【正文】 年安全技術(shù)服務(wù)技術(shù)建議書二○一五年十二月 目 錄1. 項(xiàng)目概況簡述 1 項(xiàng)目原則 12. 項(xiàng)目解決方案 1 滲透測試解決方案 2 代碼審計(jì)服務(wù)解決方案 13 基礎(chǔ)設(shè)備安全評估解決方案 20 應(yīng)急響應(yīng)和演練解決方案 50 APP安全評估解決方案 53 安全加固整改建議解決方案 60 新業(yè)務(wù)上線安全檢查解決方案 67 安全培訓(xùn)解決方案 673. 項(xiàng)目實(shí)施方案 70 項(xiàng)目組成員 70 項(xiàng)目分工界面 73 工作量的計(jì)算方法及依據(jù) 78 項(xiàng)目進(jìn)度 78 項(xiàng)目質(zhì)量保證措施 804. 項(xiàng)目售后服務(wù) 865. 安全工具簡述 86 滲透測試工具 86 代碼審計(jì)工具 94106 / 1081. 項(xiàng)目概況簡述1 項(xiàng)目原則安全服務(wù)的方案設(shè)計(jì)與具體實(shí)施滿足以下原則：（1） 保密原則：對服務(wù)的過程數(shù)據(jù)和結(jié)果數(shù)據(jù)嚴(yán)格保密，未經(jīng)授權(quán)不得泄露給任何單位和個(gè)人，不得利用此數(shù)據(jù)進(jìn)行任何侵害求方網(wǎng)絡(luò)的行為，否則求方有權(quán)追究的責(zé)任。（2） 標(biāo)準(zhǔn)性原則：服務(wù)方案的設(shè)計(jì)與實(shí)施依據(jù)國內(nèi)或國際的相關(guān)標(biāo)準(zhǔn)進(jìn)行；（3） 規(guī)范性原則：服務(wù)提供商的工作中的過程和文檔，具有嚴(yán)格的規(guī)范性，可以便于項(xiàng)目的跟蹤和控制；（4） 可控性原則：服務(wù)用的工具、方法和過程要在雙方認(rèn)可的范圍之內(nèi)，服務(wù)的進(jìn)度要跟上進(jìn)度表的安排，保證求方對于服務(wù)工作的可控性；（5） 整體性原則：服務(wù)的范圍和內(nèi)容當(dāng)整體全面，包括安全涉及的各個(gè)層面，避免由于遺漏造成未來的安全隱患；（6） 最小影響原則：服務(wù)工作盡可能小的影響系統(tǒng)和網(wǎng)絡(luò)的正常運(yùn)行，不能對現(xiàn)網(wǎng)的運(yùn)行和業(yè)務(wù)的正常提供產(chǎn)生顯著影響（包括系統(tǒng)性能明顯下降、網(wǎng)絡(luò)擁塞、服務(wù)中斷，如無法避免出現(xiàn)這些情況在答書上詳細(xì)描述）；針對上述各項(xiàng)，在技術(shù)方案中落實(shí)諸原則各方面，并予以詳細(xì)解釋。2. 項(xiàng)目解決方案該部分重點(diǎn)針對各類系統(tǒng)，主動發(fā)現(xiàn)安全隱患及不符合相關(guān)規(guī)范的問題，及時(shí)整改，防患未然。主要包括安全管理咨詢服務(wù)和安全技術(shù)評估服務(wù)。對服務(wù)系統(tǒng)提供周期性的安全評估服務(wù)。該服務(wù)嚴(yán)格參照和各類系統(tǒng)安全配置規(guī)范執(zhí)行，防護(hù)能力測評按照工信部《網(wǎng)絡(luò)單元安全防護(hù)檢測評分方法（試行）》執(zhí)行。具體服務(wù)內(nèi)容詳見以下正文。2 滲透測試解決方案 滲透測試簡介 滲透測試概念滲透測試（Penetration Test）, 是完全模擬黑客可能使用的攻擊技術(shù)和漏洞發(fā)現(xiàn)技術(shù)，對目標(biāo)系統(tǒng)的安全做深入的探測，發(fā)現(xiàn)系統(tǒng)最脆弱的環(huán)節(jié)。滲透測試：主要通過對目標(biāo)系統(tǒng)信息的全面收集、對系統(tǒng)中網(wǎng)路設(shè)備的探測、對服務(wù)器系統(tǒng)主機(jī)的漏洞掃描、對應(yīng)用平臺及數(shù)據(jù)庫系統(tǒng)的安全性掃描及通過應(yīng)用系統(tǒng)程序的安全性滲透測試等手段來完成對整個(gè)系統(tǒng)的安全性滲透檢測。