【正文】 作結果 數(shù)據(jù)流圖、業(yè)務關系圖、報告參加人員 啟明星辰評估人員，某單位相關主管和業(yè)務人員. 安全事件評估表格 14 安全事件評估項目名稱 安全事件評估簡要描述對安全事件響應規(guī)范、流程、人員、能力以及事件記錄以及應急培訓等進行評估.. . . ..學習參考達成目標 了解安全事件處理能力主要內容? 應急流程? 事件紀錄? 事件處理實現(xiàn)方式? 人工訪談? 察看規(guī)范? 察看事件紀錄工作條件23人工作環(huán)境，2臺Win2022PC，電源和網(wǎng)絡環(huán)境，某單位人員和資料配合工作結果 了解某單位應用服務和應用系統(tǒng)的安全狀況參加人員啟明星辰評估人員、某單位業(yè)務維護人員、某單位開發(fā)人員、商業(yè)產(chǎn)品開發(fā)商. 滲透測試1) 概述通過滲透測試的方式，模擬黑客的攻擊思路與技術手段，達到以下目標：從攻擊者角度，發(fā)現(xiàn)應用系統(tǒng)存在的安全隱患；檢測對外提供服務的業(yè)務系統(tǒng)威脅防御能力。深度挖掘滲透測試范圍內應用系統(tǒng)各個層面（應用層、網(wǎng)絡層、系統(tǒng)層）的安全漏洞；檢驗當前安全控制措施的有效性，針對發(fā)現(xiàn)的安全風險及時進行整改，增強系統(tǒng)自身防御能力，提升安全保障體系的整體健壯性。2) 滲透測試規(guī)范滲透測試通過可控的安全測試技術對限定范圍內的應用系統(tǒng)進行滲透測試，同時結合以下業(yè)界著名的測試框架組合成最佳實踐進行操作：ISECOM 制定的開源安全測試方法 開放 Web 應用安全項目 OWASPv3.. . . ..學習參考3) 項目范圍本次滲透測試項目范圍：以下由項目組雙方確認：應用系統(tǒng)名稱 域名 測試方式外網(wǎng)遠程測試外網(wǎng)遠程測試4) 實施計劃滲透測試項目實施計劃：項目階段工作對象工作內容工作日期工作時間實施人員備注信息收集與端口掃描待定 待定滲透測試專業(yè)人員手工安全測試待定 待定滲透測試專業(yè)人員XX 系統(tǒng)WEB 安全掃描與驗證待定 待定滲透測試專業(yè)人員 提供業(yè)務系統(tǒng)管理人員或緊急聯(lián)系人的聯(lián)系方式 對業(yè)務系統(tǒng)做好必要的備份措施 關注測試期間業(yè)務系統(tǒng)的狀態(tài)與影響，如有異常及時通知項目接口人滲透階段應用系統(tǒng)XX 系 信息收 待定 待定 滲透測試 提供業(yè)務系.. . . ..學習參考項目階段工作對象工作內容工作日期工作時間實施人員備注集與端口掃描專業(yè)人員手工安全測試待定 待定滲透測試專業(yè)人員統(tǒng)WEB 安全掃描與驗證待定 待定滲透測試專業(yè)人員統(tǒng)管理人員或緊急聯(lián)系人的聯(lián)系方式 對業(yè)務系統(tǒng)做好必要的備份措施 關注測試期間業(yè)務系統(tǒng)的狀態(tài)與影響，如有異常及時通知項目接口人報告階段編寫報告滲透測試情況反饋與溝通匯總滲透測試數(shù)據(jù)，進行數(shù)據(jù)分析，撰寫滲透測試報告待定 待定滲透測試專業(yè)人員對報告與測試成果進行確認與反饋、提出意見5) 控制滲透測試過程最大的風險在于測試過程中對業(yè)務產(chǎn)生影響，為此我們在實施滲透測試中采取以下措施來減小風險：? 雙方確認進行每一階段的滲透測試前，必須獲得某單位的同意和授權。對于任何滲透測試對象的變更和測試條件變更也都必須獲得雙方的同意并達成一致意見，.. . . ..學習參考方可執(zhí)行。? 工具選擇為防止造成真正的攻擊，在滲透性測試項目中，啟明星辰會嚴格選擇測試工具，杜絕因工具選擇不當造成的將病毒和木馬植入的情況發(fā)生。如：操作系統(tǒng)層面的脆弱性識別工具包括：Superscan、Xscan、Nessus、天鏡、Nmap 等。WEB 應用層面脆弱性識別工具包括：IBM APPSCAN、WVS、Webinspect、Burpsuite、Jsky 等。? 時間選擇為減輕滲透性測試對用戶網(wǎng)絡和系統(tǒng)的影響，滲透測試安排在不影響某單位正常業(yè)務運作的時間段進行，具體時間雙方協(xié)調。? 