【正文】 SQL 查詢。如果應(yīng)用程序在沒有合理驗證數(shù)據(jù)的情況下使用用戶輸入創(chuàng)建 SQL 查詢，那幺說明該應(yīng)用程序存在 SQL 注入漏洞。成功利用這一類別的漏洞會導(dǎo)致未授權(quán)用戶訪問或操作數(shù)據(jù)庫中的數(shù)據(jù)。Code 注入測試代碼注入測試檢測是否有可能在應(yīng)用程序中注入稍后由 Web 服務(wù)器執(zhí)行的代碼。OS Commanding本項測試將設(shè)法通過 HTTP 請求在應(yīng)用程序中注入 OS 命令。緩沖區(qū)溢出測試（字符串格式）本項測試將檢查不同類型的緩沖區(qū)溢出漏洞。Web服務(wù)信息收集進行 Web 服務(wù)測試的第一步是確定 WS 入口點和鏈接圖標(biāo)。Web服務(wù)測試XML架構(gòu)測試XML 需要有合法的格式才能正確的運作。當(dāng)服務(wù)器端進行 XML 語句分析時，不合規(guī)格的 XML 將會出錯。一個解析器需要在整個 XML 信息中按照序列的方式徹底運行，這樣才能評估 XML 格式是否合格。XML 解析器通常占用較多的 CPU 資源。某些攻擊通過發(fā)送大量或者不合規(guī)的 XML 信息來利用這個漏28 / 51洞。XML內(nèi)容級別測試內(nèi)容級別的攻擊對象是 Web 服務(wù)及其使用的應(yīng)用程序的服務(wù)器，包括 Web 服務(wù)器、數(shù)據(jù)庫、應(yīng)用程序服務(wù)器、操作系統(tǒng)等等。內(nèi)容級別攻擊向量包括：1）SQL 注入/XPath 注入 2）緩存溢出 3）命令注入。HTTP GET 參數(shù)/REST 測試許多 XML 應(yīng)用程序是通過 HTTP GET 查詢傳輸參數(shù)來使用的。在 HTTP GET 字符串例如，超長的參數(shù)（2048 字符） 、SQL 語句/注入（或 OS 注入?yún)?shù)）中傳輸惡意內(nèi)容時，Web 服務(wù)將會受到攻擊。Naughty SOAP 附件本項測試將檢測接受附件的 Web 服務(wù)的是否存在漏洞。這類危險存在于當(dāng)信息附加到服務(wù)器和分配到用戶的時候。重放測試重放攻擊的威脅在于攻擊者可以偽裝成一個合法用戶的身份，然后不被察覺的情況下進行一些惡意操作。本項測試將檢測 Web 服務(wù)是否存在重放漏洞. 滲透測試驗證針對本次測試過程中發(fā)現(xiàn)的漏洞進行層次性的安全加固，特別對于通過滲透測試發(fā)現(xiàn)的漏洞進行適應(yīng)性的補救和加固措施，在保證不影響正常業(yè)務(wù)的情況下，配合行方運行維護人員或安全管理人員實施加固方案。對于加固后的系統(tǒng)進行重復(fù)性的滲透測試驗證，以保障漏洞不可利用性，同時驗證安全加固措施的有效性。最后形成具體驗證成果報告，確保對外提供安全穩(wěn)定的應(yīng)用服務(wù)。29 / 51. 階段 6：風(fēng)險綜合分析風(fēng)險是一種潛在可能性，是指某個威脅利用弱點引起某項資產(chǎn)或一組資產(chǎn)的損害，從而直接地或間接地引起企業(yè)或機構(gòu)的損害。因此，風(fēng)險和具體的資產(chǎn)、其價值、威脅等級以及相關(guān)的弱點直接相關(guān)。從上述的定義可以看出，風(fēng)險評估的策略是首先選定某項資產(chǎn)、評估資產(chǎn)價值、挖掘并評估資產(chǎn)面臨的威脅、挖掘并評估資產(chǎn)存在的弱點、評估該資產(chǎn)的風(fēng)險、進而得出整個評估目標(biāo)的風(fēng)險。. 