【正文】 ISO 17799：2005，個別分類的名稱進行了調(diào)整，風險級別定義標準參考ISO 13335，風險計算矩陣參考AS/NZS 4360：2004。對威脅出現(xiàn)的頻率進行等級量化處理，不同等級分別代表威脅出現(xiàn)的頻率高低，等級數(shù)值越大，威脅出現(xiàn)的頻率越高。級別定義保密性( C )完整性( I )可用性( A )5屬于絕密信息，完全不允許泄漏，只有組織高層可以接觸完全不允許出現(xiàn)變更，必須采用實時檢測機制基本不允許中斷，%4屬于機密信息，不允許泄漏，組織中層以上可以接觸不允許出現(xiàn)變更，應采用實時檢測機制可短時間中斷，%3屬于秘密信息，不允許泄漏，業(yè)務相關(guān)人員可以接觸不允許出現(xiàn)變更，應采用檢測機制中斷時間小于1天，%2屬于內(nèi)部信息，組織內(nèi)部人員可以接觸，可小范圍公開允許出現(xiàn)小范圍的不一致，并在短時間內(nèi)更正中斷時間小于1天，可靠性達到99%1屬于公開信息基本沒有要求，不一致時可在一定時間內(nèi)更正對故障時間基本沒有要求 威脅識別n 威脅分類依據(jù)下表分類標準對威脅進行分類。資產(chǎn)的價值可以從保密性、完整性、可用性等角度衡量。資產(chǎn)屬性說 明資產(chǎn)名稱記錄該資產(chǎn)的名稱用途描述描述該資產(chǎn)的主要功能及用途硬件型號資產(chǎn)的具體型號，如CISCO 6509IP地址資產(chǎn)的IP地址IP數(shù)量該資產(chǎn)同時具備的IP地址數(shù)量操作系統(tǒng)及版本填寫設(shè)備的OS或IOS版本號，如windows 2000 server應用程序及版本填寫該資產(chǎn)上運行的應用程序，包括數(shù)據(jù)庫和應用軟件安裝地點填寫該資產(chǎn)所屬的地理位置所屬業(yè)務填寫該資產(chǎn)所屬的業(yè)務所屬系統(tǒng)填寫該資產(chǎn)所屬的系統(tǒng)管理員填寫該資產(chǎn)的管理員備注其他需說明的問題，例如是否采用雙機熱備n 資產(chǎn)賦值通過分析資產(chǎn)的各種屬性，進而對資產(chǎn)進行安全價值分析。l 應用系統(tǒng) 包括組織的核心業(yè)務和辦公系統(tǒng)，如業(yè)務管理系統(tǒng)、財務管理系統(tǒng)、辦公自動化系統(tǒng)等。l 安全產(chǎn)品包括各種安全設(shè)備，如防火墻、入侵檢測系統(tǒng)（IDS）、入侵防御系統(tǒng)（IPS）、安全審計系統(tǒng)、漏洞掃描系統(tǒng)、防病毒系統(tǒng)、安全隔離系統(tǒng)、防拒絕服務攻擊設(shè)備、VPN等安全設(shè)備及產(chǎn)品。l 網(wǎng)絡(luò)設(shè)備包括路由器、交換機、四層交換設(shè)備、撥號設(shè)備等各種網(wǎng)絡(luò)設(shè)備。依據(jù)資產(chǎn)的使用特點及部署方式，可將資產(chǎn)分為以下幾個類別：l 主機設(shè)備包括各類服務器、工作站、PC機等。n 組建項目實施團隊組建風險評估實施團隊，包括項目經(jīng)理、實施工程師、質(zhì)量監(jiān)督人員在內(nèi)，實施團隊提前準備好評估所需要的表格、文檔、檢測工具等各項準備工作?