“護(hù)網(wǎng)-2019”網(wǎng)絡(luò)攻防演習(xí)針對定向網(wǎng)絡(luò)攻擊主要風(fēng)險分析訪談檢查表

1、針對定向網(wǎng)絡(luò)攻擊主要風(fēng)險分析訪談檢查表分類測評項風(fēng)險描述檢查項檢查結(jié)果整改建議互聯(lián)網(wǎng)入口攻擊應(yīng)用網(wǎng)站安全漏洞應(yīng)用系統(tǒng)和網(wǎng)站存在高 風(fēng)險安全漏洞，可能直 接被攻擊者利用，從而 直接或間接獲取服務(wù)器 權(quán)限，進(jìn)而對系統(tǒng)及內(nèi) 部網(wǎng)絡(luò)進(jìn)行攻擊。應(yīng)用系統(tǒng)上線前是否進(jìn)行源代碼審計是否定期開展?jié)B透 測試，上線前進(jìn) 行代碼審計，針 對發(fā)現(xiàn)的漏洞 要全面整改類 似漏洞，不能只 單點修復(fù)報告 中的問題應(yīng)用系統(tǒng)是否定期開展?jié)B透測試工作是否針對發(fā)現(xiàn)的漏洞是否定期修改是否弱口令、默認(rèn)口令互聯(lián)網(wǎng)可以訪問的網(wǎng)站 系統(tǒng)、應(yīng)用系統(tǒng)或管理 后臺等，如果其用戶使用弱口令或默認(rèn)口令（廠商初始化口令），可 以輕易被攻擊者猜測、 破解，進(jìn)

2、而上傳后門、獲 取權(quán)限，獲得互聯(lián)網(wǎng)攻 擊入口互聯(lián)網(wǎng)用戶主機是否存在弱口令是否修改所有用戶 弱口令和默認(rèn) 口令，要求應(yīng)用 系統(tǒng)和中間件 等開啟口令策 略，口令須滿足 復(fù)雜度要求并 定期更換。是否開啟口令復(fù)雜度要求是否應(yīng)用和中間件管理后臺暴露網(wǎng)站應(yīng)用系統(tǒng)后臺或中 間件管理后臺對互聯(lián)網(wǎng) 開放，攻擊者可對其進(jìn) 行攻擊，利用漏洞或破 解口令，獲取后臺權(quán)限， 進(jìn)而上傳后門、獲取權(quán) 限，獲得互聯(lián)網(wǎng)攻擊入 口是否允許互聯(lián)網(wǎng)訪問應(yīng)用管理后臺是否全面排查向互 聯(lián)網(wǎng)暴露的資 產(chǎn)是否存在管 理后臺，利用防 火墻等關(guān)閉管 理后臺互聯(lián)網(wǎng) 訪問，并按照最 小化原則開放 后臺訪問權(quán)限。是否針對管理后臺 開啟嚴(yán)格的訪問權(quán) 限控

3、制是否是否針對管理后臺訪問權(quán)限進(jìn)行限制是否服務(wù)器互聯(lián)網(wǎng)暴一 路服務(wù)器應(yīng)只向互聯(lián)網(wǎng)開放業(yè)務(wù)所需的http和https等端口，如服務(wù)器 向互聯(lián)網(wǎng)暴露了過多端 口，極易被攻擊者攻擊， 攻擊者可直接控制服務(wù) 器，進(jìn)而對內(nèi)部網(wǎng)絡(luò)進(jìn) 行跳板攻擊。對外網(wǎng)開放端口是否存在危險端口，如 3389、 445 等是否采用資產(chǎn)發(fā)現(xiàn) 全面排查向互 聯(lián)網(wǎng)暴露的資 產(chǎn)和開放的端 口，同時梳理防 火墻策略，對互 聯(lián)網(wǎng)開放的服 務(wù)器多余端口 進(jìn)行關(guān)閉。防火墻策略限制粒度是否為端口級是否服務(wù)器外聯(lián)風(fēng)險所有服務(wù)器,包括 DMZ 和應(yīng)用、數(shù)據(jù)庫服務(wù)器 等，均應(yīng)禁止訪問互聯(lián) 網(wǎng)，如開放了向互聯(lián)網(wǎng) 訪問的策略，攻擊者可 通過建立反向代理