階段目標(biāo)本階段目標(biāo)是對目前存在的安全風(fēng)險進行分析，包括風(fēng)險的計算、風(fēng)險的處置和風(fēng)險的安全控制措施選擇。根據(jù)計算出的風(fēng)險值，對風(fēng)險進行排序，并與客戶共同選擇風(fēng)險的處置方式和風(fēng)險的安全控制措施。. 階段步驟. 步驟一：風(fēng)險計算 風(fēng)險的計算在完成了資產(chǎn)識別、威脅識別、脆弱性識別后，將采用適當(dāng)?shù)姆椒ù_定威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性，綜合資產(chǎn)價值及脆弱性的嚴重程度判斷安全事件一旦發(fā)生造成的損失，最終得到風(fēng)險值，風(fēng)險計算原理如圖所示：30 / 51威脅出現(xiàn)的頻率脆弱性的嚴重程度資產(chǎn)價值風(fēng)險值威脅識別脆弱性識別資產(chǎn)識別安全事件的可能性安全事件的損失存在的脆弱性圖 4 風(fēng)險計算原理對風(fēng)險計算原理可以采用下面的范式形式化加以說明：風(fēng)險值 = R（A，T ，V） = R（L（Ta，Vb） ，F(xiàn)（ Ia，Va） ）其中，R 表示安全風(fēng)險計算函數(shù)，A 表示資產(chǎn)，T 表示威脅，V 表示脆弱性，Ta 表示威脅出現(xiàn)的頻率，Ia 表示安全事件所作用的資產(chǎn)價值，Va 表示脆弱性嚴重程度，Vb 表示存在的脆弱性，L 表示威脅利用資產(chǎn)存在的脆弱性導(dǎo)致安全事件發(fā)生的可能性，F(xiàn) 表示安全事件發(fā)生后產(chǎn)生的損失。有以下三個關(guān)鍵計算環(huán)節(jié)：1. 計算安全事件發(fā)生的可能性根據(jù)威脅出現(xiàn)頻率及脆弱性狀況，計算威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性，即：安全事件發(fā)生的可能性 = L（威脅出現(xiàn)頻率，脆弱性） = L（Ta ，Vb）在具體評估中，應(yīng)綜合攻擊者技術(shù)能力（專業(yè)技術(shù)程度、攻擊設(shè)備等） 、脆弱性被利用的難易程度（可訪問時間、設(shè)計和操作知識公開程度等） 、資產(chǎn)吸引力等因素來判斷安全事件發(fā)生的可能性。2. 計算安全事件的損失 根據(jù)資產(chǎn)價值及脆弱性嚴重程度，計算安全事件一旦發(fā)生造成的損失，即：安全事件的損失 = F（資產(chǎn)價值，脆弱性嚴重程度） = F（Ia，Va）部分安全事件發(fā)生造成的損失不僅僅是針對該資產(chǎn)本身，還可能影響其提31 / 51供業(yè)務(wù)的連續(xù)性。不同安全事件對組織造成的影響也是不一樣的，在計算某個安全事件的損失時，應(yīng)將對組織的影響也考慮在內(nèi)。3. 計算風(fēng)險值根據(jù)計算出的安全事件發(fā)生的可能性以及安全事件的損失，計算風(fēng)險值，即：風(fēng)險值 = R（安全事件發(fā)生的可能性，安全事件的損失）= R（L（Ta ，Vb ） ，F(xiàn)（Ia， Va） ）. 