日常網(wǎng)絡(luò)安全運(yùn)維服務(wù)方案

日常網(wǎng)絡(luò)安全運(yùn)維服務(wù)實(shí)施方案目錄（1）資產(chǎn)梳理服務(wù) 2（2）安全全面排查及整改服務(wù) 3（3）基礎(chǔ)設(shè)施巡檢服務(wù) 5（4）日常性技術(shù)支持和維護(hù) 6（5）安全整改工作 8（6）其他相關(guān)配合服務(wù) 8（7）安全掃描服務(wù) 9（8）安全通告服務(wù) 9（9）應(yīng)急響應(yīng)服務(wù) 10（10）安全咨詢服務(wù) 12（11）業(yè)務(wù)系統(tǒng)安全評(píng)估服務(wù) 13（12）業(yè)務(wù)系統(tǒng)安全評(píng)估結(jié)果修復(fù)服務(wù) 18（13）業(yè)務(wù)系統(tǒng)安全基線加固服務(wù) 19（1）資產(chǎn)梳理服務(wù)對(duì)采購(gòu)人全網(wǎng)（業(yè)主指定范圍）信息化資產(chǎn)進(jìn)行梳理和排查，根據(jù)梳理排查情況及采購(gòu)人提供的相關(guān)信息，編制信息資產(chǎn)表。包括但不限于網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器、web應(yīng)用、數(shù)據(jù)庫(kù)等。明確需要保護(hù)的信息資產(chǎn)、保護(hù)優(yōu)先級(jí)和相應(yīng)的管理人員、責(zé)任人。設(shè)備資產(chǎn)表至少包括名稱、型號(hào)、數(shù)量、IP地址、位置等信息。有調(diào)整和變動(dòng)時(shí)立即更新。梳理采購(gòu)人當(dāng)前（業(yè)主指定范圍）已有的安全監(jiān)測(cè)和防御產(chǎn)品，對(duì)其實(shí)現(xiàn)的功能、效果、防御范圍、安全日志、特征庫(kù)更新情況等進(jìn)行綜合分析。依據(jù)梳理結(jié)果出具調(diào)整、處置建議，經(jīng)采購(gòu)人授權(quán)后進(jìn)行調(diào)整和處置。1、服務(wù)流程供應(yīng)商簽訂合同后1周內(nèi)完成第一次資產(chǎn)梳理服務(wù)，并完成《初步信息資產(chǎn)表》的編制；《初步信息資產(chǎn)表》編制完成后，協(xié)同采購(gòu)人完成對(duì)信息資產(chǎn)的保護(hù)范圍、保護(hù)優(yōu)先級(jí)認(rèn)定，同時(shí)落實(shí)相應(yīng)的管理人員、責(zé)任人；輸出《信息資產(chǎn)表》；對(duì)《信息資產(chǎn)表》進(jìn)行維護(hù)，每月完成一次信息資產(chǎn)表的核對(duì)工作；有調(diào)整和變動(dòng)時(shí)立即更新。2、服務(wù)方式：現(xiàn)場(chǎng)服務(wù)。3、服務(wù)周期：每月1次信息資產(chǎn)表的核對(duì)工作。4、交付文檔：《初步信息資產(chǎn)表》、《信息資產(chǎn)表》、《信息資產(chǎn)表更新維護(hù)記錄表》。（2）安全全面排查及整改服務(wù)依據(jù)資產(chǎn)梳理服務(wù)結(jié)果開展安全全面排查工作，通過(guò)安全排查手段對(duì)目標(biāo)系統(tǒng)、目標(biāo)網(wǎng)絡(luò)進(jìn)行全面排查，結(jié)合標(biāo)準(zhǔn)整改和加固方法出具安全問(wèn)題整改建議報(bào)告，對(duì)整改建議報(bào)告中采購(gòu)人認(rèn)可的整改建議逐一進(jìn)行協(xié)助整改或直接整改，最終出具安全整改報(bào)告。