信息安全咨詢?cè)u(píng)估方案建議書

1、XX集團(tuán)信息安全咨詢?cè)u(píng)估服務(wù)方案建議書目錄需求分析3.1.1 背景分析3.1.2 項(xiàng)目目標(biāo)4.1.3 需求內(nèi)容分析4.1.3.1 技術(shù)風(fēng)險(xiǎn)評(píng)估需求分析41.3.2 管理風(fēng)險(xiǎn)評(píng)估需求分析51.4 時(shí)間進(jìn)度需求 6.1.5 考核要求6.1.6 服務(wù)支撐需求6.項(xiàng)目實(shí)施方案6.2.1 技術(shù)安全風(fēng)險(xiǎn)評(píng)估.6.2.1.1 資產(chǎn)評(píng)估6.2.1.2 操作系統(tǒng)平臺(tái)安全評(píng)估 82.1.3 網(wǎng)絡(luò)安全評(píng)估 1.02.1.4 滲透測(cè)試.122.2 管理風(fēng)險(xiǎn)評(píng)估152.2.1 安全管理制度審計(jì) 1.52.2.2 業(yè)務(wù)流程管控安全評(píng)估1.62.3 評(píng)估工具1.72.4 形成報(bào)告1.8需求分析1.1 背景分析XX的信息化建

2、設(shè)正在朝著集中化和云化的方向發(fā)展，通過(guò)云計(jì)算技術(shù)的應(yīng) 用把原來(lái)分散于各醫(yī)院和分支機(jī)構(gòu)的業(yè)務(wù)系統(tǒng)進(jìn)行整合，實(shí)現(xiàn)基于云平臺(tái)的業(yè)務(wù) 系統(tǒng)和數(shù)據(jù)集中部署，從而解決了長(zhǎng)期存在的大量信息孤島問(wèn)題， 降低珍貴醫(yī)療 數(shù)據(jù)和商業(yè)數(shù)據(jù)的流失風(fēng)險(xiǎn)，也為未來(lái)的集團(tuán)醫(yī)療大數(shù)據(jù)分析和精準(zhǔn)醫(yī)療服務(wù)打 下扎實(shí)的基礎(chǔ)。從原來(lái)分散式的信息孤島到現(xiàn)在的云化集中部署，XX的信息化環(huán)境正在發(fā)生根本性的變化，帶來(lái)節(jié)約人力成本、提高工作效率、減少管理漏洞、提高數(shù)據(jù) 準(zhǔn)確性等諸多的好處。當(dāng)前，國(guó)內(nèi)外數(shù)據(jù)安全事件層出不窮，網(wǎng)絡(luò)信息安全環(huán)境 日趨復(fù)雜，信息化環(huán)境的變化也同時(shí)帶來(lái)了新的信息安全風(fēng)險(xiǎn)， 總體來(lái)說(shuō)包括以 下幾個(gè)方面：一、實(shí)現(xiàn)系統(tǒng)和數(shù)據(jù)

3、的集中化部署后，等于把原來(lái)分散的信息安全風(fēng)險(xiǎn) 也進(jìn)行了集中，一旦發(fā)生信息安全事故，其影響將是全局性的。比如 在原有的信息化環(huán)境下發(fā)生敏感數(shù)據(jù)泄漏， 其泄漏范圍只限于個(gè)別的 醫(yī)院或分支機(jī)構(gòu)。而現(xiàn)在一旦發(fā)生數(shù)據(jù)泄漏，泄漏范圍會(huì)是全集團(tuán)所 有醫(yī)院和分支機(jī)構(gòu)，直接和間接的損失不可同日而語(yǔ)。二、云計(jì)算是一種顛覆傳統(tǒng)IT架構(gòu)的前沿技術(shù)，它可以增強(qiáng)協(xié)作，提高 敏捷性、可擴(kuò)展性以及可用性。還可以通過(guò)優(yōu)化資源分配、提高計(jì)算 效率來(lái)降低成本。這也意味著基于傳統(tǒng) IT架構(gòu)的信息安全技術(shù)和產(chǎn) 品往往不能再為云端系統(tǒng)和數(shù)據(jù)提供足夠的防護(hù)能力。三、系統(tǒng)和數(shù)據(jù)的集中部署、云計(jì)算技術(shù)應(yīng)用都要求建立可靠的信息安 全管理機(jī)制，改

