【正文】 1 技術(shù)建議書(shū) 服務(wù)方案 項(xiàng)目概況近幾年來(lái)，信息安全的重要性逐步得到了各行業(yè)的廣泛關(guān)注，國(guó)家相關(guān)部門也出臺(tái)了多項(xiàng)政策、法規(guī)和標(biāo)準(zhǔn)，用以指導(dǎo)各行業(yè)的信息安全建設(shè)。由于信息安全相關(guān)的標(biāo)準(zhǔn)和法規(guī)相對(duì)抽象，加之信安中心承擔(dān)了管理和生產(chǎn)職能，在突發(fā)事件處置等方面人員儲(chǔ)備不足，受限于人員配置和資源問(wèn)題，部分安全工作需要大量安全工具及專人參與。為保障中國(guó)公司結(jié)合自身情況制定長(zhǎng)期、系統(tǒng)、有效的安全建設(shè)規(guī)劃，提出駐場(chǎng)服務(wù)的需求。 建設(shè)目標(biāo)為安全工作開(kāi)展提供高質(zhì)量的安全保障服務(wù)。在發(fā)生網(wǎng)絡(luò)調(diào)整，系統(tǒng)升級(jí)擴(kuò)容，新系統(tǒng)上線等變更時(shí)，進(jìn)行評(píng)估，給出明確的、可實(shí)施的安全建議及建設(shè)規(guī)劃，配合相關(guān)安全工作開(kāi)展。在日常工作中，協(xié)助安全人員開(kāi)展定期的自查評(píng)估工作，設(shè)備或系統(tǒng)上線時(shí)，實(shí)施上線前的安全評(píng)估和反饋相關(guān)的制度、規(guī)范和流程的落實(shí)情況。保障日常工作中的網(wǎng)絡(luò)安全。應(yīng)急響應(yīng)及安全事件分析。開(kāi)展安全培訓(xùn)工作，提升相關(guān)人員的安全專業(yè)水平。對(duì)重要系統(tǒng)（網(wǎng)絡(luò)安全整合平臺(tái)）進(jìn)行協(xié)助運(yùn)維和推廣。 服務(wù)方法本次安全值守服務(wù)項(xiàng)目我們提供以下服務(wù)方法： 日常安全工作常態(tài)化漏洞掃描，弱口令檢查，web業(yè)務(wù)系統(tǒng)滲透測(cè)試及相關(guān)文檔、總結(jié)撰寫(xiě)定期安全檢查：l 全網(wǎng)掃描（范圍）。l 根據(jù)目標(biāo)主機(jī)數(shù)量制定掃描計(jì)劃，每個(gè)月能保證至少完成一次對(duì)全部維護(hù)對(duì)象的安全掃描工作。l 出具安全掃描結(jié)果并和維護(hù)人員進(jìn)行面對(duì)面溝通確認(rèn)，督促維護(hù)人員進(jìn)行整改和加固，加固結(jié)束后進(jìn)行再次復(fù)查并出具復(fù)查報(bào)告，對(duì)于不能加固的漏洞提供安全解決建議。系統(tǒng)上線安全檢查：對(duì)于新的業(yè)務(wù)系統(tǒng)上線前，值守人員配合完成上線設(shè)備的安全檢查工作，安全檢查包含以下幾項(xiàng)工作：216。 遠(yuǎn)程安全掃描l 通過(guò)使用現(xiàn)有遠(yuǎn)程安全評(píng)估系統(tǒng)對(duì)上線設(shè)備進(jìn)行掃描，確保沒(méi)有高、中等級(jí)的安全問(wèn)題，對(duì)于低等級(jí)的安全問(wèn)題，應(yīng)確保該問(wèn)題不會(huì)泄露設(shè)備敏感信息216。 本地安全檢查l 配合安全加固的checklist 對(duì)上線設(shè)備進(jìn)行檢查，以確保上線設(shè)備已進(jìn)行了必要的安全設(shè)置l 注：若已制定相關(guān)的安全準(zhǔn)入規(guī)范，將使用提供的checklist替代的checklist216。 