具體排查服務(wù)內(nèi)容如下：網(wǎng)絡(luò)安全檢查a)本地網(wǎng)絡(luò)架構(gòu)檢查:針對(duì)目標(biāo)系統(tǒng)開展網(wǎng)絡(luò)架構(gòu)檢查工作，以評(píng)估目標(biāo)系統(tǒng)在網(wǎng)絡(luò)架構(gòu)方面的合理性，網(wǎng)絡(luò)安全防護(hù)方面的健壯性，是否已具備有效的防護(hù)措施；b)網(wǎng)絡(luò)安全策略檢查:針對(duì)目標(biāo)系統(tǒng)所涉及的網(wǎng)絡(luò)設(shè)施、安全設(shè)施進(jìn)行策略檢查，確保目前已有策略均按照“按需開放，最小開放”的原則進(jìn)行開放；確保目標(biāo)系統(tǒng)所涉及的網(wǎng)絡(luò)設(shè)施、安全設(shè)施中無(wú)多余、過(guò)期的策略；c)網(wǎng)絡(luò)安全基線檢查:針對(duì)目標(biāo)系統(tǒng)所涉及的網(wǎng)絡(luò)設(shè)施進(jìn)行安全基線檢查，重點(diǎn)檢查多余服務(wù)、多余賬號(hào)、口令策略，禁止存在默認(rèn)口令和弱口令等配置情況；d)安全設(shè)備/軟件基線檢查：針對(duì)目標(biāo)系統(tǒng)所涉及的安全設(shè)備進(jìn)行安全基線檢查，重點(diǎn)檢查多余賬號(hào)、口令策略、策略啟用情況、應(yīng)用規(guī)則、特征庫(kù)升級(jí)情況、系統(tǒng)版本情況，禁止存在默認(rèn)口令、弱口令、系統(tǒng)版本具有漏洞的情況；主機(jī)（服務(wù)器）安全檢查a)主機(jī)安全基線檢查:針對(duì)目標(biāo)系統(tǒng)（本地及政務(wù)云）所涉及的主機(jī)進(jìn)行安全檢查，重點(diǎn)檢查多余賬號(hào)、口令策略、賬號(hào)策略、遠(yuǎn)程管理等情況；b)數(shù)據(jù)庫(kù)安全基線檢查：針對(duì)目標(biāo)系統(tǒng)（本地及政務(wù)云）所涉及的數(shù)據(jù)庫(kù)進(jìn)行安全檢查，重點(diǎn)檢查多余賬號(hào)、口令策略、賬號(hào)策略、遠(yuǎn)程管理等情況；c)中間件安全基線檢查：針對(duì)目標(biāo)系統(tǒng)（本地及政務(wù)云）所涉及的中間件進(jìn)行安全檢查，重點(diǎn)檢查中間件管理后臺(tái)、口令策略、賬號(hào)策略、安全配置等情況；d)中間件安全基線檢查：針對(duì)目標(biāo)系統(tǒng)（本地及政務(wù)云）所涉及的中間件進(jìn)行安全檢查，重點(diǎn)檢查中間件管理后臺(tái)、口令策略、賬號(hào)策略、安全配置等情況；e)主機(jī)漏洞掃描：針對(duì)目標(biāo)系統(tǒng)所涉及的主機(jī)、數(shù)據(jù)庫(kù)以及中間件進(jìn)行安全漏洞掃描；備份有效性性檢查a)備份有效性檢查：針對(duì)本次目標(biāo)系統(tǒng)中的所涉及的備份策略、備份系統(tǒng)有效性與相關(guān)執(zhí)行系統(tǒng)維護(hù)廠商進(jìn)行核查。經(jīng)核查后對(duì)無(wú)效的備份策略、無(wú)效的備份系統(tǒng)進(jìn)行標(biāo)記，提出相關(guān)整改建議。1、服務(wù)方式：現(xiàn)場(chǎng)服務(wù)。2、服務(wù)周期：1次。3、交付文檔：《安全問(wèn)題整改建議報(bào)告》、《安全問(wèn)題整改報(bào)告》（3）基礎(chǔ)設(shè)施巡檢服務(wù)1、安全設(shè)備巡檢定期對(duì)指定安全設(shè)施（含采購(gòu)人政務(wù)云上部署的安全設(shè)施）病毒庫(kù)和特征庫(kù)更新情況檢查；對(duì)安全設(shè)備工作異常、安全告警等進(jìn)行審核分析；對(duì)安全設(shè)備主機(jī)控制面板狀態(tài)指示燈檢查、CPU利用率、內(nèi)存利用率、磁盤使用率、電源情況巡檢；對(duì)異常情況進(jìn)行排查，并針對(duì)異常情況提出解決方案和建議。2、服務(wù)器巡檢利用數(shù)據(jù)中心現(xiàn)有監(jiān)控設(shè)備或工具，定期對(duì)指定服務(wù)器進(jìn)行健康巡檢；對(duì)發(fā)現(xiàn)的異常情況進(jìn)行排查，并針對(duì)異常情況提出解決方案和建議。