網(wǎng)絡(luò)安全運(yùn)維服務(wù)方案

網(wǎng)絡(luò)平安運(yùn)維效勞方案時(shí)間：2021年7月目錄一、工程概述 21.1工程背景 21.2工程現(xiàn)狀 21.3工程目標(biāo) 2二、平安運(yùn)維方案設(shè)計(jì) 33.1日常根底運(yùn)維 3根底設(shè)施巡檢效勞 3根底設(shè)施運(yùn)維效勞 4日常技術(shù)支持和維護(hù) 5平安性維護(hù) 6平安整改 6其他相關(guān)配合效勞 73.2網(wǎng)絡(luò)平安運(yùn)維效勞 8平安咨詢效勞 8滲透測試及修復(fù)效勞 9基線加固效勞 14漏洞掃描效勞 33新系統(tǒng)上線前平安評估效勞 33網(wǎng)絡(luò)平安應(yīng)急響應(yīng)效勞 343.3平安運(yùn)維駐場要求 35一、工程概述1.1工程背景網(wǎng)絡(luò)平安運(yùn)維效勞是企事業(yè)單位信息化建設(shè)和信息系統(tǒng)平安體系中不可或缺的一局部，是整個(gè)IT環(huán)境成熟度的一個(gè)衡量指標(biāo)，完整的網(wǎng)絡(luò)平安運(yùn)維效勞不僅能幫助單位解決現(xiàn)有的各類平安隱患，還能夠幫助他們預(yù)計(jì)未來的趨勢，規(guī)劃信息系統(tǒng)平安、穩(wěn)定的長期開展。為響應(yīng)國家網(wǎng)絡(luò)平安等級保護(hù)的要求和2017年6月1日，《中華人民共和國網(wǎng)絡(luò)平安法》正式實(shí)行，其中第二十一條：國家實(shí)行網(wǎng)絡(luò)平安等級保護(hù)制度。網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)按照網(wǎng)絡(luò)平安等級保護(hù)制度的要求，履行以下平安保護(hù)義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改，全面的了解自身信息平安隱患，從物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)及平安管理、平安運(yùn)維各個(gè)層面分析系統(tǒng)可能存在的風(fēng)險(xiǎn)，判斷系統(tǒng)所面臨的平安威脅，加強(qiáng)信息系統(tǒng)的平安保障工作。1.2工程現(xiàn)狀xxx局本身網(wǎng)絡(luò)包含互聯(lián)網(wǎng)、環(huán)境專網(wǎng)、電子政務(wù)外網(wǎng)3張網(wǎng)絡(luò)，整體網(wǎng)絡(luò)已參照網(wǎng)絡(luò)平安等級保護(hù)制度要求進(jìn)行了建設(shè)，根本能確保整體具有支持業(yè)務(wù)穩(wěn)定、持續(xù)平安運(yùn)行的能力。整體網(wǎng)絡(luò)和信息系統(tǒng)由xxx局網(wǎng)絡(luò)信息科室自行提供平安運(yùn)維和日常維護(hù)。按照等保2.0的要求，xxx局在人員數(shù)量配備、專業(yè)技術(shù)能力方面尚存在一定的差距。同時(shí)在“十四五”期間生態(tài)環(huán)境數(shù)字化轉(zhuǎn)型將繼續(xù)深化，基于智慧環(huán)保、生態(tài)環(huán)境大數(shù)據(jù)、物聯(lián)網(wǎng)、數(shù)據(jù)共享、無紙化會議、視頻會議等越來越多的信息化建設(shè)內(nèi)容和維護(hù)需求，更是給日常運(yùn)維及平安保障工作帶來了巨大壓力。1.3工程目標(biāo)依托第三運(yùn)維效勞機(jī)構(gòu)所提供的專業(yè)化運(yùn)維效勞和咨詢建議，建立和完善平安運(yùn)維及平安保障體系，增強(qiáng)信息化建設(shè)的平安防護(hù)能力、隱患檢測能力和恢復(fù)能力，并確保信息化平安建設(shè)滿足國家及行業(yè)相關(guān)政策要求，滿足“事前可預(yù)防、事中可控制、事后可恢復(fù)”的網(wǎng)絡(luò)平安保障需求，打造一個(gè)可信、可管、可控、可視的網(wǎng)絡(luò)環(huán)境，確保重要信息系統(tǒng)、業(yè)務(wù)應(yīng)用持續(xù)平安穩(wěn)定的運(yùn)行；經(jīng)過有步驟有方案平安運(yùn)維、平安整改和后期的平安建設(shè)，能保護(hù)組織核心業(yè)務(wù)不被網(wǎng)絡(luò)攻擊中斷，保障組織核心業(yè)務(wù)數(shù)據(jù)不被竊取。在對威脅有較強(qiáng)的防御能力外，對于未知威脅也具有一定的防御能力。為xxx局業(yè)務(wù)的高效、順利開展提供強(qiáng)有力技術(shù)支撐。二、平安運(yùn)維方案設(shè)計(jì)3.1日常根底運(yùn)維3.1.1根底設(shè)施巡檢效勞根底設(shè)施巡檢和維護(hù)內(nèi)容序號效勞內(nèi)容常規(guī)效勞時(shí)間效勞說明效勞要求周期次數(shù)1資產(chǎn)梳理5*8收集和梳理數(shù)據(jù)中心信息化資產(chǎn)信息，并建立歸檔。根據(jù)梳理排查情況及采購人提供的效勞功能、設(shè)備等信息，編制設(shè)備資產(chǎn)表。設(shè)備資產(chǎn)表包括型號、數(shù)量、配置、功能、主機(jī)名稱、IP地址、位置等信息。有調(diào)整和變動時(shí)立即更新。不固定按需提供，不限次數(shù)2效勞器健康巡檢5*8利用數(shù)據(jù)中心現(xiàn)有監(jiān)控設(shè)備或工具，定期對各效勞器進(jìn)行健康巡檢；對發(fā)現(xiàn)的異常情況進(jìn)行排查，并針對異常情況提出解決方案和建議。每天≥13存儲設(shè)備健康巡檢5*8對存儲設(shè)備系統(tǒng)的運(yùn)行狀態(tài)，包括設(shè)備指示燈、存儲存儲光纖鏈路等；對發(fā)現(xiàn)的異常情況進(jìn)行排查，并針對異常情況提出解決方案和建議。每天≥14數(shù)據(jù)庫健康巡檢5*8定期進(jìn)行數(shù)據(jù)庫健康巡檢，監(jiān)控內(nèi)容包括數(shù)據(jù)庫健康狀態(tài)、數(shù)據(jù)庫空間使用情況等；對發(fā)現(xiàn)的異常情況進(jìn)行排查，并針對異常情況提出解決方案和建議。每月≥15平安設(shè)備健康巡檢5*8定期對平安設(shè)備病毒庫和特征庫更新情況檢查；對平安設(shè)備異常/平安告警進(jìn)行日志審核分析；對平安設(shè)備主機(jī)控制面板狀態(tài)指示燈檢查、CPU利用率、內(nèi)存利用率、磁盤使用率、電源情況巡檢；對異常情況進(jìn)行排查，并針對異常情況提出解決方案和建議。每天≥16核心網(wǎng)絡(luò)設(shè)備健康巡檢5*8定期對核心網(wǎng)絡(luò)設(shè)備CPU利用率、內(nèi)存利用率、電源狀態(tài)、風(fēng)扇狀態(tài)巡檢，對錯(cuò)誤事件日志和異常情況進(jìn)行分析和維護(hù)；提供巡檢報(bào)告；對異常情況進(jìn)行排查，并針對異常情況提出解決方案和建議。