日常網(wǎng)絡(luò)安全運(yùn)維服務(wù)方案

日常網(wǎng)絡(luò)安全運(yùn)維服務(wù)實(shí)施方案

目錄

（1）資產(chǎn)梳理服務(wù)..............................................................................1

（2）安全全面排查及整改服務(wù)...................................................................2

（3）基礎(chǔ)設(shè)施巡檢服務(wù).........................................................................4

（4）日常性技術(shù)支持和維護(hù).....................................................................5

（5）安全整改工作..............................................................................7

（6）其他相關(guān)配合服務(wù).........................................................................8

（7）安全掃描服務(wù)..............................................................................8

（8）安全通告服務(wù)..............................................................................9

（9）應(yīng)急響應(yīng)服務(wù).............................................................................10

（10）安全咨詢服務(wù)............................................................................II

（11）業(yè)務(wù)系統(tǒng)安全評估服務(wù)....................................................................12

（12）業(yè)務(wù)系統(tǒng)安全評估結(jié)果修復(fù)服務(wù)...........................................................18

（13）業(yè)務(wù)系統(tǒng)安全基線加固服務(wù)...............................................................19

（1）資產(chǎn)梳理服務(wù)

對采購人全網(wǎng)（業(yè)主指定范圍）信息化資產(chǎn)進(jìn)行梳理和排查，根據(jù)

梳理排查情況及采購人提供的相關(guān)信息，編制信息資產(chǎn)表。包括但不限

于網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器、web應(yīng)用、數(shù)據(jù)庫等。明確需要保護(hù)

的信息資產(chǎn)、保護(hù)優(yōu)先級和相應(yīng)的管理人員、責(zé)任人。設(shè)備資產(chǎn)表至少

包括名稱、型號、數(shù)量、IP地址、位置等信息。有調(diào)整和變動時(shí)立即更

新。

梳理采購人當(dāng)前（業(yè)主指定范圍）已有的安全監(jiān)測和防御產(chǎn)品，對

其實(shí)現(xiàn)的功能、效果、防御范圍、安全日志、特征庫更新情況等進(jìn)行綜

合分析。依據(jù)梳理結(jié)果出具調(diào)整、處置建議，經(jīng)采購人授權(quán)后進(jìn)行調(diào)整

和處置。

1、服務(wù)流程

供應(yīng)商簽訂合同后1周內(nèi)完成第一次資產(chǎn)梳理服務(wù)，并完成《初步

信息資產(chǎn)表》的編制；

《初步信息資產(chǎn)表》編制完成后，協(xié)同采購人完成對信息資產(chǎn)的保

護(hù)范圍、保護(hù)優(yōu)先級認(rèn)定，同時(shí)落實(shí)相應(yīng)的管理人員、責(zé)任人；

輸出《信息資產(chǎn)表》；

對《信息資產(chǎn)表》進(jìn)行維護(hù)，每月完成一次信息資產(chǎn)表的核對工作;

有調(diào)整和變動時(shí)立即更新。

2、服務(wù)方式：現(xiàn)場服務(wù)。

3、服務(wù)周期：每月1次信息資產(chǎn)表的核對工作。

4、交付文檔：《初步信息資產(chǎn)表》、《信息資產(chǎn)表》、《信息資

產(chǎn)表更新維護(hù)記錄表》。

（2）安全全面排查及整改服務(wù)

依據(jù)資產(chǎn)梳理服務(wù)結(jié)果開展安全全面排查工作，通過安全排查手

段對目標(biāo)系統(tǒng)、目標(biāo)網(wǎng)絡(luò)進(jìn)行全面排查，結(jié)合標(biāo)準(zhǔn)整改和加固方法出具

安全問題整改建議報(bào)告，對整改建議報(bào)告中采購人認(rèn)可的整改建議逐

一進(jìn)行協(xié)助整改或直接整改，最終出具安全整改報(bào)告。具體排查服務(wù)內(nèi)