3、核心網(wǎng)絡(luò)設(shè)備巡檢定期對(duì)指定核心網(wǎng)絡(luò)設(shè)備CPU利用率、內(nèi)存利用率、電源狀態(tài)、風(fēng)扇狀態(tài)巡檢，對(duì)錯(cuò)誤事件日志和異常情況進(jìn)行分析和維護(hù)；對(duì)異常情況進(jìn)行排查，并針對(duì)異常情況提出解決方案和建議。4、UPS、精密空調(diào)巡檢定期檢查UPS主機(jī)、精密空調(diào)工作狀態(tài)及各板件上指示燈的狀態(tài)；對(duì)發(fā)現(xiàn)的異常情況進(jìn)行排查，并針對(duì)異常情況提出解決方案和建議。5、服務(wù)方式：現(xiàn)場(chǎng)服務(wù)，按次輸出巡檢記錄表。6、服務(wù)周期：每周1次。7、交付文檔：《巡檢記錄表》。（4）日常性技術(shù)支持和維護(hù)日常技術(shù)支持服務(wù)1、服務(wù)內(nèi)容對(duì)在建或新建的信息化系統(tǒng)利用采購(gòu)人現(xiàn)有設(shè)備設(shè)施，提供網(wǎng)絡(luò)、安全防護(hù)等基礎(chǔ)IT環(huán)境的配合服務(wù)；對(duì)于采購(gòu)人日常發(fā)生的網(wǎng)絡(luò)設(shè)備調(diào)試、安全設(shè)備調(diào)試等提供技術(shù)支持服務(wù)。2、服務(wù)方式：現(xiàn)場(chǎng)服務(wù)，按次輸出工單記錄表。3、服務(wù)次數(shù)：按需提供，不限次數(shù)。4、常規(guī)服務(wù)時(shí)間：5×8，應(yīng)急服務(wù)時(shí)間：7×8。5、交付文檔：《技術(shù)支持記錄文檔》。日常技術(shù)維護(hù)1、服務(wù)內(nèi)容策略調(diào)優(yōu)及優(yōu)化：依據(jù)資產(chǎn)情況、業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)流向、日常安全監(jiān)測(cè)情況、近期風(fēng)險(xiǎn)通報(bào)結(jié)果及安全設(shè)備實(shí)際策略配置情況，對(duì)安全設(shè)施協(xié)助開展策略配置調(diào)優(yōu)，以持續(xù)提升安全運(yùn)行和防護(hù)能力。（安全設(shè)備包含但不限于防火墻、入侵防御、WAF、防病毒系統(tǒng)、安全網(wǎng)關(guān)等。）服務(wù)期內(nèi)按需提供,不限定次數(shù)。配置備份：定期對(duì)核心交換機(jī)、匯聚交換機(jī)、網(wǎng)絡(luò)出口防火墻等關(guān)鍵節(jié)點(diǎn)設(shè)備的系統(tǒng)配置和策略配置進(jìn)行完整備份；在設(shè)備發(fā)生故障后提供配置快速導(dǎo)入等恢復(fù)措施。服務(wù)期內(nèi)按需提供,策略配置及系統(tǒng)配置備份每月一次。安全設(shè)施特征庫(kù)更新升級(jí)：每周依據(jù)巡檢結(jié)果，定期對(duì)可以進(jìn)行特征庫(kù)、病毒庫(kù)、威脅情報(bào)庫(kù)和漏洞庫(kù)等特征庫(kù)升級(jí)的安全設(shè)施進(jìn)行更新升級(jí)。（更新升級(jí)原則為同步產(chǎn)品廠商官網(wǎng)更新情況），針對(duì)已過(guò)授權(quán)許可時(shí)間的安全設(shè)備，提供處置建議。服務(wù)期內(nèi)按需提供、不限定次數(shù)。（安全設(shè)施包含但不限于防火墻、入侵防御、WAF、防病毒系統(tǒng)、安全網(wǎng)關(guān)等，含政務(wù)云上采購(gòu)人部署的安全設(shè)施。）2、服務(wù)方式：現(xiàn)場(chǎng)服務(wù)。3、交付文檔：《策略調(diào)優(yōu)及優(yōu)化記錄文檔》、《配置備份記錄文檔》、《安全設(shè)備特征庫(kù)更新升級(jí)記錄文檔》。