【正文】 應(yīng)具備的安全功能包括身份認(rèn)證、訪問控制、數(shù)據(jù)保護(hù)、加密、通信會(huì)話管理、安全審計(jì)和隱私保護(hù)等。216。 軟件本身具有容錯(cuò)能力：軟件應(yīng)具備的容錯(cuò)能力包括錯(cuò)誤處理、數(shù)據(jù)有效性檢驗(yàn)和資源優(yōu)先級(jí)管理等。216。 運(yùn)行環(huán)境提供安全控制：運(yùn)行環(huán)境應(yīng)提供的安全控制包括網(wǎng)絡(luò)、主機(jī)和平臺(tái)提供的身份認(rèn)證、訪問控制、鏈路加密和日志審計(jì)等。216。 運(yùn)行環(huán)境采取冗余措施：運(yùn)行環(huán)境應(yīng)采取的冗余措施包括數(shù)據(jù)存儲(chǔ)設(shè)備、主機(jī)運(yùn)行環(huán)境、網(wǎng)絡(luò)傳輸通道等。216。 軟件運(yùn)作符合安全過程：軟件運(yùn)作應(yīng)符合的安全過程包括開發(fā)文檔、配置管理、測(cè)試、交付與運(yùn)行、指南性文檔和脆弱性分析等。應(yīng)用軟件評(píng)估是指通過對(duì)應(yīng)用系統(tǒng)的網(wǎng)絡(luò)運(yùn)行環(huán)境、主機(jī)平臺(tái)支撐環(huán)境、應(yīng)用軟件安全功能和應(yīng)用軟件生命周期中的安全保證進(jìn)行調(diào)研，從而了解應(yīng)用系統(tǒng)的安全弱點(diǎn)。應(yīng)用軟件評(píng)估的主要工具是檢查表。通過審閱文檔和與開發(fā)者進(jìn)行面對(duì)面的訪談，核對(duì)檢查表中的每一個(gè)問題。應(yīng)用軟件評(píng)估檢查表包含約八十余個(gè)問題。這些問題大致包括以下內(nèi)容：網(wǎng)絡(luò)架構(gòu)、主機(jī)平臺(tái)、專用模塊、應(yīng)用軟件、安全功能、安全保證。216。 文檔的收集和審閱：評(píng)估者通過審閱收集的被評(píng)估應(yīng)用軟件的文檔，掌握該評(píng)估應(yīng)用軟件的基本情況，然后確定評(píng)估范圍和并在檢查表中初步選擇和回答適用問題。一般經(jīng)過初步選擇，檢查表問題應(yīng)控制在50個(gè)以內(nèi)。216。 和主要設(shè)計(jì)人員進(jìn)行面對(duì)面訪談：通過和主要設(shè)計(jì)人員進(jìn)行面對(duì)面訪談，在已選擇的適用問題表中進(jìn)一步篩選不適用的問題，同時(shí)檢查初步回答，并填完整經(jīng)最后篩選的所有檢查表問題。216。 根據(jù)訪談結(jié)果，確定弱點(diǎn)列表。 數(shù)據(jù)安全脆弱性評(píng)估數(shù)據(jù)安全目標(biāo)是：保證數(shù)據(jù)的機(jī)密性、完整性和可用性，避免數(shù)據(jù)的泄密、破壞、竄改、丟失。數(shù)據(jù)安全的評(píng)估標(biāo)準(zhǔn)是：216。 數(shù)據(jù)機(jī)密性：數(shù)據(jù)要分級(jí)保護(hù)，重要的數(shù)據(jù)要采用加密措施、嚴(yán)格進(jìn)行訪問控制、安全審計(jì)，有良好的授權(quán)體系。216。 數(shù)據(jù)完整性：數(shù)據(jù)有完整性校驗(yàn)機(jī)制，避免數(shù)據(jù)被竄改。216。 數(shù)據(jù)可用性：數(shù)據(jù)要良好存儲(chǔ)、備份。 