步驟二：進行風(fēng)險結(jié)果判定確定風(fēng)險數(shù)值的大小不是組織風(fēng)險評估的最終目的，重要的是明確不同威脅對資產(chǎn)所產(chǎn)生的風(fēng)險的相對值，即要確定不同風(fēng)險的優(yōu)先次序或等級，對于風(fēng)險級別高的資產(chǎn)應(yīng)被優(yōu)先分配資源進行保護。風(fēng)險等級建議從1到5劃分為五級。等級越大，風(fēng)險越高。評估者也可以根據(jù)被評估系統(tǒng)的實際情況自定義風(fēng)險的等級。下表提供了一種風(fēng)險等級劃分方法。表格 7 風(fēng)險圖等級 標(biāo)識 描述5 很高一旦發(fā)生將使系統(tǒng)遭受非常嚴重破壞，組織利益受到非常嚴重損失，如嚴重破壞組織信譽、嚴重影響組織業(yè)務(wù)的正常運行、經(jīng)濟損失重大、企業(yè)影響惡劣等4 高 如果發(fā)生將使系統(tǒng)遭受比較嚴重的破壞，組織利益受到很嚴重損失3 中等 發(fā)生后將使系統(tǒng)受到一定的破壞，組織利益受到中等程度的損失2 低 發(fā)生后將使系統(tǒng)受到的破壞程度和利益損失一般1 很低 即使發(fā)生只會使系統(tǒng)受到較小的破壞32 / 51. 步驟三：選擇控制措施根據(jù)風(fēng)險分析的結(jié)果，綜合考慮客戶信息系統(tǒng)的實際情況、成本因素等選擇相應(yīng)的管理或技術(shù)控制手段，并結(jié)合已經(jīng)發(fā)現(xiàn)的業(yè)務(wù)系統(tǒng)風(fēng)險，給出整改建議。. 步驟四：殘余風(fēng)險處置對于不可接受范圍內(nèi)的風(fēng)險，應(yīng)在選擇了適當(dāng)?shù)目刂拼胧┖?，對殘余風(fēng)險進行評價，判定風(fēng)險是否已經(jīng)降低到可接受的水平，為風(fēng)險管理提供輸入。殘余風(fēng)險的評價可以依據(jù)組織風(fēng)險評估的準(zhǔn)則進行，考慮選擇的控制措施和已有的控制措施對于威脅發(fā)生的可能性的降低。某些風(fēng)險可能在選擇了適當(dāng)?shù)目刂拼胧┖笕蕴幱诓豢山邮艿娘L(fēng)險范圍內(nèi)，應(yīng)通過管理層依據(jù)風(fēng)險接受的原則，考慮是否接受此類風(fēng)險或增加控制措施。為確保所選擇控制措施的有效性，必要時可進行再評估，以判斷實施控制措施后的殘余風(fēng)險是否是可被接受的。. 階段輸出本階段完成后主要輸出文檔如下：? 《風(fēng)險計算列表》? 《風(fēng)險處置計劃方案》? 《風(fēng)險評估綜合報告》. 階段 7：風(fēng)險處置計劃對于不可接受的風(fēng)險，應(yīng)根據(jù)導(dǎo)致該風(fēng)險的脆弱性和威脅制定風(fēng)險處理計劃。風(fēng)險處理計劃中明確應(yīng)采取的彌補其脆弱性、降低安全事件造成的損失或減少安全事件發(fā)生可能性的新的安全措施、預(yù)期效果、實施條件、進度安排、責(zé)任部門等。安全措施的選擇應(yīng)充分考慮到組織、資金、環(huán)境、人員、時間、法律、技術(shù)和企業(yè)文化等多方面的可能限制因素，從管理與33 / 51技術(shù)兩個方面考慮，管理措施可以作為技術(shù)措施的補充。安全措施的選擇與實施應(yīng)參照國家和行業(yè)的相關(guān)標(biāo)準(zhǔn)。在對不可接受風(fēng)險選擇新的安全措施后，為確保安全措施的有效性，應(yīng)進行再評估，以判斷實施新的安全措施后的殘余風(fēng)險是否已經(jīng)降低到可接受的水平。