容如下：

?網(wǎng)絡(luò)安全檢查

a）本地網(wǎng)絡(luò)架構(gòu)檢查:針對目標(biāo)系統(tǒng)開展網(wǎng)絡(luò)契構(gòu)檢查工作，以評

估目標(biāo)系統(tǒng)在網(wǎng)絡(luò)架構(gòu)方面的合理性，網(wǎng)絡(luò)安全防護(hù)方面的健壯性，是

2

否已具備有效的防護(hù)措施；

b）網(wǎng)絡(luò)安全策略檢查:針對目標(biāo)系統(tǒng)所涉及的網(wǎng)絡(luò)設(shè)施、安全設(shè)施

進(jìn)行策略檢查，確保目前已有策略均按照“按需開放，最小開放”的原

則進(jìn)行開放；確保目標(biāo)系統(tǒng)所涉及的網(wǎng)絡(luò)設(shè)施、安全設(shè)施中無多余、過

期的策略；

C）網(wǎng)絡(luò)安全基線檢查:針對目標(biāo)系統(tǒng)所涉及的網(wǎng)絡(luò)設(shè)施進(jìn)行安全

基線檢查，重點(diǎn)檢查多余服務(wù)、多余賬號、口令策略，禁止存在默認(rèn)口

令和弱口令等配置情況；

d）安全設(shè)備/軟件基線檢查：針對目標(biāo)系統(tǒng)所涉及的安全設(shè)備進(jìn)行

安全基線檢查，重點(diǎn)檢查多余賬號、口令策略、策略啟用情況、應(yīng)用規(guī)

則、特征庫升級情況、系統(tǒng)版本情況，禁止存在默認(rèn)口令、弱口令、系

統(tǒng)版本具有漏洞的情況；

?主機(jī)（服務(wù)器）安全檢查

a）主機(jī)安全基線檢查:針對目標(biāo)系統(tǒng)（本地及政務(wù)云）所涉及的主

機(jī)進(jìn)行安全檢查，重點(diǎn)檢查多余賬號、口令策略、賬號策略、遠(yuǎn)程管理

等情況；

b）數(shù)據(jù)庫安全基線檢查：針對目標(biāo)系統(tǒng)（本地及政務(wù)云）所涉及

的數(shù)據(jù)庫進(jìn)行安全檢查，重點(diǎn)檢查多余賬號、口令策略、賬號策略、遠(yuǎn)

程管理等情況；

c）中間件安全基線檢查：針對目標(biāo)系統(tǒng)（本地及政務(wù)云）所涉及

的中間件進(jìn)行安全檢查，重點(diǎn)檢查中間件管理后臺、口令策略、賬號策

略、安全配置等情況；

3

d）中間件安全基線檢查：針對目標(biāo)系統(tǒng)（本地及政務(wù)云）所涉及

的中間件進(jìn)行安全檢查，重點(diǎn)檢查中間件管理后臺、口令策略、賬號策

略、安全配置等情況；

e）主機(jī)漏洞掃描：針對目標(biāo)系統(tǒng)所涉及的主機(jī)、數(shù)據(jù)庫以及中間

件迸行安全漏洞掃描；

?備份有效性性檢查

a）備份有效性檢查：針對本次目標(biāo)系統(tǒng)中的所涉及的備份策略、備

份系統(tǒng)有效性與相關(guān)執(zhí)行系統(tǒng)維護(hù)廠商進(jìn)行核查。經(jīng)核查后對無效的

備份策略、無效的備份系統(tǒng)進(jìn)行標(biāo)記，提出相關(guān)整改建議。

1、服務(wù)方式：現(xiàn)場服務(wù)。

2、服務(wù)周期：1次。

3、交付文檔：《安全問題整改建議報(bào)告》、《安全問題整改報(bào)

告》

（3）基礎(chǔ)設(shè)施巡檢服務(wù)

1、安全設(shè)備巡檢

定期對指定安全設(shè)施（含采購人政務(wù)云上部署的安全設(shè)施）病毒庫

和特征庫更新情況檢查；對安全設(shè)備工作異常、安全告警等進(jìn)行審核分

析；對安全設(shè)備主機(jī)控制面板狀態(tài)指示燈檢查、CPU利用率、內(nèi)存利用

率、磁盤使用率、電源情況巡檢；對異常情況進(jìn)行排查，并針對異常情

況提出解決方案和建議。

2、服務(wù)器巡檢

利用數(shù)據(jù)中心現(xiàn)有監(jiān)控設(shè)備或工具，定期對指定服務(wù)器進(jìn)行健康

4

巡檢；對發(fā)現(xiàn)的異常情況進(jìn)行排查，并針對異常情況提出解決方案和建

議。

3、核心網(wǎng)絡(luò)設(shè)備巡檢

定期對指定核心網(wǎng)絡(luò)設(shè)備CPU利用率、內(nèi)存利用率、電源狀態(tài)、風(fēng)