遠(yuǎn)程滲透測(cè)試l 對(duì)復(fù)雜的應(yīng)用系統(tǒng)，如：WEB系統(tǒng)，根據(jù)需求進(jìn)遠(yuǎn)程滲透測(cè)試 滲透測(cè)試概述滲透測(cè)試（Penetration Test）是指是從一個(gè)攻擊者的角度來(lái)檢查和審核一個(gè)網(wǎng)絡(luò)系統(tǒng)的安全性的過(guò)程。通常由安全工程師盡可能完整地模擬黑客使用的漏洞發(fā)現(xiàn)技術(shù)和攻擊手段，對(duì)目標(biāo)網(wǎng)絡(luò)/系統(tǒng)/主機(jī)/應(yīng)用的安全性作深入的探測(cè)，發(fā)現(xiàn)系統(tǒng)最脆弱的環(huán)節(jié)。滲透測(cè)試能夠直觀的讓管理人員知道自己網(wǎng)絡(luò)所面臨的問(wèn)題。作為一種專業(yè)的安全服務(wù)，類似于軍隊(duì)里的“實(shí)戰(zhàn)演習(xí)”或者“沙盤(pán)推演”的概念，通過(guò)實(shí)戰(zhàn)和推演，讓清晰了解目前網(wǎng)絡(luò)的脆弱性、可能造成的影響，以便采取必要的防范措施。 滲透測(cè)試意義從滲透測(cè)試中，客戶能夠得到的收益至少有：u 協(xié)助發(fā)現(xiàn)組織中的安全短板一次滲透測(cè)試過(guò)程也就是一次黑客入侵實(shí)例，其中所利用到的攻擊滲透方法，也是其它具備相關(guān)技能的攻擊者所最可能利用到的方法；由滲透測(cè)試結(jié)果所暴露出來(lái)的問(wèn)題，往往也是一個(gè)企業(yè)或組織中的安全最短木板，結(jié)合這些暴露出來(lái)的弱點(diǎn)和問(wèn)題，可以協(xié)助企業(yè)有效的了解目前降低風(fēng)險(xiǎn)的最迫切任務(wù)，使在信息安全方面的有限投入可以得到最大的回報(bào)。u 作為信息安全狀況方面的具體證據(jù)和真實(shí)案例滲透測(cè)試的結(jié)果可以作為向投資方或管理人員提供的信息安全狀況方面的具體證據(jù)，一份文檔齊全有效的滲透測(cè)試報(bào)告有助于IT組織管理者以案例的形式向相關(guān)人員直觀展示目前企業(yè)或組織的安全現(xiàn)狀，從而增強(qiáng)員工對(duì)信息安全的認(rèn)知程度，提高相關(guān)人員的安全意識(shí)及素養(yǎng)，甚至提高組織在安全方面的預(yù)算。u 發(fā)現(xiàn)系統(tǒng)或組織里邏輯性更強(qiáng)、更深層次的弱點(diǎn)滲透測(cè)試和工具掃描可以很好的互相補(bǔ)充。工具掃描具有很好的效率和速度，但是存在一定的誤報(bào)率和漏報(bào)率，并且不能發(fā)現(xiàn)高層次、復(fù)雜、并且相互關(guān)聯(lián)的安全問(wèn)題；滲透測(cè)試的價(jià)值直接依賴于實(shí)施者的專業(yè)技能和素養(yǎng)但是非常準(zhǔn)確，可以發(fā)現(xiàn)系統(tǒng)和組織里邏輯性更強(qiáng)、更深層次的弱點(diǎn)。u 從整體上把握組織或企業(yè)的信息安全現(xiàn)狀信息安全是一個(gè)整體工程，一個(gè)完整和成功的滲透測(cè)試案例可能會(huì)涉及系統(tǒng)或組織中的多個(gè)部門、人員或?qū)ο?，有助于組織中的所有成員意識(shí)到自己所在崗位對(duì)系統(tǒng)整體安全的影響，進(jìn)而采取措施降低因?yàn)樽陨淼脑蛟斐傻娘L(fēng)險(xiǎn)，有助于內(nèi)部安全的提升。 滲透測(cè)試步驟滲透測(cè)試實(shí)際就是一個(gè)模擬黑客攻擊的過(guò)程，因此其的實(shí)施過(guò)程也類似于一次完整的黑客攻擊過(guò)程，我們將其劃分為如下幾個(gè)階段：178。 