【正文】 責(zé)定義系列文件14策略綱要15技術(shù)規(guī)范16體系框架17通信要害安全管理規(guī)定18職工違紀(jì)懲處實(shí)施細(xì)則 網(wǎng)絡(luò)系統(tǒng)信息主要包括網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、業(yè)務(wù)系統(tǒng)拓?fù)浣Y(jié)構(gòu)文件、業(yè)務(wù)簡(jiǎn)要流程等網(wǎng)絡(luò)及業(yè)務(wù)相關(guān)的說明文件。 現(xiàn)有安全文檔列出信息資產(chǎn)已經(jīng)具有的安全措施、有效的安全服務(wù)和安全控制手段。 項(xiàng)目設(shè)備本次安全服務(wù)項(xiàng)目實(shí)施過程中將會(huì)使用漏洞評(píng)估系統(tǒng)、滲透測(cè)試系統(tǒng)等，其中漏洞評(píng)估系統(tǒng)及滲透測(cè)試系統(tǒng)等由提供，施工時(shí)將由實(shí)施人員帶入現(xiàn)場(chǎng)，客戶方提供必要接口即可。 工具詳細(xì)說明 代碼審計(jì)工具 代碼審計(jì)的系統(tǒng)原理靜態(tài)源代碼審計(jì)是近年被人提及較多的軟件應(yīng)用安全解決方案之一。它是指在軟件項(xiàng)目中，程序員在寫好源代碼后，無(wú)經(jīng)過編譯器編譯，而直接使用一些審計(jì)工具對(duì)其進(jìn)行審計(jì)，找出代碼當(dāng)中存在的一些安全漏洞的解決方案。這個(gè)方案的優(yōu)點(diǎn)在于，無(wú)進(jìn)行編譯、也無(wú)去搭建運(yùn)行環(huán)境，就可以對(duì)程序員所寫的源代碼進(jìn)行審計(jì)。可以節(jié)省大量的人力和時(shí)間成本，提高實(shí)施效率，并且能夠發(fā)現(xiàn)很多靠人力無(wú)法發(fā)現(xiàn)的安全漏洞，站在黑客的角度上去審查程序員的代碼，大大降低項(xiàng)目中的安全風(fēng)險(xiǎn)，提高軟件質(zhì)量。在靜態(tài)源代碼審計(jì)技術(shù)上，現(xiàn)在被普遍應(yīng)用的是第一代和第二代技術(shù)。 系統(tǒng)功能特性和性能指標(biāo) 軟件功能分類：接受客戶端掃描和查詢請(qǐng)求，規(guī)則自定義，集中式提供企業(yè)級(jí)的、角色和團(tuán)隊(duì)管理、權(quán)限管理 、掃描結(jié)果管理、掃描調(diào)度和自動(dòng)化管理、掃描資源管理、查詢規(guī)則管理、掃描策略管理、更新管理、報(bào)表管理。：執(zhí)行具體掃描（分布式掃描和并行掃描），接受管理應(yīng)用的掃描任務(wù)，并將掃描的結(jié)果存放在數(shù)據(jù)庫(kù)，供管理應(yīng)用查詢和管理。：管理應(yīng)用的瘦客戶端，可以允許多個(gè)客戶端在局域網(wǎng)內(nèi)按照所賦予的權(quán)限和級(jí)別執(zhí)行相應(yīng)的代碼掃描和結(jié)果審查及管理。：Web service用于公司局域網(wǎng)或者外部網(wǎng)絡(luò)采用web browser 或者IDE實(shí)施插件使用掃描服務(wù)。、Eclipse和Visual Studio Plugin：客戶端，用于公司局域網(wǎng)或者外部Internet網(wǎng)絡(luò)采用web browser 或者IDE實(shí)施插件使用掃描服務(wù)、管理掃描結(jié)果。 功能模塊：接受客戶端掃描和查詢請(qǐng)求，規(guī)則自定義，集中式提供企業(yè)級(jí)的、角色和團(tuán)隊(duì)管理、權(quán)限管理 、掃描結(jié)果管理、掃描調(diào)度和自動(dòng)化管理、掃描資源管理、查詢規(guī)則管理、掃描策略管理、更新管理、報(bào)表管理。：執(zhí)行具體掃描（分布式掃描和并行掃描），接受管理應(yīng)用的掃描任務(wù)，并將掃描的結(jié)果存放在數(shù)據(jù)庫(kù)，供管理應(yīng)用查詢和管理。