信息安全咨詢評估方案建議書

1、XX集團信息安全咨詢評估服務(wù)方案建議書目錄一?需求分析？錯誤! !未定義書簽。1 1、1 1背景分析？錯誤! !未定義書簽。1 1、2 2項目目標？錯誤! !未定義書簽。1 1、3 3需求內(nèi)容分析.錯誤! !未定義書簽1 1、3、1 1技術(shù)風(fēng)險評估需求分析？錯誤! !未定義書簽。1 1、3、2 2管理風(fēng)險評估需求分析？錯誤! !未定義書簽。1、4 4時間進度需求？錯誤! !未定義書簽。1 1、5考核要求？錯誤! !未定義書簽。1 1、6 6服務(wù)支撐需求？錯誤! !未定義書簽。 ?項目實施方案？錯誤! !未定義書簽。2、 1 1技術(shù)安全風(fēng)險評估 .錯誤! !未定義書簽2、1 1、1 1資產(chǎn)評估？

2、錯誤! !未定義書簽。2 2、1、2 2操作系統(tǒng)平臺安全評估.錯誤! !未定義書簽2 2、1、3 3網(wǎng)絡(luò)安全評估？錯誤! !未定義書簽。2 2、1 1、4滲透測試.錯誤! !未定義書簽2 2、2 2管理風(fēng)險評估.錯誤! !未定義書簽2、2 2、1 1安全管理制度審計.錯誤! !未定義書簽2 2、2 2、2 2業(yè)務(wù)流程管控安全評估 .錯誤! !未定義書簽2、3 3評估工具. .錯誤! !未定義書簽2 2、4 4形成報告？錯誤! !未定義書簽。需求分析1.1背景分析XXXX得信息化建設(shè)正在朝著集中化與云化得方向發(fā)展，通過云計算技術(shù)得應(yīng)用把原來分散于各醫(yī)院與分支機構(gòu)得業(yè)務(wù)系統(tǒng)進行整合，實現(xiàn)基于云平臺

3、得業(yè)務(wù) 系統(tǒng)與數(shù)據(jù)集中部署，從而解決了長期存在得大量信息孤島問題，降低珍貴醫(yī)療 數(shù)據(jù)與商業(yè)數(shù)據(jù)得流失風(fēng)險，也為未來得集團醫(yī)療大數(shù)據(jù)分析與精準醫(yī)療服務(wù)打 下扎實得基礎(chǔ)。從原來分散式得信息孤島到現(xiàn)在得云化集中部署 ，xxxx得信息化環(huán)境正在發(fā) 生根本性得變化，帶來節(jié)約人力成本、提高工作效率、減少管理漏洞、提高數(shù)據(jù) 準確性等諸多得好處。當(dāng)前，國內(nèi)外數(shù)據(jù)安全事件層出不窮 ，網(wǎng)絡(luò)信息安全環(huán)境 日趨復(fù)雜, ,信息化環(huán)境得變化也同時帶來了新得信息安全風(fēng)險，總體來說包括以 下幾個方面：一、實現(xiàn)系統(tǒng)與數(shù)據(jù)得集中化部署后，等于把原來分散得信息安全風(fēng)險 也進行了集中，一旦發(fā)生信息安全事故，其影響將就是全局性得。比

4、如在原有得信息化環(huán)境下發(fā)生敏感數(shù)據(jù)泄漏， 其泄漏范圍只限于個別 得醫(yī)院或分支機構(gòu)而現(xiàn)在一旦發(fā)生數(shù)據(jù)泄漏，泄漏范圍會就是全集 團所有醫(yī)院與分支機構(gòu)，直接與間接得損失不可同日而語。二、云計算就是一種顛覆傳統(tǒng)I I T架構(gòu)得前沿技術(shù)，它可以增強協(xié)作，提 高敏捷性、可擴展性以及可用性。還可以通過優(yōu)化資源分配、 提高計 算效率來降低成本。這也意味著基于傳統(tǒng)I T T架構(gòu)得信息安全技術(shù)與 產(chǎn)品往往不能再為云端系統(tǒng)與數(shù)據(jù)提供足夠得防護能力 三、系統(tǒng)與數(shù)據(jù)得集中部署、云計算技術(shù)應(yīng)用都要求建立可靠得信息安 全管理機制，改變原有得離散管理模型，從管理規(guī)范與工作流程上實 現(xiàn)與現(xiàn)有集中模式得對接，降低因管理不當(dāng)導(dǎo)致得