預(yù)攻擊階段（尋找滲透突破口）178。 攻擊階段（獲取目標(biāo)權(quán)限）178。 后攻擊階段（擴(kuò)大攻擊滲透成果）如下圖： 預(yù)攻擊階段預(yù)攻擊階段主要是為了收集獲取信息，從中發(fā)現(xiàn)突破口，進(jìn)行進(jìn)一步攻擊決策。主要包括178。 網(wǎng)絡(luò)信息，如網(wǎng)絡(luò)拓補(bǔ)、IP及域名分布、網(wǎng)絡(luò)狀態(tài)等178。 服務(wù)器信息，如OS信息、端口及服務(wù)信息、應(yīng)用系統(tǒng)情況等178。 漏洞信息，如跟蹤最新漏洞發(fā)布、漏洞的利用方法等其利用到的方法及工具主要有：l 網(wǎng)絡(luò)配置、狀態(tài)，服務(wù)器信息178。 Ping178。 Traceroute178。 Nslookup178。 whois178。 Finger178。 Nbtstatl 其它相關(guān)信息（如WEB服務(wù)器信息，服務(wù)器管理員信息等）178。 178。 178。 178。 google、yahoo、baidu 等搜索引擎獲取目標(biāo)信息178。 企業(yè)組織名稱、個(gè)人姓名、電話、生日、身份證號(hào)碼、電子郵件等等……（網(wǎng)站、論壇、社交工程欺騙）l 常規(guī)掃描及漏洞發(fā)現(xiàn)確認(rèn)178。 NMAP端口掃描及指紋識(shí)別178。 利用各種掃描工具進(jìn)行漏洞掃描（ISS、Nessus等）178。 采用 FWtester、hping3 等工具進(jìn)行防火墻規(guī)則探測(cè)178。 采用 SolarWind 對(duì)網(wǎng)絡(luò)設(shè)備等進(jìn)行發(fā)現(xiàn)178。 采用 nikto、webinspect 等軟件對(duì) web 常見(jiàn)漏洞進(jìn)行掃描178。 采用如AppDetectiv 之類的商用軟件對(duì)數(shù)據(jù)庫(kù)進(jìn)行掃描分析l 應(yīng)用分析（web及數(shù)據(jù)庫(kù)應(yīng)用）178。 采用 WebProxy、SPIKEProxy、webscarab、ParosProxy、Absinthe 等工具進(jìn)行分析對(duì)Web服務(wù)進(jìn)行分析檢測(cè)178。 用 webscan、fuzzer 進(jìn)行 SQL 注入和 XSS 漏洞初步分析178。 某些特定應(yīng)用或程序的漏洞的手工驗(yàn)證檢測(cè)（如sql注入、某些論壇網(wǎng)站的上傳漏洞、驗(yàn)證漏洞，某些特定軟件的溢出漏洞等）178。 采用類似OScanner 的工具對(duì)數(shù)據(jù)庫(kù)進(jìn)行分析178。 用 Ethereal 抓包協(xié)助分析 攻擊階段攻擊階段是滲透測(cè)試的實(shí)際實(shí)施階段，在這一階段根據(jù)前面得到的信息對(duì)目標(biāo)進(jìn)行攻擊嘗試，嘗試獲取目標(biāo)的一定權(quán)限。在這一階段，主要會(huì)用到以下技術(shù)或工具：l 賬號(hào)口令猜解口令是信息安全里永恒的主題，在以往的滲透測(cè)試項(xiàng)目中，通過(guò)賬號(hào)口令問(wèn)題獲取權(quán)限者不在少數(shù)。有用的賬號(hào)口令除了系統(tǒng)賬號(hào)如UNIX賬號(hào)、Windows賬號(hào)外，還包括一些數(shù)據(jù)庫(kù)賬號(hào)、WWW賬號(hào)、FTP賬號(hào)、MAIL賬號(hào)、SNMP賬號(hào)、CVS賬號(hào)以及一些其它應(yīng)用或者服務(wù)的賬號(hào)口令。