【正文】 應急響應和演練解決方案 應急響應時間表安全事件應急響應時間如下：級別事件定義電話響應時限現場響應時限專家響應時限緊急網站被篡改或被攻擊，網站被仿冒；某個業(yè)務全部癱瘓，重要數據丟失或被篡改，核心網絡流量嚴重異?；虬c瘓等。216。 應用系統(tǒng)216。在得到有關工作人員的授權并在有關人員的監(jiān)督下對服務器系統(tǒng)進行如下幾個方面的檢查：216。在對系統(tǒng)進行安全掃描之后將得到主機安全掃描評估記錄，該文檔將作為整體評估服務的一個重要來源和依據。：不管如何處置，一般資產面臨的風險總是在一定程度上存在。例如，如果以相對較低的花費可以大大減小風險的程度，則應選擇實施這樣的處置方法。在本項目中我們采取工具評估，人工評估，滲透測試三種方式相結合的手段來進行綜合安全風險評估，本節(jié)主要介紹工具評估和人工評估，滲透測試將在后續(xù)章節(jié)專門介紹。 中等級：介于高等級和低等級之間，一般為不能直接被威脅利用，要和其他弱點組合才能造成影響，或可以直接被威脅利用但只能引起中等的影響。216。216。安全管理評估標準是審核系統(tǒng)安全管理與信息安全管理規(guī)范的符合程度，具體標準如下：216。數據安全的評估標準是：216。216。 運行環(huán)境采取冗余措施：運行環(huán)境應采取的冗余措施包括數據存儲設備、主機運行環(huán)境、網絡傳輸通道等。 應用系統(tǒng)安全脆弱性評估應用軟件的安全目標是：保障業(yè)務系統(tǒng)正常運行，防止應用系統(tǒng)遭受外部和內部的破壞和濫用，避免和降低對業(yè)務系統(tǒng)的損害。專家評估與工具掃描相結合，可以完成許多工具所無法完成的事情，從而得出全面的、客觀的評估結果。采用以下方法獲得主機系統(tǒng)的安全弱點：216。 工具掃描：通過網絡掃描器對網絡設備進行漏洞掃描，發(fā)現安全漏洞和不當的配置。采用以下工作方法來達成上述目標：216。216。提供全面的多種方法對信息系統(tǒng)進行脆弱性評估，包括安全管理和安全技術各層面的脆弱性識別：216。威脅的可能性賦值標準參照下表：賦值描述說明5幾乎肯定預期在大多數情況下發(fā)生，不可避免；或者可以證實經常發(fā)生（90%）4很可能在大多數情況下，很有可能會發(fā)生；或者可以證實發(fā)生過（50% ~ 90%）3可能在某種情況下或某個時間，可能會發(fā)生（20% ~ 50%）2不太可能發(fā)生的可能性很小，不太可能（20%）1罕見僅在非常例外的情況下發(fā)生，非常罕見，幾乎不可能（0%~1%）威脅的影響賦值參考下表：賦值簡稱說明4VH資產全部損失，或資產已不可用（75%）3H資產遭受重大損失（50% ~ 75%）2M資產遭受明顯損失（25% ~ 50%）1L損失可忍受（25%）0N損失可忽略（~0%） 脆弱性評估脆弱性評估也稱為弱點評估，是安全風險評估中最主要的內容。 資產的吸引力和暴光程度，組織的知名度，主要在考慮人為故意威脅時使用；216。根據上述對安全威脅來源和安全威脅種類的分類，可用下表列舉所有安全威脅。越權或濫用通過采用一些措施，超越自己的權限訪問了本來無權訪問的資源；或者濫用自己的職權，做出破壞信息系統(tǒng)的行為。第三方第三方合作伙伴和供應商，包括業(yè)務合作伙伴以及軟件開發(fā)合作伙伴、系統(tǒng)服務商、服務商和產品供應商；包括第三方惡意的和無惡意的行為。此外，由于當前系統(tǒng)許多關鍵的業(yè)務系統(tǒng)建立和運行在數據庫平臺上，如果數據庫安全無法保證，應用系統(tǒng)尤其是信息資源也會被非法訪問或破壞，選擇和建立安全的數據庫系統(tǒng)十分重要。