSISMSISMSISMS訓(xùn)；溝通結(jié)果和措施并與所有相關(guān)方達成一致；確保改進活動達到了預(yù)期的目的。信息安全管理體系控制域ISO/IEC27001:2005《信息安全管理體系》，和行業(yè)管1111安全策略為信息安全提供管理指導(dǎo)和支持，并與業(yè)務(wù)要求和相關(guān)的法律法規(guī)保持一致。安全組織資產(chǎn)管理通過及時更新的信息資產(chǎn)目錄對信息資產(chǎn)進行適當(dāng)?shù)谋Ｗo。人力資源安全物理環(huán)境安全防止對工作場所和信息的非法訪問、破壞和干擾。通訊操作安全確保信息處理設(shè)施的正確和安全操作。訪問控制控制對行業(yè)內(nèi)所有信息的訪問行為。信息系統(tǒng)的獲取、開發(fā)和維護確保安全始終成為信息系統(tǒng)在不同生命周期之中的一部分。信息安全事件管理確保與信息系統(tǒng)有關(guān)的安全事件和弱點的報告，以便及時采取糾正措施。業(yè)務(wù)連續(xù)性管理符合性管理避免違反法律、法規(guī)、規(guī)章、合同要求和其它安全要求。ISMSISO27001ISMSISO27001范圍信息安全管理體系建設(shè)和落實、培訓(xùn)等內(nèi)容。1ISO27001協(xié)助客戶進行信息安全管理體系進行發(fā)布、宣貫和培訓(xùn)；面向試點單位各層面宣貫本次服務(wù)項目的成果，確保安全管理流程的落實和執(zhí)行。2培訓(xùn)內(nèi)容應(yīng)包括：ISMSISMS27001調(diào)研和風(fēng)險管理1、管理體系范圍確定ISMS確定的范圍具體一般包括：業(yè)務(wù)、部門、應(yīng)用系統(tǒng)范圍信息資產(chǎn)（如硬件、軟件、數(shù)據(jù)）人員（如項目組成員及聯(lián)系方式）環(huán)境（如建筑、設(shè)備物理位置）活動（如對資產(chǎn)進行的操作、相關(guān)的權(quán)限等）IP（IP）工作方法：實地考察、安全顧問訪談、協(xié)調(diào)會議討論。2調(diào)研內(nèi)容包括但不限于：現(xiàn)有的安全政策、規(guī)范和文件安全管理組織結(jié)構(gòu)及人員配置人員知識、技能和意識情況現(xiàn)有安全控制措施的設(shè)置和部署、運維情況現(xiàn)有的技術(shù)支撐設(shè)施情況績效考核KPI現(xiàn)有安全管理流程、規(guī)范的開展、落實情況現(xiàn)有安全管理流程、規(guī)范的實施效果來自業(yè)務(wù)、法律法規(guī)方面的安全需求曾發(fā)生的信息安全事件工作方法：文檔審查、安全顧問訪談。3、流程梳理工作方法：文檔審查、安全顧問訪談。4、ISO27001差距分析ISO27001ISO270011139133工作方法：團隊討論、統(tǒng)計分析。5、風(fēng)險評估ISMSIT（ISMS1、適用性聲明ISO27001工作方法：安全顧問訪談、協(xié)調(diào)會議討論。2、總體設(shè)計ISO27001ISO27002ISMS工作方法：協(xié)調(diào)會議討論。3、總體安全方針建設(shè)ISO27001A5ISMS工作方法：安全顧問訪談、協(xié)調(diào)會議討論。4、信息安全策略體系建設(shè)ISO27001工作方法：協(xié)調(diào)會議討論。5、管理制度、規(guī)范及流程建設(shè)（IT工作方法：意見征集、協(xié)調(diào)會議討論。6、審計與考核體系建設(shè)工作方法：意見征集、協(xié)調(diào)會議討論。7、信息安全組織體系建設(shè)ISO27001（不僅僅是從事安全管理和業(yè)務(wù)的人員工作方法：協(xié)調(diào)會議討論。ISMS1、體系分發(fā)與宣貫ISMS工作方法：協(xié)調(diào)會議討論、培訓(xùn)。2、制度試用工作內(nèi)容：ISMS工作方法：現(xiàn)場測試。3、巡檢和審計工作內(nèi)容：安保公司定期對不同角色的不同安全管理流程、規(guī)范的執(zhí)行情況進行檢查，通過查看相關(guān)流程遵循情況、表單記錄情況。工作方法：穿行測試、問卷調(diào)查、顧問訪談。4ISMSISMS工作方法：安全顧問訪談、管理問卷調(diào)查、實地考察等?，F(xiàn)有信息安全管理制度體系分析安保公司將匯總客戶現(xiàn)有的信息科技風(fēng)險管理工作制度文檔并進行分析，整理制度名錄，給出框架圖，并進行總體分析。