：管理應(yīng)用的瘦客戶端，可以允許多個(gè)客戶端在局域網(wǎng)內(nèi)按照所賦予的權(quán)限和級(jí)別執(zhí)行相應(yīng)的代碼掃描和結(jié)果審查及管理。：Web service用于公司局域網(wǎng)或者外部網(wǎng)絡(luò)采用web browser 或者IDE實(shí)施插件使用掃描服務(wù)。、Eclipse和Visual Studio Plugin：客戶端，用于公司局域網(wǎng)或者外部Internet網(wǎng)絡(luò)采用web browser 或者IDE實(shí)施插件使用掃描服務(wù)、管理掃描結(jié)果。 功能列表 ：接受客戶端掃描和查詢請(qǐng)求，規(guī)則自定義，集中式提供企業(yè)級(jí)的、角色和團(tuán)隊(duì)管理、權(quán)限管理 、掃描結(jié)果管理、掃描調(diào)度和自動(dòng)化管理、掃描資源管理、查詢規(guī)則管理、掃描策略管理、更新管理、報(bào)表管理。：執(zhí)行具體掃描（分布式掃描和并行掃描），接受管理應(yīng)用的掃描任務(wù)，并將掃描的結(jié)果存放在數(shù)據(jù)庫(kù)，供管理應(yīng)用查詢和管理。：管理應(yīng)用的瘦客戶端，可以允許多個(gè)客戶端在局域網(wǎng)內(nèi)按照所賦予的權(quán)限和級(jí)別執(zhí)行相應(yīng)的代碼掃描和結(jié)果審查及管理。：Web service用于公司局域網(wǎng)或者外部網(wǎng)絡(luò)采用web browser 或者IDE實(shí)施插件使用掃描服務(wù)。、Eclipse和Visual Studio Plugin：客戶端，用于公司局域網(wǎng)或者外部Internet網(wǎng)絡(luò)采用web browser 或者IDE實(shí)施插件使用掃描服務(wù)、管理掃描結(jié)果。 功能描述源代碼安全漏洞的掃描、結(jié)果分析和管理源代碼技術(shù)和邏輯缺陷調(diào)查、分析及規(guī)則自定義。掃描團(tuán)隊(duì)和權(quán)限管理掃描自動(dòng)化及任務(wù)調(diào)度管理私有/公有虛擬云服務(wù) 軟件和安裝所在硬件設(shè)備對(duì)照表。組件要求操作系統(tǒng)Windows XP 32/64bit Windows 7 32/64bit Windows 2003 Server 32/64bit Windows 2008 Server 32/64bit Windows 2012 Server 64bit 瀏覽器Internet Explorer 7 Internet Explorer 8 Internet Explorer 9 Safari 6 Chrome 24 Firefox 18 支持的Eclipse版本Eclipse Eclipse Eclipse Eclipse 支持的 Visual Studio版本Visual Studio 2005 Visual Studio 2008 Visual studio 2010 Visual studio 2012 內(nèi)存[1]最小值：Express版本：512 MB所有其他版本：1 GB建議：Express版本：1 GB所有其他版本：至少4 GB并且應(yīng)該隨著數(shù)據(jù)庫(kù)大小的增加而增加，以便確保最佳的性能。處理器速度最小值： x86處理器： GHz x64處理器： GHz建議： GHz或更快處理器類型 x64處理器：AMD Opteron、AMD Athlon 6支持Intel EM64T的Intel Xeon、支持EM64T的Intel Pentium IV x86處理器：Pentium III兼容處理器或更快 軟件的體系結(jié)構(gòu) 關(guān)鍵技術(shù)第二代的靜態(tài)源代碼掃描技術(shù)。