操作系統(tǒng)自身的脆弱性將直接影響到其上的所有的應用系統(tǒng)的安全性。這將導致對安全威脅的認識出現偏差。產生安全威脅的主要因素可以分為人為因素和環(huán)境因素。一般通過加強系統(tǒng)的管理和設計來提高可用性。l 機密性（Confidentiality）機密性是指只有授權用戶才可以訪問數據信息，用于防止未授權用戶訪問或復制數據。例如，下表是常用的一種數據分類方法：簡稱解釋/舉例公開Public不要任何保密機制和措施，可以公開使用（例如產品發(fā)表新聞等）。網絡服務NET各種網絡設備、設施提供的網絡連接服務安全服務SEC為保護自身和其它信息資產而建立的保護措施，例如防火墻訪問控制服務、入侵檢測服務、認證、審計、顧問等。另外，對于重要的軟件下載服務，完整性也同樣重要。為此，有必要實現信息資產界定和賦值過程的標準化，以便在所有項目參與者中形成一個共同的知識基礎。 《業(yè)務應用調查表》 資產賦值 基本概念資產是企業(yè)、機構直接賦予了價值因而要保護的東西。 防火墻系統(tǒng)調查216。 通信和運營管理 216。l 其他工作人員對以上人員不能回答的調查表中涉及的問題，要找其他相關的工作人員進行補充，已達到能夠完全對信息系統(tǒng)安全情況徹底了解的目的?？紤]到安全評估服務的特殊性，安全服務項目師將盡可能與用戶密切配合，根據對用戶環(huán)境和安全求進行相當全面和細致的調查，以便準確理解用戶求，全面實現安全服務保護用戶系統(tǒng)的目的。在較高的安全水平上面，獲得微小的提高可能要的巨大開銷，甚至開銷超出了所保護資產的價值。風險管理是良好管理的一個組成部分，它用一種將損失減小到最低程度而使商業(yè)機會達到最大限度的方式，對與機構的任何活動、功能和過程相關的風險進行環(huán)境建立、鑒定、分析、評價、處理、監(jiān)控和信息交流。 支持的主流框架（Framework）Struts 、Spring、Ibatis、GWT、Hiberante、Enterprise Libraries、Telerik、ComponentArt、Infragistics、FarPoint，、 [*] 、MFC，并可針對客戶特定框架快速定制支持。 業(yè)務邏輯和架構風險調查該產品服務可以對所有審計代碼的任意一個代碼元素（詞匯）做動態(tài)的數據影響、控制影響和業(yè)務邏輯研究和調查。讓用戶知道工具已經做了那些工作，沒有做那些該工作。 工具學習、培訓和使用的成本少，最小化影響開發(fā)進度由于編譯器、操作系統(tǒng)和開發(fā)環(huán)境獨立，使用者無去學習每種平臺下如何去編譯代碼，安全服務代碼、如何審計測試代碼，無去看每種平臺下繁瑣的使用手則。、道瓊斯（新聞集團）、雅高、NDS公司、美國陸軍、Amdocs等都在采用這種新一代的靜態(tài)分析技術做源代碼安全檢測和風險評估?；谡Z法的解析路徑是可以描繪出路徑來的，但要計算每個路徑上的變量在使用前后的值，并跟蹤,目前采用的算法幾乎不可能，就是上面的程序也要花費相當長的時間，幾乎無法接受。為降低應用系統(tǒng)的安全風險，減少軟件代碼編寫中可能出現的安全漏洞，提高應用系統(tǒng)自身安全防護能力，軟件的應用方越來越依賴于采用源代碼安全審計工具在軟件開發(fā)的過程中去幫助軟件開發(fā)團隊快速查找、定位、修復和管理軟件代碼安全問題，應用靜態(tài)源代碼安全審計的的主要價值在于能夠快速、準確地查找，定位和修復軟代碼中存在的安全風險，增加工具投資所帶來的最大效益，節(jié)約代碼安全分析的成本，最終開發(fā)安全的軟件?？