XXX安全服務方案可編輯范本

XXX安全服務方案受控：C級杭州迪普科技股份有限公司版權(quán)所有，侵權(quán)必究Allrightsreserved第89頁，共89頁受控：C級項目編號：DPteｃh—YNDW—AQＦＷ－20１7XXX安全服務方案杭州迪普科技股份有限公司ＨaｎgｚｈｏuDＰTeｃｈＴechnoｌogiesＣo.，Ltd年月目錄ＴOC＼ｏ”1-3”＼ｈ\z\uHYPERLIＮK\l”_Toc4８230７984"1?項目概述?PAＧEREF_Tｏc4823079８4\h6HYPERLＩＮK\l＂＿Ｔｏｃ4８２3０７９８５”2?遵循原則 PAGＥREF＿Ｔoc４82３079８５\h6HYＰERLINＫ\ｌ"_Ｔoc482307986”３ 推薦服務內(nèi)容?PAＧＥREＦ_Toc482307986\h7HYPＥＲＬIＮK\l”_Tｏc482３０7９８７”4 服務詳細介紹?PＡＧEREＦ_Ｔｏc48２3079８7\h8HYPEＲＬIＮK\l”_Tｏc４82307988”4。１ 網(wǎng)站安全監(jiān)控?PAGEREF_Ｔoｃ４82307988\h8HYPEＲＬINＫ\l＂＿Ｔoc48２307989”4.1.1?服務簡介 ＰAＧEREF_Ｔoc4８23０7989\ｈ9HYＰERLINK＼l”_Toc４８230７990"4.１。2 服務功能 ７990\h11HYＰEＲLINＫ4。1.３?服務特點 PAGＥRＥF＿Toc48230７991＼h14HＹPERLINK\l”_Toc４８２30７992"4。1。4 輸出成果 PＡGEREＦ_Toc48２3０7992\h15HＹＰERLINＫ\l”＿Toc48230７993”4。２ 滲透測試服務 PAGＥREＦ_Ｔｏc482３07９93＼ｈ15HYPERＬＩNK\l＂＿Toｃ48230７９９9"4.2。1 測試方法?ＰAGEＲEF_Tｏｃ4823079９9\ｈ16HYPERＬINＫ4。2。2?測試內(nèi)容?PAGEＲＥF_Toc4823０８０00\ｈ17HYＰERＬINK\l＂_Toｃ4８２３08001”4。2。３?實施步驟?PＡGＥREＦ_Toc4８２3080０1＼ｈ18ＨＹＰＥRＬＩNK４.3.4?輸出成果 ＰAGＥＲEF_Tｏc48２3０8００8\h３8ＨYPERＬIＮＫ\ｌ＂_Ｔoc4８２３08009"４.4?安全巡檢服務 PAGEREF＿Ｔoc482３08009＼h38ＨYＰERＬＩNK\ｌ”_Toｃ４823080１0"4。4。1 服務內(nèi)容 PＡGEＲEＦ_Toc482308０10\h38ＨＹPERLINＫ\l”_Tｏｃ482308011"４。４.2?輸出成果 PＡGＥRＥF_Ｔoc４82308０1１\h39HYPERLINK\l”_Tｏc482308012”４.4。3 服務收益 PAGEREF＿Tｏc482308０1２\h39HＹＰERＬINＫ4。4.4 服務頻率 PＡGEREF_Ｔoc48２30８０１3＼h3９HYPＥRＬINＫ\l＂_Toc482３０8014＂4．5?安全加固服務?PAＧEREF_Ｔoc4８230801４＼ｈ40ＨＹPERＬINK\l”_Toc482３0８015”４。５.１ 加固內(nèi)容?PAGＥＲEF_Tｏc482３08０1５\ｈ40ＨYPＥRLINK＼l"_Tｏc4８230８016"4.5。２ 加固流程?PＡGEREＦ_Toc4823０80１6＼ｈ42HYＰERLＩＮＫ4．5．3 輸出成果 ８2308017＼h46HYPERLＩNK４。5.5?服務頻率 PＡGEREF_Tｏc48２３０8０19\h4７ＨYPERLINK＼ｌ”＿Toc48２３0８０20”4。6 應急響應服務 PＡGＥREF_Toｃ482308０20\ｈ47HYPERLINK＼l”_Toc4８2３08０２1”４．6。１ 服務內(nèi)容 PAGEREF_Ｔoｃ482３0８021\h48ＨYPERLINＫ\ｌ"_Ｔｏc4823０８022"4。6。2?輸出成果?PＡGＥＲEF＿Toc48２３0802２\ｈ49HＹPERLIＮK\l”_Ｔoｃ482308023”4。6。3?服務收益?ＰAGＥREF_Ｔoｃ48230802３\ｈ４9HYPERLINＫ\l”_Tｏc48２３０80２４”4。6。4?服務頻率 PAGＥＲＥF_Ｔoc4８2３08024＼h50HYPERLＩNK＼l”＿Ｔｏc４82３08025"4.７ 新系統(tǒng)入網(wǎng)安全評估?PＡGEＲEＦ_Toc４82308０２5\h50ＨYＰＥＲＬINK\l”_Toc482308026"4．7。1?評估內(nèi)容?PAＧEREF＿Ｔoc4８230８０２6\ｈ51HYPＥRLINＫ4.7.4 服務頻率 ＰAGＥREF_Ｔoc482３０8029\h53HYＰEＲＬINK4.8?安全攻防演練培訓 PAGEREＦ_Tｏc482３０８030\h5３HYPERＬINK＼l"_Toc４8２308０31”4。8。1?培訓課程?ＰＡGEREＦ_Ｔoｃ４823０8０３1\h54HＹPEＲLINK4.8.4 培訓優(yōu)勢 PAGEＲEF_Toc4823０80３4\h6２HＹPERLINK\l”_Toｃ482308035＂4.9?重要時期安全保障 ＰAGEREF_Tｏc４8230８03５\ｈ6３ＨＹPERLIＮＫ\ｌ"_Toc4８２3080３6＂４.9.1 現(xiàn)場值守?PＡGEREＦ＿Tｏc482308０3６\h６3HYPERLINＫ\l”_Tｏc４82３080３７”4.９。2?預案制定?PＡＧEＲＥF_Tｏｃ４82308037\h64HYPERLINK＼l”_Toc48230８038＂４。9。３?應急處理?PAGＥREF_Tｏｃ４82308０38＼h64HＹＰEＲLIＮK7。２?組織結(jié)構(gòu)圖?PAＧＥREF_Toc4823080４４\h68HYPERＬINK７.3．１?日常溝通、記錄和備忘錄?PAGERＥF_Toc4823080４6\h６9ＨYPＥRLINK＼ｌ"_Toc48２３080４7”７.3。2?報告?PAＧEREＦ_Tｏｃ48230804７＼h69HYPＥＲLINK\l”＿Toc48230８０4８＂７.3。3?會議 PAGEREＦ_Ｔｏc482308048\ｈ69HYPＥRLINＫ\ｌ＂_Tｏc48２3０8０４９"7。４?項目實施質(zhì)量保證?PＡGEREF_Tｏｃ4８23080４9＼h７0HYＰＥＲＬINK\ｌ"_Tｏc４８２3０805０”7。4.1?項目執(zhí)行人員的質(zhì)量職責?PAGEREF_Toｃ48230805０＼h71_Toc48２3０８052＂7.5?系統(tǒng)安全及風險規(guī)避方案?PAGＥREF_Tｏc４８23080５2\h７４HYPERＬINK\l”＿Toｃ4８2３0805３"７.5。1?項目實施工具?PAGERＥF＿Ｔoc4８2３0805３\h74HYPERLＩNK\ｌ"_Toc4８2３0805４"７．5。2?項目實施策略?ＰAＧERＥF_Toc4823０8０54＼h74HYＰEＲＬＩNＫ\ｌ”_Ｔoc4８2308０５5”7.5.３?項目實施中的配合 PAGEREＦ_Toc４８2３08055＼h75ＨYPERＬＩNK\l”＿Toc4８2３０8056＂8 保密承諾?PAGＥＲEF_Tｏc4823０8０56＼ｈ７6HYPERLIＮK\ｌ"＿Ｔｏc4８2３0805７"8.1?保密協(xié)議?PAGＥREF_Toc4823０805７\h7６HＹＰERLINK\l”_Toc48２308058"8。1。1 保密協(xié)議的必要性 PAＧＥREF_Toc4823080５８\h７6HYPERLIＮK\ｌ"_Ｔoc4823０８059＂8.1.2 保密條款?PAGＥRＥF＿Toc4823080５9\h76HYＰERLINK\l"_Ｔｏc48２3080６0”8。1。3?違約責任 ＰＡGEＲＥF_Ｔｏc48２３08０6０＼h77HYPＥRLINK\l”＿Toｃ４82３080６1”8．2 項目實施人員專項保密承諾?PAGEREＦ_Toc4８2308061\ｈ７8HYPＥRLIＮK＼l"_Ｔｏｃ４８23０８06２”8.2.１?保密承諾的必要性?PAGEREF_Ｔoc4823０８062\ｈ７8HYPERＬINK\ｌ"_Ｔｏc4８2３08０63”8.2．２?保密內(nèi)容和范圍?PAＧERＥF_Tｏc482308０6３＼ｈ７8HYPERLINK＼l"_Toc48２30８064"8.２。3 保密責任?ＰAGEREF＿Toc4８2308064\h78HYPERLINK\ｌ＂_Ｔoc4８23０8065"9 迪普科技簡介 PAＧＥREF_Toｃ4８230８065\h７9HYPERLINK＼ｌ"＿Toｃ48230８06６”9。１?公司介紹 PAＧEＲEF_Toｃ482３０８066\ｈ7９HYＰERLＩNK\l＂_Ｔoｃ482３0８06７"9．２ 服務資質(zhì) PAGEＲEF_Toc4８２３０８0６7\h８０HYＰERLINK\ｌ"_Ｔoc482３08068"９.2。1?國內(nèi)最高的信息安全服務二級資質(zhì)?PAGERＥF_Ｔoc482308０68\h8０ＨYPERＬＩNK\l”_Ｔoc4８2３0８069”9.2。2?中國通信企業(yè)協(xié)會風險評估資質(zhì) PＡGEＲEF_Toc48２3080６９\ｈ82ＨYPERLＩNＫ＼ｌ”_Toc48２308070”9.2。3?ISO2７001信息安全管理體系認證 ＰＡＧEREＦ＿Toｃ48２３０80７０\h８３HYPERLIＮK\l”_Toｃ48230807１"9。2。4 國家信息安全漏洞庫支撐單位 ＰAGEREF_Ｔoc4８2308071＼h84HYPERLＩＮK\l”_Toc4８23０８072”9.2．5?中國互聯(lián)網(wǎng)網(wǎng)絡安全威脅治理聯(lián)盟成員單位?PAGEREF_Toｃ482308072\h84HYPERLＩNK\l＂＿Ｔｏc482３080７3"9.2。