4、變?cè)械碾x散管理模型，從管理規(guī)范和工作流程上實(shí) 現(xiàn)與現(xiàn)有集中模式的對(duì)接，降低因管理不當(dāng)導(dǎo)致的信息安全風(fēng)險(xiǎn)。1.2 項(xiàng)目目標(biāo)對(duì)XX當(dāng)前的信息化環(huán)境從管理和技術(shù)上進(jìn)行充分的信息安全風(fēng)險(xiǎn)評(píng)估，并 依據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果制訂相應(yīng)的風(fēng)險(xiǎn)管控方案。具體建設(shè)內(nèi)容包括：1.技術(shù)風(fēng)險(xiǎn)評(píng)估：D對(duì)現(xiàn)有的信息系統(tǒng)、機(jī)房及基礎(chǔ)網(wǎng)絡(luò)資產(chǎn)和網(wǎng)絡(luò)拓?fù)?、?shù)據(jù)資產(chǎn)、特權(quán) 賬號(hào)資產(chǎn)等進(jìn)行安全風(fēng)險(xiǎn)評(píng)估；2）對(duì)核心業(yè)務(wù)系統(tǒng)進(jìn)行 WEBe全、數(shù)據(jù)安全、業(yè)務(wù)邏輯安全風(fēng)險(xiǎn)評(píng)估；3）對(duì)正在建設(shè)的云計(jì)算基礎(chǔ)平臺(tái)架構(gòu)及承載的操作系統(tǒng)進(jìn)行安全風(fēng)險(xiǎn)評(píng)估；4）滲透模擬黑客可能使用的攻擊技術(shù)和漏洞發(fā)現(xiàn)技術(shù)，對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行授 權(quán)滲透測(cè)試，對(duì)目標(biāo)系統(tǒng)進(jìn)行深入的探測(cè)

5、，以發(fā)現(xiàn)系統(tǒng)最脆弱的環(huán)節(jié)、可能被利 用的入侵點(diǎn)以及現(xiàn)網(wǎng)存在的安全隱患。2 .管理風(fēng)險(xiǎn)評(píng)估1）采用調(diào)查訪談并結(jié)合實(shí)地考察的形式，對(duì)數(shù)據(jù)中心和核心系統(tǒng)的安全管 理制度進(jìn)行疏理和安全風(fēng)險(xiǎn)評(píng)估；2）對(duì)業(yè)務(wù)管控制度和流程進(jìn)行安全風(fēng)險(xiǎn)評(píng)估，采用閱讀流程資料和相關(guān)人 員訪談的形式了解業(yè)務(wù)和系統(tǒng)內(nèi)控制度和實(shí)現(xiàn)的業(yè)務(wù)流程，試用流程中涉及的軟件，察看各個(gè)業(yè)務(wù)控制點(diǎn)是否都得到有效的實(shí)施，各個(gè)接口的處理是否妥當(dāng)，監(jiān)督檢查辦法是否健全；3 .信息安全風(fēng)險(xiǎn)管控方案其于上述風(fēng)險(xiǎn)評(píng)估結(jié)果，針對(duì)具體的安全漏洞和風(fēng)險(xiǎn)設(shè)計(jì)管控方案， 包括但 不限于安全漏洞加固方案、信息安全管理規(guī)范優(yōu)化提升方案、信息安全防護(hù)技術(shù) 解決方案等。1.3

6、需求內(nèi)容分析1.3.1 技術(shù)風(fēng)險(xiǎn)評(píng)估需求分析本項(xiàng)目對(duì)技術(shù)風(fēng)險(xiǎn)評(píng)估的內(nèi)容要求主要是:1、資產(chǎn)評(píng)估資產(chǎn)評(píng)估對(duì)象不僅包括設(shè)備設(shè)施等物理資產(chǎn)， 同時(shí)也包括敏感數(shù)據(jù)、特權(quán)賬 號(hào)等信息資產(chǎn)，具評(píng)估步驟如下：第一步：通過(guò)資產(chǎn)識(shí)別，對(duì)重要資產(chǎn)做潛在價(jià)值分析，了解其資產(chǎn)利用、維護(hù)和管理現(xiàn)狀，并提交資產(chǎn)清單；第二步：通過(guò)對(duì)資產(chǎn)的安全屬性分析和風(fēng)險(xiǎn)評(píng)估， 明確各類資產(chǎn)具備的保護(hù) 價(jià)值和需要的保護(hù)層次，從而使企業(yè)能夠更合理的利用現(xiàn)有資產(chǎn)，更有效地進(jìn)行 資產(chǎn)管理，更有針對(duì)性的進(jìn)行資產(chǎn)保護(hù)，最具策略性的進(jìn)行新的資產(chǎn)投入。2、 操作系統(tǒng)平臺(tái)安全評(píng)估針對(duì)資產(chǎn)清單中重要和核心的操作系統(tǒng)平臺(tái)進(jìn)行安全評(píng)估，完整、全面地發(fā)現(xiàn)系統(tǒng)主機(jī)