殘余風(fēng)險的評估可以依據(jù)本標(biāo)準(zhǔn)的風(fēng)險評估流程實施，也可做適當(dāng)裁減。某些風(fēng)險可能在選擇了新的安全措施后，殘余風(fēng)險的風(fēng)險評估結(jié)果仍處于不可接受范圍內(nèi)，應(yīng)考慮是否接受此風(fēng)險或進一步增加相應(yīng)的安全措施。在選擇和實施風(fēng)險控制措施時，應(yīng)兼顧管理與技術(shù)，具體針對各類風(fēng)險應(yīng)根據(jù)組織的實際情況考慮以下十一個方面的控制：安全方針、組織安全、資產(chǎn)的分類與控制、人員安全、物理與環(huán)境安全、通訊與運作管理、訪問控制、系統(tǒng)的開發(fā)與維護、業(yè)務(wù)持續(xù)性管理、信息安全事件管理、符合性。在風(fēng)險處理方式及控制措施的選擇上，信元公眾應(yīng)考慮發(fā)展戰(zhàn)略、企業(yè)文化、人員素質(zhì)，并特別關(guān)注成本與風(fēng)險的平衡，以處理安全風(fēng)險以滿足法律法規(guī)及相關(guān)方的要求，管理性與技術(shù)性的措施均可以降低風(fēng)險。. 階段 8：項目交付. 成果交付項目完成后將提交以下文檔：? 《風(fēng)險評估綜合報告》? 《資產(chǎn)賦值列表》? 《威脅賦值列表》? 《脆弱性賦值列表》 （包含《脆弱性掃描分析報告》 ）? 《風(fēng)險處置計劃》 （附件《風(fēng)險列表》 ） 《風(fēng)險評估綜合報告》：主體報告，描述被評估信息系統(tǒng)得信息安全現(xiàn)狀，對評估范圍內(nèi)的業(yè)務(wù)資產(chǎn)進行風(fēng)險分析，明確出威脅源采用何種威脅方法，利用了哪些脆弱性，對范圍內(nèi)的哪些資產(chǎn)產(chǎn)生了什么影響，采取何種對策進行防范威脅，減少脆弱性；并對風(fēng)險評估作出總結(jié)，總結(jié)出哪些問題需要當(dāng)前解決，哪些問題可以分步分期解決。34 / 51 《資產(chǎn)賦值列表》：綜合報告的子報告，描述了在資產(chǎn)識別后，對資產(chǎn)進行分類整理，并依據(jù)其所受破壞后所造成的影響，分析出其影響權(quán)值及其重要性。 《威脅賦值列表》：綜合報告的子報告，描述總結(jié)出評估范圍內(nèi)業(yè)務(wù)資產(chǎn)所面臨的威脅源，以及其所采用的方法。 《脆弱性賦值列表》：綜合報告的子報告，描述出通過安全管理調(diào)查、工具掃描、手工檢查進行專業(yè)分析后，總結(jié)出評估范圍內(nèi)業(yè)務(wù)資產(chǎn)自身存在的脆弱性。 《脆弱性掃描分析報告》：脆弱性評估報告的子報告，主要描述通過工具掃描之后，對評估范圍內(nèi)的資產(chǎn)脆弱性進行統(tǒng)計，重在描述高風(fēng)險、中風(fēng)險、低風(fēng)險的數(shù)量以及百分比等情況。 《風(fēng)險處置建議計劃》：綜合報告后的輔助報告，通過綜合分析，了解了當(dāng)前的安全現(xiàn)狀，提出了針對當(dāng)前問題的信息系統(tǒng)總體安全解決方案。. 項目驗收對項目計劃與成果目標(biāo)進行驗收。第 3 章 項目管理為了保證整個安全項目實施的質(zhì)量和進度，本項目將主要參考并遵循一些國際最新的相關(guān)信息安全工程標(biāo)準(zhǔn)和最新的研究成果，如：? SSECMM 信息安全工程能力成熟模型；? IATF 信息系統(tǒng)安全工程（ISSE）過程模型。. 