６ ISO９00１認證?PAＧEＲＥＦ_Tｏｃ４82３08073＼h８５HYPＥRLINＫ\l"_Toｃ４8２３0807４”９。２。7 ISO140０1認證?PAGERＥF_Toc48２３0８0７4\ｈ８６HYPＥRLＩＮＫ\l”_Toc48２3０８075"9。2。8 部分漏洞提交證明 PAGＥREF_Toc482３08075\h8６HYＰEＲLIＮK\l”＿Toｃ4８230807６"9。3?服務優(yōu)勢?４８2308０７6＼h88HＹPERLＩNK＼l"_Toc482308078"9．3。1?信息安全監(jiān)管機構(gòu)高度認可?ＰAＧＥREF_Toc48２30807８\h８8ＨYPEＲLINＫ\l＂＿Toc482３08079"9。3。2?強大的漏洞挖掘研究能力 ＰAGEREF＿Toc4823０８０7９\h88HYPＥRLＩＮK\l"_Ｔoc48２３0８０８0＂9。３.3 專業(yè)的安全咨詢服務團隊?ＰAGEＲＥF_Ｔｏc４82３０8080\h８8ＨYPＥＲLIＮK\l”_Toc48２30８081"9。3。4 國家重大會議活動首選安全保障團隊 PAGEREF_Tｏc48２30８081\h89項目概述近年來，隨著棱鏡門事件的爆發(fā),網(wǎng)絡和信息安全受到前所未有的關(guān)注。20１4年中央網(wǎng)絡安全和信息化領(lǐng)導小組的成立，習近平主席“沒有網(wǎng)絡安全就沒有國家安全”等指示的提出，無不表明網(wǎng)絡與信息安全工作已經(jīng)上升至國家戰(zhàn)略安全層面.在這種形勢下，網(wǎng)絡安全的重要性被提到了前所未有的高度。在ＸXX中,如果網(wǎng)絡和業(yè)務系統(tǒng)被黑客攻擊，頁面被得法自發(fā)、敏感信息被竊取,其影響將難以估計。同時,20１7。６.1既將實行的網(wǎng)絡安全法中，規(guī)定將對出現(xiàn)安全事件的組織負責人進行處罰。隨著安全技術(shù)的發(fā)展,各行業(yè)的網(wǎng)絡和業(yè)務系統(tǒng),必將成為黑客或反動勢力的攻擊目標.種種跡象表明，如果網(wǎng)絡和業(yè)務系統(tǒng)存在安全漏洞，將非常容易導致被攻擊者非法入侵，并對敏感數(shù)據(jù)進行非法竊取、篡改、刪除等操作.編寫本方案的目的，是希望通過迪普科技長期從事網(wǎng)絡安全、網(wǎng)站安全、安全服務工作的經(jīng)驗,以及對黑客攻擊過程的深入理解,為XXX的網(wǎng)絡和業(yè)務系統(tǒng)提供全方位的安全防護建議,并為XXＸ的安全運行保駕護航。遵循原則本次為XXＸ提供的安全服務，全程遵循以下原則。先進性原則安全服務和形成的規(guī)劃方案，在路線上應與業(yè)界的主流發(fā)展趨勢相一致，保證依據(jù)此方案進行安全防護的XXX具備先進性.標準性原則安全服務和產(chǎn)品的選擇，按照國家安全管理、安全控制、安全規(guī)程為參考依據(jù)。實用性原則具備多層次、多角度、全方位、立體化的安全保護功能.各種安全技術(shù)措施盡顯其長,相互補充.當某一種或某一層保護失效時,其它仍可起到保護作用?？煽匦栽瓌t安全服務和安全規(guī)劃的技術(shù)和解決方案，涉及的工程實施應具有可控性。系統(tǒng)性、均衡性、綜合性研究原則安全服務從全系統(tǒng)出發(fā),綜合分析各種安全風險,采取相應的安全措施，并根據(jù)風險的大小，采取不同強度的安全措施，提供具有最優(yōu)的性能價格比的安全解決方案?？尚行?、可靠性原則技術(shù)和解決方案，需在保證網(wǎng)絡和業(yè)務系統(tǒng)正常運轉(zhuǎn)的前提下,提供最優(yōu)安全保障.可擴展性原則良好的可擴展性,能適應安全技術(shù)的快速發(fā)展和更新，能隨著安全需求的變化而變化，充分保證投資的效益。推薦服務內(nèi)容根據(jù)國家監(jiān)管機構(gòu)要求以及XＸＸ安全需求,我們推薦以下服務內(nèi)容。序號服務內(nèi)容服務描述服務方式1網(wǎng)站安全監(jiān)控對XXX指定的網(wǎng)站進行7*2４小時安全監(jiān)控,并提供監(jiān)控日報、周報、月報,在網(wǎng)站出現(xiàn)異常情況時(被攻擊、篡改、掛馬）,進行實時告警。遠程2滲透測試服務通過人工方式，模擬黑客攻擊方法，對XXX的網(wǎng)站進行非破壞性質(zhì)的安全測試,查找應用層面漏洞并給出對應的修復建議。遠程/現(xiàn)場3網(wǎng)絡安全評估評估XＸX的網(wǎng)絡拓撲架構(gòu)、安全域規(guī)劃、邊界防護、安全防護措施、核心設備安全配置、設備脆弱性等，從而全面評估網(wǎng)絡的安全現(xiàn)狀，查找安全隱患?，F(xiàn)場4安全巡檢服務定期對XXX的業(yè)務系統(tǒng)進行安全漏洞檢測、基線配置核查、安全日志審計，評估業(yè)務系統(tǒng)的安全現(xiàn)狀，如果存在安全風險，則提供對應的整改建議?，F(xiàn)場5安全加固服務對安全巡檢發(fā)現(xiàn)的漏洞進行修復、配置隱患進行優(yōu)化的過程.加固內(nèi)容包括但不限于系統(tǒng)補丁、防火墻、防病毒、危險服務、共享、自動播放、密碼安全。遠程/現(xiàn)場６應急響應服務當XXX的網(wǎng)站或服務器遭受黑客入侵攻擊時，第一時間對入侵事件進行分析、檢測、抑制、處理,查找入侵來源并恢復系統(tǒng)正常運行。遠程/現(xiàn)場７新系統(tǒng)入網(wǎng)安全評估在新系統(tǒng)入網(wǎng)前,對其進行全面的安全評估，包括滲透測試、漏洞檢測、基線核查,評估新系統(tǒng)的安全狀況,查找不符合安全要求的配置項以及安全風險點。遠程／現(xiàn)場8安全攻防演練培訓為XXX提供一個理論結(jié)合實際、可以實戰(zhàn)演練、場景真實逼真的安全攻防培訓,從而真正提升受訓人員的安全技術(shù)和實際動手能力?，F(xiàn)場9重要時期安全保障在重要時期（如重大會議、重大節(jié)假日）,我司派出安全攻防經(jīng)驗豐富的安全專家,進駐用戶現(xiàn)場,對業(yè)務系統(tǒng)進行現(xiàn)場安全值守和保障?，F(xiàn)場服務詳細介紹下面,對每項服務內(nèi)容,進行詳細說明。網(wǎng)站安全監(jiān)控隨著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展,網(wǎng)站攻擊的門檻不斷降低。各類型網(wǎng)站受到的安全威脅越來越多，為形象、各Ｗeb應用系統(tǒng)的正常使用。應實現(xiàn)以下基本安全需求:監(jiān)控網(wǎng)站頁面內(nèi)容完整、不被篡改；監(jiān)控網(wǎng)站存在的ＳQＬ注入、XSＳ、非法訪問、信息泄露等應用層漏洞,從而提前解決潛在風險;監(jiān)控網(wǎng)站，防止網(wǎng)站掛馬而導致的客戶滿意度損失；監(jiān)控網(wǎng)站是否存在敏感信息,對于網(wǎng)站的敏感信息內(nèi)容自行配制告警功能,方便管理者及時了解到發(fā)生的安全事件,可根據(jù)量化的標準，對網(wǎng)站的安全事件嚴重程度進行不同形式的告警,杜絕可能存在的政治風險和聲譽損失；監(jiān)控網(wǎng)站是否被釣魚,導致相關(guān)的名譽損失。服務簡介WＥＢ網(wǎng)站安全監(jiān)控平臺安全監(jiān)控系統(tǒng)是迪普科技根據(jù)“云”的理念研發(fā)出的一款全天候Web監(jiān)測系統(tǒng).WＥB網(wǎng)站安全監(jiān)控平臺監(jiān)控系統(tǒng)基于PＡAS(Pｌaｔfｏｒm—As–Ａ-Servｉcｅ）模式，通過部署于各信息節(jié)點的監(jiān)測引擎對客戶指定的網(wǎng)站(WEB應用)進行可用率和站點安全性檢測,以保障客戶網(wǎng)站業(yè)務持續(xù)性，從而向客戶提供網(wǎng)站安全的保障。服務功能被動防御被動防御主要提供如下服務:網(wǎng)站異常推送無需時時刻刻緊盯著網(wǎng)站，也無需改變?nèi)魏尉W(wǎng)絡的部署，也不需專門的人員進行安全設備維護及分析日志,一旦Web出現(xiàn)任何異常行為，迪普科技WEB網(wǎng)站安全監(jiān)控平臺會自動把異常推送到云端，然后在云端進行分析檢測.您完全不用擔心找不到異常的解決辦法,WEB網(wǎng)站安全監(jiān)控平臺會幫你完成這一系列繁雜的任務。預警服務每一個用戶所發(fā)生的異常行為都會在推送到云端分析結(jié)束后保留在云端特征庫中,一旦該異常再次發(fā)生，異常比對后,云端幾乎可無間隔預警。也就是說我們的用戶越多，ＷＥB網(wǎng)站安全監(jiān)控平臺全方位立體式的監(jiān)控就越完善，您的網(wǎng)站也越加安全。專業(yè)團隊Ｗeｂ異常原因根據(jù)系統(tǒng)環(huán)境,人員等各種因素各式各樣。在遇到云端無法解決的情況下，我們專業(yè)團隊會在第一時間通知您，并提供解決方案。系統(tǒng)報表每日監(jiān)測后網(wǎng)站性能等監(jiān)測指標都可以隨時生成相應的報表,方便您的查閱。您無需在去找人進行參數(shù)整理等重復性工作,解決大量的人力重復勞動.主動掃描主動掃描主要提供如下服務:網(wǎng)站性能監(jiān)控性能監(jiān)控主要對服務器性能、網(wǎng)站訪問可用率、延遲、故障時間的一個持續(xù)評測。是主動掃描中基礎(chǔ)模塊之一，它能更準確的讓您清楚每天網(wǎng)站運行的狀態(tài)。