7、的漏洞和安全隱患。3、 網(wǎng)絡(luò)拓?fù)?、網(wǎng)絡(luò)設(shè)備安全評(píng)估針對(duì)資產(chǎn)清單中邊界網(wǎng)絡(luò)設(shè)備和部分核心網(wǎng)絡(luò)設(shè)備，結(jié)合網(wǎng)絡(luò)拓?fù)浼軜?gòu)，分析存在的網(wǎng)絡(luò)安全隱患。4、 應(yīng)用系統(tǒng)安全評(píng)估（滲透測(cè)試）：通過(guò)模擬黑客可能使用的攻擊技術(shù)和漏洞發(fā)現(xiàn)技術(shù)，對(duì) XX集團(tuán)授權(quán)滲透測(cè) 試的目標(biāo)系統(tǒng)進(jìn)行深入的探測(cè)，以發(fā)現(xiàn)系統(tǒng)最脆弱的環(huán)節(jié)、可能被利用的入侵點(diǎn) 以及現(xiàn)網(wǎng)存在的安全隱患，并指導(dǎo)進(jìn)行安全加固。1.3.2管理風(fēng)險(xiǎn)評(píng)估需求分析1、安全管理制度審計(jì)：通過(guò)調(diào)研重要和核心資產(chǎn)管理、關(guān)鍵業(yè)務(wù)及數(shù)據(jù)、相關(guān)系統(tǒng)的基本信息、現(xiàn) 有的安全措施等情況，并了解目前XX集團(tuán)所實(shí)施的安全管理流程、制度和策略， 分析目前XX集團(tuán)在安全管理上存在的不合理制度或

8、漏洞。2、業(yè)務(wù)管控安全評(píng)估：通過(guò)調(diào)研業(yè)務(wù)系統(tǒng)內(nèi)控制度和實(shí)現(xiàn)的業(yè)務(wù)流程， 試用流程中涉及的軟件，察 看各個(gè)業(yè)務(wù)控制點(diǎn)是否都得到有效的實(shí)施， 各個(gè)接口的處理是否妥當(dāng)，監(jiān)督檢查 辦法是否健全，從而改進(jìn)內(nèi)控制度和業(yè)務(wù)流程的合理性和數(shù)據(jù)流的安全性。1.4 時(shí)間進(jìn)度需求項(xiàng)目的時(shí)間需按照整體時(shí)間要求完成全部工作，并且需提交階段性工作成 果。1.5 考核要求XX集團(tuán)將對(duì)項(xiàng)目的交付成果和執(zhí)行過(guò)程中的質(zhì)量進(jìn)行考核，考核結(jié)果將作 為最終結(jié)算的依據(jù)。考核辦法將由 XX集團(tuán)和項(xiàng)目服務(wù)提供方共同協(xié)商制定。1.6 服務(wù)支撐需求本項(xiàng)目的服務(wù)供應(yīng)方需與XX集團(tuán)項(xiàng)目組成員組成項(xiàng)目團(tuán)隊(duì)，并且共同完成 該項(xiàng)目所有工作。項(xiàng)目團(tuán)隊(duì)采取緊

9、密溝通的方式，分為每周例會(huì)定期溝通和重大問(wèn)題共同討論 的溝通方式。該項(xiàng)目的辦公時(shí)間為5天*8小時(shí)/周；值班電話須7天*24小時(shí)/周保持通話 暢通。交付成果需求本項(xiàng)目在開展過(guò)程中需進(jìn)行日?qǐng)?bào)、周報(bào)、月報(bào)等相關(guān)工作計(jì)劃與總結(jié)的提交， 并根據(jù)實(shí)際工作內(nèi)容及時(shí)提交相應(yīng)工作成果及報(bào)告。二項(xiàng)目實(shí)施方案2.1 技術(shù)安全風(fēng)險(xiǎn)評(píng)估2.1.1 資產(chǎn)評(píng)估保護(hù)資產(chǎn)免受安全威脅是安全工程實(shí)施的根本目標(biāo)。要做好這項(xiàng)工作，首先需要詳細(xì)了解資產(chǎn)分類與管理的詳細(xì)情況。項(xiàng)目名稱資產(chǎn)識(shí)別簡(jiǎn)要描述米集資產(chǎn)信息，進(jìn)行資產(chǎn)分類，劃分資產(chǎn)重要級(jí)別；達(dá)成目標(biāo)米集資產(chǎn)信息，進(jìn)行資產(chǎn)分類，劃分資產(chǎn)重要級(jí)別； 進(jìn)一步明確評(píng)估的范圍和重點(diǎn)；主要內(nèi)容米