5、信息安全風(fēng)險。1 1、資產(chǎn)評估1.2項目目標對xxxx當(dāng)前得信息化環(huán)境從管理與技術(shù)上進行充分得信息安全風(fēng)險評估，并 依據(jù)風(fēng)險評估結(jié)果制訂相應(yīng)得風(fēng)險管控方案。具體建設(shè)內(nèi)容包括：1、 豉術(shù)風(fēng)險評估：1 1） 對現(xiàn)有得信息系統(tǒng)、機房及基礎(chǔ)網(wǎng)絡(luò)資產(chǎn)與網(wǎng)絡(luò)拓撲、數(shù)據(jù)資產(chǎn)、特權(quán)賬號資產(chǎn)等進行安全風(fēng)險評估；2 2） 對核心業(yè)務(wù)系統(tǒng)進行 WEBWEB安全、數(shù)據(jù)安全、業(yè)務(wù)邏輯安全風(fēng)險評估；3 3）對正在建設(shè)得云計算基礎(chǔ)平臺架構(gòu)及承載得操作系統(tǒng)進行安全風(fēng)險評估；4 4） 滲透模擬黑客可能使用得攻擊技術(shù)與漏洞發(fā)現(xiàn)技術(shù)， 對業(yè)務(wù)系統(tǒng)進行授權(quán) 滲透測試，對目標系統(tǒng)進行深入得探測，以發(fā)現(xiàn)系統(tǒng)最脆弱得環(huán)節(jié)、可能被利用 得入

6、侵點以及現(xiàn)網(wǎng)存在得安全隱患。2 2、管理風(fēng)險評估1 1） 采用調(diào)查訪談并結(jié)合實地考察得形式，對數(shù)據(jù)中心與核心系統(tǒng)得安全管理 制度進行疏理與安全風(fēng)險評估；2 2） 對業(yè)務(wù)管控制度與流程進行安全風(fēng)險評估，采用閱讀流程資料與相關(guān)人員 訪談得形式了解業(yè)務(wù)與系統(tǒng)內(nèi)控制度與實現(xiàn)得業(yè)務(wù)流程，試用流程中涉及得軟件,察瞧各個業(yè)務(wù)控制點就是否都得到有效得實施， 各個接口得處理就是否妥當(dāng)， 監(jiān)督檢查辦法就是否健全；3 3、 信息安全風(fēng)險管控方案其于上述風(fēng)險評估結(jié)果，針對具體得安全漏洞與風(fēng)險設(shè)計管控方案，包括但 不限于安全漏洞加固方案、信息安全管理規(guī)范優(yōu)化提升方案、信息安全防護技術(shù) 解決方案等。1.3需求內(nèi)容分析1.

7、3.1技術(shù)風(fēng)險評估需求分析本項目對技術(shù)風(fēng)險評估得內(nèi)容要求主要就是：資產(chǎn)評估對象不僅包括設(shè)備設(shè)施等物理資產(chǎn)，同時也包括敏感數(shù)據(jù)、特權(quán)賬 號等信息資產(chǎn)，其評估步驟如下：第一步: :通過資產(chǎn)識別，對重要資產(chǎn)做潛在價值分析，了解其資產(chǎn)利用、維 護與管理現(xiàn)狀，并提交資產(chǎn)清單；第二步：通過對資產(chǎn)得安全屬性分析與風(fēng)險評估， 明確各類資產(chǎn)具備得保護 價值與需要得保護層次，從而使企業(yè)能夠更合理得利用現(xiàn)有資產(chǎn)，更有效地進行 資產(chǎn)管理，更有針對性得進行資產(chǎn)保護，最具策略性得進行新得資產(chǎn)投入。2 2、操作系統(tǒng)平臺安全評估針對資產(chǎn)清單中重要與核心得操作系統(tǒng)平臺進行安全評估，完整、全面地發(fā)現(xiàn)系統(tǒng)主機得漏洞與安全隱患。3