，F(xiàn)場評估數(shù)據(jù)分析評估報告明確評估范圍和目標制定項目計劃、計劃討論項目計劃資產(chǎn)賦值、漏洞掃描控制臺審計、安全訪談滲透測試、數(shù)據(jù)流分析弱點分析、威脅分析可能性分析、影響分析風險識別弱點評估報告風險評估報告安全修復建議資料收集資產(chǎn)調(diào)查表、網(wǎng)絡(luò)拓撲安全調(diào)研表、其他信息 具體實施步驟如下： 風險評估準備n 確定風險評估目標明確開展本次風險評估所期望獲得的目標。評估人員分析和整理通過上述過程中所收集的各項信息，查找系統(tǒng)及相關(guān)的評估對象之間的相互關(guān)聯(lián)、相互配合中所存在的缺陷和安全風險，并與安全管理人員核實所收集的信息是否真實反映了網(wǎng)絡(luò)的真實安全情況，核實有疑問的信息。在對三套網(wǎng)絡(luò)進行安全評估時，我們采用我司自己的漏洞掃描系統(tǒng)，對網(wǎng)絡(luò)設(shè)備、安全設(shè)備進行漏洞掃描，能夠有效評估XXX三套的安全狀況。l 漏洞掃描漏洞掃描是指使用基于網(wǎng)絡(luò)的安全弱點掃描工具，根據(jù)其內(nèi)置的漏洞測試方法、掃描策略，從網(wǎng)絡(luò)中對掃描對象進行一系列的安全檢查，從而發(fā)現(xiàn)可能存在的安全漏洞、安全隱患。l 現(xiàn)場勘查對用戶網(wǎng)絡(luò)進行現(xiàn)場檢查，查找可能存在的安全隱患和漏洞，如物理機房安全評估，安全意識標語檢查等。針對訪談對象在信息安全管理和執(zhí)行信息安全控制中所扮演的角色，有重點的了解了信息安全管理現(xiàn)狀及信息安全基礎(chǔ)設(shè)施建設(shè)情況。項目組向業(yè)務管理部門和信息系統(tǒng)的負責人收集了網(wǎng)絡(luò)拓撲圖、IP地址規(guī)劃表、設(shè)備配置等資料，為全面評估XXX三套網(wǎng)絡(luò)的安全狀況提供了數(shù)據(jù)依據(jù)。采用迪普綜合漏洞評估掃描工具對網(wǎng)絡(luò)進行全面掃描，檢查其網(wǎng)絡(luò)設(shè)備的弱點，識別被入侵者用來非法進入網(wǎng)絡(luò)的漏洞。過程描述首先，確定掃描范圍，主要針對重要信息資產(chǎn)和抽樣網(wǎng)段。目標通過對XXX的網(wǎng)絡(luò)設(shè)備的掃描，發(fā)現(xiàn)目前XXX網(wǎng)絡(luò)設(shè)備存在的技術(shù)性安全漏洞。網(wǎng)絡(luò)建設(shè)中是否良好的考慮了網(wǎng)絡(luò)的高可用性和可靠性問題，是否被正確使用和良好的配置，是否有機制保障不被修改。分析XXX網(wǎng)絡(luò)中VLAN劃分是否合理，相應設(shè)備上的VLAN配置是否正確，IP地址是否分配正確。XXX業(yè)務系統(tǒng)本身業(yè)務服務所采用的相關(guān)協(xié)議，以及由此而帶來的相關(guān)的網(wǎng)絡(luò)支撐設(shè)備。分析配置中是否采用安全相關(guān)配置，系統(tǒng)的安全策略是否存在，以及是否和業(yè)務系統(tǒng)相互吻合。目標發(fā)現(xiàn)網(wǎng)絡(luò)設(shè)備配置存在的不合理及安全性問題。網(wǎng)絡(luò)建設(shè)中是否良好的考慮了網(wǎng)絡(luò)的高可用性和可靠性問題，是否被正確使用和良好的配置，是否有機制保障不被修改。網(wǎng)絡(luò)體系架構(gòu)是如何進行管理的，是否有良好的機制和制度保障網(wǎng)絡(luò)架構(gòu)本身不被改變，沒有非法的不符合安全策略的架構(gòu)改變。