數(shù)據(jù)安全脆弱性的評(píng)估方法主要是通過顧問訪談和人工分析的方式，檢查數(shù)據(jù)的存儲(chǔ)情況、備份情況和數(shù)據(jù)安全保護(hù)的技術(shù)措施和管理手段。 安全管理脆弱性評(píng)估安全管理的目標(biāo)是確保建立了完備的、標(biāo)準(zhǔn)化的管理程序并遵照安全管理程序進(jìn)行安全運(yùn)作。安全管理評(píng)估標(biāo)準(zhǔn)是審核系統(tǒng)安全管理與信息安全管理規(guī)范的符合程度，具體標(biāo)準(zhǔn)如下：216。 安全策略標(biāo)準(zhǔn)：制定和推行信息安全策略，提供管理指導(dǎo)，保證信息安全；管理層應(yīng)制定一個(gè)明確的安全策略方向，并通過在整個(gè)組織中發(fā)布和維護(hù)信息安全策略，表明自己對(duì)信息安全的支持和保護(hù)責(zé)任。216。 組織安全標(biāo)準(zhǔn)：建立健全的安全組織，維護(hù)第三方訪問的安全和外包服務(wù)的安全，為信息系統(tǒng)安全提供基本保證。216。 資產(chǎn)管理標(biāo)準(zhǔn)：對(duì)信息資產(chǎn)進(jìn)行識(shí)別和分類，根據(jù)資產(chǎn)的機(jī)密性、完整性和可用性進(jìn)行賦值，對(duì)信息資產(chǎn)貼標(biāo)簽，維護(hù)最新的信息資產(chǎn)清單，使重要的信息資產(chǎn)得到適當(dāng)?shù)谋Ｗo(hù)。216。 人員安全標(biāo)準(zhǔn)：降低設(shè)施誤操作、偷竊或?yàn)E用等方面的人為風(fēng)險(xiǎn)，切實(shí)遵守安全策略，最大限度降低由于事故和故障而遭受的損失，對(duì)此類事故進(jìn)行監(jiān)控并吸取教訓(xùn)。216。 物理環(huán)境安全標(biāo)準(zhǔn)：防止對(duì)機(jī)房和辦公場(chǎng)所以及信息資產(chǎn)的非法訪問和破壞，防止資產(chǎn)流失、受損或毀壞以及業(yè)務(wù)中斷，防止信息或信息處理設(shè)施受損或被盜，提供設(shè)備正常運(yùn)行所必的電源、溫度、濕度、防水、防塵等運(yùn)行環(huán)境。216。 日常運(yùn)行管理安全標(biāo)準(zhǔn)：制定網(wǎng)絡(luò)、系統(tǒng)和數(shù)據(jù)的操作程序和維護(hù)責(zé)任，制定系統(tǒng)規(guī)劃與驗(yàn)收、防止惡意軟件、內(nèi)部處理、網(wǎng)絡(luò)管理、介質(zhì)處理與安全和信息交換等安全操作規(guī)程，并依據(jù)這些規(guī)程進(jìn)行日常運(yùn)行維護(hù)，確保信息系統(tǒng)正常提供服務(wù)。216。 訪問控制安全標(biāo)準(zhǔn)：加強(qiáng)用戶訪問管理和用戶責(zé)任，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)、操作系統(tǒng)、應(yīng)用程序、監(jiān)控系統(tǒng)和遠(yuǎn)程工作的訪問控制和權(quán)限管理，防止信息資產(chǎn)的非法訪問。216。 系統(tǒng)開發(fā)維護(hù)安全標(biāo)準(zhǔn)：保證在開發(fā)和維護(hù)網(wǎng)絡(luò)應(yīng)用系統(tǒng)過程的安全。216。 業(yè)務(wù)連續(xù)性安全標(biāo)準(zhǔn)：防止業(yè)務(wù)活動(dòng)中斷，保證重要業(yè)務(wù)流程不受重大故障和災(zāi)難的影響；應(yīng)該實(shí)施業(yè)務(wù)連續(xù)性管理程序，預(yù)防和恢復(fù)控制相結(jié)合，將災(zāi)難和安全故障造成的影響降低到可以接受的水平；應(yīng)該制定和實(shí)施應(yīng)急計(jì)劃，確保能夠在的時(shí)間內(nèi)恢復(fù)業(yè)務(wù)流程。