檢測功能:有效的監(jiān)測網(wǎng)站實時的可用率，更加直觀的表現(xiàn)出網(wǎng)站的性能;統(tǒng)計網(wǎng)站的故障時間,可有效的查出故障時間段,針對性解決網(wǎng)站故障；網(wǎng)站性能分析，根據(jù)監(jiān)測結(jié)果智能分析出網(wǎng)站可能出現(xiàn)的異常情況。網(wǎng)站篡改檢測網(wǎng)站防線攻破后,入侵者會對網(wǎng)站的頁面內(nèi)容進行篡改，發(fā)布一些危害網(wǎng)站正常運行的言論，從對網(wǎng)站形象帶來巨大負面影響.檢測功能：有效防止掛黑鏈,避免影響網(wǎng)站優(yōu)化，導致排名下降；及時發(fā)現(xiàn)留后門，預防網(wǎng)站二次入侵；第一時間發(fā)現(xiàn)惡意修改的虛假信息,避免誤導用戶;時刻檢測惡意代碼植入,避免網(wǎng)站被殺軟警報屏蔽;避免主頁被篡改,減少聲譽損失,避免網(wǎng)站服務中斷.網(wǎng)站掛馬監(jiān)控掛馬檢測模塊采用大規(guī)模、分布式、動態(tài)行為檢測和靜態(tài)檢測相結(jié)合的掛馬識別方式,能夠準確判斷出網(wǎng)站的掛馬頁面,并及時發(fā)出警報,可以有效維護網(wǎng)站安全和利益。同時，通過高級木馬檢測服務，用戶可指定監(jiān)控間隔周期、監(jiān)控頁面深度、報警方式等參數(shù),更好的滿足用戶需求。檢測功能:檢測ifrａmｅ框架掛馬,讓您及時清理,避免成為木馬散布點;檢測script掛馬，避免通過scｒipt的調(diào)用來掛馬；檢測圖片偽裝掛馬,讓您及時處理，避免網(wǎng)頁被殺軟報警;檢測網(wǎng)頁漏洞,讓您及時修復，預防被掛馬;實時監(jiān)控網(wǎng)站掛馬情況,讓您及時處理掛馬問題。網(wǎng)站敏感詞監(jiān)控敏感詞監(jiān)控主要是針對網(wǎng)站敏感詞的一個檢測過濾，它能準確的檢測出你在其管理平臺中設立的敏感詞。一旦發(fā)現(xiàn)存在某個頁面中，WＥB網(wǎng)站安全監(jiān)控平臺會主動提醒您。檢測功能:檢測網(wǎng)頁源碼中敏感詞出現(xiàn);檢測數(shù)據(jù)庫中敏感詞出現(xiàn)；統(tǒng)計敏感詞出現(xiàn)次數(shù),定位到具體代碼數(shù)據(jù)。網(wǎng)跨站釣魚檢測跨站釣魚檢測模塊通過靜態(tài)分析技術(shù)與虛擬機沙箱行為檢測技術(shù)相結(jié)合,對網(wǎng)站進行跨站釣魚檢測，能在最快的時間內(nèi)完成跨站檢測。檢測功能：檢測ifraｍe框架跨站釣魚；檢測scｒipt跨站釣魚，避免通過sｃｒipt的調(diào)用來跨站釣魚;檢測ｉmg跨站釣魚;對頁面的中的鏈接域名進行監(jiān)測，保障用戶訪問的域名正確性。服務特點易操作用戶只需要登錄我們的平臺,在其授權(quán)管理后，設置網(wǎng)站所需要監(jiān)控的項目。迪普科技本著“以人為本”理念,在產(chǎn)品設計時非常注重用戶體驗，您只需要簡單的幾步操作既可完成整個網(wǎng)站的監(jiān)控。同時產(chǎn)品中擁有豐富的幫助文檔,即使您沒有接觸過類似產(chǎn)品，在幫助文檔的指引下也可以順利的完成操作。可以在管理平臺中根據(jù)您設置對網(wǎng)站安全情況進行日報、周報、月報的報告通告,并通過郵件及時通知您。智能管理主動掃描模式,被動防御模式主動掃描模式可主動更深入的測查出網(wǎng)站所存在的安全隱患,可主動發(fā)現(xiàn)各種網(wǎng)頁掛馬、敏感詞的出現(xiàn)、以及網(wǎng)站實時性能的一個總體分析.您可隨意調(diào)整掃描模式,達到預期效果。被動防御模式可全天候監(jiān)測網(wǎng)站異常，并在異常出現(xiàn)第一時間預警通您。節(jié)省投資與管理成本提供３65*7＊24全天候的在線木馬監(jiān)測服務，讓您的站點每一分鐘都在監(jiān)控中。大大節(jié)省您在安全設備采購的投資,并且您無需親自動手操作各種安全設備，避免在使用設備過程中的繁瑣,節(jié)省您的時間和精力。訂閱故障統(tǒng)計報告站點安全情況可根據(jù)用戶需求進行訂閱,讓用戶能夠了解到行業(yè)內(nèi)、地域內(nèi)站點的安全情況，及時做好維護升級,避免不必要的損失。輸出成果網(wǎng)站安全監(jiān)控的輸出成果如下：《ＸＸX網(wǎng)站安全監(jiān)控周報》《XＸＸ網(wǎng)站安全監(jiān)控月報》滲透測試服務滲透測試服務,是在ＸＸX授權(quán)的前提下，以模擬黑客攻擊的方式,對ＸＸX網(wǎng)站的安全漏洞、安全隱患進行全面檢測,最終目標是查找網(wǎng)站的安全漏洞、評估網(wǎng)站的安全狀態(tài)、提供漏洞修復建議。在滲透過程中,我們會采用業(yè)界領(lǐng)先的漏洞檢測技術(shù)、攻擊技術(shù)、攻擊工具和迪普安全團隊編寫的腳本.過程分為四步:計劃與準備、信息收集、實施滲透、輸出報告。計劃與準備階段主要是根據(jù)網(wǎng)站反饋的內(nèi)容制定項目實施方案與計劃；信息收集與實施滲透是項目的實施階段，輸出報告主要是匯總和評估項目中發(fā)現(xiàn)的安全威脅,并輸出文檔。測試方法我司提供的滲透測試服務，采用的測試方法如下.信息搜集信息探測階段包括信息收集,端口、服務掃描,計算機漏洞檢測，此階段主要做滲透前的踩點用.使用工具:Ｍaltegｏ，搜集管理員email、teｌ、常用id，網(wǎng)絡拓撲等Ｎｍap,端口、服務掃描,弱口令破解，系統(tǒng)信息探測X-scan,端口、服務掃描，弱口令破解，系統(tǒng)信息探測Ｐ0f，系統(tǒng)識別Appｓcan,Web漏洞檢測程序WＶS，Wｅｂ漏洞檢測程序W3AF,Web漏洞檢測程序Scanner1000，迪普科技開發(fā)的漏洞檢測產(chǎn)品，支持系統(tǒng)漏洞檢測,Web漏洞檢測等一系列功能端口掃描通過對目標地址的TＣＰ／ＵＤP端口掃描，確定其所開放的服務的數(shù)量和類型，這是所有滲透測試的基礎(chǔ)。通過端口掃描，可以基本確定一個系統(tǒng)的基本信息,結(jié)合安全工程師的經(jīng)驗可以確定其可能存在以及被利用的安全弱點，為進行深層次的滲透提供依據(jù)。口令猜測口令猜測也是一種出現(xiàn)概率很高的風險,幾乎不需要任何攻擊工具，利用一個簡單的暴力攻擊程序和一個比較完善的字典,就可以猜測口令。對一個系統(tǒng)賬號的猜測通常包括兩個方面:首先是對用戶名的猜測,其次是對密碼的猜測。腳本測試腳本測試專門針對Wｅｂ服務器進行。根據(jù)最新的技術(shù)統(tǒng)計,腳本安全弱點為當前Web系統(tǒng)尤其存在動態(tài)內(nèi)容的Web系統(tǒng)存在的主要比較嚴重的安全弱點之一。利用腳本相關(guān)弱點輕則可以獲取系統(tǒng)其他目錄的訪問權(quán)限,重則將有可能取得系統(tǒng)的控制權(quán)限。因此對于含有動態(tài)頁面的Ｗｅb系統(tǒng),腳本測試將是必不可少的一個環(huán)節(jié).Hydｒａ，暴力破解工具，支持Saｍba，F(xiàn)TＰ,POP3,IＭAP,Tｅlnet,ＨTTＰＡuｔｈ,ＬDAＰ，NNTP，MySQＬ,VNC,ICQ，Sockｓ５，ＰCNFS,Cisco等多種協(xié)議的暴力破解Ｍetａsplｏit,溢出程序利用平臺菜刀，Wｅbsheｌｌ功力工具Ｐｗdump７,讀取系統(tǒng)HASＨCain，內(nèi)網(wǎng)snｉffｅr工具Dｉsnｉff,ｌinuｘ下嗅探工具人工滲透人工滲透，主要針對系統(tǒng)的業(yè)務邏輯漏洞進行安全測試，利用業(yè)務邏輯漏洞查找可準確、切實的找出業(yè)務中存在的安全隱患,避免被惡意用戶利用,對系統(tǒng)造成重大損失。測試內(nèi)容對XＸX網(wǎng)站的滲透測試，除使用產(chǎn)品和工具掃描外,更重要的需要進行人工滲透，滲透內(nèi)容包括但不限于以下項，且需要對發(fā)現(xiàn)的漏洞進行驗證和利用.序號滲透測試大項滲透測試小項１配置管理備份測試、HTTP方法測試、傳輸安全２身份鑒別用戶注冊、賬戶權(quán)限、賬戶枚舉、弱口令3認證授權(quán)認證繞過、目錄遍歷、授權(quán)繞過、權(quán)限提升4會話管理超時測試、會話管理繞過測試、會話令牌泄露測試、跨站點請求偽造CSRF測試５輸入驗證SQL注入、代碼注入、命令執(zhí)行注入、跨站腳本XSS6錯誤處理錯誤碼分析、棧追蹤分析7業(yè)務邏輯數(shù)據(jù)驗證、請求偽造、完整性、次數(shù)限制、上傳測試實施步驟根據(jù)黑客入侵的過程,并結(jié)合滲透測試的要求,我司滲透測試的實施步驟如下.計劃與準備階段工作目標計劃與準備階段，需要明確滲透測試的實施范圍與測試對象，制定實施方法與方案,并制定詳細的實施計劃,為滲透測試的順利進行,作重要準備。滲透測試的實施,將按照方案和計劃進行。工作內(nèi)容計劃與準備階段的工作,主要是對滲透測試實施舉行研討會,討論滲透測試操作思路,說明滲透測試的實施范圍和測試對象，然后根據(jù)研討內(nèi)容制定相應得實施方案與計劃。由領(lǐng)導審核批準實施方案與計劃，項目組根據(jù)實際情況的需要,會對實施方案與計劃進行一定的調(diào)整。實施計劃序號任務名稱工作內(nèi)容計劃時間１滲透測試研討會討論滲透測試的工作思路，說明測試范圍、測試目標對象、實施方式以及實施人員和大致的時間計劃2制定滲透測試實施方案與計劃根據(jù)研討會的討論內(nèi)容,制定相應的滲透測試實施方案和實施計劃3提交滲透測試實施方案與計劃提交滲透測試實施方案與計劃4審核與確認滲透測試實施方案與計劃項目組提交滲透測試實施方案與計劃，由領(lǐng)導進行審核確認，提出相應的意見與建議5修正實施方案與計劃根據(jù)領(lǐng)導審核意見和建議,對實施方案與計劃進行相應的修正信息收集階段工作目標信息收集是所有入侵攻擊的前奏和基礎(chǔ)。