8、3、網(wǎng)絡(luò)拓撲、網(wǎng)絡(luò)設(shè)備安全評估針對資產(chǎn)清單中邊界網(wǎng)絡(luò)設(shè)備與部分核心網(wǎng)絡(luò)設(shè)備，結(jié)合網(wǎng)絡(luò)拓撲架構(gòu)，分析存在得網(wǎng)絡(luò)安全隱患。4 4、應(yīng)用系統(tǒng)安全評估（滲透測試）：通過模擬黑客可能使用得攻擊技術(shù)與漏洞發(fā)現(xiàn)技術(shù)，對X XX集團授權(quán)滲透測 試得目標系統(tǒng)進行深入得探測，以發(fā)現(xiàn)系統(tǒng)最脆弱得環(huán)節(jié)、可能被利用得入侵點 以及現(xiàn)網(wǎng)存在得安全隱患，并指導(dǎo)進行安全加固。1.3.21.3.2管理風(fēng)險評估需求分析1、安全管理制度審計：通過調(diào)研重要與核心資產(chǎn)管理、關(guān)鍵業(yè)務(wù)及數(shù)據(jù)、相關(guān)系統(tǒng)得基本信息、現(xiàn) 有得安全措施等情況，并了解目前XXXX集團所實施得安全管理流程、制度與策略， 分析目前XXXX集團在安全管理上存在得不合理制度

9、或漏洞。2 2、 業(yè)務(wù)管控安全評估：通過調(diào)研業(yè)務(wù)系統(tǒng)內(nèi)控制度與實現(xiàn)得業(yè)務(wù)流程，試用流程中涉及得軟件，察瞧各個業(yè)務(wù)控制點就是否都得到有效得實施，各個接口得處理就是否妥當(dāng)，監(jiān)督檢查辦法就是否健全，從而改進內(nèi)控制度與業(yè)務(wù)流程得合理性與數(shù)據(jù)流得安全 性。1.4時間進度需求項目得時間需按照整體時間要求完成全部工作，并且需提交階段性工作成果。1.5考核要求XXXX集團將對項目得交付成果與執(zhí)行過程中得質(zhì)量進行考核，考核結(jié)果將作為最終結(jié)算得依據(jù)。考核辦法將由 X XX集團與項目服務(wù)提供方共同協(xié)商制定1.6服務(wù)支撐需求本項目得服務(wù)供應(yīng)方需與 XXXX集團項目組成員組成項目團隊，并且共同完成 該項目所有工作。項目

10、團隊采取緊密溝通得方式，分為每周例會定期溝通與重大問題共同討論 得溝通方式。該項目得辦公時間為5 5天* 8 8小時/ /周；值班電話須7 7天* * 2 4小時/ /周保持通 話暢通。交付成果需求本項目在開展過程中需進行日報、周報、月報等相關(guān)工作計劃與總結(jié)得提交， 并根據(jù)實際工作內(nèi)容及時提交相應(yīng)工作成果及報告 二項目實施方案2.1技術(shù)安全風(fēng)險評估2.1.1資產(chǎn)評估保護資產(chǎn)免受安全威脅就是安全工程實施得根本目標。要做好這項工作，首先需要詳細了解資產(chǎn)分類與管理得詳細情況。項目名稱資產(chǎn)識別簡要描述米集資產(chǎn)信息，進行資產(chǎn)分類，劃分資產(chǎn)重要級別；達成目標米集資產(chǎn)信息，進行資產(chǎn)分類，劃分資產(chǎn)重要級別；

