【正文】 分析手段的資料整理、分類和準(zhǔn)備；針對(duì)網(wǎng)絡(luò)架構(gòu)、協(xié)議和流量的安全審計(jì)制度和實(shí)施情況調(diào)查。? 網(wǎng)絡(luò)認(rèn)證與授權(quán)機(jī)制：網(wǎng)絡(luò)服務(wù)本身提供的密碼和身份認(rèn)證手段，系統(tǒng)是否還要其它密碼和身份認(rèn)證體系；在相關(guān)的網(wǎng)絡(luò)隔離點(diǎn)，是否有恰當(dāng)?shù)脑L問(wèn)控制規(guī)則設(shè)立，是否被有效的執(zhí)行；是否有集中的網(wǎng)絡(luò)設(shè)備認(rèn)證管理機(jī)制，是否被正確的配置和執(zhí)行；? 網(wǎng)絡(luò)加密與完整性保護(hù)機(jī)制：數(shù)據(jù)加密傳輸；完整性校驗(yàn)的實(shí)現(xiàn)。? 網(wǎng)絡(luò)對(duì)抗與響應(yīng)機(jī)制：是否有漏洞的定期評(píng)估機(jī)制和入侵檢測(cè)和記錄系統(tǒng)的機(jī)制；網(wǎng)絡(luò)建設(shè)中是否良好的考慮了網(wǎng)絡(luò)的高可用性和可靠性問(wèn)題，是否被正確使用和良好的配置，是否有機(jī)制保障不被修改。? 網(wǎng)絡(luò)安全配置均衡性分析：.. . . ..學(xué)習(xí)參考安全機(jī)制本身配置是否不合理或者存在脆弱性。 過(guò)程任務(wù)? 提交網(wǎng)絡(luò)拓?fù)鋱D，并對(duì)網(wǎng)絡(luò)流量、安全機(jī)制進(jìn)行說(shuō)明；? 對(duì)相關(guān)人員進(jìn)行訪談，問(wèn)題涉及網(wǎng)絡(luò)架構(gòu)與協(xié)議、網(wǎng)絡(luò)安全管理規(guī)定、網(wǎng)絡(luò)安全機(jī)制的使用等；? 現(xiàn)場(chǎng)參觀和調(diào)查；? 編寫網(wǎng)絡(luò)架構(gòu)安全評(píng)估報(bào)告。 輸入指導(dǎo)? 目標(biāo)系統(tǒng)網(wǎng)絡(luò)拓?fù)鋱D? 必要的網(wǎng)絡(luò)運(yùn)營(yíng)記錄信息 輸出成果《網(wǎng)絡(luò)架構(gòu)整體安全分析評(píng)估報(bào)告》 系統(tǒng)安全狀態(tài)評(píng)估 內(nèi)容描述技術(shù)評(píng)估旨在發(fā)掘目標(biāo)系統(tǒng)現(xiàn)有的技術(shù)性漏洞，評(píng)估方法主要有三種：自動(dòng)化漏洞掃描、滲透測(cè)試、本地安全審查。使用專用的掃描工具進(jìn)行漏洞掃描，可掃描的系統(tǒng)和漏洞類別如下：? Windows 9X/NT/2022? 掃描后門 BackOrifice, CDK 等? 掃描 Remote Control 程序 NetBus 等? 掃描在 NetBIOS 服務(wù)上的各種漏洞? 通過(guò)獲取用戶目錄的登錄入侵? 掃描共享文件夾漏洞, 共享權(quán)限等? 掃描 Remote Registry AutoLogon 等? 掃描 SNMP 漏洞 (Community Name, 讀/寫)? 掃描 FTP 漏洞 (Anonymous, guest).. . . ..學(xué)習(xí)參考? 掃描 UNIX Orient 服務(wù) (X Window, TFTP 等)? 掃描 Echo, Time, Chargen 等不必要的服務(wù) ? UNIX/Linux? 掃描后門 Trinoo, … ? 掃描 SMTP 版本及各種漏洞? 掃描對(duì) Rmand(rsh, rlogin, rexec), tel 的 Brute force Attack? 掃描 FTP, TFTP 服務(wù)器的各種漏洞? SNMP 漏洞掃描 (Community Name, 讀/寫) ? 掃描 DNS 服務(wù)(bind)的漏洞? 掃描 RPC 服務(wù)的各種漏洞, NFS 共享/NIS 等? 掃描 X Window 服務(wù)器遠(yuǎn)程漏洞? 掃描 Echo, Time, Chargen 等不必要的服務(wù), 還有 Finger, Gopher, POP3, SSH 等危險(xiǎn)服務(wù) ? 