尤其是各個(gè)系統(tǒng)或者是應(yīng)用服務(wù)的一些默認(rèn)賬號(hào)口令和弱口令賬號(hào)。大多綜合性的掃描工具都有相應(yīng)的弱口令審核模塊，此外，也可以采用Brutus、Hydra、溯雪等比較專業(yè)的賬號(hào)猜解工具。l 緩沖區(qū)溢出攻擊針對(duì)具體的溢出漏洞，可以采用各種公開(kāi)及私有的緩沖區(qū)溢出程序代碼進(jìn)行攻擊，如下圖：l 基于應(yīng)用服務(wù)的攻擊基于web、數(shù)據(jù)庫(kù)或特定的B/S 或C/S 結(jié)構(gòu)的網(wǎng)絡(luò)應(yīng)用程序存在的弱點(diǎn)進(jìn)行攻擊，常見(jiàn)的如SQL 注入攻擊、跨站腳本攻擊、一些特定網(wǎng)站論壇系統(tǒng)的上傳漏洞、下載漏洞、物理路徑暴露、重要文件暴露等均屬于這一類型，特定的對(duì)象及其漏洞有其特定的利用方法，這里就不一一舉例。 后攻擊階段后攻擊階段主要是在達(dá)到一定的攻擊效果后，隱藏和清除自己的入侵痕跡，并利用現(xiàn)有條件進(jìn)一步進(jìn)行滲透，擴(kuò)大入侵成果，獲取敏感信息及資源，長(zhǎng)期的維持一定權(quán)限。這一階段，一般主要進(jìn)行3個(gè)工作：1）植入后門木或者鍵盤(pán)記錄工具等，獲得對(duì)對(duì)象的再一次的控制權(quán)在真實(shí)的黑客入侵事件中，這一步往往還要進(jìn)行入侵行為的隱藏比如清楚日志、隱藏后門木馬服務(wù)、修補(bǔ)對(duì)象漏洞以防止他人利用等，但在滲透測(cè)試實(shí)例中卻不需要如此，往往需要保留對(duì)象相應(yīng)的日志記錄，可以作為滲透測(cè)試的相關(guān)證據(jù)和參考信息。2）獲得對(duì)象的完全權(quán)限這一步主要以破解系統(tǒng)的管理員權(quán)限賬號(hào)為主，有許多著名的口令破解軟件，如L0phtCrack、John the Ripper、Cain 等可以幫助我們實(shí)現(xiàn)該任務(wù)。3）利用已有條件，進(jìn)行更深入的入侵滲透測(cè)試在成功獲取某個(gè)對(duì)象的一定權(quán)限后，就可以利用該成果，以此對(duì)象為跳板，進(jìn)行進(jìn)一步的入侵滲透。在這一步會(huì)重復(fù)預(yù)攻擊階段和攻擊階段的那些操作，因?yàn)榍疤釛l件的變化，可能實(shí)現(xiàn)許多先前不可能實(shí)現(xiàn)的滲透任務(wù)。此外，還這個(gè)階段，還有一些有用的攻擊方法也是比較有效的，比如Sniffer嗅探、跳板攻擊、 IP欺騙、ARP欺騙與MITM(中間人)攻擊等，都可以幫我們實(shí)現(xiàn)某些特定滲透結(jié)果。 滲透測(cè)試流程滲透測(cè)試與安全風(fēng)險(xiǎn)評(píng)估、安全加固等安全服務(wù)一樣，在具體實(shí)施中都有可能帶來(lái)一些負(fù)面風(fēng)險(xiǎn)，因此一個(gè)嚴(yán)格的有效的實(shí)施流程是保證滲透測(cè)試正常實(shí)施的關(guān)鍵，安全滲透測(cè)試服務(wù)嚴(yán)格遵循以下的項(xiàng)目實(shí)施流程： 制定方案并獲得授權(quán)合法性即客戶書(shū)面授權(quán)委托并同意實(shí)施方案，這是進(jìn)行滲透測(cè)試的必要條件。滲透測(cè)試首先必須將實(shí)施方法、實(shí)施時(shí)間、實(shí)施人員、實(shí)施工具等具體的實(shí)施方案提交給客戶，并得到客戶的書(shū)面委托和授權(quán)。實(shí)施方案大致包括下面幾方面的內(nèi)容：178。 