梢杂腥N形式1)直接溝通的渠道，并在項目出現難題的過程中保持合理溝通。選擇在系統(tǒng)最不繁忙業(yè)務量最小的時候進行，如凌晨12點之后。通常，攻擊者使用一個偷竊帳號將DDoS主控程序安裝在一個計算機上，在一個設定的時間主控程序將與大量代理程序通訊，代理程序已經被安裝在網絡上的許多計算機上。 檢查應用系統(tǒng)架構,防止用戶繞過系統(tǒng)直接修改數據庫；216。許多基于網站的電子商務應用程序用隱藏字段來存儲商品價格、用戶名、密碼等敏感內容。 其他軟件編寫錯誤及漏洞的尋找及審查。p在這一階段，主要會用到以下技術或工具：主要包括網絡信息，如網絡拓補、IP及域名分布、網絡狀態(tài)等服務器信息，如OS信息、端口及服務信息、應用系統(tǒng)情況等漏洞信息，如跟蹤最新漏洞發(fā)布、漏洞的利用方法等 信息收集信息收集分析幾乎是所有入侵攻擊的前提/前奏/基礎。預攻擊階段（尋找滲透突破口）信息安全是一個整體項目，一個完整和成功的滲透測試案例可能會涉及系統(tǒng)或組織中的多個部門、人員或對象，有助于組織中的所有成員意識到自己所在崗位對系統(tǒng)整體安全的影響，進而采取措施降低因為自身的原因造成的風險，有助于內部安全的提升。工具掃描具有很好的效率和速度，但是存在一定的誤報率和漏報率，并且不能發(fā)現高層次、復雜、并且相互關聯的安全問題；滲透測試的價值直接依賴于實施者的專業(yè)技能和素養(yǎng)但是非常準確，可以發(fā)現系統(tǒng)和組織里邏輯性更強、更深層次的弱點。一次滲透測試過程也就是一次黑客入侵實例，其中所利用到的攻擊滲透方法，也是其它具備相關技能的攻擊者所最可能利用到的方法；由滲透測試結果所暴露出來的問題，往往也是一個企業(yè)或組織中的安全最短木板，結合這些暴露出來的弱點和問題，可以協助企業(yè)有效的了解目前降低風險的最迫切任務，使在網絡安全方面的有限投入可以得到最大的回報。工具掃描具有很好的效率和速度，但是存在一定的誤報率，不能發(fā)現高層次、復雜的安全問題；滲透測試對測試者的專業(yè)技能很高（滲透測試報告的價值直接依賴于測試者的專業(yè)技能），但是非常準確，可以發(fā)現邏輯性更強、更深層次的弱點。2 滲透測試解決方案 滲透測試簡介 滲透測試概念滲透測試（Penetration Test）, 是完全模擬黑客可能使用的攻擊技術和漏洞發(fā)現技術，對目標系統(tǒng)的安全做深入的探測，發(fā)現系統(tǒng)最脆弱的環(huán)節(jié)。年安全技術服務技術建議書二○一五年十二月 目 錄1. 項目概況簡述 1 項目原則 12. 項目解決方案 1 滲透測試解決方案 2 代碼審計服務解決方案 13 基礎設備安全評估解決方案 20 應急響應和演練解決方案 50 APP安全評估解決方案 53 安全加固整改建議解決方案 60 新業(yè)務上線安全檢查解決方案 67 安全培訓解決方案 673. 項目實施方案 70 項目組成員 70 項目分工界面 73 工作量的計算方法及依據 78 項目進度 78 項目質量保證措施 804. 項目售后服務 865. 安全工具簡述 86 滲透測試工具 86 代碼審計工具 94106 / 1081. 項目概況簡述1 項目原則安全服務的方案設計與具體實施滿足以下原則：（1） 保密原則：對服務的過程數據和結果數據嚴格保密，未經授權不得泄露給任何單位和個人，不得利用此數據進行任何侵害求方網絡的行為，否則求方有權追究的責任。