該滲透測試是一個(gè)完整、系統(tǒng)的測試過程，涵蓋了網(wǎng)絡(luò)層面、主機(jī)層面、數(shù)據(jù)層面以及安全服務(wù)層面的安全性測試。 滲透測試原理滲透測試主要依據(jù)CVE（Common Vulnerabilities amp。 Exposures公共漏洞和暴露）已經(jīng)發(fā)現(xiàn)的安全漏洞，以及隱患漏洞。模擬入侵者的攻擊方法對應(yīng)用系統(tǒng)、服務(wù)器系統(tǒng)和網(wǎng)絡(luò)設(shè)備進(jìn)行非破壞性質(zhì)的攻擊性測試。 滲透測試目標(biāo)滲透測試?yán)酶鞣N安全掃描器對網(wǎng)站及相關(guān)服務(wù)器等設(shè)備進(jìn)行非破壞性質(zhì)的模擬入侵者攻擊，目的是侵入系統(tǒng)并獲取系統(tǒng)信息并將入侵的過程和細(xì)節(jié)總結(jié)編寫成測試報(bào)告，由此確定存在的安全威脅，并能及時(shí)提醒安全管理員完善安全策略，降低安全風(fēng)險(xiǎn)。人工滲透測試和工具掃描可以很好的互相補(bǔ)充。工具掃描具有很好的效率和速度，但是存在一定的誤報(bào)率，不能發(fā)現(xiàn)高層次、復(fù)雜的安全問題；滲透測試對測試者的專業(yè)技能很高（滲透測試報(bào)告的價(jià)值直接依賴于測試者的專業(yè)技能），但是非常準(zhǔn)確，可以發(fā)現(xiàn)邏輯性更強(qiáng)、更深層次的弱點(diǎn)。 滲透測試特點(diǎn)入侵者的攻擊入侵要利用目標(biāo)網(wǎng)絡(luò)的安全弱點(diǎn)，滲透測試也是同樣的道理。測試人員模擬真正的入侵者入侵攻擊方法，以人工滲透為主，輔助以攻擊工具的使用，以保證整個(gè)滲透測試過程都在可以控制和調(diào)整的范圍之內(nèi)，同時(shí)確保對網(wǎng)絡(luò)沒有造成破壞性的損害。由于采用可控制的、非破壞性質(zhì)的滲透測試，因此不會對被評估的客戶信息系統(tǒng)造成嚴(yán)重的影響。在滲透測試結(jié)束后，客戶信息系統(tǒng)將基本保持一致。 滲透測試的安全意義從滲透測試中，客戶能夠得到的收益有：（1） 協(xié)助用戶發(fā)現(xiàn)組織中的安全最短木板一次滲透測試過程也就是一次黑客入侵實(shí)例，其中所利用到的攻擊滲透方法，也是其它具備相關(guān)技能的攻擊者所最可能利用到的方法；由滲透測試結(jié)果所暴露出來的問題，往往也是一個(gè)企業(yè)或組織中的安全最短木板，結(jié)合這些暴露出來的弱點(diǎn)和問題，可以協(xié)助企業(yè)有效的了解目前降低風(fēng)險(xiǎn)的最迫切任務(wù)，使在網(wǎng)絡(luò)安全方面的有限投入可以得到最大的回報(bào)。（2） 作為網(wǎng)絡(luò)安全狀況方面的具體證據(jù)和真實(shí)案例滲透測試的結(jié)果可以作為向投資方或管理人員提供的網(wǎng)絡(luò)安全狀況方面的具體證據(jù)，一份文檔齊全有效的滲透測試報(bào)告有助于IT組織管理者以案例的形式向相關(guān)人員直觀展示目前企業(yè)或組織的安全現(xiàn)狀，從而增強(qiáng)員工對信息安全的認(rèn)知程度，提高相關(guān)人員的安全意識及素養(yǎng)，甚至提高組織在安全方面的預(yù)算。（3） 發(fā)現(xiàn)系統(tǒng)或組織里邏輯性更強(qiáng)、更深層次的弱點(diǎn)滲透測試和工具掃描可以很好的互相補(bǔ)充。工具掃描具有很好的效率和速度，但是存在一定的誤報(bào)率和漏報(bào)率，并且不能發(fā)現(xiàn)高層次、復(fù)雜、并且相互關(guān)聯(lián)的安全問題；滲透測試的價(jià)值直接依賴于實(shí)施者的專業(yè)技能和素養(yǎng)但是非常準(zhǔn)確，可以發(fā)現(xiàn)系統(tǒng)和組織里邏輯性更強(qiáng)、更深層次的弱點(diǎn)。