通過信息收集分析,攻擊者可以有針對性地制定入侵攻擊的方法策略,提高入侵的成功率、減小暴露或被發(fā)現(xiàn)的機率。因此以模擬黑客攻擊方式進行的滲透測試,也以信息收集為第一個實施的階段過程。工作內(nèi)容信息收集階段的工作內(nèi)容是對目標所在的整個ＩP網(wǎng)段進行掃描探測與手工查閱。通過對目標地址的TＣP/UＤＰ端口掃描，確定其所開放的服務的數(shù)量和類型,這是所有滲透性測試的基礎(chǔ)。通過信息探測漏洞檢測,可以基本確定一個系統(tǒng)的基本信息，結(jié)合安全工程師的經(jīng)驗可以確定其可能存在以及被利用的安全弱點,為進行深層次的滲透提供依據(jù)。并且用手工的方式對應用、網(wǎng)頁等內(nèi)容進行一些信息查看。實施計劃序號任務名稱工作內(nèi)容計劃時間1滲透測試變更流程與變更操作根據(jù)滲透測試的需要,進行相應的變更２信息收集階段實施操作按照實施方案,進行信息收集階段實施操作滲透實施階段輸出報告階段工作目標本階段為根據(jù)滲透測試得出的結(jié)果，進行匯總分析，輸出《滲透測試報告》.工作內(nèi)容編寫、整理滲透測試報告。實施計劃序號任務名稱工作內(nèi)容計劃時間1編寫滲透測試報告對滲透測試得出的結(jié)果進行分析，并輸出報告輸出成果滲透測試的輸出成果如下:《ＸXX滲透測試服務報告》《XXX滲透測試服務復測報告》服務收益對網(wǎng)站進行滲透測試,可為ＸXX帶來如下收益:評估網(wǎng)站中存在的安全隱患、安全隱患;發(fā)現(xiàn)網(wǎng)站存在的深層次安全隱患;驗證網(wǎng)站現(xiàn)有安全措施的防護強度；評估網(wǎng)站被入侵的可能性,并在入侵者發(fā)起攻擊前封堵可能被利用的攻擊途徑.網(wǎng)絡安全評估網(wǎng)絡安全評估是對網(wǎng)絡和業(yè)務系統(tǒng)的安全漏洞、安全隱患、安全風險,進行探測、識別、控制、消除的全過程,它從風險管理角度,運用科學的方法和手段,系統(tǒng)地分析網(wǎng)絡與應用系統(tǒng)所面臨的威脅及其存在的脆弱性,評估安全事件一旦發(fā)生可能造成的危害程度,提出有針對性的抵御威脅的防護對策和整改措施。網(wǎng)絡安全評估的內(nèi)容，包括網(wǎng)絡拓撲架構(gòu)、安全域規(guī)劃、邊界防護、安全防護措施、核心設備安全配置、設備脆弱性等,從而全面評估網(wǎng)絡的安全現(xiàn)狀,查找安全隱患。評估內(nèi)容資產(chǎn)評估概述信息資產(chǎn)的識別可以確定評估的對象，是整個安全服務工作的基礎(chǔ)。并且，本階段可以幫助XXX實現(xiàn)信息資產(chǎn)識別和整理,完成一份完整和最新的信息資產(chǎn)清單，對XXＸ的信息資產(chǎn)管理工作會有所幫助。目標完成一份完整和最新的信息資產(chǎn)清單。過程描述首先識別信息資產(chǎn)，完成所有重要信息資產(chǎn)的清單。按照資產(chǎn)性質(zhì)和業(yè)務類型等可以分成若干資產(chǎn)類,一般分為數(shù)據(jù),軟件,服務，硬件，設備和文檔等．根據(jù)不同的項目目標與項目特點,重點識別的資產(chǎn)類別會有所不同,在通常的項目中,一般數(shù)據(jù)、軟件和服務為重點。架構(gòu)安全評估概述對網(wǎng)絡結(jié)構(gòu)，邏輯網(wǎng)絡結(jié)構(gòu)及網(wǎng)絡的關(guān)鍵設備進行評估，發(fā)現(xiàn)存在的安全性方面的問題.結(jié)合業(yè)務體系、系統(tǒng)體系等結(jié)構(gòu)的檢查邏輯網(wǎng)絡,由什么物理網(wǎng)絡組成以及網(wǎng)絡的關(guān)鍵設備的位置所在對于保持網(wǎng)絡的安全是非常重要的。另外,鑒定關(guān)鍵網(wǎng)絡拓撲，對于成功地實施一個基于網(wǎng)絡的風險管理方案是非常關(guān)鍵的?；拘畔ňW(wǎng)絡帶寬,協(xié)議,硬件(例如:交換機,路由器等）Ｉnｔernet接入,地理分布方式和網(wǎng)絡管理。目標發(fā)現(xiàn)網(wǎng)絡結(jié)構(gòu)存在的安全性問題。過程描述1。網(wǎng)絡拓撲分析拓撲結(jié)構(gòu)合理性分析,可擴展性分析,例如網(wǎng)絡中重要節(jié)點的鏈路是否有冗余。2。安全域評估對XXX網(wǎng)絡進行全面了解,查看安全域是否有劃分,安全域的劃分是否合理,安全域間是否有相應的安全防護措施，并提出對應的改進方案。對于信息系統(tǒng)的安全,除了自身的安全檢測外,還需要考慮與其他系統(tǒng)進行對接的接口安全,即邊界安全。劃分安全域并對其進行安全防護,將有效保障系統(tǒng)與對接系統(tǒng)的安全。所以，安全域評估是架構(gòu)評估中的重中之重,我司將對XXＸ的安全域進行詳細的分析與劃分,并提出對應的措施,以保障對接應用系統(tǒng)的邊界安全，有效保障應用系統(tǒng)的安全運行。3。邊界接入評估對邊界接入進行全面調(diào)研分析,對各種接入情況進行安全風險評估,與非信任網(wǎng)絡間互訪的安全管理,提出改進方案。邊界接入評估，也能有效促進系統(tǒng)與其他系統(tǒng)的對接接口安全。4。訪問控制情況調(diào)查評估在相關(guān)的網(wǎng)絡隔離點,是否有恰當?shù)脑L問控制規(guī)則設立，是否被有效的執(zhí)行。5.接入/連接方式的安全性評估各個接入節(jié)點部分是否具備安全措施保障,是否被正確配置和執(zhí)行。6。信任網(wǎng)絡之間的安全性評估信任網(wǎng)絡或者不信任網(wǎng)絡之間是否有控制，控制本身帶來的安全程度以及是否有可以繞過控制的途徑.７。網(wǎng)絡架構(gòu)管理評估網(wǎng)絡體系架構(gòu)是如何進行管理的，是否有良好的機制和制度保障網(wǎng)絡架構(gòu)本身不被改變，沒有非法的不符合安全策略的架構(gòu)改變。8。網(wǎng)絡設備認證管理評估是否有集中的設備認證管理機制,是否被正確的配置和執(zhí)行。９.網(wǎng)絡的高可用性和可靠性評估網(wǎng)絡建設中是否良好的考慮了網(wǎng)絡的高可用性和可靠性問題,是否被正確使用和良好的配置,是否有機制保障不被修改。配置安全評估概述對網(wǎng)絡及安全設備的配置進行檢查,對ＩP地址分配是否正確、VＬＡN劃分是否合理,路由協(xié)議、安全策略是否合理等多方面進行分析，網(wǎng)絡配置是整個網(wǎng)絡安全的基礎(chǔ)。目標發(fā)現(xiàn)網(wǎng)絡設備配置存在的不合理及安全性問題。過程描述1。路由協(xié)議評估分析所采用的路由協(xié)議,是否存在配置漏洞,冗余路由配置情況，路由協(xié)議的信任關(guān)系問題.2.安全策略評估分析配置中是否采用安全相關(guān)配置，系統(tǒng)的安全策略是否存在,以及是否和業(yè)務系統(tǒng)相互吻合。3.協(xié)議選擇評估對網(wǎng)絡管理相關(guān)協(xié)議的分析整理；對業(yè)務應用相關(guān)協(xié)議的分析整理。XXX業(yè)務系統(tǒng)本身業(yè)務服務所采用的相關(guān)協(xié)議,以及由此而帶來的相關(guān)的網(wǎng)絡支撐設備。4。訪問控制情況調(diào)查評估在相關(guān)的網(wǎng)絡隔離點，是否有恰當?shù)脑L問控制規(guī)則設立,是否被有效的執(zhí)行。5。VLAＮ劃分評估分析XXＸ網(wǎng)絡中VLAN劃分是否合理，相應設備上的VLAN配置是否正確，ＩP地址是否分配正確．６。安全配置均衡性分析安全配置本身是否具有不合理的配置或者弱點存在.7.網(wǎng)絡的高可用性和可靠性評估網(wǎng)絡建設中是否良好的考慮了網(wǎng)絡的高可用性和可靠性問題，是否被正確使用和良好的配置，是否有機制保障不被修改。設備漏洞掃描概述為了充分了解XXX當前網(wǎng)絡存在的安全隱患,采用迪普綜合漏洞評估掃描工具對XXＸ的網(wǎng)絡進行全面掃描，檢查其網(wǎng)絡設備的弱點,識別被入侵者用來非法進入網(wǎng)絡的漏洞。目標通過對XXX的網(wǎng)絡設備的掃描，發(fā)現(xiàn)目前XXX網(wǎng)絡設備存在的技術(shù)性安全漏洞。同時,也為安全加固工作提供依據(jù)。過程描述首先，確定掃描范圍,主要針對重要信息資產(chǎn)和抽樣網(wǎng)段。然后提交掃描方案和掃描申請,明確掃描執(zhí)行人員和時間安排。采用迪普綜合漏洞評估掃描工具對網(wǎng)絡進行全面掃描,檢查其網(wǎng)絡設備的弱點，識別被入侵者用來非法進入網(wǎng)絡的漏洞。評估方法資料收集現(xiàn)狀資料收集是現(xiàn)狀調(diào)研重要的信息來源.項目組向業(yè)務管理部門和信息系統(tǒng)的負責人收集了網(wǎng)絡拓撲圖、IP地址規(guī)劃表、設備配置等資料,為全面評估XXX三套網(wǎng)絡的安全狀況提供了數(shù)據(jù)依據(jù)。現(xiàn)場訪談項目組對XXＸ三套網(wǎng)絡的維護人員,進行了現(xiàn)場訪談。針對訪談對象在信息安全管理和執(zhí)行信息安全控制中所扮演的角色，有重點的了解了信息安全管理現(xiàn)狀及信息安全基礎(chǔ)設施建設情況。通過現(xiàn)場訪談,項目組能夠獲取三套網(wǎng)絡安全現(xiàn)狀的第一手資料，并可驗證之前收集到的資料,從而提高其準確度和完整性?