【正文】 在項目實施過程中，當出現(xiàn)范圍變更需求時，變更申請人應(yīng)填寫《變更申請單》 ，闡述變更內(nèi)容和理由，并進行詳細的變更影響分析，分析包括但不限于變更可能對項目的人員、時間、預(yù)算以及項目成果落實所造成的改變，以及對這些的改變的應(yīng)對措施。? 項目支持小組：主要由項目實施過程中，服務(wù)賣方提供的遠程技術(shù)支持力量，負責遠程協(xié)助和支持。 《風險處置建議計劃》：綜合報告后的輔助報告，通過綜合分析，了解了當前的安全現(xiàn)狀，提出了針對當前問題的信息系統(tǒng)總體安全解決方案。某些風險可能在選擇了新的安全措施后，殘余風險的風險評估結(jié)果仍處于不可接受范圍內(nèi)，應(yīng)考慮是否接受此風險或進一步增加相應(yīng)的安全措施。某些風險可能在選擇了適當?shù)目刂拼胧┖笕蕴幱诓豢山邮艿娘L險范圍內(nèi)，應(yīng)通過管理層依據(jù)風險接受的原則，考慮是否接受此類風險或增加控制措施。3. 計算風險值根據(jù)計算出的安全事件發(fā)生的可能性以及安全事件的損失，計算風險值，即：風險值 = R（安全事件發(fā)生的可能性，安全事件的損失）= R（L（Ta ，Vb ） ，F(xiàn)（Ia， Va） ）. 步驟二：進行風險結(jié)果判定確定風險數(shù)值的大小不是組織風險評估的最終目的，重要的是明確不同威脅對資產(chǎn)所產(chǎn)生的風險的相對值，即要確定不同風險的優(yōu)先次序或等級，對于風險級別高的資產(chǎn)應(yīng)被優(yōu)先分配資源進行保護。因此，風險和具體的資產(chǎn)、其價值、威脅等級以及相關(guān)的弱點直接相關(guān)。在 HTTP GET 字符串例如，超長的參數(shù)（2048 字符） 、SQL 語句/注入（或 OS 注入?yún)?shù)）中傳輸惡意內(nèi)容時，Web 服務(wù)將會受到攻擊。Web服務(wù)測試XML架構(gòu)測試XML 需要有合法的格式才能正確的運作。允許用戶存儲數(shù)據(jù)的 Web 應(yīng)用程序都有可能遭受這種類型的攻擊。本項測試鑒定應(yīng)用程序是否存在這種漏洞。多因素認證漏洞測試多因素身份驗證將測試以下認證方式的安全性：一次性密碼（OTP）所生成的驗證碼，USB 加密設(shè)備基于 證書的智能卡通過 SMS 發(fā)送的隨機一次性密碼只有合法用戶知道的個人信息會話管理測試會話管理測試本項測試分析會話管理模式和機制，鑒定發(fā)送給客戶端瀏覽器的會話驗證碼的安全性，鑒定是否能夠打破這一機制從而繞過用戶會話。認證測試用戶枚 本項測試為了驗證是否可能通過與應(yīng)用程序的25 / 51舉測試 認證機制交互（提示信息） ，收集有效的用戶。文件擴展名也可能暴露與該應(yīng)用程序相連接的其它系統(tǒng)。數(shù)據(jù)庫監(jiān)聽器（DB Listener）測試許多數(shù)據(jù)庫管理員在配置數(shù)據(jù)庫服務(wù)器時，沒有充分考慮到數(shù)據(jù)庫偵聽器組件的安全。23 / 51應(yīng)用程序發(fā)現(xiàn)本項測試發(fā)現(xiàn)以 web 服務(wù)器的網(wǎng)頁應(yīng)用作為目標。20 / 51圖 1 滲透測試流程. 滲透測試工具工具類型 測試工具名稱信息收集工具搜索引擎：Google 、百度、 Bing 等DNS 工具：Nslookup 、DIG、DNSmap 等信息探索工具：matigoo在線網(wǎng)絡(luò)數(shù)據(jù)庫：APNIC、Ripe、Sucuri、Netcraft 等21 / 51漏洞掃描工具天鏡 、Nmap 、SuperScan、Nessus 等口令猜測工具Hydra溢出測試工具MetaSploit 工具集腳本測試工具天鏡 、JbroFuzz 等網(wǎng)銀客戶端安全測試工具鉤子工具，有 RING3 鉤子、RING0 鉤子；客戶端修改程序工具：內(nèi)存讀取測試工具：WinHex ；屏幕截圖和屏幕錄像工具；截取發(fā)包測試工具：WinsockExpert逆向測試工具：Ollydbg. 