網(wǎng)絡(luò)設(shè)備? 掃描通訊設(shè)備 ( Router, Switching Hub, F/W ) 等的安全狀況? 掃描 SNMP 漏洞 (Community Name, 讀/寫)? 掃描 ICMP 漏洞(TimeStamp 等)? 掃描測(cè)試各種 Stealth Port? 掃描默認(rèn)密碼的 Brute Force 攻擊? 應(yīng)用系統(tǒng)? 掃描 Web 服務(wù)器、FTP 服務(wù)器等應(yīng)用系統(tǒng)? IIS，Netscape 等服務(wù)器漏洞? RDS，Unicode 等漏洞? 各種 CGI 漏洞 ? 掃描 Web Proxy 服務(wù)器? 掃描數(shù)據(jù)庫(kù)? Oracle, MSSQL, MySQL 服務(wù)器漏洞? 各種默認(rèn)密碼? 掃描登錄后，可否執(zhí)行各種 Stored Procedure? 掃描網(wǎng)絡(luò)設(shè)備.. . . ..學(xué)習(xí)參考? 網(wǎng)絡(luò)設(shè)備配置策略? 網(wǎng)絡(luò)設(shè)備特定漏洞在自動(dòng)化漏洞掃描基礎(chǔ)上，奧怡軒技術(shù)顧問(wèn)會(huì)對(duì)目標(biāo)系統(tǒng)進(jìn)行滲透測(cè)試。滲透測(cè)試，是在授權(quán)情況下，利用安全掃描器和富有經(jīng)驗(yàn)的安全工程師的人工經(jīng)驗(yàn)對(duì)網(wǎng)絡(luò)中的核心服務(wù)器及重要的網(wǎng)絡(luò)設(shè)備（包括服務(wù)器、交換機(jī)、防火墻等）進(jìn)行非破壞性質(zhì)的模擬黑客攻擊，目的是侵入系統(tǒng)并獲取機(jī)密信息并將入侵的過(guò)程和細(xì)節(jié)產(chǎn)生報(bào)告給用戶。滲透測(cè)試和工具掃描可以很好的互相補(bǔ)充。工具掃描具有很好的效率和速度，但是存在一定的誤報(bào)率，不能發(fā)現(xiàn)高層次、復(fù)雜的安全問(wèn)題；滲透測(cè)試需要投入的人力資源較大、對(duì)測(cè)試者的專業(yè)技能要求很高（滲透測(cè)試報(bào)告的價(jià)值直接依賴于測(cè)試者的專業(yè)技能） ，但是非常準(zhǔn)確，可以發(fā)現(xiàn)邏輯性更強(qiáng)、更深層次的脆弱性。在獲得必要的訪問(wèn)權(quán)限條件下，奧怡軒依據(jù)專家經(jīng)驗(yàn)，定制人工評(píng)估 CHECKLIST，對(duì)重點(diǎn)系統(tǒng)進(jìn)行本地登錄并做逐項(xiàng)安全檢查。對(duì) UNIX 系統(tǒng)的人工評(píng)估內(nèi)容包括但不限于以下內(nèi)容：? 系統(tǒng)安全補(bǔ)丁是否最新；? 對(duì)于遠(yuǎn)程登錄的管理，包括登錄方式和登錄用戶；? 系統(tǒng)開(kāi)放的服務(wù)，是否存在不必要服務(wù)；? 系統(tǒng)允許的網(wǎng)絡(luò)連接，是否啟用信任主機(jī)方式，是否對(duì)網(wǎng)絡(luò)連接設(shè)置訪問(wèn)控制；? 系統(tǒng)中用戶管理與口令策略；? 系統(tǒng)文件管理，是否以安全模式加載文件系統(tǒng)，文件系統(tǒng)的訪問(wèn)權(quán)限設(shè)置是否安全；? 系統(tǒng)審計(jì)設(shè)置，是否使嘗試登錄失敗記錄有效，是否配置成不接受其他機(jī)器發(fā)送的日志信息等；? 系統(tǒng)抗攻擊能力，是否做 TCP 序列號(hào)預(yù)測(cè)攻擊防護(hù)，是否限定系統(tǒng)禁止堆棧緩存溢出，是否對(duì) TCP/IP 網(wǎng)絡(luò)參數(shù)進(jìn)行安全配置；? 對(duì)登錄用戶是否設(shè)置超時(shí)退出參數(shù)；? 是否修改系統(tǒng)的 banner 信息，防止系統(tǒng)泄漏信息。對(duì)數(shù)據(jù)庫(kù)的人工評(píng)估包括但不限于以下內(nèi)容：? 檢查系統(tǒng)及數(shù)據(jù)庫(kù)版本.. . . ..學(xué)習(xí)參考? 檢查數(shù)據(jù)庫(kù)補(bǔ)丁? 檢查數(shù)據(jù)庫(kù)配置信息? 檢查安全的密碼策略? 