10、集資產(chǎn)信息，獲取資產(chǎn)清單；進(jìn)行資產(chǎn)分類劃分；確定資產(chǎn)的重要級(jí)別；實(shí)現(xiàn)方式填表式調(diào)查資產(chǎn)調(diào)查表，包含計(jì)算機(jī)設(shè)備、通訊設(shè)備、存儲(chǔ)及保障設(shè)備、 信息、軟件等。交流? 審閱已有的針對(duì)資產(chǎn)的安全管理規(guī)章、制度；? 匕高級(jí)主管、業(yè)務(wù)人員、網(wǎng)絡(luò)管理員（系統(tǒng)管理員）等進(jìn) 行交流。工作條件1-2人工作環(huán)境，2臺(tái)Win2000PC,電源和網(wǎng)絡(luò)環(huán)境，客戶人員和 資料配合工作結(jié)果資產(chǎn)類別、資產(chǎn)重要級(jí)別；參加人員依據(jù)現(xiàn)場(chǎng)X犬況,由XX集團(tuán)提供現(xiàn)有資產(chǎn)清單，并由全體評(píng)估人員 在XX相關(guān)技術(shù)和管理人員的配合下進(jìn)行資產(chǎn)分類調(diào)查。項(xiàng)目名稱風(fēng)險(xiǎn)評(píng)估簡(jiǎn)要描述評(píng)估資產(chǎn)的安全等級(jí)和應(yīng)給予的安全保護(hù)等級(jí)達(dá)成目標(biāo)評(píng)估資產(chǎn)的安全等級(jí)；評(píng)估資

11、產(chǎn)應(yīng)給予的安全保護(hù)等級(jí)；主要內(nèi)容確定資產(chǎn)的安全等級(jí)；對(duì)安全保障進(jìn)行等級(jí)分類； 確定資產(chǎn)的應(yīng)給予的保護(hù)級(jí)別；實(shí)現(xiàn)方式填表式調(diào)查：資產(chǎn)調(diào)查表，包含計(jì)算機(jī)設(shè)備、通訊設(shè)備、存儲(chǔ)及保障設(shè)備、 信息、軟件等。交流? 審閱已有的針對(duì)資產(chǎn)的安全管理規(guī)章、制度；? 與高級(jí)主管、業(yè)務(wù)人員、網(wǎng)絡(luò)管理員（系統(tǒng)管理員）等進(jìn) 行交流。工作條件2-3人工作環(huán)境，3臺(tái)Win2000PC,電源和網(wǎng)絡(luò)環(huán)境，客戶人員和 資料配合工作結(jié)果資產(chǎn)安全級(jí)別；資產(chǎn)應(yīng)給予的安全保障級(jí)別；資產(chǎn)安全保障建議參加人員依據(jù)現(xiàn)場(chǎng)狀況，由全體評(píng)估人員在XX集團(tuán)相關(guān)技術(shù)和管理人員的 配合下進(jìn)行。2.1.2操作系統(tǒng)平臺(tái)安全評(píng)估2.1.2.1 工具掃描使用業(yè)界

12、專業(yè)漏洞掃描軟件，根據(jù)已有的安全漏洞知識(shí)庫(kù)，模擬黑客的攻擊 方法，檢測(cè)主機(jī)操作系統(tǒng)存在的安全隱患和漏洞。1、主要檢測(cè)內(nèi)容：服務(wù)器主機(jī)操作系統(tǒng)內(nèi)核、版本及補(bǔ)丁審計(jì)服務(wù)器主機(jī)操作系統(tǒng)通用/默認(rèn)應(yīng)用程序安全性審計(jì)服務(wù)器主機(jī)后門檢測(cè)服務(wù)器主機(jī)漏洞檢測(cè)服務(wù)器主機(jī)安全配置審計(jì)服務(wù)器主機(jī)用戶權(quán)限審計(jì)服務(wù)器主機(jī)口令審計(jì)服務(wù)器主機(jī)文件系統(tǒng)安全性審計(jì)操作系統(tǒng)內(nèi)核的安全性文件傳輸服務(wù)安全性2、掃描策略提供可定制掃描策略的策略編輯器。按照掃描強(qiáng)度，默認(rèn)的掃描策略模板包 括:?高強(qiáng)度掃描?中強(qiáng)度掃描?低強(qiáng)度掃描按照掃描的漏洞類別，默認(rèn)的掃描策略模板包括：? NetBIOS漏洞掃描? Web&CGI漏洞掃描?主機(jī)