4、等方 式遠(yuǎn)程控制服務(wù)器，進(jìn) 而對內(nèi)部網(wǎng)絡(luò)進(jìn)行擴散 攻擊，通過獲取口令遠(yuǎn) 程控制服務(wù)器，利用此 服務(wù)器對同一網(wǎng)絡(luò)區(qū)域 進(jìn)行跳板攻擊，類似這 樣的攻擊場景，安全設(shè) 備基本無法監(jiān)測和防 護(hù)。服務(wù)器是否針對互聯(lián)網(wǎng)開放訪問權(quán)限是否對所有服務(wù)器 關(guān)閉互聯(lián)網(wǎng)訪 問權(quán)限，如因業(yè) 務(wù)需要開放，應(yīng) 按照最小化原 則，只針對特定 ip開放特定端 口若對外開放，是否 開啟嚴(yán)格的訪問控 制，限制特定IP進(jìn) 行訪問。是否內(nèi)部網(wǎng)絡(luò)橫向攻擊弱口令、默認(rèn)口令內(nèi)部網(wǎng)絡(luò)資產(chǎn)如使用弱 口令、默認(rèn)口令，極易被 攻擊者利用跳板機攻擊 控制，進(jìn)而擴大攻擊面， 特別是運維使用的管理 系統(tǒng)，包括堡壘機、網(wǎng)管 系統(tǒng)、域控等，其權(quán)限很 大并包含了

5、大量的管理 數(shù)據(jù)，被攻擊者控制會 造成重大風(fēng)險。內(nèi)部網(wǎng)絡(luò)資源是否 存在弱口令及默認(rèn) 口令？是否全面排查修改 內(nèi)部網(wǎng)絡(luò)弱口 令和默認(rèn)口令， 包括管理系統(tǒng)、 服務(wù)器、網(wǎng)絡(luò)設(shè) 備和安全設(shè)備 等，特別是管理 系統(tǒng)，要求開啟 口令策略，口令 須滿足復(fù)雜度 要求并定期更 換。管理系統(tǒng)設(shè)備是否 開啟口令復(fù)雜度要 求是否設(shè)備使用同一口令為方便記憶和使用，網(wǎng) 絡(luò)內(nèi)大量設(shè)備使用同樣 的一個或幾個口令，如 口令被攻擊者破解或獲 取，攻擊者可以利用口 令直接獲取大量設(shè)備的 權(quán)限，且因未發(fā)起網(wǎng)絡(luò) 攻擊，安全設(shè)備很難監(jiān) 測告警。網(wǎng)絡(luò)內(nèi)設(shè)備是否為同一口令是否全面排查網(wǎng)絡(luò) 內(nèi)設(shè)備的口令， 對同一口令進(jìn) 行修改，要求開 啟口令

6、策略，口 令須滿足復(fù)雜 度要求并定期 更換。是否開啟口令復(fù)雜度要求是否操作系統(tǒng)、中間件安全漏洞操作系統(tǒng)或中間件存在高風(fēng)險漏洞，如weblogic反序列化、struts2漏洞、永恒之藍(lán)漏洞等，攻擊針對系統(tǒng)及中間件 等是否定期進(jìn)行安 全補丁更新是否全面掃描系統(tǒng) 和中間件漏洞 并對高風(fēng)險漏 洞及時整改，建者可以從跳板機直接發(fā) 起攻擊，獲得操作系統(tǒng) 控制權(quán)限。在安全域劃 分完善、訪問控制嚴(yán)格 的網(wǎng)絡(luò)中，中間件漏洞 可能成為攻擊者橫向擴 散的一個有效利用點， 攻擊者利用漏洞通過業(yè) 務(wù)端口控制其它網(wǎng)段服 務(wù)器，繞過網(wǎng)絡(luò)訪問控 制。針對系統(tǒng)及相關(guān)軟件是否定期進(jìn)行漏洞掃描是否立定期漏洞掃 描和整改追蹤 機制，

7、確保高風(fēng) 險漏洞切實整 改。針對發(fā)現(xiàn)的漏洞是否進(jìn)行整改追蹤是否內(nèi)部系統(tǒng)安全漏洞部分對內(nèi)部開放的應(yīng)用 系統(tǒng)，攻擊者取得跳板 機后會對這些系統(tǒng)進(jìn)行 攻擊測試，如系統(tǒng)存在 安全漏洞，可被攻擊者 利用獲取系統(tǒng)權(quán)限并控 制服務(wù)器。對于內(nèi)部系 統(tǒng)，應(yīng)和互聯(lián)網(wǎng)系統(tǒng)同 等對待，同樣可能直接 面臨攻擊者的攻擊測 試。針對內(nèi)部系統(tǒng)是否定期開展?jié)B透測試是否定期對內(nèi)部系 統(tǒng)開展?jié)B透測 試，上線前進(jìn)行 代碼審計，針對 發(fā)現(xiàn)的漏洞要 全面整改類似 漏洞，不能只單 點修復(fù)報告中 的問題。內(nèi)部系統(tǒng)上線前是否經(jīng)過代碼審計是否針對發(fā)現(xiàn)的問題進(jìn)行是否全面整改是否集權(quán)類系統(tǒng)風(fēng)險和要求郵件服務(wù)器郵件服務(wù)器若被外部攻 擊攻陷，則整個郵件