滲透測試內(nèi)容通過可控的安全測試技術(shù)對限定范圍內(nèi)的應(yīng)用系統(tǒng)進行滲透測試，同時結(jié)合業(yè)界著名的 OSSTMM 與 OWASP 測試框架組合成最佳實踐進行操作。腳本測試腳本測試專門針對 Web 服務(wù)器進行。猜解成功后將繼續(xù)對系統(tǒng)進行滲透測試，挖掘嵌套在登錄口背后的漏洞、尋找新的突破口以及可能泄漏的敏感信息，并評估相應(yīng)的危害性。17 / 51. 階段輸出本階段完成后主要輸出文檔如下：? 《脆弱性賦值列表》? 《已有安全措施列表》. 階段 5：滲透測試方案通過各種安全掃描工具、手工檢查、網(wǎng)絡(luò)架構(gòu)分析、滲透性測試等技術(shù)手段識別信息系統(tǒng)的各項脆弱點，分析可能存在的系統(tǒng)漏洞，評估系統(tǒng)防入侵、拒絕惡意攻擊、抗風險的能力。15 / 51業(yè)務(wù)流程依據(jù)業(yè)務(wù)過程的數(shù)據(jù)流程評估客戶的業(yè)務(wù)流程，從信息產(chǎn)生到信息消亡整個過程所涉及的業(yè)務(wù)系統(tǒng)。對評估對象的物理網(wǎng)絡(luò)結(jié)構(gòu)，邏輯網(wǎng)絡(luò)結(jié)構(gòu)及網(wǎng)絡(luò)的關(guān)鍵設(shè)備進行評估(基本信息包括網(wǎng)絡(luò)帶寬、協(xié)議、硬件、Inter 接入、地理分布方式和網(wǎng)絡(luò)管理。表格 5 物理安全評估項目名稱 物理安全評估簡要描述 分析物理安全是否滿足相關(guān)的安全標準。? 鄰近攻擊威脅與風險：毀壞設(shè)備和線路、竊取存儲介質(zhì)、偷窺口令等。 . 階段目標通過威脅分析，找出系統(tǒng)目前存在的潛在風險因素，并進行統(tǒng)計，賦值，以便于列出風險。? 審閱已有的針對資產(chǎn)的安全管理規(guī)章、制度。. 階段步驟階段一：根據(jù)項目范圍進行資產(chǎn)分類與識別，包括主機設(shè)備、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫系統(tǒng)、應(yīng)用系統(tǒng)、文檔資產(chǎn)、人員資產(chǎn)等等。實施風險評估是一種戰(zhàn)略性的考慮，其結(jié)果將受到組織的業(yè)務(wù)戰(zhàn)略、業(yè)務(wù)流程、安全需求、系統(tǒng)規(guī)模和結(jié)構(gòu)等方面的影響。每個要素有各自的屬性，資產(chǎn)的屬性是資產(chǎn)價值；威脅的屬性可以是威脅主體、影響對象、出現(xiàn)頻率、動機等；脆弱性的屬性是資產(chǎn)弱點的嚴重程度。資產(chǎn)、威脅、弱點及保護的任何變化都可能帶來較大的風險，因此，為了降低安5 / 51全風險，應(yīng)對環(huán)境或系統(tǒng)的變化進行檢測以便及時采取有效措施加以控制或防范。弱點是物理布局、組織、規(guī)程、人員、管理、硬件、軟件或信息中存在的缺陷與不足，它們不直接對資產(chǎn)造成危害，但弱點可能被環(huán)境中的威脅所利用從而危害資產(chǎn)的安全。2022 年? 由國家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組討論通過的《關(guān)于開展信息安全風險評估工作的意見》 （國信辦[2022]5 號） ，文件要求三年內(nèi)在國家基礎(chǔ)信息網(wǎng)絡(luò)和重要行業(yè)信息系統(tǒng)中普遍推行信息安全風險評估工作。3. 完整性原則項目方案要充分考慮項目所有環(huán)節(jié)，做到統(tǒng)籌兼顧，細節(jié)清楚。4. 最小影響原則項目的所有階段，保證項目實施過程工作對系統(tǒng)正常運行的可能影響降低到最低限度，不會對客戶目前的業(yè)務(wù)系統(tǒng)運行造成明顯的影響。? 