每天≥17UPS、精密空調(diào)健康巡檢5*8檢查UPS主機(jī)、精密空調(diào)工作狀態(tài)及各板件上指示燈的狀態(tài)；對發(fā)現(xiàn)的異常情況進(jìn)行排查，并針對異常情況提出解決方案和建議。每天≥18月度匯報(bào)5*8按月對采購人整體根底設(shè)施巡檢情況進(jìn)行總結(jié)匯報(bào)。每月≥13.1.2根底設(shè)施運(yùn)維效勞包括采購人工作人員桌面PC機(jī)、平板電腦、打印機(jī)、復(fù)印機(jī)的日常維護(hù)，包括桌面操作系統(tǒng)方面、辦公網(wǎng)絡(luò)方面的運(yùn)維和故障處理工作。具體效勞內(nèi)容如下：根底設(shè)施運(yùn)維效勞內(nèi)容序號效勞內(nèi)容常規(guī)效勞時(shí)間效勞說明效勞要求周期次數(shù)1硬件維護(hù)5*8負(fù)責(zé)采購人所有桌面電腦、平板電腦、打印機(jī)、復(fù)印機(jī)、網(wǎng)絡(luò)設(shè)備等信息終端設(shè)備的維護(hù)工作。主要包含設(shè)備安裝調(diào)試、故障檢測、配件更換〔配件由采購人提供〕、故障處置等。涉及硬件維修的設(shè)備根據(jù)實(shí)際情況書面申請維修費(fèi)用，經(jīng)采購人同意后聯(lián)系送修，維修完成后對設(shè)備進(jìn)行測試，確定無故障后交還采購人并做好記錄。不固定按需提供，不限次數(shù)2軟件維護(hù)5*8負(fù)責(zé)桌面操作系統(tǒng)的安裝和修復(fù)，常用軟件、業(yè)務(wù)軟件、防病毒軟件安裝〔軟件由采購人提供〕等；處置操作系統(tǒng)升級、數(shù)據(jù)備份、系統(tǒng)故障、軟件故障等問題;不固定按需提供，不限次數(shù)3網(wǎng)絡(luò)維護(hù)5*8負(fù)責(zé)采購人辦公區(qū)域網(wǎng)絡(luò)故障的排查和處理。不固定按需提供，不限次數(shù)4信息資產(chǎn)清理和管理5*8配合采購人對終端計(jì)算機(jī)進(jìn)行資產(chǎn)清理，包括型號、數(shù)量、位置、使用人等信息。資產(chǎn)信息以電子表格的形式進(jìn)行保存。不固定按需提供，不限次數(shù)3.1.2日常技術(shù)支持和維護(hù)1.日常技術(shù)支持：對在建或新建的信息化系統(tǒng)提供效勞器、存儲、虛擬機(jī)、數(shù)據(jù)庫、中間件、網(wǎng)絡(luò)等根底IT環(huán)境的配合等效勞；對于采購人日常發(fā)生的網(wǎng)絡(luò)設(shè)備調(diào)試、平安設(shè)備調(diào)試、效勞器調(diào)試、數(shù)據(jù)庫調(diào)試、視頻會議調(diào)試、終端系統(tǒng)調(diào)試等提供技術(shù)支持效勞。效勞次數(shù)：按需提供，不限次數(shù)；常規(guī)效勞時(shí)間：5×8，應(yīng)急效勞時(shí)間：7×8。2.日常技術(shù)維護(hù)：a)策略調(diào)優(yōu)及優(yōu)化：依據(jù)資產(chǎn)情況、業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)流向、日常平安監(jiān)測情況、近期風(fēng)險(xiǎn)通報(bào)結(jié)果及平安設(shè)備實(shí)際策略配置情況，對平安設(shè)備協(xié)助開展策略配置調(diào)優(yōu)，以持續(xù)提升平安運(yùn)行和防護(hù)能力?！财桨苍O(shè)備包含但不限于防火墻、入侵防御、WAF、防病毒系統(tǒng)、平安網(wǎng)關(guān)等?！砨)配置備份：定期對核心交換機(jī)、會聚交換機(jī)、防火墻、WEB應(yīng)用防火墻、入侵防御系統(tǒng)等關(guān)鍵節(jié)點(diǎn)設(shè)備的系統(tǒng)配置和策略配置進(jìn)行完整備份，在設(shè)備發(fā)生故障后提供配置快速導(dǎo)入等恢復(fù)措施。效勞期內(nèi)按需提供,策略配置及系統(tǒng)配置備份每周一次。c〕平安設(shè)備軟件及特征庫更新升級：依據(jù)巡檢結(jié)果定期對可以進(jìn)行特征庫、病毒庫、威脅情報(bào)庫和漏洞庫等特征庫升級的平安設(shè)備進(jìn)行更新升級。〔更新升級原那么為同步產(chǎn)品廠商官網(wǎng)更新情況〕，針對已過授權(quán)許可時(shí)間的平安設(shè)備，提供處置建議。效勞期內(nèi)按需提供。〔平安設(shè)備包含但不限于防火墻、入侵防御、WAF、防病毒系統(tǒng)、平安網(wǎng)關(guān)等?！?.故障處置支持：a〕對于采購人出現(xiàn)的各類故障情況，提供技術(shù)支持效勞〔非硬件層面〕；包括效勞器系統(tǒng)故障、平安設(shè)備系統(tǒng)故障、核心網(wǎng)絡(luò)設(shè)備系統(tǒng)故障、UPS、精密空調(diào)系統(tǒng)故障等；針對未過保的設(shè)備故障處置由供給商協(xié)調(diào)設(shè)備所屬維護(hù)商進(jìn)行維護(hù)，并跟進(jìn)維修進(jìn)度和效果及時(shí)向采購人匯報(bào)情況。針對已過保設(shè)備的故障處置由供給商進(jìn)行維護(hù)。針對特殊情況下供給商無法維護(hù)的故障情況，供給商出具實(shí)際可行的解決方案和建議。b〕對于采購人出現(xiàn)的各類故障情況，提供技術(shù)咨詢效勞〔硬件層面〕；未過保的各類硬件維修由供給商協(xié)調(diào)設(shè)備所屬維護(hù)商進(jìn)行維修，并跟進(jìn)維修進(jìn)度和效果。已過保設(shè)備及不具備維修價(jià)值的硬件設(shè)備或部件，由供給商提供處理建議由采購人評估后，根據(jù)評估結(jié)果，按采購人要求對設(shè)備進(jìn)行處理。效勞次數(shù)：按需提供，不限次數(shù)；常規(guī)效勞時(shí)間：5×8，應(yīng)急效勞時(shí)間：7×8。3.1.3平安性維護(hù)按照《網(wǎng)絡(luò)平安法》和《網(wǎng)絡(luò)平安等級保護(hù)根本要求》〔GB/T22239-2019〕要求，為各信息系統(tǒng)的根底IT設(shè)施進(jìn)行平安性維護(hù)，包括但不限于其提供操作系統(tǒng)升級、補(bǔ)丁更新、平安設(shè)備配置、合規(guī)性配置，針對風(fēng)險(xiǎn)事件提供平安整改建議等。平安性維護(hù)效勞內(nèi)容及要求序號效勞內(nèi)容常規(guī)服務(wù)時(shí)間效勞說明效勞要求1操作系統(tǒng)升級與補(bǔ)丁更新5×8對機(jī)房內(nèi)現(xiàn)有，在運(yùn)行的操作系統(tǒng)定期平安補(bǔ)丁更新提供配合和協(xié)助效勞；配合采購人安裝升級操作系統(tǒng)。