13、信息掃描?帳戶掃描?端口掃描?數(shù)據(jù)庫(kù)掃描在遠(yuǎn)程掃描過(guò)程中，將對(duì)遠(yuǎn)程掃描的目標(biāo)按照操作系統(tǒng)類型和業(yè)務(wù)應(yīng)用情況 進(jìn)行分類，采用定制的安全的掃描策略。2.1.2.2人工分析對(duì)于主要的操作系統(tǒng)，安全專家將主要從下面幾個(gè)方面來(lái)獲取系統(tǒng)的運(yùn)行信 息：賬號(hào)；資源；系統(tǒng)；網(wǎng)絡(luò)；審核、日志和監(jiān)控；這些信息主要包括：網(wǎng)絡(luò)狀況、網(wǎng)絡(luò)配置情況、用戶賬號(hào)、服務(wù)配置情況、 安全策略配置情況、文件系統(tǒng)情況、日志配置和紀(jì)錄情況等。在技術(shù)審計(jì)過(guò)程中，安全服務(wù)專家將采用多種技術(shù)來(lái)進(jìn)行信息收集，這些技 術(shù)包括：審計(jì)評(píng)估工具：開發(fā)了自己的審計(jì)評(píng)估腳本工具，通過(guò)執(zhí)行該工具，就 可以獲取系統(tǒng)的運(yùn)行信息。常見(jiàn)后門分析工具：通過(guò)使用專業(yè)工具

14、，檢查系統(tǒng)是否存在木馬后門 深層挖掘技術(shù)：通過(guò)安全專家的深層挖掘，檢查系統(tǒng)是否被安裝了Rootkit等很難被發(fā)現(xiàn)的后門程序收集了系統(tǒng)信息之后，安全專家將對(duì)這些信息進(jìn)行技術(shù)分析， 審計(jì)的結(jié)果按 照評(píng)估對(duì)象和目標(biāo)對(duì)結(jié)果從補(bǔ)丁管理、 最小服務(wù)原則、最大安全性原則、用戶管 理、口令管理、日志安全管理以及入侵管理七個(gè)方面進(jìn)行歸類處理并評(píng)分。評(píng)估目標(biāo)評(píng)估內(nèi)容補(bǔ)丁管理檢查系統(tǒng)、應(yīng)用的版本情況、補(bǔ)丁安裝情況最小服務(wù)原則檢查系統(tǒng)、應(yīng)用的服務(wù)運(yùn)行配置情況，察看是否遵循最小 服務(wù)原則最大安全性原則檢查系統(tǒng)是否進(jìn)行了安全配置或者是否采用了恰當(dāng)?shù)陌踩?防護(hù)機(jī)制。帳戶安全管理檢查系統(tǒng)或應(yīng)用中賬號(hào)的配置情況，是否存在默認(rèn)賬

15、號(hào)或 者不必要賬號(hào)口令安全管理檢查系統(tǒng)的賬號(hào)口令配置情況，是否有賬號(hào)是弱口令。日志安全管理檢查系統(tǒng)或應(yīng)用的日志配置情況,是否有嚴(yán)格的日志配置 或者日志服務(wù)器。入侵管理檢查系統(tǒng)的安全漏洞情況，以及是否被入侵等。這7個(gè)方面將能夠充分體現(xiàn)系統(tǒng)目前的運(yùn)行和安全現(xiàn)狀。通過(guò)數(shù)字分?jǐn)?shù)的形式，并結(jié)合資產(chǎn)的重要性，將能夠很直觀地表現(xiàn)出系統(tǒng)的情況。 并且可以根據(jù)其 中存在的缺陷，制定相應(yīng)的解決辦法。2.1.3 網(wǎng)絡(luò)安全評(píng)估2.1.3.1 網(wǎng)絡(luò)拓?fù)浞治鰧?duì)XX集團(tuán)網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行全面的分析，發(fā)現(xiàn)網(wǎng)絡(luò)結(jié)構(gòu)存在的風(fēng)險(xiǎn)和安全問(wèn)題 以及對(duì)提供相應(yīng)的調(diào)整建議。項(xiàng)目名稱網(wǎng)絡(luò)拓?fù)浞治龊?jiǎn)要描述網(wǎng)絡(luò)拓?fù)涞娘L(fēng)險(xiǎn)評(píng)估是針對(duì)用戶的網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行分

16、析，根據(jù)客戶的安全需求查找相應(yīng)的安全脆弱性，最終提交詳盡的報(bào)告和相應(yīng) 的建議。達(dá)成目標(biāo)通過(guò)網(wǎng)絡(luò)結(jié)構(gòu)的風(fēng)險(xiǎn)評(píng)估，可以知悉當(dāng)前網(wǎng)絡(luò)結(jié)構(gòu)的安全脆弱性主要內(nèi)容調(diào)查安全需求分析網(wǎng)絡(luò)結(jié)構(gòu)當(dāng)前網(wǎng)絡(luò)結(jié)構(gòu)的安全脆弱性可能存在的安全風(fēng)險(xiǎn)網(wǎng)絡(luò)結(jié)構(gòu)中需要改進(jìn)的方面網(wǎng)絡(luò)安全域評(píng)估分析實(shí)現(xiàn)方式信息收集 調(diào)查分析 交流現(xiàn)場(chǎng)查看工作條件1-2人工作環(huán)境，2臺(tái)Windows PC,電源和網(wǎng)絡(luò)環(huán)境，客戶 人員和資料配合工作結(jié)果網(wǎng)絡(luò)結(jié)構(gòu)分析結(jié)果參加人員評(píng)估小組，XX集團(tuán)網(wǎng)絡(luò)管理人員、系統(tǒng)管理人員、數(shù)據(jù)庫(kù)管 理人員2.1.3.2 網(wǎng)絡(luò)設(shè)備安全評(píng)估對(duì)網(wǎng)絡(luò)設(shè)備（路由、交換、防火墻等）的安全評(píng)估，是對(duì)網(wǎng)絡(luò)設(shè)備的功能、 設(shè)置、管理、環(huán)境、弱