故障處置支持1、服務(wù)內(nèi)容對(duì)于采購(gòu)人出現(xiàn)的各類故障情況，提供技術(shù)支持服務(wù)；包括安全設(shè)備、網(wǎng)絡(luò)設(shè)備、UPS、精密空調(diào)系統(tǒng)故障等；針對(duì)未過(guò)保的設(shè)備，故障處置由供應(yīng)商協(xié)調(diào)設(shè)備所屬維護(hù)商進(jìn)行維護(hù)，并跟進(jìn)維修進(jìn)度和效果，及時(shí)向采購(gòu)人匯報(bào)情況。針對(duì)已過(guò)保設(shè)備的故障處置由供應(yīng)商進(jìn)行協(xié)助維護(hù)，故障發(fā)生時(shí)供應(yīng)商應(yīng)優(yōu)先進(jìn)行故障應(yīng)急處理和恢復(fù)；如供應(yīng)商自身無(wú)法進(jìn)行有效的故障處置，供應(yīng)商應(yīng)出具實(shí)際可行的解決方案和建議，形成整體故障處置報(bào)告匯報(bào)給采購(gòu)人。2、服務(wù)次數(shù)：按需提供，不限次數(shù)。3、常規(guī)服務(wù)時(shí)間：5×8，應(yīng)急服務(wù)時(shí)間：7×8。4、交付文檔：《故障處置記錄文檔》。（5）安全整改工作1、服務(wù)內(nèi)容運(yùn)維服務(wù)期間，如上級(jí)部門、公安部門、信息化主管部門等單位對(duì)數(shù)據(jù)中心（不含信息系統(tǒng)軟件本身）進(jìn)行安全掃描,根據(jù)各方安全評(píng)估結(jié)果和通知文件，協(xié)助進(jìn)行安全漏洞修復(fù)、系統(tǒng)平臺(tái)加固，防止系統(tǒng)破壞、數(shù)據(jù)泄露。如安全整改經(jīng)評(píng)估會(huì)對(duì)業(yè)務(wù)系統(tǒng)產(chǎn)生影響時(shí)，供應(yīng)商需提出整改建議方案（方案中需注明風(fēng)險(xiǎn)）。及時(shí)響應(yīng)相關(guān)單位發(fā)出的安全漏洞通報(bào)。針對(duì)風(fēng)險(xiǎn)等級(jí)為嚴(yán)重的漏洞，在收到報(bào)告后的三個(gè)工作日內(nèi)修復(fù)解決或提出整改建議方案；針對(duì)風(fēng)險(xiǎn)等級(jí)為中、低的漏洞，須在收到報(bào)告后的兩周內(nèi)修復(fù)解決或提出整改建議方案。針對(duì)緊急漏洞（比如勒索病毒），需依據(jù)相關(guān)單位發(fā)出的安全漏洞通報(bào)中的解決方案立即解決。修復(fù)解決后提交安全整改報(bào)告（如遇到系統(tǒng)較大版本升級(jí)改動(dòng)等特殊情況需要延期解決，須在安全整改報(bào)告中說(shuō)明）2、服務(wù)次數(shù)：按需提供，不限次數(shù)。3、常規(guī)服務(wù)時(shí)間：5×8，應(yīng)急服務(wù)時(shí)間：7×8。4、交付文檔：《安全整改記錄文檔》。（6）其他相關(guān)配合服務(wù)1、服務(wù)內(nèi)容按照采購(gòu)人及上級(jí)主管單位要求，做好正版化檢查、網(wǎng)絡(luò)安全檢查、保密檢查、業(yè)務(wù)對(duì)接、下級(jí)單位技術(shù)支撐、采購(gòu)人交辦的其他相關(guān)事宜等配合服務(wù)。2、服務(wù)次數(shù)：按需提供，不限次數(shù)；3、常規(guī)服務(wù)時(shí)間：5×8，應(yīng)急服務(wù)時(shí)間：7×8。4、交付文檔：《服務(wù)記錄文檔》。（7）安全掃描服務(wù)1、服務(wù)內(nèi)容周期開展安全掃描服務(wù)，使用漏洞掃描系統(tǒng)，進(jìn)行安全掃描，掃描范圍為本地局域網(wǎng)及采購(gòu)人指定的政務(wù)云主機(jī)；對(duì)識(shí)別出的能被入侵者用來(lái)非法進(jìn)入網(wǎng)絡(luò)或者非法獲取信息資產(chǎn)的漏洞，提醒安全管理員，及時(shí)完善安全策略，降低安全風(fēng)險(xiǎn)；及時(shí)發(fā)現(xiàn)最新的安全漏洞及安全風(fēng)險(xiǎn)，并出具安全掃描報(bào)告。