這種技術(shù)可簡(jiǎn)單的理解為，把代碼劈開，把待分析的代碼及代碼之間的關(guān)系以對(duì)象的方式存放在內(nèi)存中，同時(shí)也使用了一種可以接受的算法在有效的時(shí)間里描繪出應(yīng)用的路徑圖形，并采用了一種特殊的查詢語(yǔ)言CxQL來(lái)查找安全問題，每一個(gè)查詢語(yǔ)句就針對(duì)一類安全漏洞問題，因此幾乎可以達(dá)到完美的結(jié)果,消除了誤報(bào)(false positive)掃描和分析的輸入數(shù)據(jù)是軟件源代碼，不是二進(jìn)制代碼，因此不需要進(jìn)行代碼構(gòu)建或者編譯，也不需要提供任何代碼依賴的庫(kù)。只需要上傳源代碼，或設(shè)定自動(dòng)掃描時(shí)間，就可以定期收到掃描分析結(jié)果。代碼甚至不需要被正確編譯或鏈接。因此，可以在軟件項(xiàng)目的實(shí)施生命周期中任何一個(gè)給定時(shí)間點(diǎn)運(yùn)行掃描并生成安全報(bào)告。從而保證代碼安全漏洞和質(zhì)量缺陷一產(chǎn)生就可以被識(shí)別，盡早修復(fù)，降低軟件安全和質(zhì)量缺陷修復(fù)的成本。 工具特點(diǎn) 操作系統(tǒng)獨(dú)立代碼審計(jì)不依賴于特定操作系統(tǒng)，只在在企業(yè)范圍內(nèi)部署一臺(tái)審計(jì)服務(wù)器，就可以審計(jì)其它操作項(xiàng)目實(shí)施環(huán)境下的代碼，包括但不限于如下操作系統(tǒng)Windows、Linux、AIX，HPUnix, Mac OS, Solaris,無(wú)在每種平臺(tái)安裝相應(yīng)的版本,節(jié)約相關(guān)平臺(tái)的軟硬件成本。 編譯器獨(dú)立、實(shí)施環(huán)境獨(dú)立，搭建測(cè)試環(huán)境簡(jiǎn)單快速且統(tǒng)一由于采用了獨(dú)特的虛擬編譯器技術(shù)，代碼審計(jì)不需要依賴編譯器和實(shí)施環(huán)境，無(wú)為每種實(shí)施語(yǔ)言的代碼安裝編譯器和測(cè)試環(huán)境，只要通過客戶端、瀏覽器、實(shí)施環(huán)境服務(wù)插件登錄到管理應(yīng)用 Application服務(wù)器，提供本地代碼審計(jì)代碼的目錄、遠(yuǎn)程代碼目錄、和版本管理代碼目錄（Subversion、CVS，ClearCase即可，審計(jì)代碼無(wú)通過編譯過程。搭建測(cè)試環(huán)境快速簡(jiǎn)單，無(wú)像其它的靜態(tài)分析工具，在相應(yīng)的操作系統(tǒng)上安裝相應(yīng)的工具軟件包，安裝眾多實(shí)施工具和代碼依賴的第三方庫(kù)及軟件包、安全服務(wù)代碼通過編譯，方可進(jìn)行測(cè)試。安裝一次，即可審計(jì)Java代碼、C/C++代碼、.NET代碼JSP、JavaSript、VBSript、 .、C 、 、 VBASP 、Perl、Apex VisualForce,Android、OWASP ESAPI、MISRA、和ObjectiveC (iOS)…等各種語(yǔ)言代碼，并且不管這些代碼是在windows平臺(tái)、Linux平臺(tái)或者其它平臺(tái)的。 工具學(xué)習(xí)、培訓(xùn)和使用的成本少，最小化影響實(shí)施進(jìn)度由于編譯器、操作系統(tǒng)和實(shí)施環(huán)境獨(dú)立，使用者無(wú)去學(xué)習(xí)每種平臺(tái)下如何去編譯代碼，安全服務(wù)代碼、如何審計(jì)測(cè)試代碼，無(wú)去看每種平臺(tái)下繁瑣的使用手則。因?yàn)樵摲?wù)只要提供源代碼即可審計(jì)，并給出精確的審計(jì)結(jié)果。 低誤報(bào)該產(chǎn)品企業(yè)服務(wù)在審計(jì)過程中全面分析應(yīng)用的所有路徑和變量。準(zhǔn)確的分析結(jié)果，驗(yàn)證可能的風(fēng)險(xiǎn)是否真正導(dǎo)致安全問題，自動(dòng)排除噪音信息，審計(jì)結(jié)果幾乎就是最終的分析結(jié)果，其誤報(bào)率（False Positive）幾乎為零。