檢查帳號(hào)策略? 檢查數(shù)據(jù)庫(kù)配置文件權(quán)限? 檢查權(quán)限? 檢查數(shù)據(jù)庫(kù)調(diào)試和開(kāi)發(fā)環(huán)境是否分開(kāi)? 認(rèn)證? 審計(jì)? 檢查是否建立良好的日志管理策略? 檢查備份策略 過(guò)程任務(wù)? 確定評(píng)估范圍，獲得目標(biāo)系統(tǒng)信息，包括 IP 地址段等；? 獲得必要的系統(tǒng)訪問(wèn)權(quán)限；? 安裝部屬掃描設(shè)備和工具；? 進(jìn)行自動(dòng)漏洞掃描；? 進(jìn)行滲透測(cè)試；? 進(jìn)行重點(diǎn)系統(tǒng)的本地登錄，做安全審查；? 分析掃描評(píng)估結(jié)果和數(shù)據(jù)；? 編寫技術(shù)評(píng)估報(bào)告。自動(dòng)工具評(píng)估流程如下圖所示：.. . . ..學(xué)習(xí)參考 漏 洞 掃 描 工 具 選 擇 與 評(píng) 估 方 案 申 請(qǐng) KEY 漏 洞 掃 描 原 始 結(jié) 果 漏 洞 掃 描 報(bào) 告 修 改 方 案 終 止 評(píng) 估 漏 洞 掃 描 流 程 用 戶 確 認(rèn) 工 具 部 署 并 實(shí) 施 評(píng) 估 啟 用 風(fēng) 險(xiǎn) 規(guī) 避 方 案 /恢 復(fù) 影 響 系 統(tǒng) 漏 洞 列 表 入 庫(kù) 修 改 方 案 自動(dòng)掃描評(píng)估之后，評(píng)估人員會(huì)登錄到重點(diǎn)系統(tǒng)，在系統(tǒng)本地進(jìn)行更細(xì)致和更有針對(duì)性的人工評(píng)估。實(shí)施人工評(píng)估時(shí)，鑒于項(xiàng)目進(jìn)度控制，將根據(jù)抽樣原則，有選擇性地對(duì)典型的服務(wù)器、桌面系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備進(jìn)行人工評(píng)估。抽樣原則如下：? 各系統(tǒng)被評(píng)估的網(wǎng)絡(luò)設(shè)備和主機(jī)系統(tǒng)的數(shù)量與該系統(tǒng)總數(shù)量成正比；? 選擇業(yè)務(wù)特點(diǎn)具有代表性的主機(jī)和網(wǎng)絡(luò)設(shè)備進(jìn)行評(píng)估，例如應(yīng)用于某類業(yè)務(wù)系統(tǒng)的 Solaris 的主機(jī)可以只評(píng)估其中一臺(tái)。人工評(píng)估流程如下圖所示：.. . . ..學(xué)習(xí)參考 評(píng) 估 檢 查 項(xiàng) 列 表 后 門 查 找 人 工 評(píng) 估 原 始 記 錄 人 工 評(píng) 估 報(bào) 告 漏 洞 列 表 入 庫(kù) 下 一 項(xiàng) 人 工 評(píng) 估 流 程 系 統(tǒng) 異 常 ？ 檢 查 完 畢 ？ 工 具 評(píng) 估結(jié) 果 參 考 輸入指導(dǎo)? 系統(tǒng)描述的信息? 網(wǎng)絡(luò)拓?fù)?、IP 地址（段）? 必要的系統(tǒng)登錄和訪問(wèn)權(quán)限 輸出成果《系統(tǒng)漏洞掃描報(bào)告》 （包括服務(wù)器、網(wǎng)絡(luò)設(shè)備、PC 機(jī)、安全設(shè)備等）《技術(shù)性弱點(diǎn)綜合評(píng)估報(bào)告》 策略文件安全評(píng)估 內(nèi)容描述根據(jù) BS7799 標(biāo)準(zhǔn)定義，一個(gè)機(jī)構(gòu)要建立起有效的信息安全管理體系，必須是以完善的策略文檔體系為依托的，這種文檔系統(tǒng)是組織實(shí)現(xiàn)風(fēng)險(xiǎn)控制、評(píng)價(jià)和改進(jìn)信息安全管理體系、實(shí)現(xiàn)持續(xù)改進(jìn)不可缺少的依據(jù)。因此在建立完整有效的安全策略文檔體系之前，應(yīng)先對(duì)現(xiàn)有的文檔體系進(jìn)行系統(tǒng)周密的分析評(píng)估，有助于發(fā)掘不足和問(wèn)題，明確真正需求，從.. . . ..