216。 符合性安全標(biāo)準(zhǔn)：不違反法律以及任何安全，對(duì)信息系統(tǒng)是否符合安全策略進(jìn)行檢查和技術(shù)評(píng)審。 脆弱性賦值弱點(diǎn)的嚴(yán)重性主要是指可能引發(fā)的影響的嚴(yán)重性，因此與影響密切相關(guān)。在CVE和業(yè)界大多數(shù)的掃描器中關(guān)于技術(shù)性弱點(diǎn)的嚴(yán)重性定義中，都是指可能引發(fā)的影響的嚴(yán)重性，它們一般分為高、中、低三個(gè)等級(jí)，其簡(jiǎn)單定義如下：216。 高等級(jí)：可能導(dǎo)致超級(jí)用戶權(quán)限獲取，機(jī)密系統(tǒng)文件讀寫，系統(tǒng)崩潰等資產(chǎn)嚴(yán)重?fù)p害的影響，一般為遠(yuǎn)程緩沖區(qū)溢出，超級(jí)用戶弱密碼，嚴(yán)重拒絕服務(wù)攻擊等弱點(diǎn)。216。 中等級(jí)：介于高等級(jí)和低等級(jí)之間，一般為不能直接被威脅利用，要和其他弱點(diǎn)組合才能造成影響，或可以直接被威脅利用但只能引起中等的影響。一般為不能直接利用產(chǎn)生超級(jí)用戶權(quán)限獲取，機(jī)密系統(tǒng)文件讀寫，系統(tǒng)崩潰等影響的216。 低等級(jí)：可能會(huì)導(dǎo)致一些非機(jī)密信息泄漏，非嚴(yán)重濫用和誤用等不嚴(yán)重的影響，一般為信息泄漏，配置不規(guī)范，或如果配置不當(dāng)可能會(huì)引起危害的弱點(diǎn)。這些弱點(diǎn)即使被威脅利用也不會(huì)引起嚴(yán)重影響。參考這些業(yè)界通用的弱點(diǎn)嚴(yán)重性等級(jí)劃分標(biāo)準(zhǔn)，我們采用的等級(jí)劃分標(biāo)準(zhǔn)如下：將資產(chǎn)的弱點(diǎn)嚴(yán)重性分為5個(gè)等級(jí)，分別是很高（VH）、高（H）、中等（M）、低（L）、可忽略（N），并且從高到低分別賦值51。賦值標(biāo)準(zhǔn)參照下表。賦值簡(jiǎn)稱說明（當(dāng)該弱點(diǎn)被威脅利用時(shí)引起的后果）5VH資產(chǎn)全部損失或不可用，持續(xù)的業(yè)務(wù)中斷，巨大的財(cái)務(wù)損失等非常嚴(yán)重的影響4H資產(chǎn)重大損失，業(yè)務(wù)中斷，較大的財(cái)務(wù)損失等嚴(yán)重影響3M資產(chǎn)損失，業(yè)務(wù)受到損害，中等的財(cái)務(wù)損失等影響2L資產(chǎn)較小損失，并且立即可以受到控制，較小的財(cái)務(wù)損失等影響1N資產(chǎn)損失可以忽略、對(duì)業(yè)務(wù)無損害，輕微或可忽略的財(cái)務(wù)損失等影響在實(shí)際評(píng)估工作中，技術(shù)類弱點(diǎn)的嚴(yán)重性值一般參考掃描器或CVE標(biāo)準(zhǔn)中的值，并進(jìn)行修正，從而獲得適用的弱點(diǎn)嚴(yán)重性值。 安全風(fēng)險(xiǎn)評(píng)估技術(shù)根據(jù)實(shí)踐經(jīng)驗(yàn)，要結(jié)合多種安全評(píng)估方法才能盡可能深入的了解評(píng)估對(duì)象的安全現(xiàn)狀。