17、點(diǎn)、漏洞等進(jìn)行全面的評(píng)估。1、評(píng)估條件評(píng)估前需要明確以下內(nèi)容：網(wǎng)絡(luò)設(shè)備配置；網(wǎng)絡(luò)設(shè)備及周圍設(shè)備在網(wǎng)絡(luò)上的名字和 IP地址；網(wǎng)絡(luò)設(shè)備網(wǎng)絡(luò)連接情況（網(wǎng)絡(luò)設(shè)備每個(gè)網(wǎng)絡(luò)界面的IP和鄰近設(shè)備）；2、評(píng)估內(nèi)容查看網(wǎng)絡(luò)設(shè)備的配置、環(huán)境、和運(yùn)行情況。至少包括以下幾個(gè)方面:網(wǎng)絡(luò)設(shè)備的操作系統(tǒng)及版本；檢查網(wǎng)絡(luò)設(shè)備的規(guī)則檢查；對(duì)網(wǎng)絡(luò)設(shè)備實(shí)施攻擊測(cè)驗(yàn)，以測(cè)驗(yàn)網(wǎng)絡(luò)設(shè)備的真實(shí)安全性。這需要最謹(jǐn) 慎從事；3、評(píng)估結(jié)果提供策略變更建議提供日志管理建議提供審計(jì)服務(wù)2.1.4 滲透測(cè)試2.1.4.1 測(cè)試流程本次項(xiàng)目，將按照以下滲透性測(cè)試步驟及流程對(duì) XX集團(tuán)授權(quán)的應(yīng)用系統(tǒng)進(jìn) 行滲透性測(cè)試：滲透性測(cè)試步驟與流程圖1、內(nèi)部計(jì)劃制定

18、、二次確認(rèn)根據(jù)XX集團(tuán)委托范圍和時(shí)間，并結(jié)合前一步初步的信息收集得到的設(shè)備存 活情況、網(wǎng)絡(luò)拓?fù)淝闆r以及掃描得到的服務(wù)開放情況、 漏洞情況制定內(nèi)部的詳細(xì) 實(shí)施計(jì)劃。具體包括每個(gè)地址下一步可能采用的測(cè)試手段，詳細(xì)時(shí)間安排。并將以下一步工作的計(jì)劃和時(shí)間安排與 XX集團(tuán)進(jìn)行確認(rèn)。2、取得權(quán)限、提升權(quán)限通過(guò)初步的信息收集分析，存在兩種可能性，一種是目標(biāo)系統(tǒng)存在重大的安 全弱點(diǎn)，測(cè)試可以直接控制目標(biāo)系統(tǒng)；另一種是目標(biāo)系統(tǒng)沒(méi)有重大的安全弱點(diǎn)， 但是可以獲得普通用戶權(quán)限，這時(shí)可以通過(guò)該普通用戶權(quán)限進(jìn)一步收集目標(biāo)系統(tǒng) 信息。接下來(lái)盡最大努力取得超級(jí)用戶權(quán)限、 收集目標(biāo)主機(jī)資料信息，尋求本地 權(quán)限提升的機(jī)會(huì)。這樣

19、不停地進(jìn)行信息收集分析、權(quán)限提升的結(jié)果形成了整個(gè)的 滲透性測(cè)試過(guò)程。2.1.4.2 測(cè)試內(nèi)容和方法1、測(cè)試內(nèi)容通過(guò)采用適當(dāng)測(cè)試手段，發(fā)現(xiàn)測(cè)試目標(biāo)在系統(tǒng)認(rèn)證及授權(quán)、 代碼審查、被信 任系統(tǒng)的測(cè)試、文件接口模塊、應(yīng)急流程測(cè)試、信息安全、報(bào)警響應(yīng)等方面存在 的安全漏洞，并現(xiàn)場(chǎng)演示再現(xiàn)利用該漏洞可能造成的損失， 并提供避免或防范此 類威脅、風(fēng)險(xiǎn)或漏洞的具體改進(jìn)或加固措施。2、測(cè)試方法滲透測(cè)試的方法比較多，主要包括端口掃描，漏洞掃描，拓?fù)浒l(fā)現(xiàn)，口令破 解，本地或遠(yuǎn)程溢出以及腳本測(cè)試等方法。 這些方法有的有工具，有的需要手工 操作，和具體的操作人員習(xí)慣管理比較大。本次項(xiàng)目，根據(jù)獲取的信息制定滲透性測(cè)試計(jì)劃