11、進一步明確評估得范圍與重點；主要內(nèi)容米集資產(chǎn)信息，獲取資產(chǎn)清單；進行資產(chǎn)分類劃分；確定資產(chǎn)得重要級別；實現(xiàn)方式填表式調(diào)查資產(chǎn)調(diào)查表，包含計算機設(shè)備、通訊設(shè)備、存儲及保障設(shè)備、？ 信息、軟件等。交流? ? 審閱已有得針對資產(chǎn)得安全管理規(guī)章、制度；? ? 與高級主管、業(yè)務(wù)人員、網(wǎng)絡(luò)管理員（系統(tǒng)管理員）等進 行交流。工作條件1-1-2人工作環(huán)境，2 2臺Winin200200 0 PC,PC,電源與網(wǎng)絡(luò)環(huán)境，客戶人員與 資料配合工作結(jié)果資產(chǎn)類別、資產(chǎn)重要級別；參加人員依據(jù)現(xiàn)場狀況，由X XX集團提供現(xiàn)有資產(chǎn)清單，并由全體評估人員 在XXXX相關(guān)技術(shù)與管理人員得配合下進行資產(chǎn)分類調(diào)查 . .項目名稱風(fēng)

12、險評估簡要描述:評估資產(chǎn)得安全等級與應(yīng)給予得安全保護等級達成目標評估資產(chǎn)得安全等級；評估資產(chǎn)應(yīng)給予得安全保護等級；主要內(nèi)容確定資產(chǎn)得安全等級；對安全保障進行等級分類；確定資產(chǎn)得應(yīng)給予得保護級別；實現(xiàn)方式填表式調(diào)查：資產(chǎn)調(diào)查表，包含計算機設(shè)備、通訊設(shè)備、存儲及保障設(shè)備、 信息、軟件等。交流? ? 審閱已有得針對資產(chǎn)得安全管理規(guī)章、制度；? ? 與高級主管、業(yè)務(wù)人員、網(wǎng)絡(luò)管理員（系統(tǒng)管理員）等進行 交流. .工作條件2 2-3 3人工作環(huán)境，3臺 Win2Win2 0 OOPOOPC，電源與網(wǎng)絡(luò)環(huán)境，客戶人 員與資料配合工作結(jié)果資產(chǎn)安全級別；資產(chǎn)應(yīng)給予得安全保障級別；資產(chǎn)安全保障建議參加人員依據(jù)現(xiàn)

13、場狀況，由全體評估人員在 XXXX集團相關(guān)技術(shù)與管理人員得 配合下進行。2.1.2操作系統(tǒng)平臺安全評估2.121工具掃描使用業(yè)界專業(yè)漏洞掃描軟件，根據(jù)已有得安全漏洞知識庫，模擬黑客得攻擊 方法，檢測主機操作系統(tǒng)存在得安全隱患與漏洞。1 1、主要檢測內(nèi)容：服務(wù)器主機操作系統(tǒng)內(nèi)核、版本及補丁審計服務(wù)器主機操作系統(tǒng)通用/ /默認應(yīng)用程序安全性審計服務(wù)器主機后門檢測服務(wù)器主機漏洞檢測服務(wù)器主機安全配置審計服務(wù)器主機用戶權(quán)限審計服務(wù)器主機口令審計服務(wù)器主機文件系統(tǒng)安全性審計操作系統(tǒng)內(nèi)核得安全性文件傳輸服務(wù)安全性2 2、掃描策略提供可定制掃描策略得策略編輯器按照掃描強度，默認得掃描策略模板包括：?高強度掃