在本項(xiàng)目中我們采取工具評(píng)估，人工評(píng)估，滲透測(cè)試三種方式相結(jié)合的手段來進(jìn)行綜合安全風(fēng)險(xiǎn)評(píng)估，本節(jié)主要介紹工具評(píng)估和人工評(píng)估，滲透測(cè)試將在后續(xù)章節(jié)專門介紹。安全風(fēng)險(xiǎn)評(píng)估流程見下圖： 安全風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)是一種潛在可能性，是指某個(gè)威脅利用弱點(diǎn)引起某項(xiàng)資產(chǎn)或一組資產(chǎn)的損害，從而直接地或間接地引起企業(yè)或機(jī)構(gòu)的損害。因此，風(fēng)險(xiǎn)和具體的資產(chǎn)、其價(jià)值、威脅等級(jí)以及相關(guān)的弱點(diǎn)直接相關(guān)。從上述的定義可以看出，風(fēng)險(xiǎn)評(píng)估的策略是首先選定某項(xiàng)資產(chǎn)、評(píng)估資產(chǎn)價(jià)值、挖掘并評(píng)估資產(chǎn)面臨的威脅、挖掘并評(píng)估資產(chǎn)存在的弱點(diǎn)、評(píng)估該資產(chǎn)的風(fēng)險(xiǎn)、進(jìn)而得出整個(gè)評(píng)估目標(biāo)的風(fēng)險(xiǎn)。安全風(fēng)險(xiǎn)分析包括風(fēng)險(xiǎn)的計(jì)算、風(fēng)險(xiǎn)的處置和風(fēng)險(xiǎn)的安全對(duì)策選擇。我們采用下面的算式來得到資產(chǎn)的風(fēng)險(xiǎn)值：風(fēng)險(xiǎn)值=資產(chǎn)價(jià)值威脅可能性弱點(diǎn)嚴(yán)重性根據(jù)計(jì)算出的風(fēng)險(xiǎn)值，對(duì)風(fēng)險(xiǎn)進(jìn)行排序，并與客戶公共選擇風(fēng)險(xiǎn)的處置方式和風(fēng)險(xiǎn)的安全對(duì)策。 風(fēng)險(xiǎn)處置方法風(fēng)險(xiǎn)的處置方法依照風(fēng)險(xiǎn)程度，根據(jù)風(fēng)險(xiǎn)等級(jí)來采取不同的處置方法。尊照的處置原則見下表：數(shù)值符號(hào)含義建議處置方法備注65125H高風(fēng)險(xiǎn)要高級(jí)管理部門的注意：避免？轉(zhuǎn)移？減??？要具體資產(chǎn)信息3565M中等風(fēng)險(xiǎn)規(guī)定管理責(zé)任：避免？接受？轉(zhuǎn)移？減?。恳唧w資產(chǎn)信息135L低風(fēng)險(xiǎn)用日常程序處理：避免？接受？轉(zhuǎn)移？減??？要具體資產(chǎn)信息選擇處置措施的原則是權(quán)衡利弊：權(quán)衡每種選擇的成本與其得到的利益。例如，如果以相對(duì)較低的花費(fèi)可以大大減小風(fēng)險(xiǎn)的程度，則應(yīng)選擇實(shí)施這樣的處置方法。建議的風(fēng)險(xiǎn)處置措施一般如下所示：：在某些情況下，可以決定不繼續(xù)進(jìn)行可能產(chǎn)生風(fēng)險(xiǎn)的活動(dòng)來回避風(fēng)險(xiǎn)。在某些情況可能是較為穩(wěn)妥的處理辦法，但是在某些情況下可能會(huì)因此而喪失機(jī)會(huì)。：在某些情況下，可以決定通過合同、規(guī)范、法律、監(jiān)察、管理、測(cè)試、技術(shù)開發(fā)、技術(shù)控制等措施來減小風(fēng)險(xiǎn)的可能性，來達(dá)到減小風(fēng)險(xiǎn)的目的。：在某些情況下，可以決定通過制定實(shí)施應(yīng)變計(jì)劃、合同、災(zāi)難恢復(fù)計(jì)劃、資產(chǎn)重新布置等手段來減小資產(chǎn)價(jià)值本身或風(fēng)險(xiǎn)的后果/影響。