2、服務(wù)次數(shù)：每季度1次。3、交付成果：《安全掃描報(bào)告》。（8）安全通告服務(wù)1、服務(wù)內(nèi)容專業(yè)的安全服務(wù)隊(duì)伍，對(duì)最新安全技術(shù)及安全信息的發(fā)現(xiàn)和追蹤，并通過(guò)服務(wù)的平臺(tái)與單位及時(shí)交流，幫助單位保持領(lǐng)先的安全理念。為單位提供定期的安全信息通告服務(wù)。安全信息中會(huì)包括最新的安全事件，病毒信息，漏洞信息，安全政策等內(nèi)容。安全通告以郵件、電話、走訪等方式，將安全技術(shù)和安全信息及時(shí)傳遞給單位。安全通告內(nèi)容：業(yè)界動(dòng)態(tài)；國(guó)家最新安全政策及法律法規(guī)；安全攻擊事件；單位的操作系統(tǒng)、應(yīng)用、設(shè)備等的最新安全漏洞和相應(yīng)的解決措施；最新病毒信息；相關(guān)處理解決方案。2、服務(wù)方式一般信息將以郵件方式通告單位，重要信息以在線方式通告本單位負(fù)責(zé)人員，單位的敏感信息或單位指定要求現(xiàn)場(chǎng)告知的信息以走訪的方式通告。3、服務(wù)周期：安全通告每月一次；重大行業(yè)安全事件和互聯(lián)網(wǎng)安全事件實(shí)時(shí)通告預(yù)警。4、交付文檔：《安全事件通告文檔》。（9）應(yīng)急響應(yīng)服務(wù)1、服務(wù)內(nèi)容提供網(wǎng)絡(luò)安全應(yīng)急響應(yīng)服務(wù)，在發(fā)生安全事件時(shí)提供現(xiàn)場(chǎng)/遠(yuǎn)程技術(shù)支持，面向已發(fā)生安全事件的事中、事后的取證、分析及提供處置、解決方案、建議等工作。具體服務(wù)內(nèi)容如下：①針對(duì)問(wèn)題進(jìn)行入侵原因分析，找到攻擊路徑。入侵影響抑制：通過(guò)事件檢測(cè)分析，提供抑制手段，降低入侵影響，協(xié)助快速恢復(fù)業(yè)務(wù)。入侵威脅清除：排查攻擊路徑，惡意文件清除。入侵原因分析：還原攻擊路徑，分析入侵事件原因等包括但不限于以下內(nèi)容：判定安全事件類型從網(wǎng)絡(luò)流量、系統(tǒng)和IDS日志記錄、桌面日志中判斷安全事件類型。查明安全事件原因，確定安全事件的威脅和破壞的嚴(yán)重程度。查明安全事件原因，確定安全事件的威脅和破壞的嚴(yán)重程度。抑制事態(tài)發(fā)展抑制事態(tài)發(fā)展是為了將事故的損害降低到最小化。在這一步中，通常會(huì)將受影響系統(tǒng)和服務(wù)隔離。這一點(diǎn)對(duì)保持系統(tǒng)的可用性是非常重要的。排除系統(tǒng)故障針對(duì)發(fā)現(xiàn)的安全事件來(lái)源，排除潛在的隱患，消除安全威脅，徹底解決安全問(wèn)題?；謴?fù)信息系統(tǒng)正常操作在根除問(wèn)題后，將已經(jīng)被攻擊設(shè)備或由于事故造成的系統(tǒng)損壞做恢復(fù)性工作，使網(wǎng)絡(luò)系統(tǒng)能在盡可能短的時(shí)間內(nèi)恢復(fù)正常的網(wǎng)絡(luò)服務(wù)。客戶信息系統(tǒng)安全加固對(duì)系統(tǒng)中發(fā)現(xiàn)的漏洞進(jìn)行安全加固，消除安全隱患。重新評(píng)估客戶信息系統(tǒng)的安全性能重新評(píng)價(jià)客戶系統(tǒng)的安全特性，確保在一定的時(shí)間范圍內(nèi)，不發(fā)生同類的安全事件。②應(yīng)急響應(yīng)的流程包含以下內(nèi)容：故障診斷、故障修復(fù)、系統(tǒng)清理和系統(tǒng)防護(hù)，服務(wù)完成后，提交完整的《應(yīng)急事件分析報(bào)告》，詳細(xì)說(shuō)明事件原因、經(jīng)過(guò)和處理方式等，而且對(duì)以后整改的方向提供適當(dāng)?shù)慕鉀Q方案。