20、并取得 XX集團(tuán)同意后，具 體的滲透性測(cè)試過(guò)程將按照以下滲透性測(cè)試技術(shù)流程圖進(jìn)行。滲透性測(cè)試技術(shù)流程圖信息的收集和分析伴隨著每一個(gè)滲透性測(cè)試步驟，每一個(gè)步驟又有三個(gè)組成 部分：操作、響應(yīng)和結(jié)果分析。（1）網(wǎng)絡(luò)信息搜集信息收集是每一步滲透攻擊的前提，通過(guò)信息收集可以有針對(duì)性地制定模擬 攻擊測(cè)試計(jì)劃，提高模擬攻擊的成功率，同時(shí)可以有效地降低攻擊測(cè)試對(duì)系統(tǒng)正 常運(yùn)行造成地不利影響。信息收集的方法包括 Ping Sweep DNS Sweep、DNS zone transfer、操作系 統(tǒng)指紋判別、應(yīng)用判別、賬號(hào)掃描、配置判別等。信息收集常用的工具包括商業(yè) 網(wǎng)絡(luò)安全漏洞掃描軟件（如，大鏡等），免費(fèi)安全

21、檢測(cè)工具（如，NMAP、NESSUS 等）。操作系統(tǒng)內(nèi)置的許多功能（如,TELNET、NSLOOKUP、IE等）也可以作為 信息收集的有效工具。（2）端口掃描通過(guò)對(duì)目標(biāo)地址的TCP/UDP端口掃描，確定其所開放的服務(wù)的數(shù)量和類型， 這是所有滲透性測(cè)試的基礎(chǔ)。通過(guò)端口掃描，可以基本確定一個(gè)系統(tǒng)的基本信息， 結(jié)合安全工程師的經(jīng)驗(yàn)可以確定其可能存在以及被利用的安全弱點(diǎn)，為進(jìn)行深層次的滲透提供依據(jù)。(3)遠(yuǎn)程溢出這是當(dāng)前出現(xiàn)的頻率最高、威脅最嚴(yán)重，同時(shí)又是最容易實(shí)現(xiàn)的一種滲透方 法，一個(gè)具有一般網(wǎng)絡(luò)知識(shí)的入侵者就可以在很短的時(shí)間內(nèi)利用現(xiàn)成的工具實(shí)現(xiàn) 遠(yuǎn)程溢出攻擊。對(duì)于在防火墻內(nèi)的系統(tǒng)存在同樣的風(fēng)險(xiǎn)，只

22、要對(duì)跨接防火墻內(nèi)外的一臺(tái)主機(jī) 攻擊成功，那么通過(guò)這臺(tái)主機(jī)對(duì)防火墻內(nèi)的主機(jī)進(jìn)行攻擊就易如反掌。(4) 口令猜測(cè)口令猜測(cè)也是一種出現(xiàn)概率很高的風(fēng)險(xiǎn)， 幾乎不需要任何攻擊工具，利用一 個(gè)簡(jiǎn)單的暴力攻擊程序和一個(gè)比較完善的字典，就可以猜測(cè)口令。對(duì)一個(gè)系統(tǒng)賬號(hào)的猜測(cè)通常包括兩個(gè)方面：首先是對(duì)用戶名的猜測(cè)，其次是對(duì)密碼的猜測(cè)。(5)本地溢出所謂本地溢出是指在擁有了一個(gè)普通用戶的賬號(hào)之后， 通過(guò)一段特殊的指令 代碼獲得管理員權(quán)限的方法。使用本地溢出的前提是首先要獲得一個(gè)普通用戶的 密碼。也就是說(shuō)由于導(dǎo)致本地溢出的一個(gè)關(guān)鍵條件是設(shè)置不當(dāng)?shù)拿艽a策略。多年的實(shí)踐證明，在經(jīng)過(guò)前期的口令猜測(cè)階段獲取的普通賬號(hào)登錄系統(tǒng)

