【正文】 網(wǎng)絡(luò)和通信系統(tǒng)遭受外部和內(nèi)部的攻擊和濫用，避免和降低由于網(wǎng)絡(luò)和通信系統(tǒng)的問(wèn)題對(duì)業(yè)務(wù)系統(tǒng)造成損害的風(fēng)險(xiǎn)；屏蔽系統(tǒng)和應(yīng)用的安全弱點(diǎn)；協(xié)助系統(tǒng)和應(yīng)用進(jìn)行訪問(wèn)控制和安全審計(jì)。所以，在的方法論中，我們會(huì)首先識(shí)別威脅，然后根據(jù)威脅來(lái)識(shí)別弱點(diǎn)。 通過(guò)過(guò)去的安全事件報(bào)告或記錄，統(tǒng)計(jì)各種發(fā)生過(guò)的威脅和其發(fā)生頻率；216。我們用變量T來(lái)表示威脅的可能性，它可以被賦予一個(gè)數(shù)值，來(lái)表示該屬性的程度。抵賴不承認(rèn)收到的信息和所作的操作和交易。無(wú)作為或操作失誤由于應(yīng)該執(zhí)行而沒(méi)有執(zhí)行相應(yīng)的操作，或無(wú)意地執(zhí)行了錯(cuò)誤的操作，對(duì)系統(tǒng)造成影響。 威脅來(lái)源分析信息系統(tǒng)的安全威脅來(lái)源可考慮以下方面：威脅來(lái)源威脅來(lái)源描述環(huán)境因素、意外事故或故障由于斷電、靜電、灰塵、潮濕、溫度、鼠蟻蟲害、電磁干擾、洪災(zāi)、火災(zāi)、地震等環(huán)境條件和自然災(zāi)害；意外事故或由于軟件、硬件、數(shù)據(jù)、通訊線路方面的故障。應(yīng)用平臺(tái)軟件處于中間層次，它是在操作平臺(tái)支撐下運(yùn)行的支持和管理應(yīng)用業(yè)務(wù)的軟件，一方面應(yīng)用平臺(tái)軟件可能受到來(lái)自操作平臺(tái)軟件風(fēng)險(xiǎn)的影響，另一方面，應(yīng)用平臺(tái)軟件的任何風(fēng)險(xiǎn)可直接危及或傳遞給應(yīng)用業(yè)務(wù)軟件，因此應(yīng)用平臺(tái)軟件的安全特性至關(guān)重要，在提供自身安全保護(hù)的同時(shí)，應(yīng)用平臺(tái)軟件還為應(yīng)用業(yè)務(wù)軟件提供必要的安全服務(wù)功能。l 系統(tǒng)層安全威脅系統(tǒng)層的安全威脅主要從操作系統(tǒng)平臺(tái)的安全威脅進(jìn)行分析。一般來(lái)說(shuō)，威脅總是要利用網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用或數(shù)據(jù)的弱點(diǎn)才可能成功地對(duì)資產(chǎn)造成傷害。上述算式表達(dá)的背后含義是：三個(gè)屬性值每相差一，則影響相差兩倍，以此來(lái)體現(xiàn)最高賦值屬性的主導(dǎo)作用。通常采用加密函數(shù)和散列函數(shù)來(lái)保證數(shù)據(jù)的完整性。安全屬性的不同通常也意味著安全控制、保護(hù)功能求的不同。例如，公司的財(cái)務(wù)信息和薪酬數(shù)據(jù)就是屬于高度機(jī)密性的數(shù)據(jù)。Domino服務(wù)DominoLotus Domino Notes系統(tǒng)是一種群件應(yīng)用，它綜合了數(shù)據(jù)庫(kù)、各種應(yīng)用于一身，專門分類，包括Domino郵件服務(wù)、Domino WWW服務(wù)、Domino名字服務(wù)、以及在Domino之上開發(fā)的其它安全服務(wù)。但是，對(duì)于某些服務(wù)資產(chǎn)，完整性和機(jī)密性也可能成為重要的保護(hù)對(duì)象。例如，某公司重要的市場(chǎng)活動(dòng)策劃方案（數(shù)據(jù)資產(chǎn)），在活動(dòng)開始之前，為達(dá)成市場(chǎng)目標(biāo)，要對(duì)該數(shù)據(jù)資產(chǎn)進(jìn)行機(jī)密性、完整性和可用性方面的保護(hù)。 