按需提供，不限次數(shù)2平安設(shè)備配置5×8根據(jù)采購人需求，對現(xiàn)有數(shù)據(jù)中心機(jī)房內(nèi)的平安設(shè)備進(jìn)行優(yōu)化，其中包括平安設(shè)備構(gòu)架層和平安設(shè)備策略層，并給出合理化的平安規(guī)劃建議。按需提供，不限次數(shù)3合規(guī)性配置5×8針對各應(yīng)用系統(tǒng)的不同需求，在效勞對象中平安設(shè)備、網(wǎng)絡(luò)設(shè)備等根底IT設(shè)施進(jìn)行防火墻、堡壘機(jī)、日志審計(jì)等合規(guī)性配置。按需提供，不限次數(shù)3.1.4平安整改運(yùn)維效勞期間，如上級部門、公安部門、信息化主管部門等單位對數(shù)據(jù)中心〔不含信息系統(tǒng)軟件本身〕進(jìn)行平安掃描,根據(jù)各方平安評估結(jié)果，協(xié)助修復(fù)平安漏洞、加固系統(tǒng)平臺，防止系統(tǒng)破壞、數(shù)據(jù)泄露。如平安整改經(jīng)評估會對業(yè)務(wù)系統(tǒng)產(chǎn)生影響時(shí)，需提出整改建議方案〔方案中需注明風(fēng)險(xiǎn)〕經(jīng)采購人簽字授權(quán)后進(jìn)行修復(fù)。平安整改效勞內(nèi)容及要求序號效勞內(nèi)容常規(guī)服務(wù)時(shí)間效勞說明效勞要求周期次數(shù)1修復(fù)平安漏洞加固系統(tǒng)防護(hù)5×81、及時(shí)響應(yīng)相關(guān)單位發(fā)出的平安漏洞通報(bào)。2、針對風(fēng)險(xiǎn)等級為嚴(yán)重的漏洞，在收到報(bào)告后的三個(gè)工作日內(nèi)修復(fù)解決或提出整改建議方案；針對風(fēng)險(xiǎn)等級為中、低的漏洞，須在收到報(bào)告后的兩周內(nèi)修復(fù)解決或提出整改建議方案。3、針對緊急漏洞〔比方勒索病毒〕，需相關(guān)單位發(fā)出的平安漏洞通報(bào)中的解決方案立即解決。4、修復(fù)解決后提交平安整改報(bào)告〔如遇到系統(tǒng)較大版本升級改動等特殊情況需要延期解決，須在平安整改報(bào)告中說明〕按平安通告或通知文件按需提供，不限次數(shù)3.1.5其他相關(guān)配合效勞按照采購人及上級主管單位要求，做好正版化檢查、網(wǎng)絡(luò)平安檢查、保密檢查、業(yè)務(wù)對接、區(qū)縣單位技術(shù)支撐、采購人交辦的其他相關(guān)事宜等配合效勞。。效勞次數(shù)：按需提供，不限次數(shù)；常規(guī)效勞時(shí)間：5×8，應(yīng)急效勞時(shí)間：7×8。3.2網(wǎng)絡(luò)平安運(yùn)維效勞3.2.1平安咨詢效勞日常平安問題咨詢效勞效勞內(nèi)容結(jié)合本單位的實(shí)際需求，參考國內(nèi)外平安標(biāo)準(zhǔn)，提供日常平安咨詢效勞，主要包括大的網(wǎng)絡(luò)平安規(guī)劃、平安決策、平安事件處理等。提供完整全面的處理方案，要求方案具有可操作性、能夠指導(dǎo)采購人進(jìn)行事件處理和應(yīng)對。效勞次數(shù)：按需提供，不限次數(shù)；常規(guī)效勞時(shí)間：5×8，應(yīng)急效勞時(shí)間：7×8。交付成果《日常平安問題咨詢反應(yīng)記錄》網(wǎng)絡(luò)平安規(guī)劃效勞效勞內(nèi)容結(jié)合采購人的實(shí)際需求，參考國內(nèi)外平安標(biāo)準(zhǔn)和國內(nèi)新技術(shù)研究〔如等保2.0、關(guān)鍵信息根底設(shè)施保護(hù)條例、商用密碼體系、云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動平安〕，對采購人網(wǎng)絡(luò)平安方案設(shè)計(jì)，網(wǎng)絡(luò)平安建設(shè)，包括網(wǎng)絡(luò)平安結(jié)構(gòu)設(shè)計(jì)、系統(tǒng)平安設(shè)計(jì)、其他網(wǎng)絡(luò)平安方案設(shè)計(jì)，提供網(wǎng)絡(luò)平安遠(yuǎn)景規(guī)劃設(shè)計(jì)，為未來網(wǎng)絡(luò)信息平安工作開展提供有力指導(dǎo)與支撐。效勞次數(shù)：按需提供，不限次數(shù)；交付成果《平安遠(yuǎn)景規(guī)劃建議書》等級保護(hù)咨詢效勞效勞內(nèi)容深化網(wǎng)絡(luò)平安等級保護(hù)工作，基于對網(wǎng)絡(luò)平安的深刻理解，在等級保護(hù)的框架下構(gòu)建一個(gè)平安、可靠、靈活、可持續(xù)改良的網(wǎng)絡(luò)平安體系，對等級保護(hù)各個(gè)階段的工作重點(diǎn)為客戶提供全方位的支持和效勞，協(xié)助完成定級備案、差距分析、平安整改或平安建議和協(xié)助對接等保測評工作。效勞次數(shù)：按需提供，不限次數(shù)；交付成果《網(wǎng)絡(luò)系統(tǒng)等級保護(hù)咨詢記錄》3.2.2滲透測試及修復(fù)效勞滲透測試效勞效勞內(nèi)容針對滲透測試效勞范圍，結(jié)合等級保護(hù)合規(guī)性測評等各項(xiàng)檢查工作的成果，采用外部滲透方式及內(nèi)部滲透方式對應(yīng)用系統(tǒng)進(jìn)行非破壞性質(zhì)的模擬入侵者攻擊的測試，檢測外部威脅源和路徑，以便掌握系統(tǒng)的平安狀況，尋找系統(tǒng)存在的漏洞和風(fēng)險(xiǎn)；并出具滲透測試報(bào)告；測試方法滲透測試完全模擬黑客的入侵思路與技術(shù)手段，黑客的攻擊入侵需要利用目標(biāo)網(wǎng)絡(luò)的平安弱點(diǎn)，滲透測試也是同樣的道理。以人工滲透為主，輔助以攻擊工具的使用，這樣保證了整個(gè)滲透測試過程都在可以控制和調(diào)整的范圍之內(nèi)。針對各應(yīng)用系統(tǒng)的滲透測試方法包括以下方法但不局限于以下方法：測試方法描述信息收集信息收集是滲透攻擊的前提，通過信息收集可以有針對性地制定模擬攻擊測試方案，提高模擬攻擊的成功率，同時(shí)可以有效的降低攻擊測試對系統(tǒng)正常運(yùn)行造成的不利影響。信息收集的方法包括端口掃描、操作系統(tǒng)指紋判別、應(yīng)用判別、賬號掃描、配置判別等。端口掃描通過對目標(biāo)地址的TCP/UDP端口掃描，確定其所開放的效勞的數(shù)量和類型，這是所有滲透測試的根底。通過端口掃描，可以根本確定一個(gè)系統(tǒng)的根本信息，結(jié)合平安工程師的經(jīng)驗(yàn)可以確定其可能存在以及被利用的平安弱點(diǎn)，為進(jìn)行深層次的滲透提供依據(jù)。