各個接入節(jié)點部分是否具備安全措施保障，是否被正確配置和執(zhí)行。邊界接入評估，也能有效促進系統(tǒng)與其他系統(tǒng)的對接接口安全。所以，安全域評估是架構(gòu)評估中的重中之重，我司將對XXX的安全域進行詳細的分析與劃分，并提出對應的措施，以保障對接應用系統(tǒng)的邊界安全，有效保障應用系統(tǒng)的安全運行。對于信息系統(tǒng)的安全，除了自身的安全檢測外，還需要考慮與其他系統(tǒng)進行對接的接口安全，即邊界安全。過程描述拓撲結(jié)構(gòu)合理性分析，可擴展性分析，例如網(wǎng)絡(luò)中重要節(jié)點的鏈路是否有冗余?；拘畔ňW(wǎng)絡(luò)帶寬，協(xié)議，硬件（例如：交換機，路由器等）Internet接入，地理分布方式和網(wǎng)絡(luò)管理。結(jié)合業(yè)務體系、系統(tǒng)體系等結(jié)構(gòu)的檢查邏輯網(wǎng)絡(luò)，由什么物理網(wǎng)絡(luò)組成以及網(wǎng)絡(luò)的關(guān)鍵設(shè)備的位置所在對于保持網(wǎng)絡(luò)的安全是非常重要的。根據(jù)不同的項目目標與項目特點，重點識別的資產(chǎn)類別會有所不同，在通常的項目中，一般數(shù)據(jù)、軟件和服務為重點。過程描述首先識別信息資產(chǎn)，完成所有重要信息資產(chǎn)的清單。并且，本階段可以幫助XXX實現(xiàn)信息資產(chǎn)識別和整理，完成一份完整和最新的信息資產(chǎn)清單，對XXX的信息資產(chǎn)管理工作會有所幫助。網(wǎng)絡(luò)安全評估的內(nèi)容，包括網(wǎng)絡(luò)拓撲架構(gòu)、安全域規(guī)劃、邊界防護、安全防護措施、核心設(shè)備安全配置、設(shè)備脆弱性等，從而全面評估網(wǎng)絡(luò)的安全現(xiàn)狀，查找安全隱患。3) 實施計劃序號任務名稱工作內(nèi)容計劃時間1編寫滲透測試報告對滲透測試得出的結(jié)果進行分析，并輸出報告 輸出成果滲透測試的輸出成果如下：l 《XXX滲透測試服務報告》l 《XXX滲透測試服務復測報告》 服務收益對網(wǎng)站進行滲透測試，可為XXX帶來如下收益：l 評估網(wǎng)站中存在的安全隱患、安全隱患； l 發(fā)現(xiàn)網(wǎng)站存在的深層次安全隱患； l 驗證網(wǎng)站現(xiàn)有安全措施的防護強度； l 評估網(wǎng)站被入侵的可能性，并在入侵者發(fā)起攻擊前封堵可能被利用的攻擊途徑。3) 實施計劃序號任務名稱工作內(nèi)容計劃時間1滲透測試變更流程與變更操作根據(jù)滲透測試的需要，進行相應的變更2信息收集階段實施操作按照實施方案，進行信息收集階段實施操作 滲透實施階段 輸出報告階段1) 工作目標本階段為根據(jù)滲透測試得出的結(jié)果，進行匯總分析，輸出《滲透測試報告》。通過信息探測漏洞檢測，可以基本確定一個系統(tǒng)的基本信息，結(jié)合安全工程師的經(jīng)驗可以確定其可能存在以及被利用的安全弱點，為進行深層次的滲透提供依據(jù)。2) 工作內(nèi)容信息收集階段的工作內(nèi)容是對目標所在的整個IP網(wǎng)段進行掃描探測與手工查閱。通過信息收集分析，攻擊者可以有針對性地制定入侵攻擊的方法策略，提高入侵的成功率、減小暴露或被發(fā)現(xiàn)的機率。由領(lǐng)導審核批準實施方案與計劃，項目組根據(jù)實際情況的需要，會對實施方案與計劃進行一定的調(diào)整。