中共中央辦公廳國務(wù)院辦公廳《關(guān)于印發(fā) 2022—2020 年國家信息化發(fā)展戰(zhàn)略的通知》 （中辦[2022]11 號文）提出加強信息安全風險評估工作。弱點也稱為“脆弱性”或“漏洞” 。安防措施是阻止威脅、降低風險、控制事故影響、檢測事故及實施恢復(fù)的一系列實踐、程序或機制。風險分析的主要內(nèi)容為：a） 對資產(chǎn)進行識別，并對資產(chǎn)的價值進行賦值；b） 對威脅進行識別，描述威脅的屬性，并對威脅出現(xiàn)的頻率賦值；c） 對脆弱性進行識別，并對具體資產(chǎn)的脆弱性的嚴重程度賦值；d） 根據(jù)威脅及威脅利用脆弱性的難易程度判斷安全事件發(fā)生的可能性；6 / 51e） 根據(jù)脆弱性的嚴重程度及安全事件所作用的資產(chǎn)的價值計算安全事件造成的損失；f） 根據(jù)安全事件發(fā)生的可能性以及安全事件出現(xiàn)后的損失，計算安全事件一旦發(fā)生對組織的影響，即風險值。步驟一：項目組織，確定雙項目組織結(jié)構(gòu)及人員分工。階段二：進行資產(chǎn)識別，分類并賦值。? 與高級主管、業(yè)務(wù)人員、網(wǎng)絡(luò)管理員（系統(tǒng)管理員）等進行交流。11 / 51. 階段步驟威脅識別采用人工審計、安全策略文檔審閱、人員面談、入侵檢測系統(tǒng)收集的信息和人工分析。? 分發(fā)攻擊威脅與風險：在設(shè)備制造、安裝、維護過程中，在設(shè)備上設(shè)置隱藏的后門或攻擊途徑、? 內(nèi)部攻擊威脅與風險：惡意修改數(shù)據(jù)和安全機制配置參數(shù)、惡意建立未授權(quán)連接、惡意的物理損壞和破壞、無意的數(shù)據(jù)損壞和破壞。達成目標 準確把握物理安全中的安全隱患，提出安全建議。)，發(fā)現(xiàn)存在的安全性，合理性，使用效率等方面的問題。目的是了解客戶業(yè)務(wù)流程的安全隱患，協(xié)助客戶進行業(yè)務(wù)流程的安全防護。. 滲透測試方法滲透測試完全模擬黑客的入侵思路與技術(shù)手段，黑客的攻擊入侵需要利用目標網(wǎng)絡(luò)的安全弱點，滲透測試也是同樣的道理。猜解的對象包括：WEB 登錄口、FTP 端口、數(shù)據(jù)庫端口、遠程管理端口等。根據(jù)最新的技術(shù)統(tǒng)計，腳本安全弱點為當前 Web 系統(tǒng)尤其存在動態(tài)內(nèi)容的 Web 系統(tǒng)存在的主要比較嚴重的安全弱點之一。本次滲透測試將參考 OSSTMM 測試框架中的以下技術(shù)方法：? 信息收集和狀態(tài)評估? 網(wǎng)絡(luò)節(jié)點枚舉和探測? 系統(tǒng)服務(wù)和端口掃描驗證? 應(yīng)用層測試? 漏洞挖掘與驗證本次滲透測試將參考 OWASP 2022 最新發(fā)布的十大 Web 應(yīng)用漏洞排名，并使用測試框架中相應(yīng)的技術(shù)方法：? SQL 注入? 跨站腳本（XSS）22 / 51? 惡意文件執(zhí)行? 不安全的直接對象引用? 跨站請求偽造（CSRF）? 信息泄漏和錯誤處理不當? 認證和會話管理失效? 不安全的加密存儲? 不安全的通訊? URL 訪問失效. 滲透測試試用例庫為保證滲透測試內(nèi)容的全面性以及測試漏洞的深入挖掘，啟明星辰總結(jié)了多年的滲透測試經(jīng)驗與豐富的滲透測試用例，以下是啟明星辰用于 Web 應(yīng)用層滲透測試的用例庫，測試條目涵蓋了全面/最新的 Web 應(yīng)用層漏洞與測試方法，將根據(jù)不同應(yīng)用系統(tǒng)的特性進行有針對性的匹配測試。本項測試對于發(fā)現(xiàn)細節(jié)/尋找突破尤為有效，比如發(fā)現(xiàn)用于管理的應(yīng)用腳本，或舊版本的文件/控件，在測試、開發(fā)或維護過程中產(chǎn)生的已不用的腳本。如果沒有進行安全的配置而使用手動或自動的技術(shù)進行偵聽，偵聽器就可能泄露敏感數(shù)據(jù)以及配置信息或正在運行的數(shù)據(jù)庫實例信息。