口令猜想本階段將對暴露在公網(wǎng)的所有登陸口進(jìn)行口令猜解的測試，找出各個(gè)系統(tǒng)可能存在的弱口令或易被猜解的口令。猜解成功后將繼續(xù)對系統(tǒng)進(jìn)行滲透測試，挖掘嵌套在登錄口背后的漏洞、尋找新的突破口以及可能泄漏的敏感信息，并評估相應(yīng)的危害性。猜解的對象包括：WEB登錄口、FTP端口、數(shù)據(jù)庫端口、遠(yuǎn)程管理端口等。遠(yuǎn)程溢出這是當(dāng)前出現(xiàn)的頻率最高、威脅最嚴(yán)重，同時(shí)又是最容易實(shí)現(xiàn)的一種滲透方法，一個(gè)具有一般網(wǎng)絡(luò)知識的入侵者就可以在很短的時(shí)間內(nèi)利用現(xiàn)成的工具實(shí)現(xiàn)遠(yuǎn)程溢出攻擊。對于在防火墻內(nèi)的系統(tǒng)存在同樣的風(fēng)險(xiǎn)，只要對跨接防火墻內(nèi)外的一臺主機(jī)攻擊成功，那么通過這臺主機(jī)對防火墻內(nèi)的主機(jī)進(jìn)行攻擊就易如反掌。本地溢出本地溢出是指在擁有了一個(gè)普通用戶的賬號之后，通過一段特殊的指令代碼獲得管理員權(quán)限的方法。使用本地溢出的前提是首先要獲得一個(gè)普通用戶的密碼。也就是說由于導(dǎo)致本地溢出的一個(gè)關(guān)鍵條件是設(shè)置不當(dāng)?shù)拿艽a策略。多年的實(shí)踐證明，在經(jīng)過前期的口令猜想階段獲取的普通賬號登錄系統(tǒng)之后，對系統(tǒng)實(shí)施本地溢出攻擊，就能獲取不進(jìn)行主動平安防御的系統(tǒng)的控制管理權(quán)限。腳本測試腳本測試專門針對Web效勞器進(jìn)行。根據(jù)最新的技術(shù)統(tǒng)計(jì)，腳本平安弱點(diǎn)為當(dāng)前Web系統(tǒng)尤其存在動態(tài)內(nèi)容的Web系統(tǒng)存在的主要比擬嚴(yán)重的平安弱點(diǎn)之一。利用腳本相關(guān)弱點(diǎn)輕那么可以獲取系統(tǒng)其他目錄的訪問權(quán)限，重那么將有可能取得系統(tǒng)的控制權(quán)限。因此對于含有動態(tài)頁面的Web系統(tǒng)，腳本測試將是必不可少的一個(gè)環(huán)節(jié)。權(quán)限獲取通過初步信息收集分析，存在兩種可能性，一種是目標(biāo)系統(tǒng)存在重大的平安弱點(diǎn)，測試可以直接控制目標(biāo)系統(tǒng)；另一種是目標(biāo)系統(tǒng)沒有遠(yuǎn)程重大的平安弱點(diǎn)，但是可以獲得普通用戶權(quán)限，這時(shí)可以通過該普通用戶權(quán)限進(jìn)一步收集目標(biāo)系統(tǒng)信息。接下來盡最大努力取得超級用戶權(quán)限、收集目標(biāo)主機(jī)資料信息，尋求本地權(quán)限提升的時(shí)機(jī)。這樣不停的進(jìn)行信息收集分析、權(quán)限提升的結(jié)果形成了整個(gè)的滲透測試過程。測試內(nèi)容本工程滲透測試包括但不限于以下內(nèi)容：測試大類測試項(xiàng)測試目的身份驗(yàn)證類用戶注冊檢查用戶注冊功能可能涉及的平安問題用戶登錄檢查用戶登錄功能可能涉及的平安問題修改密碼檢查用戶修改密碼功能可能涉及的平安問題密碼重置檢查忘記密碼、找回密碼、密碼重置功能可能涉及的平安問題驗(yàn)證碼繞過檢測驗(yàn)證碼機(jī)制是否合理，是否可以被繞過用戶鎖定功能測試用戶鎖定功能相關(guān)的平安問題會話管理類Cookie重放攻擊檢測目標(biāo)系統(tǒng)是否僅依靠cookie來確認(rèn)會話身份，從而易受到cookie回放攻擊會話令牌分析Cookie具有明顯含義，或可被預(yù)測、可逆向，可被攻擊者分析出cookie結(jié)構(gòu)會話令牌泄露測試會話令牌是否存在泄露的可能會話固定攻擊測試目標(biāo)系統(tǒng)是否存在固定會話的缺陷跨站請求偽造檢測目標(biāo)系統(tǒng)是否存在CSRF漏洞訪問控制類功能濫用測試目標(biāo)系統(tǒng)是否由于設(shè)計(jì)不當(dāng)，導(dǎo)致合法功能非法利用垂直權(quán)限提升測試可能出現(xiàn)垂直權(quán)限提升的情況水平權(quán)限提升測試可能出現(xiàn)水平權(quán)限提升的情況輸入處理類SQL注入檢測目標(biāo)系統(tǒng)是否存在SQL注入漏洞文件上傳檢測目標(biāo)系統(tǒng)的文件上傳功能是否存在缺陷，導(dǎo)致可以上傳非預(yù)期類型和內(nèi)容的文件任意文件下載檢測目標(biāo)系統(tǒng)加載/下載文件功能是否可以造成任意文件下載問題XML注入測試目標(biāo)系統(tǒng)-是否存在XML注入漏洞目錄穿越測試目標(biāo)系統(tǒng)是否存在目錄穿越漏洞SSRF檢測目標(biāo)系統(tǒng)是否存在效勞端跨站請求偽造漏洞本地文件包含測試目標(biāo)站點(diǎn)是否存在LFI漏洞遠(yuǎn)程文件包含測試目標(biāo)站點(diǎn)是否存在RFI漏洞遠(yuǎn)程命令/代碼執(zhí)行測試目標(biāo)系統(tǒng)是否存在命令/代碼注入漏洞反射型跨站腳本檢測目標(biāo)系統(tǒng)是否存在反射型跨站腳本漏洞存儲型跨站腳本檢測目標(biāo)系統(tǒng)是否存在存儲型跨站腳本漏洞DOM-based跨站腳本檢測目標(biāo)系統(tǒng)是否存在DOM-based跨站腳本漏洞效勞端URL重定向檢查目標(biāo)系統(tǒng)是否存在效勞端URL重定向漏洞信息泄露類errorcode測試目標(biāo)系統(tǒng)的錯(cuò)誤處理能力，是否會輸出詳盡的錯(cuò)誤信息StackTraces測試目標(biāo)系統(tǒng)是否開啟了StackTraces調(diào)試信息敏感信息盡量收集目標(biāo)系統(tǒng)的敏感信息第三方應(yīng)用類中間件測試目標(biāo)系統(tǒng)是否存在jboss、weblogic、tomcat等中間件CMS測試目標(biāo)系統(tǒng)是否存在dedecms、phpcms等CMS測試方式透測試效勞根據(jù)測試的位置不同可以分為現(xiàn)場測試和遠(yuǎn)程測試；根據(jù)測試的方法不同分為黑盒測試和白盒測試兩類；現(xiàn)場測試是指經(jīng)過用戶授權(quán)后，測試人員到達(dá)用戶工作現(xiàn)場或接入用戶工作內(nèi)網(wǎng)，根據(jù)用戶的期望測試的目標(biāo)直接接入到用戶的辦公網(wǎng)絡(luò)甚至業(yè)務(wù)網(wǎng)絡(luò)中。這種測試的好處就在于免去了測試人員從外部繞過防火墻、入侵保護(hù)等平安設(shè)備的工作。一般用于檢測內(nèi)部威脅源和路徑。遠(yuǎn)程測試與現(xiàn)場測試相反，測試人員無需到達(dá)客戶現(xiàn)場或接入用戶內(nèi)部網(wǎng)絡(luò)，直接從互聯(lián)網(wǎng)訪問用戶的某個(gè)接入到互聯(lián)網(wǎng)的系統(tǒng)并進(jìn)行測試即可。