極大的減少了審計(jì)分析的人工勞動(dòng)成本，極大的節(jié)省了代碼審計(jì)的時(shí)間，為實(shí)施團(tuán)隊(duì)贏得更多的實(shí)施時(shí)間。 安全漏洞覆蓋面廣且全面 (低漏報(bào))數(shù)以百計(jì)的安全漏洞檢查適合任于何組織，支持最新的OWASP 、CWE、SANS、PCI、SOX等國(guó)際權(quán)威組織對(duì)軟件安全漏洞的定義。漏洞覆蓋面廣，安全檢查全面，其自定義查詢語(yǔ)言CxQL可以讓靈活制定要的代碼規(guī)則，極大的豐富組織特定的代碼安全和代碼質(zhì)量的要。 安全查詢規(guī)則清晰且完全公開實(shí)現(xiàn)規(guī)則定義清晰，并完全公開所有規(guī)則的定義和實(shí)現(xiàn)讓清楚知道工具如何去定義風(fēng)險(xiǎn)、如何去查找風(fēng)險(xiǎn)，透明各種語(yǔ)言風(fēng)險(xiǎn)。讓知道工具已經(jīng)做了那些工作，沒有做那些該工作。而不是給一個(gè)黑匣子，無(wú)法了解工具的細(xì)節(jié)和缺陷，無(wú)法在代碼審計(jì)過程中規(guī)避工具的風(fēng)險(xiǎn)（比如漏報(bào)和誤報(bào)），比如利用人工或者其它手段查找工具不能定位的問題。 安全規(guī)則自定義簡(jiǎn)單高效由于公開了所有規(guī)則實(shí)現(xiàn)的細(xì)節(jié)和語(yǔ)法，可以快速修改規(guī)則或者參考已有的規(guī)則語(yǔ)句自定義自己要規(guī)則，規(guī)則學(xué)習(xí)，定義簡(jiǎn)單高效。能快速實(shí)現(xiàn)組織軟件安全策略?？梢岳鄯e試驗(yàn)室的安全研究成果,把實(shí)驗(yàn)室的成果轉(zhuǎn)換成查詢規(guī)則,然后用自動(dòng)化的方式去驗(yàn)證試驗(yàn)室的安全知識(shí)對(duì)實(shí)際系統(tǒng)的應(yīng)用情況. 審計(jì)性能10萬(wàn)行代碼審計(jì)時(shí)間在10~30分鐘不等，視代碼復(fù)雜度和硬件配置而不同。 安全規(guī)則自定義簡(jiǎn)單高效由于公開了所有規(guī)則實(shí)現(xiàn)的細(xì)節(jié)和語(yǔ)法，可以快速修改規(guī)則或者參考已有的規(guī)則語(yǔ)句自定義自己需要規(guī)則，規(guī)則學(xué)習(xí)，定義簡(jiǎn)單高效。能快速實(shí)現(xiàn)組織軟件安全策略。 業(yè)務(wù)邏輯和架構(gòu)風(fēng)險(xiǎn)調(diào)查該產(chǎn)品服務(wù)可以對(duì)所有審計(jì)代碼的任意一個(gè)代碼元素（詞匯）做動(dòng)態(tài)的數(shù)據(jù)影響、控制影響和業(yè)務(wù)邏輯研究和調(diào)查。分析代碼邏輯和架構(gòu)特有的安全風(fēng)險(xiǎn)，并最后定義規(guī)則精確查找這些風(fēng)險(xiǎn)。這是目前唯一能動(dòng)態(tài)分析業(yè)務(wù)邏輯和軟件架構(gòu)的靜態(tài)技術(shù)。 攻擊路徑的可視化，并以3D形式展現(xiàn)每一個(gè)安全漏洞的攻擊模式和路徑完全呈現(xiàn)出來(lái)，以3D圖形的方式顯示，便于安全問題調(diào)查和分析。 代碼實(shí)踐的加強(qiáng)內(nèi)置軟件代碼質(zhì)量問題檢測(cè)，同時(shí)也提供自定義規(guī)則去驗(yàn)證編程策略和最佳實(shí)踐。 該產(chǎn)品目前支持主流語(yǔ)言Java、JSP、JavaSript、VBSript、C 、 、 VB C/C++ 、ASP 、PHP, Ruby、Perl、 Android、OWASP ESAPI、MISRA、和ObjectiveC (iOS) .(AppExchange platform)、API to 3rd party languages 。 