范圍控制啟明星辰承諾不會對授權范圍之外的網(wǎng)絡設備、主機和系統(tǒng)進行漏洞檢測、攻擊性測試，嚴格按照滲透測試范圍內限定的應用系統(tǒng)進行測試。? 策略選擇為防止?jié)B透性測試造成網(wǎng)絡和系統(tǒng)的服務中斷，啟明星辰在滲透性測試中不使用含有拒絕服務的測試策略。? 項目溝通在項目實施過程中，除了確定不同階段的測試人員以外，還要確定各階段的某單位方配合人員，建立雙方直接溝通的渠道；項目實施過程中需要某單位方人員同時在場配合工作，并保持及時、充分、合理的溝通。? 系統(tǒng)備份和恢復措施為避免實際滲透測試過程中可能會發(fā)生不可預知的風險，因此在滲透測試前相關管理人員應對系統(tǒng)或關鍵數(shù)據(jù)進行備份、確保相關的日志審計功能正常開啟，一旦在出現(xiàn)問題時，可以及時的恢復運轉。? 滲透期間保障確認每天滲透人員測試完畢后，檢查確認網(wǎng)站是否正常運行，如發(fā)現(xiàn)網(wǎng)站不正常運行，及時與項目聯(lián)系人取得聯(lián)系，方便盡快恢復網(wǎng)站系統(tǒng)運行。在滲透測試過程中，如果出現(xiàn)被評估系統(tǒng)沒有響應或中斷的情況，應當立即停止測試工作，與某單位人員配合一起分析情況，在確定原因后，及時恢復系統(tǒng)，并采取必要的預防措施（比如調整測試策略）之后，確保對系統(tǒng)無影響，并經(jīng)某單位方同意之后才可繼續(xù)進行。.. . . ..學習參考6) 預估風險影響滲透測試內容名稱 測試方法 可能導致的風險 風險規(guī)避措施信息收集與端口掃描 端口掃描技術/域名 IP 路由分析/搜索引擎無風險操作系統(tǒng)與服務漏洞掃描操作系統(tǒng)與服務指紋識別技術/漏洞檢測技術/天鏡漏洞掃描系統(tǒng)掃描不會存在風險，如果利用溢出類漏洞可能導致系統(tǒng)服務拒絕根據(jù)實際情況選擇不使用溢出類漏洞檢測策略WEB 應用漏洞掃描 頁面代碼掃描技術/COOKIE 中毒技術/動態(tài)腳本漏洞檢測技術/WEB 漏洞檢測技術請求、連接數(shù)、壓力過大，可能導致應用服務器資源占用過高或，拒絕服務。避開業(yè)務高峰期進行測試限制并發(fā)連接數(shù)，不使用拒絕服務檢測類策略WEB 應用手工安全功能測試與評估SQL 注入技術/XSS 跨站檢測/封包纂改技術/會話檢測/認證檢測技術SQL 注入技術可能導致數(shù)據(jù)庫被修改或插入垃圾數(shù)據(jù)檢測請求連接過多可能導致數(shù)據(jù)庫資源占用過高SQL 注入測試僅使用讀操作 限制檢測請求并發(fā)連接數(shù) 10 以內7) 滲透測試流程滲透測試流程嚴格依照下圖執(zhí)行，采用可控制的、非破壞性質的滲透測試，并在執(zhí)行過程中把握好每一個步驟的信息輸入/輸出，控制好風險，確保對某單位系統(tǒng)不造成破壞性的損害，保證滲透測試前后信息系統(tǒng)的可用性、可靠性保持一致。.. . . ..學習參考 圖 5 滲透測試流程8) 滲透測試工作內容滲透測試完全模擬黑客的入侵思路與技術手段，黑客的攻擊入侵需要利用目標網(wǎng)絡的安全弱點，滲透測試也是同樣的道理。以人工滲透為主，以攻擊工具的使用為輔助，這樣保證了整個滲透測試過程都在可以控制和調整的范圍之內。針對各應用系統(tǒng)的滲透測試方法包括以下方法但不局限于以下方法：測試類型 測試描述信息收集信息收集是滲透攻擊的前提，通過信息收集可以有針對性地制定模擬攻擊測試計劃，提高模擬攻擊的成功率，同時可以有效的降低攻擊測試對系統(tǒng)正常運行造成的不利影響。信息收集的方法包括端口掃描、操作系統(tǒng)指紋判別、應用判別、賬號掃描、配置判別等。端口掃描 通過對目標地址的 TCP/UDP 端口掃描，確定其所開放的服務的數(shù)量和類.. . . ..學習參考型，這是所有滲透測試的基礎。通過端口掃描，可以基本確定一個系統(tǒng)的基本信息，結合安全工程師的經(jīng)驗可以確定其可能存在以及被利用的安全弱點，為進行深層次的滲透提供依據(jù)。口令猜測本階段將對暴露在公網(wǎng)的所有登陸口進行口令猜解的測試，找出各個系統(tǒng)可能存在的弱口令或易被猜解的口令。