這種測試往往是應(yīng)用于那些關(guān)注門戶站點(diǎn)和互聯(lián)網(wǎng)應(yīng)用的用戶，主要用于檢測外部威脅源和路徑。黑盒測試是指測試人員對除目標(biāo)系統(tǒng)的IP或域名以外的信息一無所知的情況下對系統(tǒng)發(fā)起的測試工作，這種方式可以較好的模擬黑客行為，了解外部惡意用戶可能對系統(tǒng)帶來的威脅。白盒測試那么是指測試人員通過用戶授權(quán)獲取了局部信息的情況下進(jìn)行的測試，如：目標(biāo)系統(tǒng)的帳號、配置甚至源代碼。這種情況用戶模擬并檢測內(nèi)部的惡意用戶可能為系統(tǒng)帶來的威脅。測試流程效勞頻率效勞期內(nèi)每年一次。效勞范圍國控系統(tǒng)、機(jī)動車尾氣系統(tǒng)、大氣預(yù)警平臺、電子政務(wù)平臺、OA系統(tǒng)。交付成果《滲透測試報(bào)告》.2滲透測試漏洞修復(fù)效勞效勞內(nèi)容提供漏洞修復(fù)效勞；依據(jù)滲透測試的結(jié)果，對發(fā)現(xiàn)的應(yīng)用系統(tǒng)和應(yīng)用系統(tǒng)承載設(shè)施存在的平安風(fēng)險(xiǎn)給出修復(fù)建議或協(xié)助修復(fù)。效勞頻率效勞期內(nèi)每季度一次效勞范圍國控系統(tǒng)、機(jī)動車尾氣系統(tǒng)、大氣預(yù)警平臺、電子政務(wù)平臺、OA系統(tǒng)。交付成果《滲透測試漏洞修復(fù)報(bào)告》基線加固效勞效勞內(nèi)容平安加固效勞，是指根據(jù)平安加固列表，對目標(biāo)系統(tǒng)的平安漏洞對進(jìn)行修復(fù)、配置隱患進(jìn)行優(yōu)化的過程。加固內(nèi)容包括但不限于系統(tǒng)補(bǔ)丁、防火墻、防病毒、危險(xiǎn)效勞、共享、自動播放、密碼平安。針對范圍內(nèi)主機(jī)提供基線平安加固效勞，遵循基線平安加固技術(shù)標(biāo)準(zhǔn)對授權(quán)的設(shè)備進(jìn)行基線平安加固。使效勞器具有根本的平安防護(hù)能力，能抵御對操作系統(tǒng)的直接攻擊，能在發(fā)生攻擊時(shí)限制影響范圍?；€加固內(nèi)容平安加固的操作系統(tǒng)包括Windows、Linux、AIX、HP-Unix、Solaris。操作系統(tǒng)的加固內(nèi)容如下表所示：Windows基線平安加固標(biāo)準(zhǔn)：控制點(diǎn)1:應(yīng)對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進(jìn)行身份標(biāo)識和鑒別；目的防止未授權(quán)訪問加固檢查查看登錄是否需要密碼加固標(biāo)準(zhǔn)數(shù)據(jù)庫使用口令鑒別機(jī)制對用戶進(jìn)行身份標(biāo)識和鑒別；登錄時(shí)提示輸入用戶名和口令，以錯(cuò)誤口令或空口令登錄時(shí)提示登錄失敗，驗(yàn)證了登錄控制功能的有效性?？刂泣c(diǎn)2:操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份標(biāo)識應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)有復(fù)雜度要求并定期更換；目的防止弱口令加固檢查查看平安策略是否啟用密碼復(fù)雜性策略密碼最小長度密碼最短使用期限密碼最長使用期限強(qiáng)制密碼歷史加固標(biāo)準(zhǔn)啟用密碼復(fù)雜性策略密碼最小長度為8位密碼最短使用期限0天密碼最長使用期限90天強(qiáng)制記住密碼歷史0個(gè)控制點(diǎn)3:啟用登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施；目的防止惡意猜解賬戶口令加固檢查查看平安策略是否啟用賬戶鎖定時(shí)間賬戶鎖定閾值重置賬戶鎖定計(jì)數(shù)器加固標(biāo)準(zhǔn)賬戶鎖定時(shí)間30分鐘賬戶鎖定閾值5次無效登陸重置賬戶鎖定計(jì)數(shù)器30分鐘之后控制點(diǎn)4:對效勞器進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽；目的RDP加密傳輸，防止身份鑒別信息在傳輸過程中泄露加固檢查點(diǎn)擊[開始]->[運(yùn)行]輸入：gpedit.msc，點(diǎn)擊[計(jì)算機(jī)配置]->[管理模板]->[Windows組件]->[遠(yuǎn)程桌面效勞]->[遠(yuǎn)程桌面會話主機(jī)]->[平安]，雙擊[遠(yuǎn)程(rdp)連接要求使用指定的平安層]，選擇已啟用，平安層選擇SSL(TLS1.0)，點(diǎn)擊確定；雙擊[設(shè)置客戶端連接加密級別]，選擇[已啟用]，加密級別為[高級別]，點(diǎn)擊確定。加固標(biāo)準(zhǔn)平安層使用ssL加密，加密級別為高級別控制點(diǎn)5:應(yīng)為操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的不同用戶分配不同的用戶名，確保用戶名具有唯一性；目的防止賬戶濫用加固檢查依次展開[開始]->([控制面板]->)[管理工具]->[計(jì)算機(jī)管理]->[本地用戶和組]->[用戶]；查看用戶列表，詢問每個(gè)賬戶的使用情況。加固標(biāo)準(zhǔn)無多人共用同一個(gè)賬號的情況?？刂泣c(diǎn)6:系統(tǒng)敏感資源訪問控制目的限制系統(tǒng)敏感資源的訪問權(quán)限加固檢查1〕文件權(quán)限：a)右鍵點(diǎn)擊[開始]，翻開[資源管理器(X)]，[工具]->[文件夾選項(xiàng)]->[查看]中的“使用簡單文件共享〔推薦〕”是否選中；b)右鍵單擊下面兩個(gè)文件夾的[屬性]->[平安]，查看users的權(quán)限。2〕用戶權(quán)限：a)[開始]->〔[控制面板]->〕[管理工具]->[計(jì)算機(jī)管理]->[本地用戶和組]->[組]b)雙擊“名稱”列中Administrators用戶，查看成員。加固標(biāo)準(zhǔn)未選中“使用簡單文件共享〔推薦〕”選項(xiàng)。programfiles文件夾的users權(quán)限只允許“讀取和運(yùn)行”、“列出文件夾目錄”、“讀取”三種權(quán)限；普通用戶、應(yīng)用賬戶等非管理員賬戶不屬于管理員組?？刂泣c(diǎn)7:重命名系統(tǒng)默認(rèn)賬戶，修改默認(rèn)口令目的防止惡意攻擊者通過默認(rèn)賬戶口令進(jìn)行系統(tǒng)加固檢查依次點(diǎn)擊[控制面板]->[用戶賬戶]->[更改賬戶類型]->[選擇更改的賬號]，此時(shí)選擇一個(gè)需要更改的賬戶，繼續(xù)選擇[更改賬戶名稱]，重新輸入賬戶名稱，選擇[更改密碼]，重新輸入一次密碼。