《設(shè)備調(diào)查表》 216。 硬件和網(wǎng)絡(luò)系統(tǒng)調(diào)查216。 資產(chǎn)分類和管理216。其中包括網(wǎng)絡(luò)設(shè)備的配置情況、使用情況、維護(hù)情況、用戶情況、遠(yuǎn)程控制情況、服務(wù)開啟情況、管理控制情況、路由情況、訪問(wèn)控制列表情況以及交換機(jī)的端口配置情況等信息。在國(guó)際標(biāo)準(zhǔn)ISO15408中，安全模型如下圖所示，其特點(diǎn)是強(qiáng)調(diào)了模型的對(duì)抗性和動(dòng)態(tài)性。如圖所示。提高團(tuán)隊(duì)審計(jì)效率。 審計(jì)性能10萬(wàn)行代碼審計(jì)時(shí)間在10~30分鐘不等，視代碼復(fù)雜度和硬件配置而不同。 安全漏洞覆蓋面廣且全面 (低漏報(bào))數(shù)以百計(jì)的安全漏洞檢查適合任于何組織，支持最新的OWASP 、CWE、SANS、PCI、SOX等國(guó)際權(quán)威組織對(duì)軟件安全漏洞的定義。 編譯器獨(dú)立、開發(fā)環(huán)境獨(dú)立，搭建測(cè)試環(huán)境簡(jiǎn)單快速且統(tǒng)一由于采用了獨(dú)特的虛擬編譯器技術(shù)，代碼審計(jì)不要依賴編譯器和開發(fā)環(huán)境，無(wú)為每種開發(fā)語(yǔ)言的代碼安裝編譯器和測(cè)試環(huán)境，只要通過(guò)客戶端、瀏覽器、開發(fā)環(huán)境服務(wù)插件登錄到管理應(yīng)用 Application服務(wù)器，提供本地代碼審計(jì)代碼的目錄、遠(yuǎn)程代碼目錄、和版本管理代碼目錄（Subversion、CVS，ClearCase即可，審計(jì)代碼無(wú)通過(guò)編譯過(guò)程。 代碼審計(jì)產(chǎn)品簡(jiǎn)介選用的靜態(tài)源代碼安全漏洞審計(jì)和管理方案是業(yè)界最全面的、綜合的源代碼安全審計(jì)和管理方案，該方案提供用戶、角色和團(tuán)隊(duì)管理、權(quán)限管理、審計(jì)結(jié)果管理、審計(jì)調(diào)度和自動(dòng)化管理、審計(jì)資源管理、查詢規(guī)則管理、審計(jì)策略管理、更新管理、報(bào)表管理等多種企業(yè)環(huán)境下實(shí)施源代碼安全審計(jì)和管理功能。在靜態(tài)源代碼審計(jì)技術(shù)上，現(xiàn)在被普遍應(yīng)用的是第一代和第二代技術(shù)。滲透測(cè)試報(bào)告應(yīng)包含如下內(nèi)容：滲透結(jié)論包括目標(biāo)系統(tǒng)的安全狀況、存在的問(wèn)題、滲透測(cè)試的結(jié)果等滲透測(cè)試項(xiàng)目的介紹包括項(xiàng)目情況、時(shí)間、參與人員、操作地點(diǎn)等滲透測(cè)試過(guò)程包括滲透測(cè)試的各個(gè)實(shí)施階段中的方法、工具、技術(shù)及其操作細(xì)節(jié)等滲透測(cè)試的證據(jù)滲透測(cè)試的一些過(guò)程及證明文件解決方案針對(duì)滲透測(cè)試中發(fā)現(xiàn)的問(wèn)題給出對(duì)應(yīng)的解決辦法和建議附錄部分滲透測(cè)試中的一些其它相關(guān)內(nèi)容，如異常事件的記錄和處理等 代碼審計(jì)服務(wù)解決方案依據(jù)集團(tuán)公司、的具體安全規(guī)范和，在業(yè)務(wù)支撐系統(tǒng)規(guī)劃、開發(fā)、建設(shè)、運(yùn)行和退出服務(wù)五個(gè)環(huán)節(jié)全生命周期中加強(qiáng)安全加固和安全管控，以安全控制流程為切入口，逐步建立持續(xù)改進(jìn)的工作機(jī)制。2) 測(cè)試方自控戶方同意之后才可繼續(xù)進(jìn)行。 