扇狀態(tài)巡檢，對錯誤事件日志和異常情況進(jìn)行分析和維護(hù)；對異常情況

進(jìn)行排查，并針對異常情況提出解決方案和建議。

4、UPS、精密空調(diào)巡檢

定期檢查UPS主機(jī)、精密空調(diào)工作狀態(tài)及各板件上指示燈的狀態(tài)；

對發(fā)現(xiàn)的異常情況進(jìn)行排查，并針對異常情況提出解決方案和建議。

5、服務(wù)方式：現(xiàn)場服務(wù)，按次輸出巡檢記錄表。

6、服務(wù)周期：每周1次。

7、交付文檔：《巡檢記錄表》。

（4）日常性技術(shù)支持和維護(hù)

?日常技術(shù)支持服務(wù)

1、服務(wù)內(nèi)容

對在建或新建的信息化系統(tǒng)利用采購人現(xiàn)有設(shè)備設(shè)施，提供網(wǎng)絡(luò)、

安全防護(hù)等基礎(chǔ)IT環(huán)境的配合服務(wù)；對于采購人日常發(fā)生的網(wǎng)絡(luò)設(shè)備

調(diào)試、安全設(shè)備調(diào)試等提供技術(shù)支持服務(wù)。

2、服務(wù)方式：現(xiàn)場服務(wù)，按次輸出工單記錄表。

3、服務(wù)次數(shù)：按需提供，不限次數(shù)。

4、常規(guī)服務(wù)時(shí)間：5X8,應(yīng)急服務(wù)時(shí)間：7X8o

5、交付文檔：《技術(shù)支持記錄文檔》。

5

?日常技術(shù)維護(hù)

1、服務(wù)內(nèi)容

策略調(diào)優(yōu)及優(yōu)化：依據(jù)資產(chǎn)情況、業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)流向、日常安全

監(jiān)測情況、近期風(fēng)險(xiǎn)通報(bào)結(jié)果及安全設(shè)備實(shí)際策略配置情況，對安全設(shè)

施協(xié)助開展策略配置調(diào)優(yōu)，以持續(xù)提升安全運(yùn)行和防護(hù)能力。（安全設(shè)

備包含但不限于防火墻、入侵防御、WAF、防病毒系統(tǒng)、安全網(wǎng)關(guān)等。）

服務(wù)期內(nèi)按需提供,不限定次數(shù)。

配置備份：定期對核心交換機(jī)、匯聚交換機(jī)、網(wǎng)絡(luò)出口防火墻等關(guān)

鍵節(jié)點(diǎn)設(shè)備的系統(tǒng)配置和策略配置進(jìn)行完整備份；在設(shè)備發(fā)生故障后

提供配置快速導(dǎo)入等恢復(fù)措施。服務(wù)期內(nèi)按需提供，策略配置及系統(tǒng)配

置備份每月一次。

安全設(shè)施特征庫更新升級：每周依據(jù)巡檢結(jié)果，定期對可以進(jìn)行特

征庫、病毒庫、威脅情報(bào)庫和漏洞庫等特征庫升級的安全設(shè)施進(jìn)行更新

升級。（更新升級原則為同步產(chǎn)品廠商官網(wǎng)更新情況），針對已過授權(quán)

許可時(shí)間的安全設(shè)備，提供處置建議。服務(wù)期內(nèi)按需提供、不限定次數(shù)。

（安全設(shè)施包含但不限于防火墻、入侵防御、WAF.防病毒系統(tǒng)、安全

網(wǎng)關(guān)等，含政務(wù)云上采購人部署的安全設(shè)施。）

2、服務(wù)方式:現(xiàn)場服務(wù)。

3、交付文檔：《策略調(diào)優(yōu)及優(yōu)化記錄文檔》、《配置備份記錄文

檔》、《安全設(shè)備特征庫更新升級記錄文檔》。

?故障處置支持

1、服務(wù)內(nèi)容

6

對于采購人出現(xiàn)的各類故障情況，提供技術(shù)支持服務(wù)；包括安全設(shè)