加固標(biāo)準(zhǔn)不存在默認(rèn)賬戶名，無默認(rèn)口令控制點(diǎn)8:刪除多余的、過期的賬戶目的防止多余過期的賬戶被利用加固檢查"依次展開[開始]->([控制面板]->)[管理工具]->[計(jì)算機(jī)管理]->[本地用戶和組]->[用戶]，查看是否存在過期賬戶；〕依據(jù)用戶賬戶列表詢問主機(jī)管理員，每個(gè)賬戶是否為合法用戶；依據(jù)用戶賬戶列表詢問主機(jī)管理員，是否存在多人共用的賬戶。"加固標(biāo)準(zhǔn)無多余的、過期的賬戶控制點(diǎn)9:端口限制目的限制常見危險(xiǎn)端口的訪問權(quán)限加固檢查徹底關(guān)閉137、138、139端口：進(jìn)入[控制面板]->[網(wǎng)絡(luò)和共享中心]->[本地連接]-[屬性]->[internet協(xié)議版本4]->[高級]->[Wins]->[禁用TCP/IP上的NETBIOS]點(diǎn)擊確定，回到本地連接屬性中，不選中[Microsoft網(wǎng)絡(luò)的文件和打印機(jī)共享]點(diǎn)擊確定。關(guān)閉135、445端口：點(diǎn)擊[開始]->[運(yùn)行]輸入dcomcnfg,翻開[組件效勞]->[計(jì)算機(jī)]->[我的電腦]右鍵屬性，點(diǎn)擊默認(rèn)屬性，把[在此計(jì)算機(jī)上啟用分布式com]前面的勾去掉，返回到[默認(rèn)協(xié)議]，移除[面向連接的TCP/IP協(xié)議]，點(diǎn)擊確定。重新[開始]->[運(yùn)行]輸入regedit，進(jìn)入注冊表，定位到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc，右鍵Rpc-新建-項(xiàng)，改為internet。關(guān)閉445：開始-運(yùn)行，輸入：regedit，定位到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters，右鍵新建一個(gè)dword值，假設(shè)是系統(tǒng)是32位，就建32的dword的，64位的就選擇新建對應(yīng)64的dword值，然后將值設(shè)為0。重新開始-運(yùn)行，輸入services.msc,進(jìn)入效勞，找到server效勞，雙擊進(jìn)入，啟動類型為“禁用”，效勞狀態(tài)改為“停止”，點(diǎn)擊應(yīng)用，重啟效勞器。ip平安策略關(guān)閉端口：依次展開[開始]->[控制面板]->[管理工具]->[本地平安策略]選擇[ip平安策略]點(diǎn)擊右鍵選擇[創(chuàng)立ip平安策略]一直下一步在此過程中可以進(jìn)行重命名此平安策略，在彈出的屬性里選擇[添加]在新規(guī)那么屬性里選擇[添加]，在ip篩選列表里選擇[添加]，在ip篩選器里選擇從任何ip地址到我的ip地址，選擇[協(xié)議]，在新的屬性里選擇tcp協(xié)議，從任意端口到此端口(135)點(diǎn)擊[確定]，此時(shí)回到了新規(guī)那么屬性面板，可以給新規(guī)那么命名(關(guān)閉135)，在ip篩選列表里選中[關(guān)閉135]在篩選器操作面板雙擊[關(guān)閉135]，在關(guān)閉135屬性面板中選擇[平安方法]->[阻止]，點(diǎn)擊確定，屬性面板都是選擇確定，此時(shí)回到了[ip平安策略面板]，右鍵之前新建的平安策略，選擇分配。防火墻關(guān)閉端口：展開[控制面板]->[防火墻]->[高級設(shè)置]->[入站規(guī)那么]->[新建規(guī)那么]->在新彈出的屬性面板中選擇[端口]點(diǎn)擊[下一步]選擇[TCP]和[特定本地端口]輸入135點(diǎn)擊[下一步]選中[阻止連接]選中下一步，在此可以給此規(guī)那么命名，點(diǎn)擊確定加固標(biāo)準(zhǔn)安裝ms-17-010補(bǔ)丁，確認(rèn)135、137、138、139、445端口已關(guān)閉，并在防火墻、ipsec處配置相應(yīng)策略限制端口使用控制點(diǎn)10:配置審計(jì)謀略，審計(jì)范圍覆蓋每個(gè)用戶目的保證審計(jì)謀略覆蓋到平安事件和用戶加固檢查平安系統(tǒng)擴(kuò)展系統(tǒng)完整性其他系統(tǒng)事件平安狀態(tài)更改登錄注銷帳戶鎖定特殊登錄其他登錄/注銷事件網(wǎng)絡(luò)策略效勞器用戶/設(shè)備聲明文件系統(tǒng)注冊表SAM篩選平臺連接其他對象訪問事件可移動存儲非敏感權(quán)限使用敏感權(quán)限使用進(jìn)程創(chuàng)立進(jìn)程終止身份驗(yàn)證策略更改授權(quán)策略更改MPSSVC規(guī)那么級別策略更改篩選平臺策略更改其他策略更改事件審核策略更改用戶帳戶管理計(jì)算機(jī)帳戶管理平安組管理應(yīng)用程序組管理其他帳戶管理事件其他帳戶登錄事件憑據(jù)驗(yàn)證加固標(biāo)準(zhǔn)"平安系統(tǒng)擴(kuò)展成功和失敗系統(tǒng)完整性成功和失敗其他系統(tǒng)事件成功和失敗平安狀態(tài)更改成功和失敗登錄成功和失敗注銷成功和失敗帳戶鎖定成功和失敗特殊登錄成功和失敗其他登錄/注銷事件成功和失敗網(wǎng)絡(luò)策略效勞器成功和失敗用戶/設(shè)備聲明成功和失敗文件系統(tǒng)失敗注冊表成功和失敗SAM成功篩選平臺連接失敗其他對象訪問事件成功和失敗可移動存儲成功和失敗非敏感權(quán)限使用成功和失敗敏感權(quán)限使用成功和失敗進(jìn)程創(chuàng)立成功和失敗進(jìn)程終止成功和失敗身份驗(yàn)證策略更改成功和失敗授權(quán)策略更改成功和失敗MPSSVC規(guī)那么級別策略更改成功和失敗篩選平臺策略更改成功和失敗其他策略更改事件成功和失敗審核策略更改成功和失敗用戶帳戶管理成功和失敗計(jì)算機(jī)帳戶管理成功和失敗平安組管理成功和失敗應(yīng)用程序組管理成功和失敗其他帳戶管理事件成功和失敗其他帳戶登錄事件成功憑據(jù)驗(yàn)證成功"控制點(diǎn)11:保護(hù)審計(jì)記錄目的防止審計(jì)記錄受到非預(yù)期的刪除和修改加固檢查依次展開[開始]->[控制面板]->[管理工具]->[事件查看器]->[Windows日志]->[應(yīng)用程序]右鍵屬性，設(shè)置日志最大大小為20480kb，按需要覆蓋事件，按以上步驟對應(yīng)用程序、平安、Setup、系統(tǒng)選項(xiàng)進(jìn)行配置。加固標(biāo)準(zhǔn)Windows日志最大為20480kb，按需要覆蓋日志配置日志傳輸?shù)饺罩緦徲?jì)效勞器控制點(diǎn)12:windows組策略平安選項(xiàng)配置目的保護(hù)系統(tǒng)剩余資源，防止漏洞危害擴(kuò)大加固檢查Microsoft網(wǎng)絡(luò)效勞器:暫停會話前所需的空閑時(shí)間數(shù)量