這和“降低風(fēng)險(xiǎn)可能性”一起，可以達(dá)到減小風(fēng)險(xiǎn)的目的，也成為“風(fēng)險(xiǎn)控制”。：這涉及承擔(dān)或分擔(dān)部分風(fēng)險(xiǎn)的另一方。手段包括合同、保險(xiǎn)安排、合伙、資產(chǎn)轉(zhuǎn)移等。：不管如何處置，一般資產(chǎn)面臨的風(fēng)險(xiǎn)總是在一定程度上存在。決策者可以在繼續(xù)處置要的成本和風(fēng)險(xiǎn)之間進(jìn)行抉擇。在適當(dāng)?shù)那闆r下，決策者可以選擇接受/承受風(fēng)險(xiǎn)。 工具評(píng)估工具評(píng)估最突出的優(yōu)點(diǎn)是評(píng)估工作可由軟件來自動(dòng)進(jìn)行，速度快，效率高。工具評(píng)估部分將采用基于網(wǎng)絡(luò)和基于主機(jī)的掃描軟件來分別進(jìn)行。 工具評(píng)估的原理掃描評(píng)估主要是根據(jù)已有的安全漏洞知識(shí)庫，模擬黑客的攻擊方法，檢測(cè)網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)服務(wù)、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)等各種信息資產(chǎn)所存在的安全隱患和漏洞。網(wǎng)絡(luò)掃描主要依靠帶有安全漏洞知識(shí)庫的網(wǎng)絡(luò)安全掃描工具對(duì)信息資產(chǎn)進(jìn)行基于網(wǎng)絡(luò)層面安全掃描，其特點(diǎn)是能對(duì)被評(píng)估目標(biāo)進(jìn)行覆蓋面廣泛的安全漏洞查找，并且評(píng)估環(huán)境與被評(píng)估對(duì)象在線運(yùn)行的環(huán)境完全一致，能較真實(shí)地反映主機(jī)系統(tǒng)、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)所存在的網(wǎng)絡(luò)安全問題和面臨的網(wǎng)絡(luò)安全威脅。 掃描評(píng)估方案的制定為將掃描評(píng)估對(duì)信息系統(tǒng)的影響減低到最小，并取得較好的掃描評(píng)估效果，在掃描之前制定符合實(shí)際要的掃描評(píng)估方案顯得十分重要，方案將從工具選擇、評(píng)估對(duì)象選擇、評(píng)估時(shí)間、評(píng)估人員、報(bào)告數(shù)據(jù)形式、系統(tǒng)備份和風(fēng)險(xiǎn)規(guī)避和應(yīng)對(duì)等方面來保證掃描評(píng)估的可靠運(yùn)行。在對(duì)系統(tǒng)進(jìn)行安全掃描之后將得到主機(jī)安全掃描評(píng)估記錄，該文檔將作為整體評(píng)估服務(wù)的一個(gè)重要來源和依據(jù)。 對(duì)現(xiàn)有信息系統(tǒng)資源的影響網(wǎng)絡(luò)掃描評(píng)估以網(wǎng)絡(luò)為基礎(chǔ)進(jìn)行，掃描控制臺(tái)通過網(wǎng)絡(luò)對(duì)被評(píng)估對(duì)象進(jìn)行安全評(píng)估，因此這種掃描方式主要消耗一定的網(wǎng)絡(luò)帶寬資源，并對(duì)被評(píng)估的對(duì)象消耗很小一部分的網(wǎng)絡(luò)連接的資源，對(duì)于其他的資源沒有特殊的。