14、描? ?中強度掃描?氐強度掃描按照掃描得漏洞類別，默認得掃描策略模板包括：? ? NetBINetBI O S S漏洞掃描?We b&CGIb&CGI漏洞掃描? ?主機信息掃描? ?帳戶掃描? ?端口掃描? ?數(shù)據(jù)庫掃描在遠程掃描過程中，將對遠程掃描得目標按照操作系統(tǒng)類型與業(yè)務(wù)應(yīng)用情況 進行分類，采用定制得安全得掃描策略。2.122人工分析對于主要得操作系統(tǒng)，安全專家將主要從下面幾個方面來獲取系統(tǒng)得運行信 息：賬號；資源；系統(tǒng)；網(wǎng)絡(luò)；審核、日志與監(jiān)控；這些信息主要包括：網(wǎng)絡(luò)狀況、網(wǎng)絡(luò)配置情況、用戶賬號、服務(wù)配置情況、 安全策略配置情況、文件系統(tǒng)情況、日志配置與紀錄情況等。在技術(shù)審計過程中，安全

15、服務(wù)專家將采用多種技術(shù)來進行信息收集，這些技 術(shù)包括：審計評估工具: :開發(fā)了自己得審計評估腳本工具，通過執(zhí)行該工具，就可以獲取系統(tǒng)得運行信息。常見后門分析工具：通過使用專業(yè)工具，檢查系統(tǒng)就是否存在木馬后門 深層挖掘技術(shù)：通過安全專家得深層挖掘，檢查系統(tǒng)就是否被安裝了Ro oot kitkit等很難被發(fā)現(xiàn)得后門程序收集了系統(tǒng)信息之后，安全專家將對這些信息進行技術(shù)分析，審計得結(jié)果按 照評估對象與目標對結(jié)果從補丁管理、 最小服務(wù)原則、最大安全性原則、用戶管 理、口令管理、日志安全管理以及入侵管理七個方面進行歸類處理并評分評估目標評估內(nèi)容補丁管理檢查系統(tǒng)、應(yīng)用得版本情況、補丁安裝情況最小服務(wù)原則檢查

16、系統(tǒng)、應(yīng)用得服務(wù)運行配置情況，察瞧就是否遵循最 小服務(wù)原則最大安全性原則檢查系統(tǒng)就是否進行了安全配置或者就是否米用了恰當(dāng)?shù)冒踩雷o機制帳戶安全管理檢查系統(tǒng)或應(yīng)用中賬號得配置情況，就是否存在默認賬號 或者不必要賬號口令安全管理檢查系統(tǒng)得賬號口令配置情況，就是否有賬號就是弱口令。日志安全管理檢查系統(tǒng)或應(yīng)用得日志配置情況，就是否有嚴格得日志配 置或者日志服務(wù)器。入侵管理檢查系統(tǒng)得安全漏洞情況，以及就是否被入侵等 這7個方面將能夠充分體現(xiàn)系統(tǒng)目前得運行與安全現(xiàn)狀。 通過數(shù)字分數(shù)得形 式, ,并結(jié)合資產(chǎn)得重要性，將能夠很直觀地表現(xiàn)出系統(tǒng)得情況并且可以根據(jù)其中 存在得缺陷，制定相應(yīng)得解決辦法。2.1.3網(wǎng)

17、絡(luò)安全評估2.131網(wǎng)絡(luò)拓撲分析對X XX集團網(wǎng)絡(luò)結(jié)構(gòu)進行全面得分析，發(fā)現(xiàn)網(wǎng)絡(luò)結(jié)構(gòu)存在得風(fēng)險與安全問題 以及對提供相應(yīng)得調(diào)整建議。項目名稱網(wǎng)絡(luò)拓撲分析簡要描述網(wǎng)絡(luò)拓撲得風(fēng)險評估就是針對用戶得網(wǎng)絡(luò)結(jié)構(gòu)進行分析，根據(jù)客 戶得安全需求查找相應(yīng)得安全脆弱性，最終提交詳盡得報告與相 應(yīng)得建議。達成目標通過網(wǎng)絡(luò)結(jié)構(gòu)得風(fēng)險評估，可以知悉當(dāng)前網(wǎng)絡(luò)結(jié)構(gòu)得安全脆弱性主要內(nèi)容調(diào)查安全需求分析網(wǎng)絡(luò)結(jié)構(gòu)當(dāng)前網(wǎng)絡(luò)結(jié)構(gòu)得安全脆弱性可能存在得安全風(fēng)險網(wǎng)絡(luò)結(jié)構(gòu)中需要改進得方面網(wǎng)絡(luò)安全域評估分析實現(xiàn)方式信息收集 調(diào)查分析 交流現(xiàn)場查瞧工作條件1- 2 2人工作環(huán)境，2 2臺Windowindow sPC,PC,電源與網(wǎng)絡(luò)環(huán)境，客