滲透測試的實施，將按照方案和計劃進行。序號滲透測試大項滲透測試小項1配置管理備份測試、HTTP方法測試、傳輸安全2身份鑒別用戶注冊、賬戶權(quán)限、賬戶枚舉、弱口令3認證授權(quán)認證繞過、目錄遍歷、授權(quán)繞過、權(quán)限提升4會話管理超時測試、會話管理繞過測試、會話令牌泄露測試、跨站點請求偽造CSRF測試5輸入驗證SQL注入、代碼注入、命令執(zhí)行注入、跨站腳本XSS6錯誤處理錯誤碼分析、棧追蹤分析7業(yè)務邏輯數(shù)據(jù)驗證、請求偽造、完整性、次數(shù)限制、上傳測試 實施步驟根據(jù)黑客入侵的過程，并結(jié)合滲透測試的要求，我司滲透測試的實施步驟如下。 l Hydra ，暴力破解工具，支持Samba, FTP, POP3, IMAP, Telnet, HTTP Auth, LDAP, NNTP, MySQL, VNC, ICQ, Socks5, PCNFS, Cisco等多種協(xié)議的暴力破解l Metasploit ，溢出程序利用平臺l 菜刀 ，Webshell功力工具l Pwdump7 ，讀取系統(tǒng)HASHl Cain ，內(nèi)網(wǎng)sniffer工具l Disniff ，linux下嗅探工具l 人工滲透人工滲透，主要針對系統(tǒng)的業(yè)務邏輯漏洞進行安全測試，利用業(yè)務邏輯漏洞查找可準確、切實的找出業(yè)務中存在的安全隱患，避免被惡意用戶利用，對系統(tǒng)造成重大損失。利用腳本相關(guān)弱點輕則可以獲取系統(tǒng)其他目錄的訪問權(quán)限，重則將有可能取得系統(tǒng)的控制權(quán)限。 l 腳本測試 腳本測試專門針對Web服務器進行。 l 口令猜測 口令猜測也是一種出現(xiàn)概率很高的風險，幾乎不需要任何攻擊工具，利用一個簡單的暴力攻擊程序和一個比較完善的字典，就可以猜測口令。使用工具：l Maltego ，搜集管理員、tel、常用id，網(wǎng)絡(luò)拓撲等l Nmap ，端口、服務掃描，弱口令破解，系統(tǒng)信息探測l Xscan ，端口、服務掃描，弱口令破解，系統(tǒng)信息探測l P0f ，系統(tǒng)識別l Appscan ，Web漏洞檢測程序l WVS ，Web漏洞檢測程序l W3AF ，Web漏洞檢測程序l Scanner1000 ，迪普科技開發(fā)的漏洞檢測產(chǎn)品，支持系統(tǒng)漏洞檢測，Web漏洞檢測等一系列功能l 端口掃描 通過對目標地址的TCP/UDP端口掃描，確定其所開放的服務的數(shù)量和類型，這是所有滲透測試的基礎(chǔ)。1234 測試方法我司提供的滲透測試服務，采用的測試方法如下。過程分為四步：計劃與準備、信息收集、實施滲透、輸出報告。 輸出成果網(wǎng)站安全監(jiān)控的輸出成果如下：l 《XXX網(wǎng)站安全監(jiān)控周報》l 《XXX網(wǎng)站安全監(jiān)控月報》 滲透測試服務滲透測試服務，是在XXX授權(quán)的前提下，以模擬黑客攻擊的方式，對XXX網(wǎng)站的安全漏洞、安全隱患進行全面檢測，最終目標是查找網(wǎng)站的安全漏洞、評估網(wǎng)站的安全狀態(tài)、提供漏洞修復建議。 大大節(jié)省您在安全設(shè)備采購的投資，并且您無需親自動手操作各種安全設(shè)備，避免在使用設(shè)備過程中的繁瑣，節(jié)省您的時間和精力。