在此基礎(chǔ)之上，對現(xiàn)有制度進行分析評估，包括：現(xiàn)有制度與監(jiān)管要求之間的差異?？蛻粜畔⒖萍硷L(fēng)險管理現(xiàn)狀與現(xiàn)有制度之間的差異，即執(zhí)行落實的狀況?？蛻粜畔⒖萍硷L(fēng)險管理現(xiàn)狀與監(jiān)管要求之間的差距?；跇?biāo)準的信息安全管理體系設(shè)計安保公司將按照四級的結(jié)構(gòu)為客戶建立信息安全管理策略與制度體系。一級文件二級文件三級文件四級文件信息安全管理制度文檔體系（文件類型級別文件名稱信息安全管理體系一級信息安全方針、目標(biāo)信息安全管理范圍信息安全管理適用性說明信息安全管理文件說明二級信息安全管理內(nèi)審與改進規(guī)定信息安全管理管理評審規(guī)定信息安全管理文件管理規(guī)定信息安全管理記錄管理規(guī)定信息資產(chǎn)風(fēng)險評估管理規(guī)定四級糾正和預(yù)防措施處理表格信息安全管理內(nèi)部稽審方案內(nèi)審檢查表內(nèi)部稽審報告不符合項報告管理評審計劃部門管理評審報告管理評審報告會議簽到表信息安全管理文件清單外來信息安全管理文件清單信息安全管理文件發(fā)放回收記錄信息安全管理文件修改申請單信息安全管理記錄借閱登記表信息安全管理記錄處理審批表信息安全管理記錄清單信息安全管理風(fēng)險評估參數(shù)量化標(biāo)準資產(chǎn)風(fēng)險評估表樣例信息安全管理信息資產(chǎn)登記表信息安全管理資產(chǎn)風(fēng)險評估表信息安全管理信息資產(chǎn)風(fēng)險評估更新記錄信息安全組織三級信息安全組織架構(gòu)、職責(zé)描述、實施規(guī)范資產(chǎn)管理三級信息資產(chǎn)管理規(guī)定信息資產(chǎn)敏感性標(biāo)識實施細則四級信息介質(zhì)安全報廢申請表人力資源安全三級人力資源安全管理規(guī)定工作人員變動管理辦法人員信息安全守則信息安全量化記分管理細則第三方和外包人員安全管理細則四級人員保密協(xié)議信息安全責(zé)任書(即領(lǐng)導(dǎo)的安全承諾書)員工信息安全承諾書外部人員信息安全承諾書(新增）信息安全違規(guī)行為基礎(chǔ)分值表信息安全違規(guī)行為記錄表物理與環(huán)境安全三級物理與環(huán)境安全管理規(guī)定物理安全區(qū)域管理細則機房管理辦法物理安全區(qū)域標(biāo)識實施細則四級來訪人員登記表機房出入申請表機房出入登記表機房安全巡檢登記表通訊與操作管理三級通信與操作管理規(guī)定計算機病毒防治管理辦法數(shù)據(jù)備份管理辦法IP備份存儲介質(zhì)管理細則移動存儲介質(zhì)管理辦法電子郵件管理細則信息存儲介質(zhì)數(shù)據(jù)安全清除管理細則網(wǎng)絡(luò)日常安全監(jiān)控管理規(guī)定系統(tǒng)安全補丁管理辦法信息系統(tǒng)變更和發(fā)布管理辦法IT辦公電腦安全管理辦法四級應(yīng)用系統(tǒng)變更審查表備份數(shù)據(jù)恢復(fù)需求登記表數(shù)據(jù)備份需求登記表移動存儲介質(zhì)登記表信息存儲介質(zhì)數(shù)據(jù)清除申請表訪問控制三級訪問控制管理規(guī)定用戶賬戶及口令管理辦法四級重要系統(tǒng)關(guān)鍵用戶權(quán)限及口令季度審查表信息系統(tǒng)獲取、開發(fā)及維護三級系統(tǒng)開發(fā)過程安全管理辦法軟件開發(fā)安全基本原則四級系統(tǒng)外包信息保密及不披露協(xié)議信息安全事故管理三級信息安全事件管理規(guī)定四級信息安全事件報告信息安全事件登記表業(yè)務(wù)連續(xù)性管理三級業(yè)務(wù)連續(xù)性計劃開發(fā)程序及框架客戶信息系統(tǒng)應(yīng)急預(yù)案四級信息技術(shù)應(yīng)急組織人員名單信息系統(tǒng)事故分類和分級對照表信息系統(tǒng)事故報告政策表信息安全突發(fā)事件實時報告表信息安全事故處理報告信息應(yīng)急預(yù)案啟動表信息系統(tǒng)應(yīng)急演練記錄表信息系統(tǒng)應(yīng)急恢復(fù)策略與操作步驟匯編符合性管理規(guī)定三級信息安全檢查細則信息安全法律法規(guī)清單外購軟件清單符合性授權(quán)軟件清單四級信息安全檢查計劃信息安全檢查表信息安全檢查報告信息安全策略以下安全策略作為拋磚引玉，將根據(jù)客戶實際情況進行制定。信息安全組織策略策略目標(biāo)：策略內(nèi)容：應(yīng)建立專門的信息安全組織體系，以管理信息安全事務(wù)，指導(dǎo)信息安全實踐。