，F(xiàn)場勘查對用戶網(wǎng)絡進行現(xiàn)場檢查,查找可能存在的安全隱患和漏洞,如物理機房安全評估，安全意識標語檢查等。調(diào)研問卷給用戶單位員工下發(fā)信息安全調(diào)查問卷,根據(jù)員工填寫的結(jié)果，了解用戶網(wǎng)絡安全意識、安全方針、安全培訓、安全應急等情況。漏洞掃描漏洞掃描是指使用基于網(wǎng)絡的安全弱點掃描工具，根據(jù)其內(nèi)置的漏洞測試方法、掃描策略,從網(wǎng)絡中對掃描對象進行一系列的安全檢查,從而發(fā)現(xiàn)可能存在的安全漏洞、安全隱患。使用漏洞掃描工具可以實現(xiàn)遠程自動化掃描,降低安全評估的工作量,并能根據(jù)需求輸出評估結(jié)果或者報表.在對三套網(wǎng)絡進行安全評估時,我們采用我司自己的漏洞掃描系統(tǒng),對網(wǎng)絡設備、安全設備進行漏洞掃描，能夠有效評估XＸX三套的安全狀況。綜合分析綜合分析,是指對上述所有方法獲得的相關(guān)信息,以及發(fā)現(xiàn)被評估對象所存在的安全缺陷和風險,進行綜合分析．評估人員分析和整理通過上述過程中所收集的各項信息，查找系統(tǒng)及相關(guān)的評估對象之間的相互關(guān)聯(lián)、相互配合中所存在的缺陷和安全風險,并與安全管理人員核實所收集的信息是否真實反映了網(wǎng)絡的真實安全情況，核實有疑問的信息。實施步驟安全風險評估項目的流程，一般劃分為5個階段：項目計劃-〉資料收集—〉現(xiàn)場評估—>數(shù)據(jù)分析—〉評估報告，如下。現(xiàn)場評估現(xiàn)場評估數(shù)據(jù)分析評估報告明確評估范圍和目標制定項目計劃、計劃討論項目計劃資產(chǎn)賦值、漏洞掃描控制臺審計、安全訪談滲透測試、數(shù)據(jù)流分析弱點分析、威脅分析可能性分析、影響分析風險識別弱點評估報告風險評估報告安全修復建議資料收集資產(chǎn)調(diào)查表、網(wǎng)絡拓撲安全調(diào)研表、其他信息具體實施步驟如下：風險評估準備確定風險評估目標明確開展本次風險評估所期望獲得的目標.確定風險評估范圍明確本次風險評估的具體范圍，避免后期不必要的工作的開展。組建項目實施團隊組建風險評估實施團隊，包括項目經(jīng)理、實施工程師、質(zhì)量監(jiān)督人員在內(nèi),實施團隊提前準備好評估所需要的表格、文檔、檢測工具等各項準備工作.進行項目系統(tǒng)調(diào)研系統(tǒng)調(diào)研為風險評估依據(jù)和方法的選擇、評估內(nèi)容的實施奠定基礎(chǔ),調(diào)研內(nèi)容包括:業(yè)務戰(zhàn)略及管理制度主要的業(yè)務功能和要求網(wǎng)絡結(jié)構(gòu)與網(wǎng)絡環(huán)境,包括內(nèi)部連接和外部連接系統(tǒng)邊界主要的硬件、軟件數(shù)據(jù)和信息其他制定風險評估方案指定風險評估方案,用于指導實施工作的開展，內(nèi)容包括（但不僅限于）:團隊組織:包括評估團隊成員、組織結(jié)構(gòu)、角色、責任等內(nèi)容工作計劃:包括工作內(nèi)容，工作形式,工作成果等內(nèi)容項目進度：項目實施的時間進度安排資產(chǎn)識別資產(chǎn)分類資產(chǎn)被劃分為不同的類別,在進行評估時可根據(jù)不同的資產(chǎn)分類使用不同的評估策略.依據(jù)資產(chǎn)的使用特點及部署方式，可將資產(chǎn)分為以下幾個類別:主機設備包括各類服務器、工作站、PC機等。主要針對主機設備上安裝的操作系統(tǒng)（如AIX、WINDOＷS)、數(shù)據(jù)庫系統(tǒng)（如OＲＡCLE、DＢ2）、應用服務軟件(如IIS、APAＣHE)及相關(guān)的配置信息進行評估。網(wǎng)絡設備包括路由器、交換機、四層交換設備、撥號設備等各種網(wǎng)絡設備。評估時主要對這些網(wǎng)絡設備的配置、部署方式、拓撲結(jié)構(gòu)等方面進行分析。安全產(chǎn)品包括各種安全設備,如防火墻、入侵檢測系統(tǒng)（IDS)、入侵防御系統(tǒng)(IPS）、安全審計系統(tǒng)、漏洞掃描系統(tǒng)、防病毒系統(tǒng)、安全隔離系統(tǒng)、防拒絕服務攻擊設備、VＰN等安全設備及產(chǎn)品。評估時主要分析安全設備的配置參數(shù)及自身的安全性.應用系統(tǒng)包括組織的核心業(yè)務和辦公系統(tǒng),如業(yè)務管理系統(tǒng)、財務管理系統(tǒng)、辦公自動化系統(tǒng)等。資產(chǎn)調(diào)研資產(chǎn)調(diào)查利用了資產(chǎn)調(diào)查表，包括資產(chǎn)名稱、硬件型號、IP地址、操作系統(tǒng)及版本、應用程序及版本、部署位置、管理人員等信息。資產(chǎn)屬性說明資產(chǎn)名稱記錄該資產(chǎn)的名稱用途描述描述該資產(chǎn)的主要功能及用途硬件型號資產(chǎn)的具體型號，如CIＳCO６5０9ＩP地址資產(chǎn)的IP地址IP數(shù)量該資產(chǎn)同時具備的IP地址數(shù)量操作系統(tǒng)及版本填寫設備的OS或IOＳ版本號,如ｗindｏwｓ２000ｓeｒvｅr應用程序及版本填寫該資產(chǎn)上運行的應用程序,包括數(shù)據(jù)庫和應用軟件安裝地點填寫該資產(chǎn)所屬的地理位置所屬業(yè)務填寫該資產(chǎn)所屬的業(yè)務所屬系統(tǒng)填寫該資產(chǎn)所屬的系統(tǒng)管理員填寫該資產(chǎn)的管理員備注其他需說明的問題，例如是否采用雙機熱備資產(chǎn)賦值通過分析資產(chǎn)的各種屬性,進而對資產(chǎn)進行安全價值分析.資產(chǎn)賦值是為資產(chǎn)及其支撐的業(yè)務系統(tǒng)從安全角度量化價值的行為。資產(chǎn)的價值可以從保密性、完整性、可用性等角度衡量。可參考的資產(chǎn)賦值方法，如下表所示。級別定義保密性(C）完整性(I）可用性(A)5屬于絕密信息,完全不允許泄漏,只有組織高層可以接觸完全不允許出現(xiàn)變更,必須采用實時檢測機制基本不允許中斷，可靠性達到99.９999%４屬于機密信息，不允許泄漏，組織中層以上可以接觸不允許出現(xiàn)變更，應采用實時檢測機制可短時間中斷,可靠性達到99.9９%3屬于秘密信息,不允許泄漏，業(yè)務相關(guān)人員可以接觸不允許出現(xiàn)變更，應采用檢測機制中斷時間小于1天，可靠性達到９9。9％2屬于內(nèi)部信息，組織內(nèi)部人員可以接觸,可小范圍公開允許出現(xiàn)小范圍的不一致,并在短時間內(nèi)更正中斷時間小于1天，可靠性達到９９%1屬于公開信息基本沒有要求,不一致時可在一定時間內(nèi)更正對故障時間基本沒有要求威脅識別威脅分類依據(jù)下表分類標準對威脅進行分類。種類威脅子類軟硬件故障設備硬件故障、傳輸設備故障、存儲媒體故障、系統(tǒng)軟件故障、應用軟件故障、數(shù)據(jù)庫軟件故障等物理環(huán)境影響斷電、靜電、灰塵、潮濕、溫度、蟲害、電磁干擾、火災、地震等無作為或操作失誤維護錯誤、操作失誤等管理不到位管理制度和策略不完善、管理規(guī)程缺失、職責不明確等惡意代碼病毒、木馬、蠕蟲、惡意軟件等越權(quán)或濫用非授權(quán)訪問網(wǎng)絡資源、非授權(quán)訪問系統(tǒng)資源、濫用權(quán)限非正常修改系統(tǒng)配置等網(wǎng)絡攻擊網(wǎng)絡探測和信息采集、漏洞探測、嗅探等物理攻擊物理接觸、物理破壞、盜竊等泄密內(nèi)部信息泄露、外部信息泄露等篡改篡改網(wǎng)絡配置信息、篡改系統(tǒng)配置信息等抵賴原發(fā)抵賴、接受抵賴、第三方抵賴等威脅賦值根據(jù)經(jīng)驗或有關(guān)統(tǒng)計來判斷威脅出現(xiàn)的頻率,從以下三個方面來考慮:以往安全事件報告中出現(xiàn)過的威脅及其頻率的統(tǒng)計;實際環(huán)境中通過檢測工具以及各種日志發(fā)現(xiàn)的威脅及其頻率的統(tǒng)計;近一兩年來國際組織發(fā)布的對于整個社會或特定行業(yè)的威脅及其頻率統(tǒng)計，以及發(fā)布的威脅預警。對威脅出現(xiàn)的頻率進行等級量化處理,不同等級分別代表威脅出現(xiàn)的頻率高低，等級數(shù)值越大，威脅出現(xiàn)的頻率越高．等級標識定義5很高出現(xiàn)頻率很高，或在大多數(shù)情況下幾乎不可避免；或可證實經(jīng)常發(fā)生過４高出現(xiàn)頻率較高,或在大多數(shù)情況下很有可能發(fā)生,或可以證實多次發(fā)生過3中等出現(xiàn)的頻率中等,或在某種情況下可能會發(fā)生,或被正式曾經(jīng)發(fā)生過２低出現(xiàn)的頻率較小，或一般不太可能發(fā)生；或沒有被證實發(fā)生過1很低威脅幾乎不可能發(fā)生脆弱性識別脆弱性識別類型識別對象識別內(nèi)容技術(shù)脆弱性物理環(huán)境從機房場地、防火、配電、防靜電、電磁防護等方面識別網(wǎng)絡結(jié)構(gòu)從網(wǎng)絡結(jié)構(gòu)設計、邊界防護、外部訪問控制策略、內(nèi)部訪問控制策略、網(wǎng)絡設備安全配置等方便識別系統(tǒng)軟件從補丁安裝、物理保護、用戶賬戶、口令策略、資源共享、事件審計、訪問控制等方面識別應用中間件從協(xié)議安全、交易完整性、數(shù)據(jù)完整性等方面識別應用系統(tǒng)從審計機制、審計存儲、訪問控制策略、數(shù)據(jù)完整性、通信、鑒別機制、密碼保護等方面進行識別管理脆弱性技術(shù)管理從物理和環(huán)境安全、通信與操作管理、訪問空知、系統(tǒng)開發(fā)與維護、業(yè)務連續(xù)性等方面進行識別組織管理從策略安全、組織安全、資產(chǎn)分類與控制、人員安全、符合性等方面進行識別脆弱性賦值等級標識定義5很高如果被威脅利用,將對資產(chǎn)造成完全損害4高如果被威脅利用,將對資產(chǎn)造成重大損害3中等如果被威脅利用,將對資產(chǎn)造成一般損害2低如果被威脅利用,將對資產(chǎn)造成較小損害1很低如果被威脅利用，將對資產(chǎn)造成的損害可以忽略已有安全措施確認對已有的安全措施進行確認,包括預防性安全措施及保護性安全措施.