備、網(wǎng)絡(luò)設(shè)備、UPS、精密空調(diào)系統(tǒng)故障等；針對示過保的設(shè)備，故障

處置由供應(yīng)商協(xié)調(diào)設(shè)備所屬維護(hù)商進(jìn)行維護(hù)，并跟進(jìn)維修進(jìn)度和效果,

及時(shí)向采購人匯報(bào)情況。針對已過保設(shè)備的故障處置由供應(yīng)商進(jìn)行協(xié)

助維護(hù)，故障發(fā)生時(shí)供應(yīng)商應(yīng)優(yōu)先進(jìn)行故障應(yīng)急處理和恢復(fù)；如供應(yīng)商

自身無法進(jìn)行有效的故障處置，供應(yīng)商應(yīng)出具實(shí)際可行的解決方案和

建議，形成整體故障處置報(bào)告匯報(bào)給采購人。

2、服務(wù)次數(shù)：按需提供，不限次數(shù)。

3、常規(guī)服務(wù)時(shí)間：5X8,應(yīng)急服務(wù)時(shí)間：7X8o

4、交付文檔：《故障處置記錄文檔》。

（5）安全整改工作

1、服務(wù)內(nèi)容

運(yùn)維服務(wù)期間，如上級部門、公安部門、信息化主管部門等單位對

數(shù)據(jù)中心（不含信息系統(tǒng)軟件本身）進(jìn)行安全掃描，根據(jù)各方安全評估

結(jié)果和通知文件，協(xié)助進(jìn)行安全漏洞修復(fù)、系統(tǒng)平臺加固，防止系統(tǒng)破

壞、數(shù)據(jù)泄露。如安全整改經(jīng)評估會對業(yè)務(wù)系統(tǒng)產(chǎn)生影響時(shí)，供應(yīng)商需

提出整改建議方案（方案中需注明風(fēng)險(xiǎn)）。

及時(shí)響應(yīng)相關(guān)單位發(fā)出的安全漏洞通報(bào)。

針對風(fēng)險(xiǎn)等級為嚴(yán)重的漏洞，在收到報(bào)告后的三個(gè)工作日內(nèi)修復(fù)

解決或提出整改建議方案；針對風(fēng)險(xiǎn)等級為中、低的漏洞，須在收到

報(bào)告后的兩周內(nèi)修復(fù)解決或提出整改建議方案。

針對緊急漏洞（比如勒索病毒），需依據(jù)相關(guān)單位發(fā)出的安全漏洞

7

通報(bào)中的解決方案立即解決。

修復(fù)解決后提交安全整改報(bào)告（如遇到系統(tǒng)較大版本升級改動等

特殊情況需要延期解決，須在安全整改報(bào)告中說明）

2、服務(wù)次數(shù)：按需提供，不限次數(shù)。

3、常規(guī)服務(wù)時(shí)間：5X8,應(yīng)急服務(wù)時(shí)間：7X8o

4、交付文檔：《安全整改記錄文檔》。

（6）其他相關(guān)配合服務(wù)

1、服務(wù)內(nèi)容

按照采購人及上級主管單位要求，做好正版化檢查、網(wǎng)絡(luò)安全檢查、

保密檢查、業(yè)務(wù)對接、下級單位技術(shù)支撐、采購人交辦的其他相關(guān)事宜

等配合服務(wù)。

2、服務(wù)次數(shù)：按需提供，不限次數(shù)；

3、常規(guī)服務(wù)時(shí)間：5X8,應(yīng)急服務(wù)時(shí)間：7X8o

4、交付文檔：《服務(wù)記錄文檔》。

（7）安全掃描服務(wù)

1、服務(wù)內(nèi)容

周期開展安全掃描服務(wù)，使用漏洞掃描系統(tǒng)，進(jìn)行安全掃描，掃描

范圍為本地局域網(wǎng)及采購人指定的政務(wù)云主機(jī)；對識別出的能被入侵

者用來非法進(jìn)入網(wǎng)絡(luò)或者非法獲取信息資產(chǎn)的漏洞，提醒安全管理員，

及肘完善安全策略，降低安全風(fēng)險(xiǎn)；及時(shí)發(fā)現(xiàn)最新的安全漏洞及安全風(fēng)

險(xiǎn)，并出具安全掃描報(bào)告。

8

2、服務(wù)次數(shù)：每季度1次。

3、交付成果：《安全掃描報(bào)告》。

(8)安全通告服務(wù)