組織管理為了保證項目的順利實施，確保達到預(yù)期的目標(biāo)，必須建立分工明確，職責(zé)清楚，層次分明同時又能協(xié)調(diào)配合的項目管理組織。35 / 51項目領(lǐng)導(dǎo)小組項目技術(shù)支持項目實施 質(zhì)量控制項目經(jīng)理 協(xié)調(diào)小組圖 5 項目組織圖職責(zé)分工：? 項目領(lǐng)導(dǎo)小組：有項目服務(wù)提供方管理層和資深安全顧問組成的核心決策層。? 項目經(jīng)理：由信息安全服務(wù)提供商指定，根據(jù)項目協(xié)調(diào)小組的決定與授權(quán)，在充分調(diào)研準(zhǔn)備的基礎(chǔ)上，提出具體實施方案并組織實施，解決項目實施中出現(xiàn)的各類問題。? 協(xié)調(diào)小組：有服務(wù)買方項目負責(zé)人組成的協(xié)調(diào)小組，和目項目經(jīng)理一起協(xié)調(diào)項目中存在的問題、進度、其他問題等。? 項目實施小組：由信息安全服務(wù)提供商技術(shù)人員組成，負責(zé)安全產(chǎn)品集成的具體實施。? 項目支持小組：主要由項目實施過程中，服務(wù)賣方提供的遠程技術(shù)支持力量，負責(zé)遠程協(xié)助和支持。? 質(zhì)量控制：主要有項目商務(wù)和售前作為質(zhì)量監(jiān)督和控制，有權(quán)對項目實施進行建議和實施工作的改進。. 范圍管理范圍管理通過對項目范圍的明確界定以及過程中變更的嚴格控制，使整個項目各項工作自始至終嚴格貫徹立項的宗旨，既無工作內(nèi)容遺漏，也不存在未經(jīng)授權(quán)的范圍超出，從而保障項目的圓滿完成。36 / 51. 范圍定義一個預(yù)先定義的、清晰的項目范圍是項目順利開展的基礎(chǔ)。在項目啟動時，項目參與方應(yīng)對《工作范圍說明書》中約定的工作范圍和內(nèi)容進行確認，對于有疑問之處應(yīng)立即澄清，確認后的《工作范圍說明書》說明項目范圍的基準(zhǔn)，并以此為基礎(chǔ)具體進行計劃制定與工作分解。. 范圍變更控制范圍變更指對經(jīng)過項目各方同意和有效授權(quán)的對項目范圍的任何修改。范圍變更通常涉及對成本、時間、質(zhì)量或其他項目目標(biāo)進行變更。為實現(xiàn)對范圍變更的嚴格控制，變更需要通過書面的方式進行記錄，并在對其可能的影響進行充分分析，綜合各方面情況做出決策。在項目實施過程中，當(dāng)出現(xiàn)范圍變更需求時，變更申請人應(yīng)填寫《變更申請單》 ，闡述變更內(nèi)容和理由，并進行詳細的變更影響分析，分析包括但不限于變更可能對項目的人員、時間、預(yù)算以及項目成果落實所造成的改變，以及對這些的改變的應(yīng)對措施。項目經(jīng)理、項目領(lǐng)導(dǎo)小組將基于這些信息，綜合考慮項目各方面情況，對范圍變更提出決策意見。變更申請批準(zhǔn)后，相關(guān)的改變將同步更新到總體工作計劃內(nèi)，后續(xù)的工作將通過周期性的會議接受監(jiān)督。表格 8 項目變更表項目范圍管理基礎(chǔ)信息項目名稱變更描述變更范圍定義描述項目范圍管理初始確認37 / 51賣方項目經(jīng)理批示買方項目經(jīng)理批示相關(guān)負責(zé)人批示項目范圍重定義編號 重定義內(nèi)容 備注1□ 增加 □ 縮減2□ 增加 □ 縮減3□ 增加 □ 縮減4□ 增加