系統(tǒng)備份1)接下來(lái)，盡最大努力獲取本地權(quán)限，收集本地資料信息，尋求本地權(quán)限升級(jí)的機(jī)會(huì)。 Cookie利用網(wǎng)站應(yīng)用系統(tǒng)常使用cookies 機(jī)制在客戶端主機(jī)上保存某些信息，例如用戶ID、口令、時(shí)戳等。利用腳本相關(guān)弱點(diǎn)輕則可以獲取系統(tǒng)其他目錄的訪問(wèn)權(quán)限，重則將有可能取得系統(tǒng)的控制權(quán)限。一般情況下，如果未授權(quán)，將不會(huì)進(jìn)行此項(xiàng)測(cè)試！ SQL注入攻擊SQL注入常見于應(yīng)用了SQL 數(shù)據(jù)庫(kù)后端的網(wǎng)站服務(wù)器，入侵者通過(guò)提交某些特殊SQL語(yǔ)句，最終可能獲取、篡改、控制網(wǎng)站服務(wù)器端數(shù)據(jù)庫(kù)中的內(nèi)容。 審查代碼中的 SQL 注入漏洞；216。尤其是各個(gè)系統(tǒng)或者是安全服務(wù)的一些默認(rèn)賬號(hào)口令和弱口令賬號(hào)。 后門程序檢查系統(tǒng)開發(fā)過(guò)程中遺留的后門和安全服務(wù)選項(xiàng)可能被入侵者所利用，導(dǎo)致入侵者輕易地從捷徑實(shí)施攻擊。滲透測(cè)試實(shí)際就是一個(gè)模擬黑客攻擊的過(guò)程，因此其的實(shí)施過(guò)程也類似于一次完整的黑客攻擊過(guò)程，我們將其劃分為了如下幾個(gè)階段：正因?yàn)槿绱?，如果換作是一個(gè)對(duì)企業(yè)組織的相關(guān)情況更為了解的內(nèi)部人員來(lái)說(shuō)，結(jié)合滲透測(cè)試中所暴露出來(lái)的某些問(wèn)題，他能更有效和更全面的發(fā)現(xiàn)組織和企業(yè)中一些安全風(fēng)險(xiǎn)及問(wèn)題。 滲透測(cè)試的安全意義模擬入侵者的攻擊方法對(duì)應(yīng)用系統(tǒng)、服務(wù)器系統(tǒng)和網(wǎng)絡(luò)設(shè)備進(jìn)行非破壞性質(zhì)的攻擊性測(cè)試。對(duì)服務(wù)系統(tǒng)提供周期性的安全評(píng)估服務(wù)。主要包括安全管理咨詢服務(wù)和安全技術(shù)評(píng)估服務(wù)。 Exposures公共漏洞和暴露）已經(jīng)發(fā)現(xiàn)的安全漏洞，以及隱患漏洞。在滲透測(cè)試結(jié)束后，客戶信息系統(tǒng)將基本保持一致。組織管理者以案例的形式向相關(guān)人員直觀展示目前企業(yè)或組織的安全現(xiàn)狀，從而增強(qiáng)員工對(duì)信息安全的認(rèn)知程度，提高相關(guān)人員的安全意識(shí)及素養(yǎng)，甚至提高組織在安全方面的預(yù)算。往往來(lái)說(shuō)，滲透測(cè)試的實(shí)施人員并不能完全掌握組織或企業(yè)的全部安全現(xiàn)狀及信息，的滲透測(cè)試行為及方法都是局限于自己所掌握的已有信息，因此暴露出來(lái)的問(wèn)題也是有限的（比如說(shuō)，有些問(wèn)題單純從技術(shù)上來(lái)說(shuō)利用價(jià)值不大，但若是結(jié)合一些管理上的缺陷或者是本身具有的某些其它便利，往往可以導(dǎo)致嚴(yán)重風(fēng)險(xiǎn)）。178。通過(guò)端口掃描，可以基本確定一個(gè)系統(tǒng)的基本信息，結(jié)合測(cè)試人員的經(jīng)驗(yàn)可以確定其可能存在，以及被利用的安全弱點(diǎn)，為進(jìn)行深層次的滲透提供依據(jù)。有用的賬號(hào)口令除了系統(tǒng)賬號(hào)如UNIX賬號(hào)、Windows賬號(hào)外，還包括一些數(shù)據(jù)庫(kù)賬號(hào)、WWW賬號(hào)、FTP賬號(hào)、MAIL賬號(hào)、SNMP賬號(hào)、CVS賬號(hào)以及一些其它應(yīng)用或者服務(wù)的賬號(hào)口令。 