安全事件發(fā)生時(shí)15分鐘內(nèi)做出響應(yīng)并立即提供在線技術(shù)支持，無(wú)法通過(guò)遠(yuǎn)程支持解決的問(wèn)題，提供現(xiàn)場(chǎng)服務(wù)，1小時(shí)內(nèi)抵達(dá)用戶現(xiàn)場(chǎng)解決問(wèn)題。2、服務(wù)頻率：服務(wù)期內(nèi)按需提供，不限制次數(shù)。3、交付成果：《應(yīng)急事件處置報(bào)告》。（10）安全咨詢服務(wù)1、服務(wù)內(nèi)容日常安全問(wèn)題咨詢服務(wù)結(jié)合本單位的實(shí)際需求，參考國(guó)內(nèi)外安全標(biāo)準(zhǔn)，提供日常安全咨詢服務(wù)，主要包括大的網(wǎng)絡(luò)安全規(guī)劃、安全決策、安全事件處理等。提供完整全面的處理方案，要求方案具有可操作性、能夠指導(dǎo)采購(gòu)人進(jìn)行事件處理和應(yīng)對(duì)。網(wǎng)絡(luò)安全規(guī)劃服務(wù)結(jié)合采購(gòu)人的實(shí)際需求，參考國(guó)內(nèi)外安全標(biāo)準(zhǔn)和國(guó)內(nèi)新技術(shù)研究（如等保2.0、關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)條例、商用密碼體系、云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動(dòng)安全），對(duì)采購(gòu)人網(wǎng)絡(luò)安全方案設(shè)計(jì)，網(wǎng)絡(luò)安全建設(shè)，包括網(wǎng)絡(luò)安全結(jié)構(gòu)設(shè)計(jì)、系統(tǒng)安全設(shè)計(jì)、其他網(wǎng)絡(luò)安全方案設(shè)計(jì)，提供網(wǎng)絡(luò)安全遠(yuǎn)景規(guī)劃設(shè)計(jì)，為未來(lái)網(wǎng)絡(luò)信息安全工作開展提供有力指導(dǎo)與支撐。等級(jí)保護(hù)咨詢服務(wù)深化網(wǎng)絡(luò)安全等級(jí)保護(hù)工作，基于對(duì)網(wǎng)絡(luò)安全的深刻理解，在等級(jí)保護(hù)的框架下構(gòu)建一個(gè)安全、可靠、靈活、可持續(xù)改進(jìn)的網(wǎng)絡(luò)安全體系，對(duì)等級(jí)保護(hù)各個(gè)階段的工作重點(diǎn)為客戶提供全方位的支持和服務(wù)，協(xié)助完成定級(jí)備案、差距分析、安全整改或安全建議和協(xié)助對(duì)接等保測(cè)評(píng)工作。2、服務(wù)次數(shù)：按需提供，不限次數(shù)。3、交付成果《安全咨詢服務(wù)記錄》（11）業(yè)務(wù)系統(tǒng)安全評(píng)估服務(wù)1、服務(wù)內(nèi)容針對(duì)安全評(píng)估服務(wù)范圍，結(jié)合等級(jí)保護(hù)合規(guī)性測(cè)評(píng)等各項(xiàng)檢查工作的成果，采用外部滲透方式及內(nèi)部滲透方式對(duì)應(yīng)用系統(tǒng)進(jìn)行非破壞性質(zhì)的模擬入侵者攻擊的測(cè)試，檢測(cè)外部威脅源和路徑，以便掌握系統(tǒng)的安全狀況，尋找系統(tǒng)存在的漏洞和風(fēng)險(xiǎn)；并出具安全評(píng)估報(bào)告：測(cè)試方法滲透測(cè)試完全模擬黑客的入侵思路與技術(shù)手段，黑客的攻擊入侵需要利用目標(biāo)網(wǎng)絡(luò)的安全弱點(diǎn)，滲透測(cè)試也是同樣的道理。以人工滲透為主，輔助以攻擊工具的使用，這樣保證了整個(gè)滲透測(cè)試過(guò)程都在可以控制和調(diào)整的范圍之內(nèi)。針對(duì)各應(yīng)用系統(tǒng)的滲透測(cè)試方法包括以下方法但不局限于以下方法：測(cè)試方法描述信息收集信息收集是滲透攻擊的前提，通過(guò)信息收集可以有針對(duì)性地制定模擬攻擊測(cè)試計(jì)劃，提高模擬攻擊的成功率，同時(shí)可以有效的降低攻擊測(cè)試對(duì)系統(tǒng)正常運(yùn)行造成的不利影響。