關(guān)機(jī):去除虛擬內(nèi)存頁面文件

交互式登錄:不顯示最后的用戶名

交互式登錄:鎖定會話時(shí)顯示用戶信息

設(shè)備:將CD-ROM的訪問權(quán)限僅限于本地登錄的用戶

設(shè)備:將軟盤驅(qū)動器的訪問權(quán)限僅限于本地登錄的用戶

設(shè)備:允許對可移動媒體進(jìn)行格式化并彈出

審核:對備份和復(fù)原權(quán)限的使用進(jìn)行審核

審核:強(qiáng)制審核策略子類別設(shè)置(WindowsVista或更高版本)替代審核策略類別設(shè)置。

網(wǎng)絡(luò)訪問:不允許存儲網(wǎng)絡(luò)身份驗(yàn)證的密碼和憑據(jù)

網(wǎng)絡(luò)訪問:可遠(yuǎn)程訪問的注冊表路徑

網(wǎng)絡(luò)訪問:可遠(yuǎn)程訪問的注冊表路徑和子路徑加固標(biāo)準(zhǔn)Microsoft網(wǎng)絡(luò)效勞器:暫停會話前所需的空閑時(shí)間數(shù)量10分鐘關(guān)機(jī):去除虛擬內(nèi)存頁面文件已啟用交互式登錄:不顯示最后的用戶名已啟用交互式登錄:鎖定會話時(shí)顯示用戶信息不顯示用戶信息設(shè)備:將CD-ROM的訪問權(quán)限僅限于本地登錄的用戶已啟用設(shè)備:將軟盤驅(qū)動器的訪問權(quán)限僅限于本地登錄的用戶已啟用設(shè)備:允許對可移動媒體進(jìn)行格式化并彈出管理員審核:對備份和復(fù)原權(quán)限的使用進(jìn)行審核已啟用審核:強(qiáng)制審核策略子類別設(shè)置(WindowsVista或更高版本)替代審核策略類別設(shè)置。已啟用網(wǎng)絡(luò)訪問:不允許存儲網(wǎng)絡(luò)身份驗(yàn)證的密碼和憑據(jù)已啟用網(wǎng)絡(luò)訪問:可遠(yuǎn)程訪問的注冊表路徑無路徑網(wǎng)絡(luò)訪問:可遠(yuǎn)程訪問的注冊表路徑和子路徑無路徑控制點(diǎn)13:SYN保護(hù)目的防護(hù)SYN攻擊加固檢查HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SynAttackProtect;推薦值：2HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxPortsExhausted;推薦值：5HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpen;推薦值：500HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpenRetried。推薦值：400加固標(biāo)準(zhǔn)SynAttackProtect;值：2