18、戶人員與資料配合工作結(jié)果網(wǎng)絡(luò)結(jié)構(gòu)分析結(jié)果參加人員評估小組,XX,XX集團網(wǎng)絡(luò)管理人員、系統(tǒng)管理人員、數(shù)據(jù)庫管理人員2.132網(wǎng)絡(luò)設(shè)備安全評估對網(wǎng)絡(luò)設(shè)備（路由、交換、防火墻等）得安全評估，就是對網(wǎng)絡(luò)設(shè)備得功能、 設(shè)置、管理、環(huán)境、弱點、漏洞等進行全面得評估。1、評估條件評估前需要明確以下內(nèi)容：網(wǎng)絡(luò)設(shè)備配置；網(wǎng)絡(luò)設(shè)備及周圍設(shè)備在網(wǎng)絡(luò)上得名字與 IPIP地址；網(wǎng)絡(luò)設(shè)備網(wǎng)絡(luò)連接情況（網(wǎng)絡(luò)設(shè)備每個網(wǎng)絡(luò)界面得 IPIP與鄰近設(shè)備）;2 2、評估內(nèi)容查瞧網(wǎng)絡(luò)設(shè)備得配置、環(huán)境、與運行情況。至少包括以下幾個方面：網(wǎng)絡(luò)設(shè)備得操作系統(tǒng)及版本；檢查網(wǎng)絡(luò)設(shè)備得規(guī)則檢查；對網(wǎng)絡(luò)設(shè)備實施攻擊測驗，以測驗網(wǎng)絡(luò)設(shè)備得真實安全性

19、。這需要最謹慎從事；3 3、評估結(jié)果提供策略變更建議提供日志管理建議提供審計服務(wù)2.1.4滲透測試2.141測試流程本次項目，將按照以下滲透性測試步驟及流程對 XXXX集團授權(quán)得應(yīng)用系統(tǒng)進行滲透性測試：制定實施方案信息收集分析內(nèi)部計劃制定取得權(quán)限、提升權(quán)限生成報告滲透性測試步驟與流程圖1、內(nèi)部計劃制定、二次確認根據(jù)X XX集團委托范圍與時間，并結(jié)合前一步初步得信息收集得到得設(shè)備存 活情況、網(wǎng)絡(luò)拓撲情況以及掃描得到得服務(wù)開放情況、漏洞情況制定內(nèi)部得詳細 實施計劃。具體包括每個地址下一步可能采用得測試手段，詳細時間安排. .并將以下一步工作得計劃與時間安排與X X X集團進行確認。2 2、 取得權(quán)

20、限、提升權(quán)限通過初步得信息收集分析，存在兩種可能性 ，一種就是目標系統(tǒng)存在重大得 安全弱點，測試可以直接控制目標系統(tǒng)；另一種就是目標系統(tǒng)沒有重大得安全弱 點，但就是可以獲得普通用戶權(quán)限，這時可以通過該普通用戶權(quán)限進一步收集目 標系統(tǒng)信息。接下來盡最大努力取得超級用戶權(quán)限、收集目標主機資料信息，尋求本地權(quán)限提升得機會這樣不停地進行信息收集分析、權(quán)限提升得結(jié)果形成了 整個得滲透性測試過程2.1.4.2測試內(nèi)容與方法1、測試內(nèi)容通過采用適當(dāng)測試手段，發(fā)現(xiàn)測試目標在系統(tǒng)認證及授權(quán)、 代碼審查、被信 任系統(tǒng)得測試、文件接口模塊、應(yīng)急流程測試、信息安全、報警響應(yīng)等方面存在 得安全漏洞，并現(xiàn)場演示再現(xiàn)利用該