被動防御模式可全天候監(jiān)測網(wǎng)站異常，并在異常出現(xiàn)第一時間預警通您。 智能管理l 主動掃描模式，被動防御模式主動掃描模式可主動更深入的測查出網(wǎng)站所存在的安全隱患，可主動發(fā)現(xiàn)各種網(wǎng)頁掛馬、敏感詞的出現(xiàn)、以及網(wǎng)站實時性能的一個總體分析。同時產(chǎn)品中擁有豐富的幫助文檔，即使您沒有接觸過類似產(chǎn)品，在幫助文檔的指引下也可以順利的完成操作。 服務特點 易操作用戶只需要登錄我們的平臺，在其授權(quán)管理后，設(shè)置網(wǎng)站所需要監(jiān)控的項目。l 網(wǎng)跨站釣魚檢測跨站釣魚檢測模塊通過靜態(tài)分析技術(shù)與虛擬機沙箱行為檢測技術(shù)相結(jié)合，對網(wǎng)站進行跨站釣魚檢測，能在最快的時間內(nèi)完成跨站檢測。一旦發(fā)現(xiàn)存在某個頁面中，WEB網(wǎng)站安全監(jiān)控平臺會主動提醒您。檢測功能:n 檢測iframe框架掛馬，讓您及時清理，避免成為木馬散布點；n 檢測script掛馬，避免通過script的調(diào)用來掛馬；n 檢測圖片偽裝掛馬，讓您及時處理，避免網(wǎng)頁被殺軟報警；n 檢測網(wǎng)頁漏洞，讓您及時修復，預防被掛馬；n 實時監(jiān)控網(wǎng)站掛馬情況，讓您及時處理掛馬問題。l 網(wǎng)站掛馬監(jiān)控掛馬檢測模塊采用大規(guī)模、分布式、動態(tài)行為檢測和靜態(tài)檢測相結(jié)合的掛馬識別方式，能夠準確判斷出網(wǎng)站的掛馬頁面，并及時發(fā)出警報，可以有效維護網(wǎng)站安全和利益。l 網(wǎng)站篡改檢測網(wǎng)站防線攻破后，入侵者會對網(wǎng)站的頁面內(nèi)容進行篡改，發(fā)布一些危害網(wǎng)站正常運行的言論，從對網(wǎng)站形象帶來巨大負面影響。是主動掃描中基礎(chǔ)模塊之一，它能更準確的讓您清楚每天網(wǎng)站運行的狀態(tài)。您無需在去找人進行參數(shù)整理等重復性工作，解決大量的人力重復勞動。在遇到云端無法解決的情況下，我們專業(yè)團隊會在第一時間通知您，并提供解決方案。也就是說我們的用戶越多，WEB網(wǎng)站安全監(jiān)控平臺全方位立體式的監(jiān)控就越完善，您的網(wǎng)站也越加安全。您完全不用擔心找不到異常的解決辦法，WEB網(wǎng)站安全監(jiān)控平臺會幫你完成這一系列繁雜的任務。WEB網(wǎng)站安全監(jiān)控平臺監(jiān)控系統(tǒng)基于PAAS（PlatformAs–AService）模式，通過部署于各信息節(jié)點的監(jiān)測引擎對客戶指定的網(wǎng)站（WEB應用）進行可用率和站點安全性檢測，以保障客戶網(wǎng)站業(yè)務持續(xù)性，從而向客戶提供網(wǎng)站安全的保障。應實現(xiàn)以下基本安全需求: l 監(jiān)控網(wǎng)站頁面內(nèi)容完整、不被篡改；l 監(jiān)控網(wǎng)站存在的SQL注入、XSS、非法訪問、信息泄露等應用層漏洞，從而提前解決潛在風險；l 監(jiān)控網(wǎng)站，防止網(wǎng)站掛馬而導致的客戶滿意度損失；l 監(jiān)控網(wǎng)站是否存在敏感信息，對于網(wǎng)站的敏感信息內(nèi)容自行配制告警功能，方便管理者及時了解到發(fā)生的安全事件，可根據(jù)量化的標準，對網(wǎng)站的安全事件嚴重程度進行