1、服務(wù)內(nèi)容

專業(yè)的安全服務(wù)隊(duì)伍，對最新安全技術(shù)及安全信息的發(fā)現(xiàn)和追蹤，

并通過服務(wù)的平臺與單位及時(shí)交流，幫助單位保持領(lǐng)先的安全理念。為

單位提供定期的安全信息通告服務(wù)。安全信息中會包括最新的安全事

件，病毒信息，漏洞信息，安全政策等內(nèi)容。安全通告以郵件、電話、

走訪等方式，將安全技術(shù)和安全信息及時(shí)傳遞給單位。

安全通告內(nèi)容：

業(yè)界動態(tài)；

國家最新安全政策及法律法規(guī)；

安全攻擊事件；

單位的操作系統(tǒng)、應(yīng)用、設(shè)備等的最新安全漏洞和相應(yīng)的解決措施;

最新病毒信息；

相關(guān)處理解決方案。

2、服務(wù)方式

一般信息將以郵件方式通告單位，重要信息以在線方式通告本單

位負(fù)責(zé)人員，單位的敏感信息或單位指定要求現(xiàn)場告知的信息以走訪

的方式通告。

3、服務(wù)周期：安全通告每月一次；重大行業(yè)安全事件和互聯(lián)網(wǎng)安

全事件實(shí)時(shí)通告預(yù)警。

9

4、交付文檔：《安全事件通告文檔》。

(9)應(yīng)急響應(yīng)服務(wù)

1、服務(wù)內(nèi)容

提供網(wǎng)絡(luò)安全應(yīng)急響應(yīng)服務(wù)，在發(fā)生安全事件時(shí)提供現(xiàn)場/遠(yuǎn)程技

術(shù)支持，面向已發(fā)生安全事件的事中、事后的取證、分析及提供處置、

解決方案、建議等工作。具體服務(wù)內(nèi)容如下：

①針對問題進(jìn)行入侵原因分析，找到攻擊路徑，入侵影響抑制：通

過事件檢測分析，提供抑制手段，降低入侵影響，協(xié)助快速恢復(fù)業(yè)務(wù)。

入侵威脅清除：排查攻擊路徑，惡意文件清除。入侵原因分析：還原攻

擊路徑，分析入侵事件原因等包括但不限于以下內(nèi)容：

判定安全事件類型

從網(wǎng)絡(luò)流量、系統(tǒng)和IDS日志記錄、桌面日志中判斷安全事件類

型。查明安全事件原因，確定安全事件的威脅和破壞的嚴(yán)重程度。查明

安全事件原因，確定安全事件的威脅和破壞的嚴(yán)重程度。

抑制事態(tài)發(fā)展

抑制事態(tài)發(fā)展是為了將事故的損害降低到最小化。在這一步中，通

常會將受影響系統(tǒng)和服務(wù)隔離。這一點(diǎn)對保持系統(tǒng)的可用性是非常重

要的。

排除系統(tǒng)故障

針對發(fā)現(xiàn)的安全事件來源，排除潛在的隱患，消除安全威脅，徹底

解決安全問題。

恢復(fù)信息系統(tǒng)正常操作

10

在根除問題后，將已經(jīng)被攻擊設(shè)備或由于事故造成的系統(tǒng)損壞做

恢復(fù)性工作，使網(wǎng)絡(luò)系統(tǒng)能在盡可能短的時(shí)間內(nèi)恢復(fù)正常的網(wǎng)絡(luò)服務(wù)。

客戶信息系統(tǒng)安全加固

對系統(tǒng)中發(fā)現(xiàn)的漏洞進(jìn)行安全加固，消除安全隱患。

重新評估客戶信息系統(tǒng)的安全性能

重新評價(jià)客戶系統(tǒng)的安全特性，確保在一定的時(shí)間范圍內(nèi)，不發(fā)生

同類的安全事件。

②應(yīng)急響應(yīng)的流程包含以下內(nèi)容：故障診斷、故障修復(fù)、系統(tǒng)清理

和系統(tǒng)防護(hù)，服務(wù)完成后，提交完整的《應(yīng)急事件分析報(bào)告》，詳細(xì)說

明事件原因、經(jīng)過和處理方式等，而且對以后整改的方向提供適當(dāng)?shù)慕?/p>

決方案。安全事件發(fā)生時(shí)15分鐘內(nèi)做出響應(yīng)并立即提供在線技術(shù)支

持，無法通過遠(yuǎn)程支持解決的問題，提供現(xiàn)場服務(wù)，1小時(shí)內(nèi)抵達(dá)用戶

現(xiàn)場解決問題。

2、服務(wù)頻率：服務(wù)期內(nèi)按需提供，不限制次數(shù)。

3、交付成果：《應(yīng)急事件處置報(bào)告》。

（10）安全咨詢服務(wù)