21、漏洞可能造成得損失， 并提供避免或防范此 類威脅、風(fēng)險或漏洞得具體改進或加固措施。2 2、 測試方法滲透測試得方法比較多，主要包括端口掃描，漏洞掃描，拓撲發(fā)現(xiàn)，口令破 解，本地或遠程溢出以及腳本測試等方法。這些方法有得有工具，有得需要手工操作，與具體得操作人員習(xí)慣管理比較大。本次項目，根據(jù)獲取得信息制定滲透性測試計劃并取得 XXXX集團同意后，具 體得滲透性測試過程將按照以下滲透性測試技術(shù)流程圖進行。滲透性測試技術(shù)流程圖信息得收集與分析伴隨著每一個滲透性測試步驟，每一個步驟又有三個組成 部分: :操作、響應(yīng)與結(jié)果分析. .（1）網(wǎng)絡(luò)信息搜集信息收集就是每一步滲透攻擊得前提，通過信息收集可以有針

22、對性地制定模 擬攻擊測試計劃，提高模擬攻擊得成功率，同時可以有效地降低攻擊測試對系統(tǒng) 正常運行造成地不利影響。信息收集得方法包括 PiPi ngng S Sw eepeep D D N S S S Sw e e epD NSNS zon e e t t r anans ferfer、操作系統(tǒng)指紋判別、應(yīng)用判別、賬號掃描、配置判別等。信息收集常用得 工具包括商業(yè)網(wǎng)絡(luò)安全漏洞掃描軟件（如，天鏡等），免費安全檢測工具（如，NMAPNMAP、 NESNESS USUS等）。操作系統(tǒng)內(nèi)置得許多功能（如， TELNTELN ET、NSL OOKUPOOKUP、1E E等) )也可以作為信息收集得有效工具。

23、端口掃描通過對目標地址得 TCP/UTCP/U D P P端口掃描，確定其所開放得服務(wù)得數(shù)量與類 型，這就是所有滲透性測試得基礎(chǔ)通過端口掃描, ,可以基本確定一個系統(tǒng)得基本 信息，結(jié)合安全工程師得經(jīng)驗可以確定其可能存在以及被利用得安全弱點，為進 行深層次得滲透提供依據(jù)(3)遠程溢出這就是當(dāng)前出現(xiàn)得頻率最高、威脅最嚴重，同時又就是最容易實現(xiàn)得一種滲 透方法，一個具有一般網(wǎng)絡(luò)知識得入侵者就可以在很短得時間內(nèi)利用現(xiàn)成得工具 實現(xiàn)遠程溢出攻擊. .對于在防火墻內(nèi)得系統(tǒng)存在同樣得風(fēng)險，只要對跨接防火墻內(nèi)外得一臺主機 攻擊成功，那么通過這臺主機對防火墻內(nèi)得主機進行攻擊就易如反掌。(4) 口令猜測口令猜測也

24、就是一種出現(xiàn)概率很高得風(fēng)險，幾乎不需要任何攻擊工具，利用一個簡單得暴力攻擊程序與一個比較完善得字典，就可以猜測口令對一個系統(tǒng)賬號得猜測通常包括兩個方面：首先就是對用戶名得猜測，其次 就是對密碼得猜測。(5) 本地溢出所謂本地溢出就是指在擁有了一個普通用戶得賬號之后，通過一段特殊得指 令代碼獲得管理員權(quán)限得方法。使用本地溢出得前提就是首先要獲得一個普通用 戶得密碼. .也就就是說由于導(dǎo)致本地溢出得一個關(guān)鍵條件就是設(shè)置不當(dāng)?shù)妹艽a策 略多年得實踐證明，在經(jīng)過前期得口令猜測階段獲取得普通賬號登錄系統(tǒng)之后 對系統(tǒng)實施本地溢出攻擊，就能獲取不進行主動安全防御得系統(tǒng)得控制管理權(quán) 限。( (6 ) )腳本測試