信息收集的方法包括端口掃描、操作系統(tǒng)指紋判別、應(yīng)用判別、賬號(hào)掃描、配置判別等。端口掃描通過(guò)對(duì)目標(biāo)地址的TCP/UDP端口掃描，確定其所開放的服務(wù)的數(shù)量和類型，這是所有滲透測(cè)試的基礎(chǔ)。通過(guò)端口掃描，可以基本確定一個(gè)系統(tǒng)的基本信息，結(jié)合安全工程師的經(jīng)驗(yàn)可以確定其可能存在以及被利用的安全弱點(diǎn)，為進(jìn)行深層次的滲透提供依據(jù)。口令猜測(cè)本階段將對(duì)暴露在公網(wǎng)的所有登陸口進(jìn)行口令猜解的測(cè)試，找出各個(gè)系統(tǒng)可能存在的弱口令或易被猜解的口令。猜解成功后將繼續(xù)對(duì)系統(tǒng)進(jìn)行滲透測(cè)試，挖掘嵌套在登錄口背后的漏洞、尋找新的突破口以及可能泄漏的敏感信息，并評(píng)估相應(yīng)的危害性。猜解的對(duì)象包括：WEB登錄口、FTP端口、數(shù)據(jù)庫(kù)端口、遠(yuǎn)程管理端口等。遠(yuǎn)程溢出這是當(dāng)前出現(xiàn)的頻率最高、威脅最嚴(yán)重，同時(shí)又是最容易實(shí)現(xiàn)的一種滲透方法，一個(gè)具有一般網(wǎng)絡(luò)知識(shí)的入侵者就可以在很短的時(shí)間內(nèi)利用現(xiàn)成的工具實(shí)現(xiàn)遠(yuǎn)程溢出攻擊。對(duì)于在防火墻內(nèi)的系統(tǒng)存在同樣的風(fēng)險(xiǎn)，只要對(duì)跨接防火墻內(nèi)外的一臺(tái)主機(jī)攻擊成功，那么通過(guò)這臺(tái)主機(jī)對(duì)防火墻內(nèi)的主機(jī)進(jìn)行攻擊就易如反掌。本地溢出本地溢出是指在擁有了一個(gè)普通用戶的賬號(hào)之后，通過(guò)一段特殊的指令代碼獲得管理員權(quán)限的方法。使用本地溢出的前提是首先要獲得一個(gè)普通用戶的密碼。也就是說(shuō)由于導(dǎo)致本地溢出的一個(gè)關(guān)鍵條件是設(shè)置不當(dāng)?shù)拿艽a策略。多年的實(shí)踐證明，在經(jīng)過(guò)前期的口令猜測(cè)階段獲取的普通賬號(hào)登錄系統(tǒng)之后，對(duì)系統(tǒng)實(shí)施本地溢出攻擊，就能獲取不進(jìn)行主動(dòng)安全防御的系統(tǒng)的控制管理權(quán)限。腳本測(cè)試腳本測(cè)試專門針對(duì)Web服務(wù)器進(jìn)行。根據(jù)最新的技術(shù)統(tǒng)計(jì)，腳本安全弱點(diǎn)為當(dāng)前Web系統(tǒng)尤其存在動(dòng)態(tài)內(nèi)容的Web系統(tǒng)存在的主要比較嚴(yán)重的安全弱點(diǎn)之一。利用腳本相關(guān)弱點(diǎn)輕則可以獲取系統(tǒng)其他目錄的訪問(wèn)權(quán)限，重則將有可能取得系統(tǒng)的控制權(quán)限。因此對(duì)于含有動(dòng)態(tài)頁(yè)面的Web系統(tǒng)，腳本測(cè)試將是必不可少的一個(gè)環(huán)節(jié)。權(quán)限獲取通過(guò)初步信息收集分析，存在兩種可能性，一種是目標(biāo)系統(tǒng)存在重大的安全弱點(diǎn)，測(cè)試可以直接控制目標(biāo)系統(tǒng)；另一種是目標(biāo)系統(tǒng)沒(méi)有遠(yuǎn)程重大的安全弱點(diǎn)，但是可以獲得普通用戶權(quán)限，這時(shí)可以通過(guò)該普通用戶權(quán)限進(jìn)一步收集目標(biāo)系統(tǒng)信息。接下來(lái)盡最大努力取得超級(jí)用戶權(quán)限、收集目標(biāo)主機(jī)資料信息，尋求本地權(quán)限提升的機(jī)會(huì)。