審查代碼中的XSS腳本漏洞；216。 溢出測(cè)試當(dāng)測(cè)試人員無(wú)法直接利用帳戶口令登陸系統(tǒng)時(shí)，也會(huì)采用系統(tǒng)溢出的方法直接獲得系統(tǒng)控制權(quán)限，此方法有時(shí)會(huì)導(dǎo)致系統(tǒng)死機(jī)或從新啟動(dòng)，但不會(huì)導(dǎo)致系統(tǒng)數(shù)據(jù)丟失，如出現(xiàn)死機(jī)等故障，只要將系統(tǒng)從新啟動(dòng)并開啟原有服務(wù)即可。根據(jù)最新的統(tǒng)計(jì)，腳本安全弱點(diǎn)為當(dāng)前Web系統(tǒng)，尤其是存在動(dòng)態(tài)內(nèi)容的Web系統(tǒng)比較嚴(yán)重的安全弱點(diǎn)之一。 檢查其他安全威脅； 第三方軟件誤配置第三方軟件的錯(cuò)誤設(shè)置可能導(dǎo)致入侵者利用該漏洞構(gòu)造不同類型的入侵攻擊。 后攻擊階段 權(quán)限提升通過(guò)收集信息和分析，存在兩種可能性，其一是目標(biāo)系統(tǒng)存在重大弱點(diǎn)：測(cè)試人員可以直接控制目標(biāo)系統(tǒng)，然后直接調(diào)查目標(biāo)系統(tǒng)中的弱點(diǎn)分布、原因，形成最終的測(cè)試報(bào)告；其二是目標(biāo)系統(tǒng)沒(méi)有遠(yuǎn)程重大弱點(diǎn)，但是可以獲得遠(yuǎn)程普通權(quán)限，這時(shí)測(cè)試人員可以通過(guò)該普通權(quán)限進(jìn)一步收集目標(biāo)系統(tǒng)信息。對(duì)于不能接受任何可能風(fēng)險(xiǎn)的主機(jī)系統(tǒng)，如可選擇如下保守策略： 系統(tǒng)備份和恢復(fù)并采取必要的預(yù)防措施（比如調(diào)整測(cè)試策略）之后，確保對(duì)系統(tǒng)無(wú)影響，并經(jīng)客監(jiān)控（可能提高滲透測(cè)試的成本）。應(yīng)用比較多的是這種監(jiān)控手段. 滲透測(cè)試報(bào)告滲透測(cè)試之后，針對(duì)每個(gè)系統(tǒng)要向客戶提供一份滲透測(cè)試報(bào)告《XX系統(tǒng)網(wǎng)絡(luò)滲透測(cè)試報(bào)告》，報(bào)告十分詳細(xì)的說(shuō)明滲透測(cè)試過(guò)程中的得到的數(shù)據(jù)和信息，并且將會(huì)詳細(xì)的紀(jì)錄整個(gè)滲透測(cè)試的全部操作?？梢怨?jié)大量的人力和時(shí)間成本，提高開發(fā)效率，并且能夠發(fā)現(xiàn)很多靠人力無(wú)法發(fā)現(xiàn)的安全漏洞，站在黑客的角度上去審查程序員的代碼，大大降低項(xiàng)目中的安全風(fēng)險(xiǎn)，提高軟件質(zhì)量。但是，如果是大量的代碼，復(fù)雜的代碼，傳統(tǒng)的審計(jì)技術(shù)將幾乎不可行，因?yàn)樗鼘⒋罅坷速M(fèi)開發(fā)和安全審計(jì)人員的時(shí)間，有時(shí)人眼也無(wú)能為力。極大的減少了審計(jì)分析的人工勞動(dòng)成本，極大的節(jié)了代碼審計(jì)的時(shí)間，為開發(fā)團(tuán)隊(duì)贏得更多的開發(fā)時(shí)間?？梢岳鄯e試驗(yàn)室的安全研究成果,把實(shí)驗(yàn)室的成果轉(zhuǎn)換成查詢規(guī)則,然后用自動(dòng)化的方式去驗(yàn)證試驗(yàn)室的安全知識(shí)對(duì)實(shí)際系統(tǒng)的應(yīng)用情況。 代碼實(shí)踐的加強(qiáng)內(nèi)置軟件代碼質(zhì)量問(wèn)題檢測(cè)，同時(shí)也提供自定義規(guī)則去驗(yàn)證編程策略和最佳實(shí)踐。 