舊文件、備份文件、未引用文件測試Web 服務(wù)器上存在多余的、可讀、可下載的文件，并且用于備份的文件，是信息泄漏的一大源頭。這項測試好于暴力破解，一旦獲取有效的用戶名后，就可針對性的進行密碼攻擊。如：對Cookie 實行反向工程，通過篡改 Cookies 來劫持會26 / 51話。路徑遍歷測試本項測試鑒定是否能夠找到一種方法來執(zhí)行路徑遍歷攻擊并獲成功得服務(wù)器返回的信息。SQL 注入測試（Oracle Mysql MsSQL Access）SQL 注入測試檢測是否有可能將數(shù)據(jù)注入到應(yīng)用程序中，以便在后端數(shù)據(jù)庫中執(zhí)行用戶定制的SQL 查詢。當服務(wù)器端進行 XML 語句分析時，不合規(guī)格的 XML 將會出錯。Naughty SOAP 附件本項測試將檢測接受附件的 Web 服務(wù)的是否存在漏洞。從上述的定義可以看出，風險評估的策略是首先選定某項資產(chǎn)、評估資產(chǎn)價值、挖掘并評估資產(chǎn)面臨的威脅、挖掘并評估資產(chǎn)存在的弱點、評估該資產(chǎn)的風險、進而得出整個評估目標的風險。風險等級建議從1到5劃分為五級。為確保所選擇控制措施的有效性，必要時可進行再評估，以判斷實施控制措施后的殘余風險是否是可被接受的。在選擇和實施風險控制措施時，應(yīng)兼顧管理與技術(shù)，具體針對各類風險應(yīng)根據(jù)組織的實際情況考慮以下十一個方面的控制：安全方針、組織安全、資產(chǎn)的分類與控制、人員安全、物理與環(huán)境安全、通訊與運作管理、訪問控制、系統(tǒng)的開發(fā)與維護、業(yè)務(wù)持續(xù)性管理、信息安全事件管理、符合性。. 項目驗收對項目計劃與成果目標進行驗收。? 質(zhì)量控制：主要有項目商務(wù)和售前作為質(zhì)量監(jiān)督和控制，有權(quán)對項目實施進行建議和實施工作的改進。項目經(jīng)理、項目領(lǐng)導(dǎo)小組將基于這些信息，綜合考慮項目各方面情況，對范圍變更提出決策意見。為實現(xiàn)對范圍變更的嚴格控制，變更需要通過書面的方式進行記錄，并在對其可能的影響進行充分分析，綜合各方面情況做出決策。? 項目實施小組：由信息安全服務(wù)提供商技術(shù)人員組成，負責安全產(chǎn)品集成的具體實施。 《脆弱性掃描分析報告》：脆弱性評估報告的子報告，主要描述通過工具掃描之后，對評估范圍內(nèi)的資產(chǎn)脆弱性進行統(tǒng)計，重在描述高風險、中風險、低風險的數(shù)量以及百分比等情況。殘余風險的評估可以依據(jù)本標準的風險評估流程實施，也可做適當裁減。殘余風險的評價可以依據(jù)組織風險評估的準則進行，考慮選擇的控制措施和已有的控制措施對于威脅發(fā)生的可能性的降低。不同安全事件對組織造成的影響也是不一樣的，在計算某個安全事件的損失時，應(yīng)將對組織的影響也考慮在內(nèi)。29 / 51. 階段 6：風險綜合分析風險是一種潛在可能性，是指某個威脅利用弱點引起某項資產(chǎn)或一組資產(chǎn)的損害，從而直接地或間接地引起企業(yè)或機構(gòu)的損害。HTTP GET 參數(shù)/REST 測試許多 XML 應(yīng)用程序是通過 HTTP GET 查詢傳輸參數(shù)來使用的。Web服務(wù)信息收集進行 Web 服務(wù)測試的第一步是確定 WS 入口點和鏈接圖標。27 / 51存儲跨站腳本測試儲存式跨站腳本（XSS）是一種最危險的跨站腳本。CSRF跨站請求偽造測試跨站偽造請求指在 Web 應(yīng)用中，迫使已通過驗證的未知用戶執(zhí)行非法請求的方法。用戶注銷緩存漏洞測試檢查注銷和緩存功能能否得到正確實現(xiàn)。證書加密通道傳輸安全性測試本項測試試圖分析用戶輸入 Web 表單中的數(shù)據(jù)，如為了登錄網(wǎng)站而輸入的登錄憑據(jù)是否使用了安全的傳輸協(xié)議，以免受到攻擊。文件擴展名處理測試通過 Web 服務(wù)器或 Web 應(yīng)用程序上的文件擴展名能夠識別出目標應(yīng)用程序使用的技術(shù)，例如