支持的主流框架（Framework）Struts 、Spring、Ibatis、GWT、Hiberante、Enterprise Libraries、Telerik、ComponentArt、Infragistics、FarPoint，、 [*] 、MFC，并可針對(duì)客戶特定框架快速定制支持。 服務(wù)獨(dú)立，全面的團(tuán)隊(duì)審計(jì)支持作為服務(wù)器運(yùn)行。實(shí)施人員、管理人員和審計(jì)人員都可以憑各自的身份憑證從任何一處登錄服務(wù)器，進(jìn)行代碼審計(jì)、安全審計(jì)、團(tuán)隊(duì)、和審計(jì)任務(wù)管理。 高度自動(dòng)化審計(jì)任務(wù)自動(dòng)服務(wù)版本管理（SubVersion、TFS）、SMTP郵件服務(wù)器和Windows賬戶管理，實(shí)現(xiàn)自動(dòng)審計(jì)代碼更新、自動(dòng)審計(jì)、自動(dòng)報(bào)警和自動(dòng)郵件通知等。 支持多任務(wù)排隊(duì)審計(jì)、并發(fā)審計(jì)、循環(huán)審計(jì)、按時(shí)間調(diào)度審計(jì)。提高團(tuán)隊(duì)審計(jì)效率。 云服務(wù)實(shí)現(xiàn)支持跨Internet實(shí)現(xiàn)源代碼安全審計(jì)“云服務(wù)”。 滲透測(cè)試工具 滲透測(cè)試工具的系統(tǒng)原理滲透測(cè)試主要依據(jù)CVE（Common Vulnerabilities amp。 Exposures公共漏洞和暴露）已經(jīng)發(fā)現(xiàn)的安全漏洞，以及隱患漏洞。模擬入侵者的攻擊方法對(duì)應(yīng)用系統(tǒng)、服務(wù)器系統(tǒng)和網(wǎng)絡(luò)設(shè)備進(jìn)行非破壞性質(zhì)的攻擊性測(cè)試。 系統(tǒng)功能特性和性能指標(biāo) 軟件功能分類輔助模塊（Aux）、滲透攻擊模塊（Exploits）、后滲透攻擊模塊（Post）、攻擊載荷模塊（Payloads）、空指令模塊（Nops）和編碼器模塊（Encoders）。 功能模塊 輔助模塊本軟件為滲透測(cè)試的信息搜集環(huán)節(jié)提供了大量的輔助模塊支持，包括針對(duì)各種網(wǎng)絡(luò)服務(wù)的掃描與查點(diǎn)、構(gòu)建虛假服務(wù)收集登錄密碼、口令猜測(cè)破解、敏感信息嗅探、探查敏感信息泄露、Fuzz測(cè)試發(fā)掘漏洞、實(shí)施網(wǎng)絡(luò)協(xié)議欺騙等模塊。輔助模塊能夠幫助滲透測(cè)試者在進(jìn)行滲透攻擊之前得到目標(biāo)系統(tǒng)豐富的情報(bào)信息，從而發(fā)起更具目標(biāo)性的精準(zhǔn)攻擊。 滲透攻擊模塊滲透攻擊模塊是利用發(fā)現(xiàn)的安全漏洞或配置弱點(diǎn)對(duì)遠(yuǎn)程目標(biāo)系統(tǒng)進(jìn)行攻擊，以植入和運(yùn)行攻擊載荷，從而獲得對(duì)遠(yuǎn)程目標(biāo)系統(tǒng)訪問權(quán)的代碼組件。滲透攻擊模塊是本軟件框架中最核心的功能組件。 攻擊載荷模塊攻擊載荷是在滲透攻擊成功后促使目標(biāo)系統(tǒng)運(yùn)行的一段植入代碼，通常作用是為滲透攻擊者打開在目標(biāo)系統(tǒng)上的控制會(huì)話連接。在傳統(tǒng)的滲透代碼實(shí)施中，攻擊載荷只是一段功能簡(jiǎn)單的Shellcode代碼，以匯編語(yǔ)言編制并轉(zhuǎn)換為目標(biāo)系統(tǒng)CPU體系結(jié)構(gòu)支持的機(jī)器代碼，在滲透攻擊觸發(fā)漏洞后，將程序執(zhí)行流程劫持并跳轉(zhuǎn)入這段機(jī)器代碼中執(zhí)行，從而完成Shellcode中實(shí)現(xiàn)的單一功能，比如在遠(yuǎn)程系統(tǒng)中添加新、啟動(dòng)一個(gè)命令行Shell并綁定到網(wǎng)絡(luò)端口上等。而實(shí)施滲透代碼時(shí)，往往是從以前的代碼中直