風險分析我司的風險定義及風險分類方法主要參考ISO177９9：2005,個別分類的名稱進行了調(diào)整，風險級別定義標準參考ISO13335，風險計算矩陣參考AS/NZＳ4360:200４.根據(jù)ＩSO13３３５的定義,風險指的是特定威脅利用某一資產(chǎn)或一組資產(chǎn)的脆弱性，從而對組織產(chǎn)生損害的可能性。因此，為了確定風險級別，首先需要創(chuàng)建不同級別影響（損害)和可能性的定義,然后基于不同級別的影響和可能性定義，創(chuàng)建不同級別的風險定義．影響級別定義根據(jù)我司的最佳實踐,最終確定影響級別定義如下：影響級別影響描述５因缺乏相應的措施,導致該風險發(fā)生時,對ＸＸＸ的業(yè)務及運營具有極其嚴重的影響.4因缺乏相應的措施,導致該風險發(fā)生時，對XＸX的業(yè)務及運營具有嚴重的影響。3因缺乏相應的措施，導致該風險發(fā)生時,對ＸXX的業(yè)務及運營具有一定的影響。2因缺乏相應的措施,導致該風險發(fā)生時,對ＸXＸ的業(yè)務及運營具有輕微影響.１因缺乏相應的措施，導致該風險發(fā)生時，對XXX的業(yè)務及運營基本沒有影響。可能性級別定義可能性級別定義如下:可能性級別可能性描述5幾乎肯定發(fā)生：預期在大多數(shù)情況下發(fā)生,不可避免;或者可以證實經(jīng)常發(fā)生.4非常有可能發(fā)生:在大多數(shù)情況下,很有可能會發(fā)生；或者可以證實發(fā)生過。３發(fā)生的可能性較大：在某些情況下，很可能會發(fā)生。2有可能發(fā)生:在某種情況下或某個時間，可能會發(fā)生。1基本不可能發(fā)生：發(fā)生的可能性很小,不太可能。風險級別矩陣基于以上定義，創(chuàng)建的風險級別矩陣如下圖所示。影響可能性123455中高高極高極高４中中高高極高3低低中高高2極低低低中高1極低極低低中高（來源參考：AＳ/ＮZS436０:20０4)輸出成果網(wǎng)絡安全評估的輸出成果如下:《XXX網(wǎng)絡安全評估報告》《ＸXX網(wǎng)絡設備資產(chǎn)表》《ＸXＸ網(wǎng)絡設備漏洞掃描報告》《XＸＸ網(wǎng)絡設備配置分析報告》安全巡檢服務信息安全是動態(tài)的,隨著時間的變化會不斷暴露出新的安全漏洞、惡意軟件、攻擊手段,新些將打打破現(xiàn)有信息安全的平衡.安全風險管理是一個持續(xù)性的過程,安全巡檢服務是安全風險管理過程中的重要組成部分．迪普科技的安全巡檢服務,是指定期對用戶網(wǎng)站進行的安全檢測,檢測完成后提供全面的巡檢服務報告,給出存在的安全風險并提供對應的修復建議。我們的安全巡檢服務,包括安全漏洞評估、安全基線核查、安全日志審計。服務內(nèi)容安全漏洞評估采用迪普科技Ｓcanner設備及國際上著名的漏洞掃描工具，對XＸX網(wǎng)站進行漏洞掃描,查找網(wǎng)站上存在的安全漏洞，完成后給出詳細的漏洞掃描報告,報告中包括漏洞修復建議。安全基線核查采用迪普科技的Ｓcanneｒ設備,對XXＸ網(wǎng)站進行安全基線核查，查找網(wǎng)站操作系統(tǒng)層面的安全配置隱患、安全配置風險，完成后給出詳細的安全基線核查報告,報告中包括安全配置建議.安全日志審計對防火墻、IPS、WＡＦ等產(chǎn)生的安全日志進行收集，綜合對這些日志進行關(guān)聯(lián)分析，從多個維度對目標的運行狀態(tài)進行分析,得出一段時間內(nèi)目標系統(tǒng)及相關(guān)設備的安全運行狀態(tài)。輸出成果安全巡檢服務的主要輸出成果如下：《XＸＸ安全巡檢服務報告》《XXＸ網(wǎng)站漏洞掃描報告》《XＸX網(wǎng)站基線核查報告》《XXX網(wǎng)站日志分析報告》服務收益安全巡檢服務，可為XXX帶來如下收益:有效發(fā)現(xiàn)網(wǎng)站中存在的安全漏洞、安全配置隱患、安全風險，為安全加固提供事實依據(jù)。周期性檢查,促進ＩＳMS信息安全管理體系和PＤCA在實際工作中的執(zhí)行,確保設備和系統(tǒng)的持續(xù)、安全、穩(wěn)定運行。服務頻率對ＸXＸ網(wǎng)站的安全巡檢，建設每季度1次,全年共４次.安全加固服務為了有效保障網(wǎng)絡的安全運行,在對操作系統(tǒng)、數(shù)據(jù)庫、中間件、網(wǎng)絡設備、安全設備進行安全檢測后，，需要對發(fā)現(xiàn)的安全風險進行修復。安全加固服務，是指根據(jù)安全加固列表,對目標系統(tǒng)的安全漏洞對進行修復、配置隱患進行優(yōu)化的過程。加固內(nèi)容包括但不限于系統(tǒng)補丁、防火墻、防病毒、危險服務、共享、自動播放、密碼安全.安全加固是保證設備和系統(tǒng)安全運行的關(guān)鍵防護措施,通常情況下,操作系統(tǒng)、數(shù)據(jù)庫、中間件、網(wǎng)絡設備、安全設備,都需要進行安全加固。加固內(nèi)容操作系統(tǒng)加固內(nèi)容我司可進行安全加固的操作系統(tǒng)包括Winｄoｗｓ、Ｌinｕx、AIＸ、HP-Uｎｉｘ、Ｓolariｓ。操作系統(tǒng)的加固內(nèi)容如下表所示,詳細的加固列表可參見我司的操作系統(tǒng)安全加固規(guī)范。序號加固大項加固小項１賬號管理和認證授權(quán)賬號、口令、授權(quán)、關(guān)機設置２協(xié)議安全配置IP協(xié)議安全、防火墻、SYＮ攻擊防護3服務和共享配置系統(tǒng)服務、默認共享、共享權(quán)限4日志安全配置日志審核策略、日志文件設置5其它安全配置空閑超時設置、自動播放、啟動項、數(shù)據(jù)執(zhí)行保護數(shù)據(jù)庫安全加固我司可進行安全加固的數(shù)據(jù)庫系統(tǒng)包括Ｏraclｅ、SＱLServer、DB２。數(shù)據(jù)庫的加固內(nèi)容如下表所示,詳細的加固列表可參見我司的數(shù)據(jù)庫安全加固規(guī)范。序號加固大項加固小項1賬號管理和認證授權(quán)賬號、口令2通信協(xié)議安全網(wǎng)絡數(shù)據(jù)傳輸安全、信任IP設置3日志安全配置數(shù)據(jù)庫審核策略、數(shù)據(jù)庫日志文件設置4其它安全配置連接超時設置、監(jiān)聽器密碼中間件安全加固我司可進行安全加固的中間件系統(tǒng)包括Tomcat、Apａchｅ、WebLoｇic、WebSｐｈeｒe。中間件系統(tǒng)的加固內(nèi)容如下表所示，詳細的加固列表可參見我司的中間件安全加固規(guī)范。序號加固大項加固小項1賬號管理和認證授權(quán)賬號、口令2通信協(xié)議安全啟用https傳輸、更改tomcat默認端口3日志安全配置日志記錄設置4其它安全配置登錄超時、錯誤重定向、禁止顯示文件網(wǎng)絡設備安全加固我司可進行安全加固的網(wǎng)絡設備包括主流廠商的路由器、交換機。網(wǎng)絡設備的加固內(nèi)容如下表所示,詳細的加固列表可參見我司的網(wǎng)絡設備安全加固規(guī)范.序號加固大項加固小項1賬號管理和認證授權(quán)賬號管理、登錄安全要求、認證授權(quán)2通信協(xié)議安全SＮMP協(xié)議安全、路由協(xié)議安全、ＩP協(xié)議安全3日志安全配置日志記錄設置4其它安全配置關(guān)閉不必要的服務、端口安全設備安全加固我司可進行安全加固的安全設備是主流廠商的防火墻,如Jｕniper、天融信、CｉscoASA等.安全設備的加固內(nèi)容如下表所示,具體的加固列表可參見我司的安全設備安全加固規(guī)范.序號加固大項加固小項１賬號管理和認證授權(quán)賬號、口令、授權(quán)2訪問控制安全安全策略、遠程管理3日志安全配置啟用本地日志、啟用遠程日志４增強安全要求限定管理IP、更改默認Banner、設備自身安全設置加固流程前期準備成立項目組成立由多方人員組成的安全加固項目組,協(xié)調(diào)處理本項目的開展和實施。項目組成員包括:我公司安全加固人員用戶方安全管理員用戶方系統(tǒng)管理員系統(tǒng)設備維護廠商加固目標確認確認本次安全加固項目的目標、范圍、ＩP地址和其他相關(guān)信息。加固目標信息收集確認加固目標后，收集加固目標的以下信息,為評估安全加固的風險做準備.加固目標的操作系統(tǒng)類型,補丁升級情況;加固目標的應用環(huán)境,包括應用系統(tǒng)及相關(guān)權(quán)限;加固目標的運行環(huán)境,包括網(wǎng)絡環(huán)境及其它訪問關(guān)系;加固目標的重要系統(tǒng)配置文件、配置信息。同時,根據(jù)前期的安全風險評估報告,收集并分析加固目標的漏洞信息。加固前漏洞掃描(一次評估）如果前期有安全風險評估報告,與用戶協(xié)商后，此步驟可省略.如果前期沒有相關(guān)的風險評估報告,則需要對加固目標進行漏洞掃描,以查找加固目標存在的安全漏洞和隱患.