（4） 發(fā)現(xiàn)滲透測試和信息安全風(fēng)險(xiǎn)評估未暴露的其它安全問題目前的滲透測試，更多的仍然是從一個(gè)外部人員的角度，模擬黑客攻擊的一個(gè)過程。往往來說，滲透測試的實(shí)施人員并不能完全掌握組織或企業(yè)的全部安全現(xiàn)狀及信息，的滲透測試行為及方法都是局限于自己所掌握的已有信息，因此暴露出來的問題也是有限的（比如說，有些問題單純從技術(shù)上來說利用價(jià)值不大，但若是結(jié)合一些管理上的缺陷或者是本身具有的某些其它便利，往往可以導(dǎo)致嚴(yán)重風(fēng)險(xiǎn)）。正因?yàn)槿绱?，如果換作是一個(gè)對企業(yè)組織的相關(guān)情況更為了解的內(nèi)部人員來說，結(jié)合滲透測試中所暴露出來的某些問題，他能更有效和更全面的發(fā)現(xiàn)組織和企業(yè)中一些安全風(fēng)險(xiǎn)及問題。（5） 從整體上把握組織或企業(yè)的信息安全現(xiàn)狀信息安全是一個(gè)整體項(xiàng)目，一個(gè)完整和成功的滲透測試案例可能會涉及系統(tǒng)或組織中的多個(gè)部門、人員或?qū)ο?，有助于組織中的所有成員意識到自己所在崗位對系統(tǒng)整體安全的影響，進(jìn)而采取措施降低因?yàn)樽陨淼脑蛟斐傻娘L(fēng)險(xiǎn)，有助于內(nèi)部安全的提升。 滲透測試流程和授權(quán) 滲透測試流程 滲透測試授權(quán)測試授權(quán)是進(jìn)行滲透測試的必要條件。用戶應(yīng)對滲透測試所有細(xì)節(jié)和風(fēng)險(xiǎn)的知曉、所有過程都在用戶的控制下進(jìn)行。 滲透測試方法及步驟憑借著在眾多項(xiàng)目中的實(shí)施經(jīng)驗(yàn)，形成了一套具有自身特色且行之有效的滲透測試方法。滲透測試實(shí)際就是一個(gè)模擬黑客攻擊的過程，因此其的實(shí)施過程也類似于一次完整的黑客攻擊過程，我們將其劃分為了如下幾個(gè)階段：178。預(yù)攻擊階段（尋找滲透突破口）178。攻擊階段（獲取目標(biāo)權(quán)限）178。后攻擊階段（擴(kuò)大攻擊滲透成果）如下圖： 預(yù)攻擊階段預(yù)攻擊階段主要是為了收集獲取信息，從中發(fā)現(xiàn)突破口，進(jìn)行進(jìn)一步攻擊決策。主要包括網(wǎng)絡(luò)信息，如網(wǎng)絡(luò)拓補(bǔ)、IP及域名分布、網(wǎng)絡(luò)狀態(tài)等服務(wù)器信息，如OS信息、端口及服務(wù)信息、應(yīng)用系統(tǒng)情況等漏洞信息，如跟蹤最新漏洞發(fā)布、漏洞的利用方法等 信息收集信息收集分析幾乎是所有入侵攻擊的前提/前奏/基礎(chǔ)。通過對網(wǎng)絡(luò)信息收集分析，可以相應(yīng)地、有針對性地制定模擬黑客入侵攻擊的計(jì)劃，以提高入侵的成功率、減小暴露或被發(fā)現(xiàn)的幾率。信息收集的方法包括主機(jī)網(wǎng)絡(luò)掃描、操作類型判別、應(yīng)用判別、賬號掃描、配置判別等等。端口掃描 通過對目標(biāo)地址的TCP/UDP端口掃描，確定其所開放的服務(wù)的數(shù)量和類型，這是所有滲透測試的基礎(chǔ)。通過端口掃描，可以基本確定一個(gè)系統(tǒng)的基本信息，結(jié)合測試人員的經(jīng)驗(yàn)可以確定其可能存在，以及被利用的安全弱點(diǎn)，為進(jìn)行深層次的滲透提供依據(jù)。 后門程序檢查系統(tǒng)開發(fā)過程中遺留的后門和安全服務(wù)選項(xiàng)可能被入侵者所利用，導(dǎo)致入侵者輕易地從捷徑實(shí)施攻擊。 攻擊階段攻擊階段是滲透測試的實(shí)際實(shí)施階段，在這一階段根據(jù)前面得到的信息對目標(biāo)進(jìn)行攻擊嘗試，嘗試獲取目標(biāo)的一定權(quán)限。