學(xué)習(xí)參考而有針對(duì)性地開(kāi)展后續(xù)工作。文檔審核是針對(duì)清現(xiàn)有的信息安全策略文檔體系，通過(guò)對(duì)所有與信息系統(tǒng)、信息管理、信息安全相關(guān)的策略、規(guī)章制度、工作流程、培訓(xùn)教材等各個(gè)文檔內(nèi)容的深入分析，結(jié)合現(xiàn)場(chǎng)問(wèn)詢和實(shí)地觀察等方法，以信息安全管理標(biāo)準(zhǔn)（ISO17799 等）的要求和業(yè)界有效的管理經(jīng)驗(yàn)作為參照，分析評(píng)估目標(biāo)文檔體系的完整性、有效性和符合性。 過(guò)程任務(wù)? 初步設(shè)定項(xiàng)目實(shí)施方法和計(jì)劃安排；? 了解納入評(píng)估范圍的各個(gè)部門的業(yè)務(wù)活動(dòng)和信息系統(tǒng)運(yùn)行管理情況；? 取得現(xiàn)有的信息安全相關(guān)策略文件；? 文件和資料進(jìn)行初步分析，必要時(shí)帶著問(wèn)題進(jìn)行現(xiàn)場(chǎng)調(diào)查，以確認(rèn)前期的發(fā)現(xiàn)；? 對(duì)各種途徑得到的數(shù)據(jù)進(jìn)行綜合分析，以 BS7799 標(biāo)準(zhǔn)要求為參照，最終評(píng)估現(xiàn)有的信息安全策略文檔體系的完整性、有效性和符合性；? 提出改進(jìn)建議。實(shí)施策略文件評(píng)估的流程如下圖所示： 收 集 用 戶 策 略 文 檔 分 析 文 檔 列 表 文 檔 內(nèi) 容 分 析 文 檔 格 式 分 析 文 檔 體 系 分 析 文 檔 評(píng) 估 報(bào) 告 漏 洞 列 表 入 庫(kù) 進(jìn) 一 步 搜 集 文 檔 分 析 流 程 是 否 遺 漏 ？ .. . . ..學(xué)習(xí)參考 輸入指導(dǎo)? 企業(yè)介紹，企業(yè)管理結(jié)構(gòu)圖，主要業(yè)務(wù)系統(tǒng)描述，企業(yè)的短期和長(zhǎng)期發(fā)展目標(biāo)，在信息系統(tǒng)建設(shè)和應(yīng)用方面的短期和長(zhǎng)期發(fā)展目標(biāo)描述，對(duì)于信息安全系統(tǒng)建設(shè)的短期和長(zhǎng)期發(fā)展目標(biāo)描述? 所有與信息系統(tǒng)、信息管理、信息安全相關(guān)的策略、規(guī)章制度、工作流程、培訓(xùn)教材、用戶手冊(cè)、網(wǎng)絡(luò)拓?fù)涞雀鞣N文字資料和圖表 輸出成果《安全策略文檔體系評(píng)估報(bào)告》 最終評(píng)估結(jié)果經(jīng)過(guò)技術(shù)評(píng)估、管理評(píng)估、策略文件審查、專業(yè)培訓(xùn)、數(shù)據(jù)分析等幾個(gè)階段之后，對(duì)通過(guò)各種途徑采集到的各類信息進(jìn)行綜合性分析與判斷，除了提交各個(gè)階段特有的一些報(bào)告和結(jié)果之外，還會(huì)提交一些綜合性的評(píng)估報(bào)告及改進(jìn)建議，包括：《安全評(píng)估整體結(jié)果報(bào)告》 ；《安全整體解決方案建議》 ；《系統(tǒng)安全加固建議方案》。1. 若不給自己設(shè)限，則人生中就沒(méi)有限制你發(fā)揮的藩籬。2. 若不是心寬似海，哪有人生風(fēng)平浪靜。在紛雜的塵世里，為自己留下一片純靜的心靈空間，不管是潮起潮落，也不管是陰晴圓缺，你都可以免去浮躁，義無(wú)反顧，勇往直前，輕松自如地走好人生路上的每一步 3. 花一些時(shí)間，總會(huì)看清一些事。用一些事情，總會(huì)看清一些人。有時(shí)候覺(jué)得自己像個(gè)神經(jīng)病。既糾結(jié)了自己，又打擾了別人。努力過(guò)后，才知道許多事情，堅(jiān)持堅(jiān)持，就過(guò)來(lái)了。4. 歲月是無(wú)情的，假如你丟給它的是一片空白，它還給你的也是一片空白。歲月是有情的，假如你奉獻(xiàn)給她的是一些色彩，它奉獻(xiàn)給你的也是一些色彩。你必須努力，當(dāng)有一天驀然回首時(shí)，你的回憶里才會(huì)多一些色彩斑斕，少一些蒼白無(wú)力。只有你自己才能把歲月描畫成一幅難以忘懷的人生畫卷。