實(shí)際的使用情況表明，網(wǎng)絡(luò)掃描對(duì)網(wǎng)絡(luò)資源和被評(píng)估系統(tǒng)的資源占用在3%5%之間，并且可以通過修改、配置一定的掃描策略來使這些資源消耗降低至最小。 風(fēng)險(xiǎn)與應(yīng)對(duì)措施在掃描過程中盡量避免使用含有拒絕服務(wù)類型的掃描方式，而主要采用人工檢查的方法來發(fā)現(xiàn)系統(tǒng)可能存在的拒絕服務(wù)漏洞。在掃描過程中如果出現(xiàn)被評(píng)估系統(tǒng)沒有響應(yīng)的情況，應(yīng)當(dāng)立即停止掃描工作，與配合的工作人員一起分析情況，在確定原因后，并正確恢復(fù)系統(tǒng)，采取必要的預(yù)防措施（比如調(diào)整掃描策略等）后，才可以繼續(xù)進(jìn)行。 人工評(píng)估工具掃描因?yàn)槠涔潭ǖ哪０?，適用的范圍，特定的運(yùn)行環(huán)境，以及它的缺乏智能性等諸多因素，因而有著很大的局限性；而人工評(píng)估與工具掃描相結(jié)合，可以完成許多工具所無法完成的事情，從而得出全面的、客觀的評(píng)估結(jié)果。在本項(xiàng)目中將會(huì)抽取部分服務(wù)器系統(tǒng)作為代表來進(jìn)行人工評(píng)估。人工評(píng)估主要是依靠具有豐富經(jīng)驗(yàn)的安全專家來進(jìn)行的。在得到有關(guān)工作人員的授權(quán)并在有關(guān)人員的監(jiān)督下對(duì)服務(wù)器系統(tǒng)進(jìn)行如下幾個(gè)方面的檢查：216。 系統(tǒng)補(bǔ)丁216。 系統(tǒng)賬號(hào)216。 文件系統(tǒng)216。 網(wǎng)絡(luò)及服務(wù)216。 系統(tǒng)配置文件216。 審計(jì)及日志216。 系統(tǒng)備份及恢復(fù)216。 應(yīng)用系統(tǒng)216。 其它人工評(píng)估只對(duì)被評(píng)估對(duì)象進(jìn)行運(yùn)行狀態(tài)和配置檢查，因此不會(huì)對(duì)現(xiàn)有信息系統(tǒng)上的其他設(shè)備和資源帶來任何影響，而對(duì)被評(píng)估對(duì)象的資源占用也小于工具評(píng)估。人工評(píng)估完成后將產(chǎn)生人工評(píng)估報(bào)告，也將作為整體的安全評(píng)估報(bào)告的一個(gè)重要的來源和依據(jù)。 安全風(fēng)險(xiǎn)評(píng)估報(bào)告在完成安全風(fēng)險(xiǎn)評(píng)估后，我方將提供相關(guān)資料和過程文檔：216。 《XX系統(tǒng)業(yè)網(wǎng)絡(luò)安全現(xiàn)狀分析》現(xiàn)狀分析將包括專業(yè)系統(tǒng)的描述，對(duì)安全威脅現(xiàn)狀的描述與分析，對(duì)系統(tǒng)脆弱性現(xiàn)狀的描述與分析，對(duì)安全技術(shù)與安全管理現(xiàn)狀的總結(jié)。216。 《XX系統(tǒng)網(wǎng)絡(luò)安全評(píng)估報(bào)告》本報(bào)告根據(jù)前期評(píng)估獲取的信息和分析結(jié)果，對(duì)專業(yè)網(wǎng)絡(luò)主要資產(chǎn)的價(jià)值、客觀的威脅、系統(tǒng)自身的脆弱性進(jìn)行了定性的評(píng)估，然后采用先進(jìn)的風(fēng)險(xiǎn)計(jì)算方法對(duì)當(dāng)前系統(tǒng)面臨的風(fēng)險(xiǎn)進(jìn)行了計(jì)算，并對(duì)系統(tǒng)的極度風(fēng)險(xiǎn)進(jìn)行了詳細(xì)的分析。