策略描述：（包括相關(guān)權(quán)威人士策略二：管理外部組織對信息資產(chǎn)的訪問策略目標(biāo)：確保被外部組織訪問的信息資產(chǎn)得到了安全保護。策略內(nèi)容：策略說明：資產(chǎn)管理策略策略目標(biāo)：對本行的信息資產(chǎn)建立責(zé)任，為實施適當(dāng)保護奠定基礎(chǔ)。策略內(nèi)容：策略說明：策略目標(biāo)：通過對信息資產(chǎn)的分類，明確其可以得到適當(dāng)程度的保護策略內(nèi)容：應(yīng)按照信息資產(chǎn)的價值、對組織的敏感程度和關(guān)鍵程度進行分類和進行標(biāo)識。策略描述：信息的分類及相關(guān)保護控制要考慮到共享或限制信息的業(yè)務(wù)需求以及與這種需求相關(guān)人力資源安全策略策略一：人員聘用前的管理策略目標(biāo)：策略內(nèi)容：策略說明：第三方人員主要有：借調(diào)或借用外部人員以及其他外部服務(wù)人員等。策略二：人員聘用中的管理策略目標(biāo)：策略內(nèi)容：策略說明：策略三：聘用的中止與變更策略目標(biāo)：策略內(nèi)容：策略說明：當(dāng)資產(chǎn)的訪問權(quán)和使用權(quán)發(fā)生變更及運行發(fā)生變化時，要及時通知各相關(guān)方。物理環(huán)境安全策略策略目標(biāo)：防止對本行的工作場所和信息的非授權(quán)物理訪問、損壞和干擾。策略內(nèi)容：重要的或敏感的信息處理設(shè)施要放置在安全區(qū)域內(nèi)，建立適當(dāng)?shù)陌踩琳虾腿肟诳刂?，策略說明：可以通過在邊界和信息處理設(shè)施周圍設(shè)置一個或多個物理屏障來實現(xiàn)對安全區(qū)域的物策略目標(biāo)：應(yīng)保護設(shè)備免受物理的和環(huán)境的威脅。策略內(nèi)容：防止設(shè)備的丟失、損壞、失竊或危及資產(chǎn)安全以及造成本行活動的中斷。策略說明：（包括離開本行使用和財產(chǎn)移動的保護是減少未授權(quán)訪問信息的風(fēng)險和防止丟（/通風(fēng)和空調(diào)及考慮采取措施保證電源布纜和通信布纜免受竊聽或損壞。通訊操作安全策略策略目標(biāo)：策略內(nèi)容：應(yīng)當(dāng)為所有的信息處理設(shè)施建立必要的管理和操作的職責(zé)及程序。策略說明：策略二：管理第三方服務(wù)策略目標(biāo)：策略內(nèi)容：策略說明：策略目標(biāo)：策略內(nèi)容：策略說明：（策略目標(biāo)：保持信息和信息處理設(shè)施的完整性及可用性。策略內(nèi)容：應(yīng)按照已設(shè)的備份策略，定期對本行的重要信息和軟件進行備份，并進行恢復(fù)測試。策略說明：應(yīng)提供足夠的備份設(shè)施，以確保所有必要的信息和軟件能在災(zāi)難或介質(zhì)故障后進行恢策略目標(biāo)：確保網(wǎng)絡(luò)中的信息和支持性基礎(chǔ)設(shè)施得到保護。策略內(nèi)容：策略說明：策略六：對存儲介質(zhì)的處理策略目標(biāo)：策略內(nèi)容：組織應(yīng)當(dāng)對存儲介質(zhì)的使用、移動、保管及處置等操作進行有效管理。策略說明：CDDVD策略七：系統(tǒng)監(jiān)測策略目標(biāo)：檢測未經(jīng)授權(quán)的信息處理活動。策略內(nèi)容：策略說明：訪問控制策略策略目標(biāo)：確保只有授權(quán)用戶才能訪問系統(tǒng)，預(yù)防對信息系統(tǒng)的非授權(quán)訪問。策略內(nèi)容：應(yīng)建立正式的程序，來控制對信息系統(tǒng)和服務(wù)的用戶訪問權(quán)的分配。策略說明：訪問控制程序應(yīng)涵蓋用戶訪問生命周期內(nèi)的各個階段，從新用戶初始注冊、日常使用，策略目標(biāo)：策略內(nèi)容：策略說明：策略目標(biāo)：策略內(nèi)容：策略說明：策略目標(biāo)：策略內(nèi)容：策略說明：策略目標(biāo)：在使用移動計算和遠程工作設(shè)施時，確保信息的安全。策略內(nèi)容：策略說明：信息系統(tǒng)的獲取、開發(fā)和維護策略策略目標(biāo)：確保將安全作為信息系統(tǒng)建設(shè)的重要組成部分。策略內(nèi)容：應(yīng)用系統(tǒng)的所有安全需求都需要在項目需求分析階段被確認，并且作