8、服 務(wù)器內(nèi)保存的郵件信息 則可被攻擊者獲取，可 能會從其中獲得隱藏在 郵件中的敏感信息，如 服務(wù)器口令，相關(guān)責(zé)任 人信息，攻擊者可通過 此類信息進(jìn)行下一步攻 擊?？诹?，敏感文件等 敏感信息是否禁止 通過郵件方式傳遞是否嚴(yán)禁在郵件中 發(fā)送含敏感系 統(tǒng)信息，包括但 不限于網(wǎng)絡(luò)拓 撲架構(gòu)、業(yè)務(wù)系 統(tǒng)相關(guān)信息、服 務(wù)器系統(tǒng)密碼、 服務(wù)器系統(tǒng) SSH密鑰等，郵 件系統(tǒng)與DMZ 區(qū)ACL嚴(yán)格隔 離。域控制器服務(wù)器(DomainController)/DNS 服務(wù)器/備份服務(wù)器域控制服務(wù)器等服務(wù)器 權(quán)限較大服務(wù)器一旦被 攻擊者獲得權(quán)限，可能 會造成及其嚴(yán)重影響， 如相關(guān)訪問控制策略被 刪除，DNS服務(wù)被修改

9、， 備份信息被刪除等。針對系統(tǒng)是否定期安裝安全補丁是否定時更新系統(tǒng) 補丁、強制定時 更改域控管理 員及krbtgt賬 號密碼，且采用 大小寫數(shù)字特 殊字符混合，密 碼位數(shù)不低于 16位(三個月強 制修改一次，不是否定期修改管理員口令是否管理員口令是否開啟復(fù)雜度要求是否能采用歷史密碼）。ITSM運維管理系統(tǒng) /Zabbix/Nagios/堡壘機等 集成監(jiān)控維護(hù)系統(tǒng)相關(guān)集成監(jiān)控維護(hù)系統(tǒng) 及服務(wù)器權(quán)限較大，若 被攻擊者攻擊并獲得管 理權(quán)限后，會造成極大 影響，修改相關(guān)系統(tǒng)權(quán) 限，獲得服務(wù)器口令，甚 至是控制全部監(jiān)控維護(hù) 系統(tǒng)下服務(wù)器權(quán)限。是否針對重要集成 監(jiān)控維護(hù)服務(wù)器配 置嚴(yán)格ACL進(jìn)行嚴(yán) 格控制

10、是否嚴(yán)格ACL訪問 控制，細(xì)化ACL 規(guī)則，不同服務(wù) 器采用不同的 復(fù)雜且隨機的 密碼，密碼位數(shù) 不低于16位的 密碼。嚴(yán)格限制 以上系統(tǒng)后臺/ 控制臺對外開 放，建議僅開放 特定用戶、特定 IP訪問以上系 統(tǒng)后臺/控制 臺。重要集權(quán)系統(tǒng)是否為相同口令是否是否開啟管理員密碼口令復(fù)雜度要求是否是否針對訪問IP進(jìn)行限制是否研發(fā)服務(wù)器/SVN/Git相關(guān)研發(fā)服務(wù)器、SVN Git等相關(guān)管理服務(wù)器權(quán) 限較大或存放重要信 息，若被攻擊者攻擊，會 造成數(shù)據(jù)泄露，權(quán)限被 惡意變更等嚴(yán)重事件。是否針對重要服務(wù)器配置嚴(yán)格ACL進(jìn)行嚴(yán)格控制是否嚴(yán)格ACL訪問 控制，研發(fā)服務(wù) 器 /SVN/Git 等 服務(wù)器僅開放 特定IP訪問， 如研發(fā)個人終 端訪問，同時建 議訪問服務(wù)器 時采用雙因素 認(rèn)證，如 USBKe港。針對重要服務(wù)器是 否開啟訪問控制權(quán) 限是否是否針對訪問服務(wù)器人員的身份進(jìn)行雙因子鑒定是否研發(fā)個人終端/運維個人終端相關(guān)研發(fā)及運維人員終 端所處的網(wǎng)段或IP