在這一階段，主要會用到以下技術(shù)或工具：p賬號口令猜解口令是信息安全里永恒的主題，在以往的滲透測試項(xiàng)目中，通過賬號口令問題獲取權(quán)限者不在少數(shù)。有用的賬號口令除了系統(tǒng)賬號如UNIX賬號、Windows賬號外，還包括一些數(shù)據(jù)庫賬號、WWW賬號、FTP賬號、MAIL賬號、SNMP賬號、CVS賬號以及一些其它應(yīng)用或者服務(wù)的賬號口令。尤其是各個(gè)系統(tǒng)或者是安全服務(wù)的一些默認(rèn)賬號口令和弱口令賬號。大多綜合性的掃描工具都有相應(yīng)的弱口令審核模塊。p緩沖區(qū)溢出攻擊針對具體的溢出漏洞，可以采用各種公開及私有的緩沖區(qū)溢出程序代碼進(jìn)行攻擊， 代碼審查對受測業(yè)務(wù)系統(tǒng)站點(diǎn)進(jìn)行安全代碼審查的目的是要識別出會導(dǎo)致安全問題和事故的不安全編碼技術(shù)和漏洞。這項(xiàng)工作雖然可能很耗時(shí)，但是進(jìn)行，代碼審查測試工作包括如下工作但不僅限于此： 216。 審查代碼中的XSS腳本漏洞；216。 審查代碼中的 SQL 注入漏洞；216。 審查代碼中的潛在緩沖區(qū)溢出；216。 審查識別允許惡意用戶啟動攻擊的不良代碼技術(shù)；216。 其他軟件編寫錯誤及漏洞的尋找及審查。 不同網(wǎng)段間的滲透 這種滲透方式是從某內(nèi)/外部網(wǎng)段，嘗試對另一網(wǎng)段/Vlan進(jìn)行滲透。這類測試通常可能用到的技術(shù)包括：對網(wǎng)絡(luò)設(shè)備和無線設(shè)備的遠(yuǎn)程攻擊；對防火墻的遠(yuǎn)程攻擊或規(guī)則探測、規(guī)避嘗試。 信息的收集和分析伴隨著每一個(gè)滲透測試步驟，每一個(gè)步驟又有三個(gè)組成部分：操作、響應(yīng)和結(jié)果分析。 溢出測試當(dāng)測試人員無法直接利用帳戶口令登陸系統(tǒng)時(shí)，也會采用系統(tǒng)溢出的方法直接獲得系統(tǒng)控制權(quán)限，此方法有時(shí)會導(dǎo)致系統(tǒng)死機(jī)或從新啟動，但不會導(dǎo)致系統(tǒng)數(shù)據(jù)丟失，如出現(xiàn)死機(jī)等故障，只要將系統(tǒng)從新啟動并開啟原有服務(wù)即可。一般情況下，如果未授權(quán)，將不會進(jìn)行此項(xiàng)測試！ SQL注入攻擊SQL注入常見于應(yīng)用了SQL 數(shù)據(jù)庫后端的網(wǎng)站服務(wù)器，入侵者通過提交某些特殊SQL語句，最終可能獲取、篡改、控制網(wǎng)站服務(wù)器端數(shù)據(jù)庫中的內(nèi)容。此類漏洞是入侵者最常用的入侵方式之一。 檢測頁面隱藏字段網(wǎng)站應(yīng)用系統(tǒng)常采用隱藏字段存儲信息。許多基于網(wǎng)站的電子商務(wù)應(yīng)用程序用隱藏字段來存儲商品價(jià)格、用戶名、密碼等敏感內(nèi)容。惡意用戶通過操作隱藏字段內(nèi)容達(dá)到惡意交易和竊取信息等行為，是一種非常危險(xiǎn)的漏洞。 跨站攻擊入侵者可以借助網(wǎng)站來攻擊訪問此網(wǎng)站的終端用戶，來獲得用戶口令或使用站點(diǎn)掛馬來控制客戶端。 WEB應(yīng)用測試 Web腳本及應(yīng)用測試專門針對Web及數(shù)據(jù)庫服務(wù)器進(jìn)行。根據(jù)最新的統(tǒng)計(jì)，腳本安全弱點(diǎn)為當(dāng)前Web系統(tǒng)，尤其是存在動態(tài)內(nèi)容的Web系統(tǒng)比較嚴(yán)重的安全弱點(diǎn)之一。利用腳本相關(guān)弱點(diǎn)輕則可以獲取系統(tǒng)其他目錄的訪問權(quán)限，重則將有可能取得系統(tǒng)的控制權(quán)限。因此對于含有動態(tài)頁面的Web、數(shù)據(jù)庫等系統(tǒng)，Web腳本及應(yīng)用測試將是必不可少的一個(gè)環(huán)節(jié)。