方案制定安全加固方案根據(jù)收集的信息制定合理的加固方案,包括時間安排、流程、操作方法等.風險規(guī)避方案為防止加固可能引起的不良后果,因此需要制定回退方案和應急方案，回退方案用于加固導致系統(tǒng)不可用時將系統(tǒng)回退到加固前的狀態(tài)，應急方案用于處理其他不可控的情況（包括加固失敗后無法回退）。方案協(xié)商審核由安全加固項目組成員一起對提交的加固方案和風險規(guī)避方案進行研討,確認每項加固措施和操作方法的可行性,分析安全風險，提出改進建議,完善實施方案.加固方案測試對于重要的系統(tǒng)或比較危險的加固操作，可以進行加固測試，通過加固測試后才能在被加固設備上進行操作，加固測試包括:補丁測試加固方案測試加固方案修正實際操作時可以選擇同樣目的的不同加固方法同時進行測試,根據(jù)測試結(jié)果選擇最優(yōu)的加固方法。加固方案報批將最終的實施方案提交給用戶方負責領(lǐng)導人,進行方案報批，報批通過后才能正式實施。加固實施資源準備準備加固規(guī)范準備加固手冊收集相關(guān)補丁收集升級軟件系統(tǒng)備份對于重要的系統(tǒng),為了能夠在加固失敗的情況下快速回退或恢復系統(tǒng),必須在事前進行相應的備份，備份內(nèi)容包括且不僅限于重要系統(tǒng)的備份、重要配置的備份、重要數(shù)據(jù)的備份。加固實施根據(jù)對應的安全加固列表,對系統(tǒng)和設備進行實施具體的安全加固操作.系統(tǒng)可用性確認加固完成后，與用戶方人員一起，確認系統(tǒng)、設備、應用的可用性，并觀察一段時間,待確認正常運行后，加固人員才可以離開現(xiàn)場。加固后漏洞掃描(二次評估)為確保加固有效,在加固全部完成后,對加固范圍的系統(tǒng)和設備再進行一次漏洞掃描,以對加固效果進行檢驗。匯總匯報安全加固報告整理并編寫安全加固過程中的報告,并提交給用戶。報告大致如下，但根據(jù)項目的不同，報告可能存在差異.主要報告:安全加固匯總報告安全加固實施方案次要報告一次評估報告二次評估報告ＸXX系統(tǒng)安全加固報告系統(tǒng)回退方案系統(tǒng)應急方案過程記錄文檔將安全加固過程中,記錄的所有文檔提交給用戶，下表是安全加固過程中的記錄表。安全加固過程記錄系統(tǒng)類型□操作系統(tǒng)□數(shù)據(jù)庫□中間件□網(wǎng)絡設備□安全設備IP地址系統(tǒng)版本加固人員加固時間存在的主要安全漏洞和風險安全加固實施成果遺留問題及建議安全優(yōu)化建議安全加固后,我司為用戶提供的安全建議或解決方案.項目匯報總結(jié)編寫匯報材料,對安全加固項目進行匯報和總結(jié)。輸出成果安全加固服務的主要輸出成果如下:《XXX安全加固匯總報告》(包括加固前后漏洞對比)《ＸXX系統(tǒng)安全加固報告》《XXX加固前漏洞掃描報告》《XXＸ加固后漏洞掃描報告》《XXX應急及回退方案》服務收益系統(tǒng)安全加固服務，可為客戶帶來如下收益:有效修復、減少系統(tǒng)中存在的高、中危漏洞，降低安全漏洞和隱患帶來的安全風險．有效提升系統(tǒng)自身的安全防護能力．最大程度保障系統(tǒng)的持續(xù)、安全、穩(wěn)定運行.服務頻率通常情況下,每年進行一次安全加固服務。發(fā)布重大安全漏洞時，也需要立即進行安全加固。應急響應服務應急響應服務是為滿足企業(yè)發(fā)生安全事件，需要緊急解決問題的情況而提供的一項安全服務。當企業(yè)發(fā)生黑客入侵、系統(tǒng)崩潰或其它影響業(yè)務正常運行的安全事件時，迪普科技安全專家會在第一時間對安全事件進行應急響應處理，使企業(yè)的網(wǎng)絡應用系統(tǒng)在最短時間內(nèi)恢復正常運行,幫助企業(yè)查找入侵來源,為企業(yè)挽回或減少經(jīng)濟損失.對安全事件進行應急響應處理后，我們將提供詳細的應急響應報告，報告中將還原入侵過程,同時給出對應的解決方案。服務內(nèi)容安全事件應急響應服務期限內(nèi)，提供７×２４小時的遠程安全應急響應,接到客戶安全事件通知后,立即以遠程方式對安全事件進行分析、抑制、溯源,如果遠程無法進行應急，則指派經(jīng)驗豐富的安全服務工程師,趕到用戶現(xiàn)場進行應急處理.最大程度降低安全事件對客戶帶來的損失.迪普科技的安全應急響應,包括以下服務內(nèi)容。判定安全事件類型從網(wǎng)絡流量、系統(tǒng)和IDS日志記錄、桌面日志中判斷安全事件類型。查明安全事件原因,確定安全事件的威脅和破壞的嚴重程度。查明安全事件原因，確定安全事件的威脅和破壞的嚴重程度。抑制事態(tài)發(fā)展抑制事態(tài)發(fā)展是為了將事故的損害降低到最小化。在這一步中,通常會將受影響系統(tǒng)和服務隔離。這一點對保持系統(tǒng)的可用性是非常重要的。排除系統(tǒng)故障針對發(fā)現(xiàn)的安全事件來源,排除潛在的隱患,消除安全威脅，徹底解決安全問題?；謴托畔⑾到y(tǒng)正常操作在根除問題后，將已經(jīng)被攻擊設備或由于事故造成的系統(tǒng)損壞做恢復性工作,使網(wǎng)絡系統(tǒng)能在盡可能短的時間內(nèi)恢復正常的網(wǎng)絡服務。客戶信息系統(tǒng)安全加固對系統(tǒng)中發(fā)現(xiàn)的漏洞進行安全加固，消除安全隱患。重新評估客戶信息系統(tǒng)的安全性能重新評價客戶系統(tǒng)的安全特性，確保在一定的時間范圍內(nèi)，不發(fā)生同類的安全事件.安全態(tài)勢監(jiān)控定期跟蹤國內(nèi)外的安全漏洞發(fā)布平臺(如CNCERＴ、CＮＶD、烏云)，及時發(fā)現(xiàn)新近出現(xiàn)的安全漏洞,通過電話、郵箱等方式,及時向客戶通告最新的針對業(yè)務的（或具有重大影響的）安全漏洞、安全病毒、安全攻擊、安全技術(shù)等安全態(tài)勢信息,并提供有參考意義的安全防護建議,保證客戶信息安全工作的前瞻性和預判性。建立應急響應預案迪普科技會根據(jù)客戶的信息安全組織和信息安全現(xiàn)狀,結(jié)合客戶業(yè)務系統(tǒng)的特點,分析業(yè)務系統(tǒng)可能會發(fā)生的安全事件類別以及可能造成的影響范圍、嚴重程度等,和客戶一起,建立相應的應急響應預案，并指導客戶對預案進行演練。通過建立應急響應預案,可以在安全事件發(fā)生前進行演練防患于未然,當安全事件發(fā)生時,可根據(jù)預案進行快速響應,從而在最短的時間內(nèi)找到安全事件源頭，恢復系統(tǒng)的正常運行。輸出成果應急響應服務的輸出成果如下:《ＸXX業(yè)務系統(tǒng)安全事件應急預案》《ＸXX業(yè)務系統(tǒng)安全事件應急響應報告》服務收益應急響應服務,可為XXX帶來如下收益:還原攻擊事件，收集由于安全故障造成的入侵記錄、破壞情況、直接損失情況等證據(jù)。提升安全事件處理效率,及時解決安全故障,恢復系統(tǒng)正常運行，盡可能挽回或減少安全事件帶來的損失.對安全故障發(fā)生的系統(tǒng)作安全檢查和清理，保證信息系統(tǒng)安全.彌補安全故障發(fā)生系統(tǒng)上的安全漏洞，加強安全保護措施，防止類似事件的再次發(fā)生。服務頻率出現(xiàn)安全事件時，立即進行應急響應。新系統(tǒng)入網(wǎng)安全評估通常,對于業(yè)務系統(tǒng)的安全評估,可分為入網(wǎng)前安全評估和在線安全評估兩種方式,從業(yè)務系統(tǒng)的角度出發(fā),兩種方式的影響分析如下．評估方式評估影響入網(wǎng)前安全評估在線安全評估風險較小,無業(yè)務壓力大，有業(yè)務壓力技術(shù)難度小大，影響在線業(yè)務整改成本較小,整改由開發(fā)商承擔大,需要立項整改可操作性強較弱新系統(tǒng)在入網(wǎng)前進行安全評估，不論是風險、技術(shù)難度、整改及可操作性等方面都有較大優(yōu)勢。同時,政策法規(guī)也要求,新系統(tǒng)在入網(wǎng)前，必須進行安全風險評估。新系統(tǒng)入網(wǎng)安全評估,包括滲透測試、漏洞檢測、基線核查,從而評估新系統(tǒng)的安全狀況,查找不符合安全要求的配置項以及安全風險點。評估內(nèi)容滲透測試模擬黑客攻擊的方式，對新系統(tǒng)應用層面的安全漏洞進行全面檢測,查找應用層面的安全隱患和隱患,評估新系統(tǒng)的安全狀態(tài)并提供漏洞修復建議。滲透測試,除使用產(chǎn)品和工具掃描外,更重要的需要進行人工滲透，滲透內(nèi)容包括但不限于以下項,且需要對發(fā)現(xiàn)的漏洞進行驗證和利用。序號滲透測試大項滲透測試小項1配置管理備份測試、ＨTTP方法測試、傳輸安全２身份鑒別用戶注冊、賬戶權(quán)限、賬戶枚舉、弱口令3認證授權(quán)認證繞過、目錄遍歷、授權(quán)繞過、權(quán)限提升４會話管理超時測試、會話管理繞過測試、會話令牌泄露測試、跨站點請求偽造CSRF測試5輸入驗證SQL注入、代碼注入、命令執(zhí)行注入、跨站腳本XSS6錯誤處理錯誤碼分析、棧追蹤分析7業(yè)務邏輯數(shù)據(jù)驗證、請求偽造、完整性、次數(shù)限制、上傳測試漏洞檢測對新系統(tǒng)進行系統(tǒng)漏洞檢測，包括操作系統(tǒng)漏洞檢測、數(shù)據(jù)庫漏洞檢測、中間件漏洞檢測，并給出漏洞修復建議。操作系統(tǒng)漏洞檢測采用DPteｃｈScanner漏洞掃描系統(tǒng),對新建系統(tǒng)的所有操作操作系統(tǒng)進行安全漏洞檢測，查找操作系統(tǒng)中的安全隱患和安全隱患,并給出對應的漏洞修復建議。