猜解成功后將繼續(xù)對系統(tǒng)進行滲透測試，挖掘嵌套在登錄口背后的漏洞、尋找新的突破口以及可能泄漏的敏感信息，并評估相應的危害性。猜解的對象包括：WEB 登錄口、FTP 端口、數(shù)據(jù)庫端口、遠程管理端口等。遠程溢出這是當前出現(xiàn)的頻率最高、威脅最嚴重，同時又是最容易實現(xiàn)的一種滲透方法，一個具有一般網(wǎng)絡知識的入侵者就可以在很短的時間內利用現(xiàn)成的工具實現(xiàn)遠程溢出攻擊。對于在防火墻內的系統(tǒng)存在同樣的風險，只要對跨接防火墻內外的一臺主機攻擊成功，那么通過這臺主機對防火墻內的主機進行攻擊就易如反掌。本地溢出本地溢出是指在擁有了一個普通用戶的賬號之后，通過一段特殊的指令代碼獲得管理員權限的方法。使用本地溢出的前提是首先要獲得一個普通用戶的密碼。也就是說由于導致本地溢出的一個關鍵條件是設置不當?shù)拿艽a策略。多年的實踐證明，在經(jīng)過前期的口令猜測階段獲取的普通賬號登錄系統(tǒng)之后，對系統(tǒng)實施本地溢出攻擊，就能獲取不進行主動安全防御的系統(tǒng)的控制管理權限。腳本測試腳本測試專門針對 Web 服務器進行。根據(jù)最新的技術統(tǒng)計，腳本安全弱點為當前 Web 系統(tǒng)尤其存在動態(tài)內容的 Web 系統(tǒng)存在的主要比較嚴重的安全弱點之一。利用腳本相關弱點輕則可以獲取系統(tǒng)其他目錄的訪問權限，重則將有可能取得系統(tǒng)的控制權限。因此對于含有動態(tài)頁面的 Web 系統(tǒng)，腳本測試將是必不可少的一個環(huán)節(jié)。權限獲取通過初步信息收集分析，存在兩種可能性，一種是目標系統(tǒng)存在重大的安全弱點，測試可以直接控制目標系統(tǒng)；另一種是目標系統(tǒng)沒有遠程重大的安全弱點，但是可以獲得普通用戶權限，這時可以通過該普通用戶權限進一步收集目標系統(tǒng)信息。接下來盡最大努力取得超級用戶權限、收集目標主機資料信息，尋求本地權限提升的機會。這樣不停的進行信息收集分析、權限提升的結果形成了整個的滲透測試過程。9) 滲透測試交付成果本次某單位安全保障與服務滲透測試的主要交付成果包括：《某單位系統(tǒng)滲透測試報告》. 管理脆弱性安全管理和安全策略密不可分，安全管理是依據(jù)安全策略進行實施，對安全管理的評估往往從安全策略開始，策略評估是指按照一定的策略標準對企業(yè).. . . ..學習參考的企業(yè)介紹，企業(yè)管理結構圖，主要業(yè)務系統(tǒng)描述，企業(yè)的短期和長期發(fā)展目標，在信息系統(tǒng)建設和應用方面的短期和長期發(fā)展目標描述，對于信息安全系統(tǒng)建設的短期和長期發(fā)展目標描述，所有與信息系統(tǒng)、信息管理、信息安全相關的策略、規(guī)章制度、工作流程、培訓教材、用戶手冊、網(wǎng)絡拓撲等各種文字資料和圖表進行全面評估，主要包括：? 某單位安全策略? 技術標準和規(guī)范? 組織機構和人員職責? 安全操作流程? 管理規(guī)定和辦法? 用戶協(xié)議? 培訓資料和用戶手冊安全管理評估首先從整體上對安全管理策略進行評估，然后再從常規(guī)安全管理與應急安全管理兩個方面進行評估。. 安全管理策略表格 15 安全管理策略評估項目名稱 安全管理策略評估簡要描述 評估現(xiàn)有安全管理策略的完善程度、合理程度；達成目標依據(jù)風險管理的相關國內國際標準；貼近某單位網(wǎng)絡內部網(wǎng)的實際業(yè)務與應用狀況；結合某單位的實際需求，協(xié)助某單位改進安全管理措施主要內容? 人員組織安全管理? 安全規(guī)章制度? 安全策略方針實現(xiàn)方式? 調查分析? 問詢式調查? 《人員和安全管理調查表》? 廣泛交流.. . . ..學習參考? 查閱相關管理制度；? 與相關管理人員進行交流；工作條件46人工作環(huán)境，2臺Win2022PC，電源和網(wǎng)絡環(huán)境，某單位人員和資料配合工作結果依據(jù)ISO17799的信息安全管理標準，結合某單位的實際需求，協(xié)助某單位改進安全管理措施參加人員 啟明星辰評估人員，某單位業(yè)