在Web腳本及應(yīng)用測試中，可能要檢查的部份包括： 216。 檢查應(yīng)用系統(tǒng)架構(gòu),防止用戶繞過系統(tǒng)直接修改數(shù)據(jù)庫；216。 檢查身份認(rèn)證模塊，用以防止非法用戶繞過身份認(rèn)證；216。 檢查數(shù)據(jù)庫接口模塊，用以防止用戶獲取系統(tǒng)權(quán)限； 216。 檢查文件接口模塊，防止用戶獲取系統(tǒng)文件； 216。 檢查其他安全威脅； 第三方軟件誤配置第三方軟件的錯誤設(shè)置可能導(dǎo)致入侵者利用該漏洞構(gòu)造不同類型的入侵攻擊。 Cookie利用網(wǎng)站應(yīng)用系統(tǒng)常使用cookies 機(jī)制在客戶端主機(jī)上保存某些信息，例如用戶ID、口令、時(shí)戳等。入侵者可能通過篡改cookies 內(nèi)容，獲取用戶的賬號，導(dǎo)致嚴(yán)重的后果。 DDoS攻擊分布式拒絕服務(wù)(DDoS:Distributed Denial of Service)攻擊指借助于客戶/服務(wù)器技術(shù)，將多個(gè)計(jì)算機(jī)聯(lián)合起來作為攻擊平臺，對一個(gè)或多個(gè)目標(biāo)發(fā)動DDoS攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力。通常，攻擊者使用一個(gè)偷竊帳號將DDoS主控程序安裝在一個(gè)計(jì)算機(jī)上，在一個(gè)設(shè)定的時(shí)間主控程序?qū)⑴c大量代理程序通訊，代理程序已經(jīng)被安裝在網(wǎng)絡(luò)上的許多計(jì)算機(jī)上。代理程序收到指令時(shí)就發(fā)動攻擊。利用客戶/服務(wù)器技術(shù)，主控程序能在幾秒鐘內(nèi)激活成百上千次代理程序的運(yùn)行。 其他測試在滲透測試中還要借助暴力破解、網(wǎng)絡(luò)嗅探等其他方法，目的也是為獲取用戶名及密碼。 后攻擊階段 權(quán)限提升通過收集信息和分析，存在兩種可能性，其一是目標(biāo)系統(tǒng)存在重大弱點(diǎn)：測試人員可以直接控制目標(biāo)系統(tǒng)，然后直接調(diào)查目標(biāo)系統(tǒng)中的弱點(diǎn)分布、原因，形成最終的測試報(bào)告；其二是目標(biāo)系統(tǒng)沒有遠(yuǎn)程重大弱點(diǎn)，但是可以獲得遠(yuǎn)程普通權(quán)限，這時(shí)測試人員可以通過該普通權(quán)限進(jìn)一步收集目標(biāo)系統(tǒng)信息。接下來，盡最大努力獲取本地權(quán)限，收集本地資料信息，尋求本地權(quán)限升級的機(jī)會。這些不停的信息收集分析、權(quán)限升級的結(jié)果將構(gòu)成此次項(xiàng)目整個(gè)滲透測試過程的輸出。 風(fēng)險(xiǎn)規(guī)避措施滲透測試過程中可能對業(yè)務(wù)產(chǎn)生影響，可以采取以下措施來減小風(fēng)險(xiǎn)： 時(shí)間選擇選擇在系統(tǒng)最不繁忙業(yè)務(wù)量最小的時(shí)候進(jìn)行，如凌晨12點(diǎn)之后。 攻擊策略集選擇在滲透測試中不使用含有拒絕服務(wù)的測試策略。 保守策略選擇對于不能接受任何可能風(fēng)險(xiǎn)的主機(jī)系統(tǒng)，如可選擇如下保守策略：1)復(fù)制一份目標(biāo)環(huán)境，包括硬件平臺，操作系統(tǒng)，數(shù)據(jù)庫管理系統(tǒng)，應(yīng)用軟件等。2)對目標(biāo)的副本進(jìn)行滲透測試。 系統(tǒng)備份和恢復(fù) 系統(tǒng)備份為防止在滲透測試過程中出現(xiàn)的異常的情況，所有被評估系統(tǒng)均應(yīng)在被評估之前作一次完整的系統(tǒng)備份或者關(guān)閉正在進(jìn)行的操作，以便在系統(tǒng)發(fā)生災(zāi)難后及時(shí)恢復(fù)。