支持多任務(wù)排隊(duì)審計(jì)、并發(fā)審計(jì)、循環(huán)審計(jì)、按時(shí)間調(diào)度審計(jì)。在當(dāng)前信息技術(shù)得到普遍應(yīng)用，并且很多成為關(guān)鍵業(yè)務(wù)系統(tǒng)的環(huán)境下，企業(yè)或組織的信息安全風(fēng)險(xiǎn)很大，而且普遍缺乏有效的控制和管理，但過(guò)度的風(fēng)險(xiǎn)管理，無(wú)疑會(huì)導(dǎo)致大量的金錢和人力的花費(fèi)、和對(duì)工作效率的嚴(yán)重降低。 安全模型在國(guó)際標(biāo)準(zhǔn)ISO13335中，安全模型如下圖所示，特點(diǎn)是以風(fēng)險(xiǎn)為核心。l 網(wǎng)絡(luò)管理員調(diào)查信息系統(tǒng)網(wǎng)絡(luò)拓?fù)?、設(shè)備信息等情況。 組織的安全 216。 符合性216。 《人員調(diào)查表》 216。資產(chǎn)還具有很強(qiáng)的時(shí)間特性，它的價(jià)值和安全屬性都會(huì)隨著時(shí)間的推移發(fā)生變化，所以應(yīng)該根據(jù)時(shí)間變化的頻度制定資產(chǎn)相關(guān)的評(píng)估和安全策略的頻度。通常服務(wù)類資產(chǎn)最為要保護(hù)的安全屬性是可用性。數(shù)據(jù)庫(kù)DB包括各種商業(yè)數(shù)據(jù)庫(kù)產(chǎn)品，例如Oracle，Sybase，SQL Server等，為其它應(yīng)用提供開發(fā)和運(yùn)行平臺(tái)。通常，數(shù)據(jù)類資產(chǎn)要保護(hù)的安全屬性是機(jī)密性。按照軟件所處的層次和功能，可以將軟件資產(chǎn)分為以下子類：簡(jiǎn)稱解釋/舉例系統(tǒng)OS各種操作系統(tǒng)及其各種外掛平臺(tái)，例如Windows 2000，RichWin等應(yīng)用軟件APP各種應(yīng)用類軟件，例如MS Office，財(cái)務(wù)軟件，MIS等開發(fā)環(huán)境DEV各種開發(fā)環(huán)境類軟件，例如MSDN，JAVA開發(fā)環(huán)境、Delphi等數(shù)據(jù)庫(kù)DB各種數(shù)據(jù)庫(kù)類軟件，例如Oracle，DB2，Sybase等工具類TOOL例如Winzip，Ghost等 資產(chǎn)賦值信息資產(chǎn)分別具有不同的安全屬性，機(jī)密性、完整性和可用性分別反映了資產(chǎn)在三個(gè)不同方面的特性。對(duì)于網(wǎng)絡(luò)信息服務(wù)而言，數(shù)據(jù)完整性的重要性有時(shí)高于保密性。為此，在本項(xiàng)目中使用下面的公式來(lái)計(jì)算資產(chǎn)價(jià)值賦值：Asset Value = Round1{Log2[(2Conf+2Int+2Avail)/3]}其中，Conf代表機(jī)密性賦值；Int代表完整性賦值；Avail代表可用性賦值；Round1{}表示四舍五入處理，保留一位小數(shù)；Log2[]表示取以2為底的對(duì)數(shù)。威脅也可能是偶發(fā)的、或蓄意的事件。同時(shí)，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)是否合理，將直接影響整個(gè)網(wǎng)絡(luò)的穩(wěn)定與安全；IP地址規(guī)劃、使用要規(guī)范，否則將導(dǎo)致網(wǎng)絡(luò)難以管理，無(wú)法部署安全設(shè)備、對(duì)攻擊者無(wú)法進(jìn)行追蹤審計(jì)。操作平臺(tái)軟件處于基礎(chǔ)層，維系著系統(tǒng)硬件組件協(xié)調(diào)運(yùn)行的平臺(tái)，其任何風(fēng)險(xiǎn)都可能直接危及或被轉(zhuǎn)移到或延伸到應(yīng)用平臺(tái)軟件。