25、腳本測試專門針對 W W e b b服務(wù)器進行。根據(jù)最新得技術(shù)統(tǒng)計，腳本安全弱點 為當(dāng)前WebWeb系統(tǒng)尤其存在動態(tài)內(nèi)容得 W W e b系統(tǒng)存在得主要比較嚴重得安全弱 點之一。利用腳本相關(guān)弱點輕則可以獲取系統(tǒng)其她目錄得訪問權(quán)限，重則將有可能取得系統(tǒng)得控制權(quán)限。因此對于含有動態(tài)頁面得WebWeb系統(tǒng)，腳本測試將就是必不可少得一個環(huán)節(jié)。2.143風(fēng)險控制措施本次項目，為了保證滲透性測試不對XXXX集團AGAG IS網(wǎng)絡(luò)與系統(tǒng)造成不必要 得影響，建議本次滲透性測試采取以下方式進行風(fēng)險控制。1 1、工具選擇為防止造成真正得攻擊，本次滲透性測試項目，會嚴格選擇測試工具，杜絕因 工具選擇不當(dāng)造成得將病毒

26、與木馬植入得情況發(fā)生 . .2 2、時間選擇為減輕滲透性測試對 XXXX集團網(wǎng)絡(luò)與系統(tǒng)得影響，本次滲透性測試項目，建 議在晚上業(yè)務(wù)不繁忙時進行。3、策略選擇為防止?jié)B透性測試造成X XX集團網(wǎng)絡(luò)與系統(tǒng)得服務(wù)中斷，建議在滲透性測試 中不使用含有拒絕服務(wù)得測試策略. .4 4、有效溝通本次項目，建議：在工程實施過程中，確定不同階段得測試人員以及客戶方 得配合人員，建立直接溝通得渠道，并在工程出現(xiàn)難題得過程中保持合理溝通。評估團隊得高級安全專家在客戶可控得范圍內(nèi)，完成對目標系統(tǒng)得滲透測試 工作，并做出詳細得記錄，最終形成滲透測試報告。報告對滲透測試過程中發(fā) 現(xiàn)得脆弱性進行細致得分析、描述脆弱性對整個系

27、統(tǒng)造成得潛在危害以及基本得 修補建議等等. .2.2管理風(fēng)險評估2.2.1安全管理制度審計項目名稱安全管理制度審計簡要描述通過對信息安全管理策略得分析，發(fā)現(xiàn)制度缺陷。達成目標調(diào)研重要與核心資產(chǎn)管理、關(guān)鍵業(yè)務(wù)及數(shù)據(jù)、相關(guān)系統(tǒng)得基本信 息、現(xiàn)有得安全措施等情況，并了解目前業(yè)務(wù)支持中心系統(tǒng)所實施 得安全管理流程、制度與策略；分析目前業(yè)務(wù)支持中心系統(tǒng)在安全管理上存在得不合理制度或漏 洞并提出整改意見；主要內(nèi)容調(diào)研重要與核心資產(chǎn)管理、關(guān)鍵業(yè)務(wù)及數(shù)據(jù)、相關(guān)系統(tǒng)得基本信 息、現(xiàn)有得安全措施等情況，形成安全現(xiàn)狀報告；收集安全管理制度，形成安全策略清單；分析安全管理制度缺陷；分析報告提交整改意見；實現(xiàn)方式收集? ?向各業(yè)務(wù)單兀收集信息安全管理制度并提交風(fēng)險評估小組。評審? ?分析安全管理規(guī)章、制度；? ? 與高級主管、業(yè)務(wù)人員、網(wǎng)絡(luò)管理員（系統(tǒng)管理員）等進行交 流。工作條件2 2 3 3人工作環(huán)境,2臺桌面電腦（WI I NDOWSDOWSM乍系統(tǒng)），電源與 網(wǎng)絡(luò)環(huán)境，客戶人員與資料配合工作結(jié)果安全管理策略缺陷分