23、之 后，對(duì)系統(tǒng)實(shí)施本地溢出攻擊，就能獲取不進(jìn)行主動(dòng)安全防御的系統(tǒng)的控制管理 權(quán)限。(6)腳本測(cè)試腳本測(cè)試專門針對(duì) Web服務(wù)器進(jìn)行。根據(jù)最新的技術(shù)統(tǒng)計(jì)，腳本安全弱點(diǎn) 為當(dāng)前Web系統(tǒng)尤其存在動(dòng)態(tài)內(nèi)容的 Web系統(tǒng)存在的主要比較嚴(yán)重的安全弱點(diǎn) 之一。利用腳本相關(guān)弱點(diǎn)輕則可以獲取系統(tǒng)其他目錄的訪問(wèn)權(quán)限，重則將有可能取得系統(tǒng)的控制權(quán)限。因此對(duì)于含有動(dòng)態(tài)頁(yè)面的Web系統(tǒng)，腳本測(cè)試將是必不可少的一個(gè)環(huán)節(jié)。2.1.4.3風(fēng)險(xiǎn)控制措施本次項(xiàng)目，為了保證滲透性測(cè)試不對(duì) XX集團(tuán)AGIS網(wǎng)絡(luò)和系統(tǒng)造成不必要 的影響，建議本次滲透性測(cè)試采取以下方式進(jìn)行風(fēng)險(xiǎn)控制。1、工具選擇為防止造成真正的攻擊，本次滲透性測(cè)試項(xiàng)目

24、，會(huì)嚴(yán)格選擇測(cè)試工具，杜絕 因工具選擇不當(dāng)造成的將病毒和木馬植入的情況發(fā)生。2、時(shí)間選擇為減輕滲透性測(cè)試對(duì)XX集團(tuán)網(wǎng)絡(luò)和系統(tǒng)的影響，本次滲透性測(cè)試項(xiàng)目，建 議在晚上業(yè)務(wù)不繁忙時(shí)進(jìn)行。3、策略選擇為防止?jié)B透性測(cè)試造成XX集團(tuán)網(wǎng)絡(luò)和系統(tǒng)的服務(wù)中斷，建議在滲透性測(cè)試 中不使用含有拒絕服務(wù)的測(cè)試策略。4、有效溝通本次項(xiàng)目，建議：在工程實(shí)施過(guò)程中，確定不同階段的測(cè)試人員以及客戶方 的配合人員，建立直接溝通的渠道，并在工程出現(xiàn)難題的過(guò)程中保持合理溝通。評(píng)估團(tuán)隊(duì)的高級(jí)安全專家在客戶可控的范圍內(nèi)， 完成對(duì)目標(biāo)系統(tǒng)的滲透測(cè)試 工作，并做出詳細(xì)的記錄，最終形成滲透測(cè)試報(bào)告。報(bào)告對(duì)滲透測(cè)試過(guò)程中 發(fā)現(xiàn)的脆弱性進(jìn)行細(xì)

25、致的分析、描述脆弱性對(duì)整個(gè)系統(tǒng)造成的潛在危害以及基本 的修補(bǔ)建議等等。2.2 管理風(fēng)險(xiǎn)評(píng)估2.2.1 安全管理制度審計(jì)項(xiàng)目名稱安全管理制度審計(jì)簡(jiǎn)要描述通過(guò)對(duì)信息安全管理策略的分析，發(fā)現(xiàn)制度缺陷。達(dá)成目標(biāo)調(diào)研重要和核心資產(chǎn)管理、關(guān)鍵業(yè)務(wù)及數(shù)據(jù)、相關(guān)系統(tǒng)的基本信 息、現(xiàn)有的安全措施等情況，并了解目前業(yè)務(wù)支持中心系統(tǒng)所實(shí) 施的安全管理流程、制度和策略；分析目前業(yè)務(wù)支持中心系統(tǒng)在安全管理上存在的不合理制度或漏 洞并提出整改意見(jiàn)；主要內(nèi)容調(diào)研重要和核心資產(chǎn)管理、關(guān)鍵業(yè)務(wù)及數(shù)據(jù)、相關(guān)系統(tǒng)的基本信息、現(xiàn)有的安全措施等情況，形成安全現(xiàn)狀報(bào)告；收集安全管理制度，形成安全策略清單；分析安全管理制度缺陷；分析報(bào)告提交整改意見(jiàn)；實(shí)現(xiàn)方式收集?向各業(yè)務(wù)單元收集信息安全管理制度并提交風(fēng)險(xiǎn)評(píng)估小組。評(píng)審?分析安全管理規(guī)章、制度；?匕高級(jí)主管、業(yè)務(wù)人員、網(wǎng)絡(luò)管理員（系統(tǒng)管理員）等進(jìn)行 交流。工作條件2-3人工作環(huán)境，2臺(tái)桌間電腦（WINDOWS乍系統(tǒng)），電源和網(wǎng) 絡(luò)環(huán)境，客戶人員和資料配合工作結(jié)果安全管理策略缺陷分析報(bào)告和整改意見(jiàn)；參加人員XX集團(tuán)安全管理人員