這樣不停的進(jìn)行信息收集分析、權(quán)限提升的結(jié)果形成了整個(gè)的滲透測(cè)試過(guò)程。測(cè)試內(nèi)容本項(xiàng)目安全評(píng)估包括但不限于以下內(nèi)容：測(cè)試大類測(cè)試項(xiàng)測(cè)試目的身份驗(yàn)證類用戶注冊(cè)檢查用戶注冊(cè)功能可能涉及的安全問(wèn)題用戶登錄檢查用戶登錄功能可能涉及的安全問(wèn)題修改密碼檢查用戶修改密碼功能可能涉及的安全問(wèn)題密碼重置檢查忘記密碼、找回密碼、密碼重置功能可能涉及的安全問(wèn)題驗(yàn)證碼繞過(guò)檢測(cè)驗(yàn)證碼機(jī)制是否合理，是否可以被繞過(guò)用戶鎖定功能測(cè)試用戶鎖定功能相關(guān)的安全問(wèn)題會(huì)話管理類Cookie重放攻擊檢測(cè)目標(biāo)系統(tǒng)是否僅依靠cookie來(lái)確認(rèn)會(huì)話身份，從而易受到cookie回放攻擊會(huì)話令牌分析Cookie具有明顯含義，或可被預(yù)測(cè)、可逆向，可被攻擊者分析出cookie結(jié)構(gòu)會(huì)話令牌泄露測(cè)試會(huì)話令牌是否存在泄露的可能會(huì)話固定攻擊測(cè)試目標(biāo)系統(tǒng)是否存在固定會(huì)話的缺陷跨站請(qǐng)求偽造檢測(cè)目標(biāo)系統(tǒng)是否存在CSRF漏洞訪問(wèn)控制類功能濫用測(cè)試目標(biāo)系統(tǒng)是否由于設(shè)計(jì)不當(dāng)，導(dǎo)致合法功能非法利用垂直權(quán)限提升測(cè)試可能出現(xiàn)垂直權(quán)限提升的情況水平權(quán)限提升測(cè)試可能出現(xiàn)水平權(quán)限提升的情況輸入處理類SQL注入檢測(cè)目標(biāo)系統(tǒng)是否存在SQL注入漏洞文件上傳檢測(cè)目標(biāo)系統(tǒng)的文件上傳功能是否存在缺陷，導(dǎo)致可以上傳非預(yù)期類型和內(nèi)容的文件任意文件下載檢測(cè)目標(biāo)系統(tǒng)加載/下載文件功能是否可以造成任意文件下載問(wèn)題XML注入測(cè)試目標(biāo)系統(tǒng)-是否存在XML注入漏洞目錄穿越測(cè)試目標(biāo)系統(tǒng)是否存在目錄穿越漏洞SSRF檢測(cè)目標(biāo)系統(tǒng)是否存在服務(wù)端跨站請(qǐng)求偽造漏洞本地文件包含測(cè)試目標(biāo)站點(diǎn)是否存在LFI漏洞遠(yuǎn)程文件包含測(cè)試目標(biāo)站點(diǎn)是否存在RFI漏洞遠(yuǎn)程命令/代碼執(zhí)行測(cè)試目標(biāo)系統(tǒng)是否存在命令/代碼注入漏洞反射型跨站腳本檢測(cè)目標(biāo)系統(tǒng)是否存在反射型跨站腳本漏洞存儲(chǔ)型跨站腳本檢測(cè)目標(biāo)系統(tǒng)是否存在存儲(chǔ)型跨站腳本漏洞DOM-based跨站腳本檢測(cè)目標(biāo)系統(tǒng)是否存在DOM-based跨站腳本漏洞服務(wù)端URL重定向檢查目標(biāo)系統(tǒng)是否存在服務(wù)端URL重定向漏洞信息泄露類errorcode測(cè)試目標(biāo)系統(tǒng)的錯(cuò)誤處理能力，是否會(huì)輸出詳盡的錯(cuò)誤信息StackTraces測(cè)試目標(biāo)系統(tǒng)是否開啟了StackTraces調(diào)試信息敏感信息盡量收集目標(biāo)系統(tǒng)的敏感信息第三方應(yīng)用類中間件測(cè)試目標(biāo)系統(tǒng)是否存在jboss、weblogic、tomcat等中間件CMS測(cè)試目標(biāo)系統(tǒng)是否存在dedecms、phpcms等CMS測(cè)試方式安全評(píng)估服務(wù)根據(jù)測(cè)試的位置不同可以分為現(xiàn)場(chǎng)測(cè)試和遠(yuǎn)程測(cè)試；根據(jù)測(cè)試的方法不同分為黑盒測(cè)試