1、服務(wù)內(nèi)容

日常安全問題咨詢服務(wù)

結(jié)合本單位的實(shí)際需求，參考國內(nèi)外安全標(biāo)準(zhǔn)，提供日常安全咨詢

服務(wù)，主要包括大的網(wǎng)絡(luò)安全規(guī)劃、安全決策、安全事件處理等。提供

完整全面的處理方案，要求方案具有可操作性、能夠指導(dǎo)采購人進(jìn)行事

件處理和應(yīng)對。

網(wǎng)絡(luò)安全規(guī)劃服務(wù)

結(jié)合采購人的實(shí)際需求，參考國內(nèi)外安全標(biāo)準(zhǔn)和國內(nèi)新技術(shù)研究

（如等保2.0、關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)條例、商用密碼體系、云計(jì)算、

大數(shù)據(jù)、物聯(lián)網(wǎng)、移動安全），對采購人網(wǎng)絡(luò)安全方案設(shè)計(jì)，網(wǎng)絡(luò)安全

建設(shè)，包括網(wǎng)絡(luò)安全結(jié)構(gòu)設(shè)計(jì)、系統(tǒng)安全設(shè)計(jì)、其他網(wǎng)絡(luò)安全方案設(shè)計(jì),

提供網(wǎng)絡(luò)安全遠(yuǎn)景規(guī)劃設(shè)行，為未來網(wǎng)絡(luò)信息安全工作開展提供有力

指導(dǎo)與支撐。

等級保護(hù)咨詢服務(wù)

深化網(wǎng)絡(luò)安全等級保護(hù)工作，基于對網(wǎng)絡(luò)安全的深刻理解，在等級

保護(hù)的框架下構(gòu)建一個(gè)安全、可靠、靈活、可持續(xù)改進(jìn)的網(wǎng)絡(luò)安全體系，

對等級保護(hù)各個(gè)階段的工作重點(diǎn)為客戶提供全方位的支持和服務(wù)，協(xié)

助完成定級備案、差距分析、安全整改或安全建議和協(xié)助對接等保測評

工作。

2、服務(wù)次數(shù)：按需提供，不限次數(shù)。

3、交付成果《安全咨詢服務(wù)記錄》

（11）業(yè)務(wù)系統(tǒng)安全評估服務(wù)

1、服務(wù)內(nèi)容

針對安全評估服務(wù)范圍，結(jié)合等級保護(hù)合規(guī)性測評等各項(xiàng)檢查工

作的成果，采用外部滲透方式及內(nèi)部滲透方式對應(yīng)用系統(tǒng)進(jìn)行非破壞

性質(zhì)的模擬入侵者攻擊的測試，檢測外部威脅源和路徑，以便掌握系統(tǒng)

的安全狀況，尋找系統(tǒng)存在的漏洞和風(fēng)險(xiǎn)；并出具安全評估報(bào)告：

測試方法

12

滲透測試完全模擬黑客的入侵思路與技術(shù)手段，黑客的攻擊入侵

需要利用目標(biāo)網(wǎng)絡(luò)的安全弱點(diǎn)，滲透測試也是同樣的道理。以人工滲透

為主，輔助以攻擊工具的使用，這樣保證了整個(gè)滲透測試過程都在可以

控制和調(diào)整的范圍之內(nèi)。

針對各應(yīng)用系統(tǒng)的滲透測試方法包括以下方法但不局限于以下方

法:

測試方法描述

信息收集是滲透攻擊的前提，通過信息收集可以有針對性地制定模擬攻

擊測試計(jì)劃，提高模擬攻擊的成功率，同時(shí)可以有效的降低攻擊測試對

信息收集

系統(tǒng)正常運(yùn)行造成的不利影響。信息收集的方法包括端口掃描、操作系

統(tǒng)指紋判別、應(yīng)用判別、賬號掃描、配置判別等。

通過對目標(biāo)地址的TCP/UDP端口掃描，確定其所開放的服務(wù)的數(shù)量和類

型，這是所有滲透測試的基礎(chǔ)。通過端口掃描，可以基本確定一個(gè)系統(tǒng)

端口掃描

的基本信息，結(jié)合安全工程師的經(jīng)驗(yàn)可以確定其可能存在以及被利用的

安全弱點(diǎn)，為進(jìn)行深層次的滲透提供依據(jù)。

本階段將對暴露在公網(wǎng)的所有登陸口進(jìn)行口令猜解的測試，找出各個(gè)系

統(tǒng)可能存在的弱口令或易被猜解的口令。猜解成功后將繼續(xù)對系統(tǒng)進(jìn)行

口令猜測滲透測試，挖掘嵌套在登錄口背后的漏洞、尋找新的突破口以及可能泄

漏的敏感信息，并評估相應(yīng)的危害性。猜解的對象包括：WEB登錄口、

FTP端口、數(shù)據(jù)庫端口、遠(yuǎn)程管理端口等。

這是當(dāng)前出現(xiàn)的頻率最高、威脅最嚴(yán)重，同時(shí)又是最容易實(shí)現(xiàn)的一種滲

遠(yuǎn)程溢出

透方法，一個(gè)具有一般網(wǎng)絡(luò)知識的入侵者就可以在很短的時(shí)間內(nèi)利用現(xiàn)

13

成的工具實(shí)現(xiàn)遠(yuǎn)程溢出攻擊。對于在防火墻內(nèi)的系統(tǒng)存在同樣的風(fēng)險(xiǎn)，

只要對跨接防火墻內(nèi)外的一臺主機(jī)攻擊成功，那么通過這臺主機(jī)對防火

墻內(nèi)的主機(jī)進(jìn)行攻擊就易如反掌。

本地溢出是指在擁有了一個(gè)普通用戶的賬號之后，通過一段特殊的指令

代碼獲得管理員權(quán)限的方法。使用本地溢出的前提是首先要獲得一個(gè)普

通用戶的密碼。也就是說由于導(dǎo)致本地溢出的一個(gè)關(guān)鍵條件是設(shè)置不當(dāng)

本地溢出

的密碼策略。多年的實(shí)踐證明，在經(jīng)過前期的口令猜測階段獲取的普通

賬號登錄系統(tǒng)之后，對系統(tǒng)實(shí)施本地溢出攻擊，就能獲取不進(jìn)行主動安

全防御的系統(tǒng)的控制管理權(quán)限。

腳本測試專門針對Web服務(wù)滯進(jìn)行。根據(jù)最新的技術(shù)統(tǒng)計(jì)，腳本安全弱

點(diǎn)為當(dāng)前Web系統(tǒng)尤其存在動態(tài)內(nèi)容的Web系統(tǒng)存在的主要比較嚴(yán)重的

腳本測試安全弱點(diǎn)之一。利用腳本相關(guān)弱點(diǎn)輕則可以獲取系統(tǒng)其他目錄的訪問權(quán)

限，重則將有可能取得系統(tǒng)的控制權(quán)限。因此對于含有動態(tài)頁面的Web

系統(tǒng)，腳本測試將是必不可少的一個(gè)環(huán)節(jié)。

通過初步信息收集分析，存在兩種可能性，一種是目標(biāo)系統(tǒng)存在重大的

安全弱點(diǎn)，測試可以直接控制目標(biāo)系統(tǒng)；另一種是目標(biāo)系統(tǒng)沒有遠(yuǎn)程重

大的安全弱點(diǎn)，但是可以獲得普通用戶權(quán)限，這時(shí)可以通過該普通用戶

權(quán)限獲取

權(quán)限進(jìn)一步收集目標(biāo)系統(tǒng)信息。接下來盡最大努力取得超級用戶權(quán)限、

收集目標(biāo)主機(jī)資料信息，尋求本地權(quán)限提升的機(jī)會。這樣不停的進(jìn)行信

息收集分析、權(quán)限提升的結(jié)果形成了整個(gè)的滲透測試過程。

測內(nèi)容

本項(xiàng)目安全評估包括但不限于以下內(nèi)容:

測試大類測試項(xiàng)測試目的

用戶注冊檢查用戶注冊功能可能涉及的安全問題

身份驗(yàn)證類

用戶登錄檢查用戶登錄功能可能涉及的安全問題

修改密碼檢查用戶修改密碼功能可能涉及的安全問題

檢查忘記密碼、找回密碼、密碼重置功能可能涉及的安

密碼重置

全問題

驗(yàn)證碼繞過檢測驗(yàn)證碼機(jī)制是否合理，是否可以被繞過

用戶鎖定功能測試用戶鎖定功能相關(guān)的安全問題

檢測目標(biāo)系統(tǒng)是否僅依靠cookie來確認(rèn)會話身份，從

Cookie重放攻擊

而易受到cookie回放攻擊

Cookie具有明顯含義，或可被預(yù)測、可逆向，可被攻

會話令牌分析

會話管理類擊者分析出cookie結(jié)構(gòu)

會話令牌泄露測試會話令牌是否存在泄露的可能

會話固定攻擊測試目標(biāo)系統(tǒng)是否存在固定會話的缺陷

跨站請求偽造檢測目標(biāo)系統(tǒng)是否存在CSRF漏洞

測試目標(biāo)系統(tǒng)是否由于設(shè)計(jì)不當(dāng)，導(dǎo)致合法功能非法利

功能濫用

用

訪問控制類

垂直權(quán)限提升測試可能出現(xiàn)垂直權(quán)限提升的情況

水平權(quán)限提升測試可能出現(xiàn)水平權(quán)限提升的情況

SQL注入檢測目標(biāo)系統(tǒng)是否存在SQL注入漏洞

檢測目標(biāo)系統(tǒng)的文件上傳功能是否存在缺陷，導(dǎo)致可

文件上傳

以上傳非預(yù)期類型和內(nèi)容的文件

檢測目標(biāo)系統(tǒng)加載/下載義件功能是否可以造成任意義

任意文件下載

件下載問題

輸入處理類XML注入測試目標(biāo)系統(tǒng)-是否存在XML注入漏洞

目錄穿越測試目標(biāo)系統(tǒng)是否存在目錄穿越漏洞

SSRF檢測目標(biāo)系統(tǒng)是否存在服務(wù)端跨站請求偽造漏洞

本地文件包含測試目標(biāo)站點(diǎn)是否存在LFI漏洞

遠(yuǎn)程文件包含測試目標(biāo)站點(diǎn)是否存在RFI漏洞

遠(yuǎn)程命令/代碼執(zhí)行測試目標(biāo)系統(tǒng)是否存在命令/代碼注入漏洞

反射型跨站腳本檢測目標(biāo)系統(tǒng)是否存在反射型跨站腳本漏洞

存儲型跨站腳本檢測目標(biāo)系統(tǒng)是否存在存儲型跨站腳本漏洞

DOM-based跨站腳

檢測目標(biāo)系統(tǒng)是否存在DOM-based跨站腳本漏洞

本

服務(wù)端URL重定向檢查目標(biāo)系統(tǒng)是否存在服務(wù)端URL重定向漏洞

測試目標(biāo)系統(tǒng)的錯誤處理能力，是否會輸出詳盡的錯誤

errorcode

信息

信息泄露類

StackTraces測試目標(biāo)系統(tǒng)是否開啟了StackTraces調(diào)試信息

敏感信息盡量收集目標(biāo)系統(tǒng)的敏感信息

測試目標(biāo)系統(tǒng)是否存在jboss、weblogic、tomcat等中

中間件

第三方應(yīng)用間件

類

CMS測試目標(biāo)系統(tǒng)是否存在dedeems>phpems等CMS

測試方式

安全評估服務(wù)根據(jù)測試的位置不同可以分為現(xiàn)場測試和遠(yuǎn)程測試;

根據(jù)測試的方法不同分為黑盒測試和白盒測試兩類；

現(xiàn)場測試是指經(jīng)過用戶授權(quán)后，測試人員到達(dá)用戶工作現(xiàn)場或接

入用戶工作內(nèi)網(wǎng)，根據(jù)用戶的期望測試的目標(biāo)直接接入到用戶的辦公

網(wǎng)絡(luò)甚至業(yè)務(wù)網(wǎng)