滲透測試：主要通過對目標系統(tǒng)信息的全面收集、對系統(tǒng)中網路設備的探測、對服務器系統(tǒng)主機的漏洞掃描、對應用平臺及數據庫系統(tǒng)的安全性掃描及通過應用系統(tǒng)程序的安全性滲透測試等手段來完成對整個系統(tǒng)的安全性滲透檢測。 滲透測試特點入侵者的攻擊入侵要利用目標網絡的安全弱點，滲透測試也是同樣的道理。 滲透測試流程和授權 滲透測試流程 滲透測試授權測試授權是進行滲透測試的必要條件。178。通過對網絡信息收集分析，可以相應地、有針對性地制定模擬黑客入侵攻擊的計劃，以提高入侵的成功率、減小暴露或被發(fā)現的幾率。p緩沖區(qū)溢出攻擊 不同網段間的滲透 這種滲透方式是從某內/外部網段，嘗試對另一網段/Vlan進行滲透。惡意用戶通過操作隱藏字段內容達到惡意交易和竊取信息等行為，是一種非常危險的漏洞。 檢查身份認證模塊，用以防止非法用戶繞過身份認證；216。代理程序收到指令時就發(fā)動攻擊。 攻擊策略集選擇2) 系統(tǒng)恢復全程監(jiān)控：優(yōu)點是全過程都能完整記錄。3) 代碼審計原理靜態(tài)源代碼審計是近年被人提及較多的軟件應用安全解決方案之一。因此目前許多靜態(tài)工具只是把感染的路徑找到，但不計算和不作比較，要借助人工去分辨所有可能的情況，這就是誤報率非常高的原因。至今，改代碼審計產品的客戶量數目龐大，其中包括涉及電信、金融銀行、保險、汽車、媒體娛樂、軟件、服務和軍事等行業(yè)的財富1000的企業(yè)。因為該服務只要提供源代碼即可審計，并給出精確的審計結果。而不是給用戶一個黑匣子，用戶無法了解工具的細節(jié)和缺陷，無法在代碼審計過程中規(guī)避工具的風險（比如漏報和誤報），比如利用人工或者其它手段查找工具不能定位的問題。分析代碼邏輯和架構特有的安全風險，并最后定義規(guī)則精確查找這些風險。 服務獨立，全面的團隊審計支持作為服務器運行。風險管理既是為了發(fā)現商業(yè)機會，同樣也是為了避免或減輕損失。經過精細的資產評估和風險評估，企業(yè)就可以在投資提升安全降低風險、承受風險、轉移風險等做出正確的選擇。安全評估服務將針對用戶環(huán)境中的網絡系統(tǒng)、服務器系統(tǒng)、應用系統(tǒng)以及數據系統(tǒng)等進行安全審計和操作、修復工作，因此用戶求調查也針對這些方面進行。 調查方式采用非現場問卷調查方式和現場勘查相結合的方式進行。 訪問控制 216。 數據庫存系統(tǒng)調查216。它可能是以多種形式存在，有無形的、有有形的，有硬件、有軟件，有文檔、代碼，也有服務、企業(yè)形象等。 資產分類參照BS7799對信息資產的描述和定義，將信息相關資產按照下面的分類方法：類別簡稱解釋/示例服務ServiceWWW、SMTP、POPFTP、MRPII、DNS、呼叫中心、內部文件服務、內部BBS、網絡連接等數據（電子媒介）Data源代碼、各種數據資料、運行管理規(guī)程、計劃、報告、用戶手冊等軟件Software應用軟件、系統(tǒng)軟件、開發(fā)工具和資源庫等硬件Hardware計算機硬件、路由器、交換機、程控交換機、布線等文檔（紙質）Document文件、傳真、電報、財務報告、發(fā)展計劃設備Facility電源、空調、食品柜、文件柜等人員HR各級雇員和雇主、合同方雇員其它Other企業(yè)形象，客戶關系等下面重點描述服務、數據和軟件等三種與網絡安全最為直接相關的信息資產類別。例如，著名安全軟件TCPWrapper作者的站點被入侵，軟件被植入木馬程序后被廣泛下載使用，造成非常重大的影響和損失。安全服務 SEC