項(xiàng)目基本情況及目標(biāo)介紹178。 滲透測(cè)試實(shí)施方案及計(jì)劃178。 滲透測(cè)試成果的審核確認(rèn)應(yīng)該做到客戶對(duì)滲透測(cè)試所有細(xì)節(jié)和風(fēng)險(xiǎn)的知曉、所有過(guò)程都在客戶的控制下進(jìn)行，這也是專業(yè)滲透測(cè)試服務(wù)與黑客攻擊入侵的本質(zhì)不同。 信息收集分析信息收集是每一步滲透攻擊的前提，通過(guò)信息收集尋找滲透測(cè)試的突破口并細(xì)化滲透測(cè)試方案，有針對(duì)性地制定模擬攻擊測(cè)試計(jì)劃。信息收集主要涉及如下內(nèi)容：178。 域名及IP分布178。 網(wǎng)絡(luò)拓補(bǔ)、設(shè)備及操作系統(tǒng)OS178。 端口及服務(wù)情況178。 應(yīng)用系統(tǒng)情況178。 最新漏洞情況178。 其它信息（如服務(wù)器管理員的相關(guān)信息等） 滲透測(cè)試方案細(xì)化根據(jù)預(yù)攻擊階段信息收集的結(jié)果，對(duì)滲透測(cè)試方案進(jìn)行細(xì)化，主要是具體漏洞細(xì)節(jié)及針對(duì)這些漏洞的可能采用的測(cè)試手段，詳細(xì)時(shí)間安排，以及可能帶來(lái)的風(fēng)險(xiǎn)，需要客戶配合或關(guān)注的地方等。方案細(xì)化后再次知會(huì)客戶并取得客戶同意授權(quán)才能進(jìn)行下一步操作。 滲透測(cè)試的實(shí)施在取得客戶同意后，開(kāi)始具體的實(shí)施過(guò)程，包括如下幾方面內(nèi)容：178。 獲得目標(biāo)系統(tǒng)權(quán)限178。 后門木馬植入，保持控制權(quán)178。 跳板滲透，進(jìn)一步擴(kuò)展攻擊成果178。 獲取敏感信息數(shù)據(jù)或資源在實(shí)施過(guò)程中，特別提請(qǐng)注意的是采取的滲透測(cè)試技術(shù)及手段一定不能導(dǎo)致對(duì)象的業(yè)務(wù)中斷和工作異常，必須對(duì)對(duì)象的狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)控，必要的情況下可以要求客戶協(xié)助進(jìn)行。 滲透測(cè)試報(bào)告滲透測(cè)試之后，針對(duì)每個(gè)系統(tǒng)需要向客戶提供一份滲透測(cè)試報(bào)告《相關(guān)系統(tǒng)網(wǎng)絡(luò)滲透測(cè)試報(bào)告》，報(bào)告十分詳細(xì)的說(shuō)明滲透測(cè)試過(guò)程中的得到的數(shù)據(jù)和信息，并且將會(huì)詳細(xì)的紀(jì)錄整個(gè)滲透測(cè)試的全部操作。滲透測(cè)試報(bào)告應(yīng)包含如下內(nèi)容：滲透結(jié)論包括目標(biāo)系統(tǒng)的安全狀況、存在的問(wèn)題、滲透測(cè)試的結(jié)果等滲透測(cè)試項(xiàng)目的介紹包括項(xiàng)目情況、時(shí)間、參與人員、操作地點(diǎn)等滲透測(cè)試過(guò)程包括滲透測(cè)試的各個(gè)實(shí)施階段中的方法、工具、技術(shù)及其操作細(xì)節(jié)等滲透測(cè)試的證據(jù)滲透測(cè)試的一些過(guò)程及證明文件解決方案針對(duì)滲透測(cè)試中發(fā)現(xiàn)的問(wèn)題給出對(duì)應(yīng)的解決辦法和建議附錄部分滲透測(cè)試中的一些其它相關(guān)內(nèi)容，如異常事件的記錄和處理等 三同步工作包括網(wǎng)絡(luò)部、業(yè)務(wù)支撐與信息部，兼顧全部區(qū)公司新上線系統(tǒng)基線達(dá)標(biāo)檢查，新上線設(shè)備安全配置核查，各域新業(yè)務(wù)上線安全檢查。 