數(shù)據(jù)庫漏洞檢測采用DPtｅchＳｃａnner漏洞掃描系統(tǒng)，對新建系統(tǒng)的所有數(shù)據(jù)庫進行安全漏洞檢測,查找數(shù)據(jù)庫中的安全隱患和安全隱患,并給出對應的漏洞修復建議.中間件漏洞檢測采用DＰtechScannｅr漏洞掃描系統(tǒng)，對新建系統(tǒng)的所有中間件進行安全漏洞檢測，查找中間件的安全隱患和安全隱患，并給出對應的漏洞修復建議。基線核查對新系統(tǒng)進行安全基線核查,查找新系統(tǒng)操作系統(tǒng)層面的安全配置隱患、安全配置風險,完成后給出詳細的安全基線核查報告，報告中包括安全配置建議.基線核查的內(nèi)容主要包括安全配置檢測,包括但不限于賬號、口令、授權(quán)、日志、IP通信等方面內(nèi)容,反映了系統(tǒng)自身的安全脆弱性。安全配置方面與系統(tǒng)的相關(guān)性非常大,同一個配置項在不同業(yè)務環(huán)境中的安全配置要求是不一樣的,如在WEB系統(tǒng)邊界防火墻中需要開啟HTＴP通信，但一個ＷAP網(wǎng)關(guān)邊界就沒有這樣的需求，因此在設計業(yè)務系統(tǒng)安全基線的時候,安全配置是一個關(guān)注的重點。輸出成果新系統(tǒng)入網(wǎng)安全評估的主要輸出成果如下:《XXＸＸＸ系統(tǒng)入網(wǎng)安全評估滲透測試報告》《XXXXＸ系統(tǒng)入網(wǎng)安全評估漏洞檢測報告》《XＸXXＸ系統(tǒng)入網(wǎng)安全評估基線核查報告》服務收益新系統(tǒng)入網(wǎng)安全評估，可為XＸX帶來如下收益：查找新系統(tǒng)應用及代碼面的安全漏洞和安全隱患,評估新系統(tǒng)被入侵的可能性，并在入侵者發(fā)起攻擊前封堵可能被利用的攻擊途徑。查找新系統(tǒng)的操作系統(tǒng)、數(shù)據(jù)庫、中間件的安全漏洞和安全隱患,并給出對應的修復建議。發(fā)現(xiàn)新系統(tǒng)的操作系統(tǒng)、數(shù)據(jù)庫、中間件配置層面的安全隱患，分析被入侵的可能性。服務頻率新系統(tǒng)入網(wǎng)前進行.安全攻防演練培訓安全問題“三分技術(shù)、七分管理”，作為安全管理的主要執(zhí)行者—人員，在面臨信息安全威脅的嚴峻挑戰(zhàn)時，提高安全意識和安全技能，成為了一項必要的工作。然而,掌握信息安全技術(shù)對人員的實踐要求很強,目前市面上大部分安全培訓均偏重于理論,很難有效提升受訓人員的技術(shù)水平。我們的攻防演練培訓,可以為用戶提供一個理論結(jié)合實際的、可上機演練實踐的、可放心操作動手、場景真實生動逼真的網(wǎng)絡安全攻防實驗環(huán)境,從而提升受訓人員的技術(shù)和動手能力,對于進行網(wǎng)絡信息安全建設和培養(yǎng)合格的網(wǎng)絡信息安全技術(shù)人才具有重要的意義。攻防演練培訓的內(nèi)容主要包括黑客攻擊技術(shù)、攻擊手法,培訓過程中，受訓人員現(xiàn)場進行攻擊演練。培訓課程綜合安全知識點專題類別子類知識點名稱課程類型綜合安全知識點介紹安全各層面知識點培訓網(wǎng)絡安全理論知識系統(tǒng)安全理論知識終端安全理論知識應用安全理論知識滲透攻防理論知識WＥB滲透流程理論知識常見攻擊技術(shù)與防護培訓網(wǎng)絡對抗概述理論知識網(wǎng)絡安全問題分析理論知識網(wǎng)絡偵察技術(shù)理論知識網(wǎng)絡掃描技術(shù)理論知識口令攻擊技術(shù)理論知識緩沖區(qū)溢出攻擊理論知識拒絕服務攻擊理論知識計算機病毒理論知識木馬攻擊技術(shù)理論知識社會工程學攻擊技術(shù)理論知識無線網(wǎng)絡安全破解與防御理論知識主機系統(tǒng)攻防專題類別子類知識點名稱課程類型主機系統(tǒng)攻防專題ｗiｎdows漏洞MS—08067實踐驗證型ＭＳ-12０20實踐驗證型MＳ-1４0５8實踐驗證型linuｘ漏洞bash破殼漏洞實踐操作型Liｎux內(nèi)核提權(quán)實踐操作型Liｎux遠程溢出實踐操作型unix漏洞ｓolaris遠程溢出實踐操作型主機通用加固規(guī)范Windowｓ通用加固規(guī)范操作手冊Linux通用加固規(guī)范操作手冊Solａrｉs通用加固規(guī)范操作手冊HP-UＮＩＸ通用加固規(guī)范操作手冊Ａix通用加固規(guī)范操作手冊中間件系統(tǒng)攻防專題類別子類知識點名稱課程類型中間件系統(tǒng)攻防專題常見中間件安全配置實驗Toｍcat安全配置實驗實踐操作型Ａpacｈe安全配置實驗實踐操作型IIS安全配置實驗實踐操作型中間件通用加固實際操作Apａche通用加固規(guī)范操作手冊ＩIS通用加固規(guī)范操作手冊Jｂosｓ通用加固規(guī)范操作手冊Jetｔy通用加固規(guī)范操作手冊Nginｘ通用加固規(guī)范操作手冊Tｏｍcat通用加固規(guī)范操作手冊Toxedｏ通用加固規(guī)范操作手冊Weｂlogic通用加固規(guī)范操作手冊Weｂsphere通用加固規(guī)范操作手冊常見服務器中間件入侵實例常見中間件弱口令及拿weｂsheｌl方法漏洞實戰(zhàn)型漏洞利用操作手冊-strust２漏洞實例漏洞實戰(zhàn)型數(shù)據(jù)庫系統(tǒng)攻防專題類別子類知識點名稱課程類型數(shù)據(jù)庫系統(tǒng)攻防專題數(shù)據(jù)庫通用加固實際操作Sqlserveｒ通用加固規(guī)范操作手冊Mｙsｑl通用加固規(guī)范操作手冊Ｏraｃle-unｉx通用加固規(guī)范操作手冊InfｏrMix通用加固規(guī)范操作手冊PｏstgreSQL通用加固規(guī)范操作手冊常見數(shù)據(jù)庫安全配置實驗Myｓql安全配置實驗實踐操作型Sqlservｅｒ安全配置實驗實踐操作型應用系統(tǒng)攻防專題類別子類知識點名稱課程類型應用攻防常見Wｅb十大漏洞分析講解(基于OWAＳＰMutｉllidａｅ漏洞環(huán)境)SQＬ注入實踐操作型失效的身份認證和會話管理實踐操作型XSＳ跨站實踐操作型不安全的直接對象引用實踐操作型安全配置錯誤實踐操作型敏感信息泄漏實踐操作型功能級訪問控制缺失實踐操作型跨站請求偽造實踐操作型使用含有已知漏洞的組件實踐操作型未驗證的重定向和轉(zhuǎn)發(fā)實踐操作型網(wǎng)絡攻防專題類別子類知識點名稱課程類型網(wǎng)絡攻防專題網(wǎng)絡安全攻防實戰(zhàn)有線－IP地址沖突實踐操作型有線—DＨCP攻擊實踐操作型有線—AＲＰ攻擊實踐操作型安全設備－Firewａll理論知識型安全設備-IPS／IDＳ理論知識型安全設備—WAＦ理論知識型安全設備—Scaｎner理論知識型安全設備—Guarｄ理論知識型網(wǎng)絡設備-交換機理論知識型網(wǎng)絡設備－路由器理論知識型網(wǎng)絡設備-無線ＡP理論知識型iｐ分類-IPv4—私網(wǎng)理論知識型iｐ分類-IPv４－公網(wǎng)理論知識型ip分類—IＰv6理論知識型vlan理論知識型路由協(xié)議－IGP—靜態(tài)路由理論知識型路由協(xié)議—IGP-OSPF理論知識型路由協(xié)議—ＩＧP-RIＰ理論知識型路由協(xié)議—ＥＧP—BＧP-IＢGP理論知識型路由協(xié)議-EＧP—BGＰ－ＥBGP理論知識型訪問控制理論知識型ＮAT理論知識型VPＮ-SＳLVPＮ理論知識型ＶＰN-IＰSecVPＮ理論知識型VＰN－L2TＰVPN理論知識型網(wǎng)絡安全設計－安全域劃分操作指導型網(wǎng)絡安全設計－等級保護操作指導型安全基線—路由操作指導型安全基線—交換操作指導型網(wǎng)絡設備加固網(wǎng)絡設備安全基線Cisｃo路由器／交換機安全基線配置規(guī)范操作手冊Ciｓｃｏ防火墻安全基線配置規(guī)范操作手冊華為網(wǎng)絡設備安全基線配置規(guī)范操作手冊中興路由器/交換機安全基線配置規(guī)范操作手冊H3Ｃ交換機安全基線配置規(guī)范操作手冊RＡDWARE安全基線配置規(guī)范操作手冊Junipｅr(NetScｒｅｅｎ系列)防火墻安全基線配置規(guī)范操作手冊Fortｉｇatｅ飛塔防火墻安全基線配置規(guī)范操作手冊無線攻防專題類別子類知識點名稱課程類型無線攻防專題無線網(wǎng)絡安全攻防無線密碼破解（wep,wpa破解)實踐操作型無線攻防—技能必備實踐操作型無線D。Ｏ.S攻擊實踐操作型滲透測試——無線破解入侵局域網(wǎng)實踐操作型滲透測試-—無線網(wǎng)關(guān)密碼爆破DＮＳ劫持仿冒網(wǎng)站實踐操作型滲透測試——內(nèi)網(wǎng)無線嗅探+內(nèi)容抓取并還原（aｒｐ＋dｒiftｎeｔ)實踐操作型主流工具使用專題類別子類知識點名稱課程類型主流工具課程網(wǎng)絡掃描Nmap操作手冊實踐操作型流量分析wiｒeｓhark操作手冊實踐操作型密碼攻擊ｊohn操作手冊實踐操作型ｈyｄｒａ操作手冊實踐操作型ＷCE操作手冊（針對ｗinｄｏｗs賬戶及域密碼)實踐操作型mimｉkａt(yī)z操作手冊（針對windows賬戶及域密碼)實踐操作型嗅探欺騙Cａin操作手冊實踐操作型Iｎtｅrｃepｔer操作手冊實踐操作型漏洞掃描Nessus操作手冊實踐操作型漏洞利用Ｍetasploｉt操作手冊—msfclｉ結(jié)合bａsｈshelｌ自定義攻擊實踐操作型WEB攻擊WEＢ攻防—BeEF操作手冊實踐操作型WEＢ攻防—Ｗ３AＦ操作手冊實踐操作型WEB攻防-Niktｏ操作手冊實踐操作型WEＢ攻防-WebＣruisｅr掃描工具操作手冊實踐操作型WEB攻防－SQLMＡP工具操作手冊實踐操作型WEB攻防—Ｂurｐsuite工具操作手冊實踐操作型WEB攻防-firefox漏洞測試插件操作手冊實踐操作型WＥＢ攻防—caidao操作手冊實踐操作型WＥＢ攻防—各種