威脅分析方法首先要考慮威脅的來(lái)源，然后分析存在哪些威脅種類，最后做出威脅來(lái)源和威脅種類的交叉表進(jìn)行威脅賦值。物理環(huán)境威脅斷電、靜電、灰塵、潮濕、溫度、鼠蟻蟲害、電磁干擾、洪災(zāi)、火災(zāi)、地震等環(huán)境問(wèn)題和自然災(zāi)害。篡改非法修改信息，破壞信息的完整性。在的方法論中，要對(duì)威脅的可能性進(jìn)行賦值，也就是指威脅發(fā)生的概率和威脅發(fā)生的頻率。216。所以如果沒(méi)有相應(yīng)的威脅發(fā)生，單純的弱點(diǎn)并不會(huì)對(duì)資產(chǎn)造成損害。 數(shù)據(jù)安全脆弱性評(píng)估216。216。216。216。216。n 安全機(jī)制檢查：安全機(jī)制的使用和正常配置，合理配置，及優(yōu)化配置。 軟件本身具有容錯(cuò)能力：軟件應(yīng)具備的容錯(cuò)能力包括錯(cuò)誤處理、數(shù)據(jù)有效性檢驗(yàn)和資源優(yōu)先級(jí)管理等。應(yīng)用軟件評(píng)估的主要工具是檢查表。 和主要設(shè)計(jì)人員進(jìn)行面對(duì)面訪談：通過(guò)和主要設(shè)計(jì)人員進(jìn)行面對(duì)面訪談，在已選擇的適用問(wèn)題表中進(jìn)一步篩選不適用的問(wèn)題，同時(shí)檢查初步回答，并填完整經(jīng)最后篩選的所有檢查表問(wèn)題。216。216。216。 脆弱性賦值弱點(diǎn)的嚴(yán)重性主要是指可能引發(fā)的影響的嚴(yán)重性，因此與影響密切相關(guān)。參考這些業(yè)界通用的弱點(diǎn)嚴(yán)重性等級(jí)劃分標(biāo)準(zhǔn)，我們采用的等級(jí)劃分標(biāo)準(zhǔn)如下：將資產(chǎn)的弱點(diǎn)嚴(yán)重性分為5個(gè)等級(jí)，分別是很高（VH）、高（H）、中等（M）、低（L）、可忽略（N），并且從高到低分別賦值51。安全風(fēng)險(xiǎn)分析包括風(fēng)險(xiǎn)的計(jì)算、風(fēng)險(xiǎn)的處置和風(fēng)險(xiǎn)的安全對(duì)策選擇。：在某些情況下，可以決定通過(guò)制定實(shí)施應(yīng)變計(jì)劃、合同、災(zāi)難恢復(fù)計(jì)劃、資產(chǎn)重新布置等手段來(lái)減小資產(chǎn)價(jià)值本身或風(fēng)險(xiǎn)的后果/影響。工具評(píng)估部分將采用基于網(wǎng)絡(luò)和基于主機(jī)的掃描軟件來(lái)分別進(jìn)行。在掃描過(guò)程中如果出現(xiàn)被評(píng)估系統(tǒng)沒(méi)有響應(yīng)的情況，應(yīng)當(dāng)立即停止掃描工作，與配合的工作人員一起分析情況，在確定原因后，并正確恢復(fù)系統(tǒng)，采取必要的預(yù)防措施（比如調(diào)整掃描策略等）后，才可以繼續(xù)進(jìn)行。 網(wǎng)絡(luò)及服務(wù)216。 《XX系統(tǒng)業(yè)網(wǎng)絡(luò)安全現(xiàn)狀分析》現(xiàn)狀分析將包括專業(yè)系統(tǒng)的描述，對(duì)安全威脅現(xiàn)狀的描述與分析，對(duì)系統(tǒng)脆弱性現(xiàn)狀的描述與分析，對(duì)安全技術(shù)與安全管理現(xiàn)狀的總結(jié)。安全配置檢查不局限于用戶帳號(hào)、用戶密碼、日志管理、遠(yuǎn)程維護(hù)等內(nèi)容，應(yīng)包括服務(wù)器、網(wǎng)絡(luò)設(shè)備、防火墻、數(shù)據(jù)庫(kù)等。如發(fā)生以下情況，可能定義為安全事件：（1） 非授權(quán)訪問(wèn)，通過(guò)入侵的方式進(jìn)入到