報(bào)告應(yīng)采用數(shù)字和圖表的方式向系統(tǒng)管理人員和系統(tǒng)維護(hù)人員提供了宏觀的風(fēng)險(xiǎn)分布狀況。216。 《XX系統(tǒng)網(wǎng)絡(luò)安全漏洞掃描報(bào)告》采用認(rèn)可的安全漏洞掃描設(shè)備對(duì)專業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)進(jìn)行脆弱性安全檢查和分析，提供原始掃描報(bào)告以及漏洞對(duì)應(yīng)表。為了便于管理員使用，漏洞對(duì)應(yīng)表應(yīng)以XLS提供，包括以下內(nèi)容：設(shè)備IP地址威脅等級(jí)漏洞名稱216。 《XX系統(tǒng)網(wǎng)絡(luò)設(shè)備安全配置檢查報(bào)告》根據(jù)集團(tuán)公司設(shè)備安全配置規(guī)范，對(duì)專業(yè)網(wǎng)絡(luò)的設(shè)備進(jìn)行安全配置檢查，提供設(shè)備配置符合程度和分析報(bào)告。安全配置檢查不局限于用戶帳號(hào)、用戶密碼、日志管理、遠(yuǎn)程維護(hù)等內(nèi)容，應(yīng)包括服務(wù)器、網(wǎng)絡(luò)設(shè)備、防火墻、數(shù)據(jù)庫等。216。 《XX系統(tǒng)網(wǎng)絡(luò)滲透測(cè)試報(bào)告》對(duì)暴露在互聯(lián)網(wǎng)上的網(wǎng)上營(yíng)業(yè)廳、增值業(yè)務(wù)平臺(tái)等系統(tǒng)進(jìn)行滲透測(cè)試，完整地模擬黑客使用的漏洞發(fā)現(xiàn)技術(shù)和攻擊手段，對(duì)目標(biāo)網(wǎng)絡(luò)/系統(tǒng)/主機(jī)/應(yīng)用作深入的探測(cè)分析，實(shí)施無害攻擊，取得系統(tǒng)安全威脅的真實(shí)證據(jù)。滲透測(cè)試提供滲透測(cè)試報(bào)告。 應(yīng)急響應(yīng)和演練解決方案 應(yīng)急響應(yīng)時(shí)間表安全事件應(yīng)急響應(yīng)時(shí)間如下：級(jí)別事件定義電話響應(yīng)時(shí)限現(xiàn)場(chǎng)響應(yīng)時(shí)限專家響應(yīng)時(shí)限緊急網(wǎng)站被篡改或被攻擊，網(wǎng)站被仿冒；某個(gè)業(yè)務(wù)全部癱瘓，重要數(shù)據(jù)丟失或被篡改，核心網(wǎng)絡(luò)流量嚴(yán)重異?；虬c瘓等。15分鐘30分鐘1小時(shí)嚴(yán)重某個(gè)業(yè)務(wù)部分不可用，某個(gè)區(qū)域出現(xiàn)流量嚴(yán)重異?；虬c瘓，網(wǎng)站訪問速度嚴(yán)重變慢等。15分鐘1小時(shí)2小時(shí)一般業(yè)務(wù)使用存在異常，某個(gè)區(qū)域出現(xiàn)流量異常，發(fā)現(xiàn)安全漏洞隱患未進(jìn)行修補(bǔ)的，病毒事件以及其他一般事件。15分鐘2小時(shí)4小時(shí) 安全事件的定義安全事件是指計(jì)算機(jī)或網(wǎng)絡(luò)設(shè)備系統(tǒng)的硬件、軟件、數(shù)據(jù)因非法攻擊或病毒入侵等安全原因而遭到破壞、更改、泄漏造成系統(tǒng)不能連續(xù)正常運(yùn)行，或已經(jīng)發(fā)現(xiàn)的有可能造成上述現(xiàn)象的安全隱患。如發(fā)生以下情況，可能定義為安全事件：（1） 非授權(quán)訪問，通過入侵的方式進(jìn)入到未