新業(yè)務(wù)上線安全檢查目標(biāo)在新業(yè)務(wù)上線前，對(duì)相關(guān)的IT設(shè)備、業(yè)務(wù)系統(tǒng)應(yīng)用進(jìn)行安全檢查，確保業(yè)務(wù)系統(tǒng)安全的入網(wǎng)上線，符合集團(tuán)及上級(jí)機(jī)關(guān)的安全要求。 新業(yè)務(wù)上線安全檢查范圍針對(duì)新系統(tǒng)/設(shè)備上線，提供安全檢查技術(shù)服務(wù)，檢查范圍涵蓋新系統(tǒng)/設(shè)備的以下方面：（1） 檢查對(duì)象包括新業(yè)務(wù)系統(tǒng)的應(yīng)用程序代碼、承載新業(yè)務(wù)運(yùn)行的IT設(shè)備，包括網(wǎng)絡(luò)及安全設(shè)備、主機(jī)系統(tǒng)、數(shù)據(jù)庫(kù)和中間件（2） 檢查內(nèi)容包含IT設(shè)備的安全基線配置、安全漏洞 新業(yè)務(wù)上線安全檢查內(nèi)容需提供管理支撐系統(tǒng)上線前安全檢查服務(wù)。（1） 對(duì)現(xiàn)有的核心系統(tǒng)新版本上線進(jìn)行上線前安全檢查：對(duì)管理支撐網(wǎng)所有涉及重要核心系統(tǒng)，包括：網(wǎng)絡(luò)部、業(yè)務(wù)支撐與信息部，兼顧全部區(qū)公司新上線系統(tǒng)基線達(dá)標(biāo)檢查，新上線設(shè)備安全配置核查，各域新業(yè)務(wù)上線安全檢查；（2） 對(duì)新上線的業(yè)務(wù)系統(tǒng)及新上線設(shè)備提供以下服務(wù)：① 安全漏洞檢查，提供加固建議；② 安全配置合規(guī)檢查，依據(jù)集團(tuán)安全配置規(guī)范，并提供相關(guān)系統(tǒng)的針對(duì)性加固規(guī)范書(shū)；③ 應(yīng)用系統(tǒng)配置安全檢查；④ 新上線業(yè)務(wù)如有互聯(lián)網(wǎng)IP，須在互聯(lián)網(wǎng)滲透測(cè)試；⑤ 新業(yè)務(wù)的安全域規(guī)劃和邊界訪問(wèn)控制策略；⑥ 網(wǎng)絡(luò)改造協(xié)助提供安全審計(jì)、建議和整改方案；⑦ 新上線業(yè)務(wù)如有web網(wǎng)站，對(duì)網(wǎng)站程序全面檢查，提供應(yīng)用安全加固建議； 安全運(yùn)維 執(zhí)行運(yùn)維作業(yè)計(jì)劃定期巡檢設(shè)備，每周一次。執(zhí)行天、周、月作業(yè)計(jì)劃。定期開(kāi)展設(shè)備升級(jí)和安全加固工作。 設(shè)備運(yùn)行運(yùn)維網(wǎng)絡(luò)部、業(yè)務(wù)支撐與信息系統(tǒng)部安全設(shè)備運(yùn)行運(yùn)維，提供安全事態(tài)周，月，季度報(bào)表并匯總輸出，分析安全事態(tài)提供決策依據(jù)，及時(shí)處理安全事件；安全漏洞監(jiān)測(cè)及新漏洞通告服務(wù)，安全預(yù)警服務(wù)，應(yīng)急演練，應(yīng)對(duì)上級(jí)安全檢查準(zhǔn)備工作。安全集中整合平臺(tái)（包括漏洞掃描器、防病毒和補(bǔ)丁、WEB安全監(jiān)測(cè)系統(tǒng)、web防篡改、SOC、安全域網(wǎng)絡(luò)設(shè)備）；垃圾短信攔截平臺(tái)協(xié)助運(yùn)維；重要系統(tǒng)IDS、流量清洗設(shè)備運(yùn)維（IDS、