TcpMaxPortsExhausted;值：5

TcpMaxHalfOpen;值：500

TcpMaxHalfOpenRetried值：400控制點(diǎn)14:關(guān)閉默認(rèn)共享目的防止攻擊者通過網(wǎng)絡(luò)共享功能獲取敏感數(shù)據(jù)加固檢查進(jìn)入“開始－>運(yùn)行－>Regedit”，進(jìn)入注冊表編輯器，查看HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer；值為0加固標(biāo)準(zhǔn)進(jìn)入“開始－>運(yùn)行－>Regedit”，進(jìn)入注冊表編輯器，查看HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer；值為0控制點(diǎn)15:數(shù)據(jù)執(zhí)行保護(hù)(DEP)目的防止惡意應(yīng)用運(yùn)行用于暫存指令的那局部內(nèi)存中的數(shù)據(jù)加固檢查進(jìn)入“控制面板－>系統(tǒng)”，在“高級”選項(xiàng)卡的“性能”下的“設(shè)置”。進(jìn)入“數(shù)據(jù)執(zhí)行保護(hù)”選項(xiàng)卡。查看“僅為根本W(wǎng)indows操作系統(tǒng)程序和效勞啟用DEP”。加固標(biāo)準(zhǔn)為根本W(wǎng)indows操作系統(tǒng)程序和效勞啟用DEP”?？刂泣c(diǎn)16:關(guān)閉多余的效勞目的關(guān)閉多余效勞加固檢查關(guān)閉以下效勞：BITSBrowserDDHCP(僅2012)NlaSvcSpoolerRemoteRegistry(僅2012)seclogonSCardSvrlmhostsLanmanWorkstationAudiosrvW32Time加固標(biāo)準(zhǔn)關(guān)閉以下效勞：BITSBrowserDDHCP(僅2012)NlaSvcSpoolerRemoteRegistry(僅2012)seclogonSCardSvrlmhostsLanmanWorkstationAudiosrvW32Time控制點(diǎn)17:設(shè)置屏保目的設(shè)置屏保，在長時(shí)間未使用后進(jìn)行用戶鑒別加固檢查進(jìn)入“控制面板－>顯示－>屏幕保護(hù)程序”：啟用屏幕保護(hù)程序，設(shè)置等待時(shí)間為“5分鐘”，啟用“在恢復(fù)時(shí)使用密碼保護(hù)”加固標(biāo)準(zhǔn)設(shè)置等待時(shí)間為“5分鐘”，啟用“在恢復(fù)時(shí)使用密碼保護(hù)”控制點(diǎn)18:修改3389端口目的防止惡意攻擊者通過默認(rèn)端口對賬戶口令進(jìn)行暴力破解加固檢查第一步：進(jìn)入[開始]->[運(yùn)行]->regedit進(jìn)入注冊表編輯器，依次展開HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\Wds\rdpwd\Tds\tcp雙擊文件[PortNumber]選擇10進(jìn)制，可修改為其他端口第二步：[開始]->[運(yùn)行]->regedit進(jìn)入注冊表編輯器，展開：HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set\Control\TenninalServer\WinStations\RDP-Tcp雙擊文件[portNumber]選擇10進(jìn)制，修改為其他端口加固標(biāo)準(zhǔn)修改默認(rèn)RDP端口控制點(diǎn)19:死網(wǎng)關(guān)檢測目的防止單點(diǎn)故障，影響業(yè)務(wù)可用性加固檢查進(jìn)入[開始]->[運(yùn)行]->regedit進(jìn)入注冊表編輯器，依次展開hkey_local_machine\system\currentcontrolset\services\Tcpip\parametersenabledeadgwdetectreg_dword0x0(默認(rèn)值為ox1)加固標(biāo)準(zhǔn)hkey_local_machine\system\currentcontrolset\services\Tcpip\parametersenabledeadgwdetectreg_dword0x0(控制點(diǎn)20:禁用webdav目的防止通過webdav組件功能入侵效勞器加固檢查HKEY_LOCAL_MACHINE\SYSTE\MCurrentControlSet\Services\W3SVC\Parameters添加以下注冊表值：數(shù)值名稱：DisableWebDAV數(shù)據(jù)類型：DWORD數(shù)值數(shù)據(jù)：1加固標(biāo)準(zhǔn)HKEY_LOCAL_MACHINE\SYSTE\MCurrentControlSet\Services\W3SVC\Parameters添加以下注冊表值：數(shù)值名稱：DisableWebDAV數(shù)據(jù)類型：DWORD數(shù)值數(shù)據(jù)：1控制點(diǎn)21:主機(jī)防病毒目的安裝主機(jī)防病毒產(chǎn)品，防御病毒加固檢查安裝防病毒軟件〔平安狗、火絨〕；啟用平安功能，配置平安策略，限制135、137、139、445端口，并在檢測到惡意文件時(shí)進(jìn)行隔離加固標(biāo)準(zhǔn)安裝了防病毒軟件，啟用了平安功能，配置了相應(yīng)策略，限制135、137、139、445端口，并在檢測到惡意文件時(shí)進(jìn)行隔離控制點(diǎn)22:數(shù)據(jù)庫訪問控制目的防止數(shù)據(jù)庫被外部惡意人員直接訪問加固檢查防火墻是否對數(shù)據(jù)庫端口訪問配置策略進(jìn)行控制加固標(biāo)準(zhǔn)配置策略僅允許對應(yīng)應(yīng)用訪問數(shù)據(jù)庫Linux基線平安加固標(biāo)準(zhǔn)：控制點(diǎn)1:應(yīng)對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進(jìn)行身份標(biāo)識和鑒別；目的防止未授權(quán)訪問加固檢查1、詢問管理員是否存在如下類似的簡單用戶密碼配置，比方：root/root,test/test,root/root12342、執(zhí)行：more/etc/login.defs，檢查PASS_MAX_DAYS/PASS_MIN_DAYS/PASS_WARN_AGE參數(shù)3、執(zhí)行：awk-F:'($2==""){print$1}'/etc/shadow,檢查是否存在空口令帳號加固標(biāo)準(zhǔn)建議在/etc/login.defs文件中配置：PASS_MAX_DAYS90#新建用戶的密碼最長使用天數(shù)PASS_MIN_DAYS0#新建用戶的密碼最短使用天數(shù)PASS_WARN_AGE7#新建用戶的密碼到期提前提醒天數(shù)不存在空口令帳號控制點(diǎn)2:密碼復(fù)雜性要求；目的賬戶口令復(fù)雜性，防止暴力猜解加固檢查1.詢問管理員是否存在如下類似的簡單用戶密碼配置，比方：root/root,test/test,root/root12342、執(zhí)行：more/etc/login.defs，檢查PASS_MAX_DAYS/PASS_MIN_DAYS/PASS_WARN_AGE/PASS_MIN_LEN參數(shù)加固標(biāo)準(zhǔn)建議在/etc/pam.d/system-auth文件中配置：passwordrequisitepam_cracklib.sodifok=3minlen=8ucredit=-1lcredit=-1dcredit=1至少8位，包含一位大寫字母，一位小寫字母和一位數(shù)字控制點(diǎn)3:錯(cuò)誤登錄鎖定策略檢查；目的防止未授權(quán)訪問加固檢查/etc/pam.d/system-auth文件中是否對pam_tally.so的參數(shù)進(jìn)行了正確設(shè)置。加固標(biāo)準(zhǔn)設(shè)置連續(xù)輸錯(cuò)10次密碼，帳號鎖定5分鐘，使用命令“vi/etc/pam.d/system-auth”修改配置文件，添加authrequiredpam_tally.soonerr=faildeny=10unlock_time=300注：解鎖用戶faillog-u<用戶名>-r控制點(diǎn)4:超級用戶遠(yuǎn)程登錄終端限制；目的限制root用戶可以登錄的終端形式加固檢查執(zhí)行：more/etc/securetty，檢查Console參數(shù)加固標(biāo)準(zhǔn)建議在/etc/securetty文件中配置：CONSOLE=/dev/tty01控制點(diǎn)5:超級用戶環(huán)境變量平安性；目的確保root用戶的系統(tǒng)路徑中不包含父目錄，在非必要的情況下，不應(yīng)包含組權(quán)限為777的目錄加固檢查執(zhí)行：echo$PATH|egrep'(^|:)(\.|:|$)'，檢查是否包含父目錄，執(zhí)行：find`echo$PATH|tr':'''`-typed\(-perm-002-o-perm-020\)-ls，檢查是否包含組目錄權(quán)限為777的目錄加固標(biāo)準(zhǔn)執(zhí)行：echo$PATH|egrep'(^|:)(\.|:|$)'，檢查是否包含父目錄，執(zhí)行：find`echo$PATH|tr':'''`-typed\(-perm-002-o-perm-020\)-ls，檢查是否包含組目錄權(quán)限為777的目錄返回值不包含上述條件控制點(diǎn)6:賬戶權(quán)限控制；目的確保只有root用戶的UID為0加固檢查執(zhí)行：awk-F:'($3==0){print$1}'/etc/passwd加固標(biāo)準(zhǔn)修改賬戶屬性，確保只有root用戶的UID為0控制點(diǎn)7:登錄終端操作超時(shí)鎖定設(shè)置；目的配置終端操作超時(shí)加固檢查翻開etc/profile文件是否設(shè)置exportTMOUT和readonlyTMOUT加固標(biāo)準(zhǔn)建議在etc/profile中增加：readonlyTMOUT將值設(shè)置為readonly可防止用戶更改設(shè)置exportTMOUT=900控制點(diǎn)8:遠(yuǎn)程連接平安性；目的檢查遠(yuǎn)程連接平安性，禁止自動遠(yuǎn)程文件效勞連接加固檢查執(zhí)行：find/-name.netrc，檢查系統(tǒng)中是否有.netrc文件，執(zhí)行：find/-name.rhosts，檢查系統(tǒng)中是否有.rhosts文件加固標(biāo)準(zhǔn)如無實(shí)際操作需求，刪除.netrc和.rhosts文件控制點(diǎn)9:umask平安設(shè)置；目的設(shè)置用戶默認(rèn)權(quán)限加固檢查執(zhí)行：more/etc/profilemore/etc/csh.loginmore/etc/csh.cshrcmore/etc/bashrc檢查是否包含umask值且umask=027加固標(biāo)準(zhǔn)修改umask的值為027控制點(diǎn)10:文件目錄權(quán)限檢查；目的設(shè)置文件目錄權(quán)限為最小權(quán)限，限制對系統(tǒng)敏感資源的訪問加固檢查執(zhí)行以下命令檢查目錄和文件的權(quán)限設(shè)置情況：ls–l/etc/ls–l/etc/rc.d/init.d/ls–l/tmpls–l/etc/inetd.confls–l/etc/passwdls–l/etc/shadowls–l/etc/groupls–l/etc/securityls–l/etc/servicesls-l/etc/rc*.d加固標(biāo)準(zhǔn)重要目錄建議權(quán)限設(shè)置為750，僅允許root用戶可以讀、寫和執(zhí)行這個(gè)目錄下的腳本。控制點(diǎn)11:特殊權(quán)限SUID/SGID檢查；目的查找未授權(quán)的SUID/SGID文件加固檢查用下面的命令查找系統(tǒng)中所有的SUID和SGID程序，執(zhí)行：forPARTin`grep-v^#/etc/fstab|awk'($6!="0"){print$2}'`;dofind$PART\(-perm-04000-o-perm-02000\)-typef-xdev-printDone查看是否具有未授權(quán)的SUID\SGID文件加固標(biāo)準(zhǔn)不存在未授權(quán)的SUID\SGID文件控制點(diǎn)12:目錄寫權(quán)限檢查；目的防止存在任意用戶均具有寫權(quán)限的目錄加固檢查在系統(tǒng)中定位任何人都有寫權(quán)限的目錄用下面的命令：forPARTin`awk'($3=="ext2"||$3=="ext3")\{print$2}'/etc/fstab`;dofind$PART-xdev-typed\(-perm-0002-a!-perm-1000\)-printDone查看是否有結(jié)果返回加固標(biāo)準(zhǔn)不存在任意用戶均具有寫權(quán)限的目錄控制點(diǎn)13:文件寫權(quán)限檢查；目的防止存在任意用戶均具有寫權(quán)限的文件加固檢查在系統(tǒng)中定位任何人都有寫權(quán)限的文件用下面的命令：forPARTin`grep-v^#/etc/fstab|awk'($6!="0"){print$2}'`;dofind$PART-xdev-typef\(-perm-0002-a!-perm-1000\)-printDone查看是否有結(jié)果返回加固標(biāo)準(zhǔn)不存在任意用戶均具有寫權(quán)限的文件控制點(diǎn)14:空屬主文件檢查；目的防止存在空屬主文件加固檢查定位系統(tǒng)中沒有屬主的文件用下面的命令：forPARTin`grep-v^#/etc/fstab|awk'($6!="0"){print$2}'`;dofind$PART-nouser-o-nogroup-printdone注意：不用管“/dev”目錄下的那些文件。加固標(biāo)準(zhǔn)不存在空屬主文件控制點(diǎn)15:異常隱含檢查；目的防止存在異常隱含文件加固檢查用“find”程序可以查找到這些隱含文件。例如：#find/-name"..*"-print–xdev#find/-name"…*"-print-xdev|cat-v同時(shí)也要注意象“.xx”和“.mail”這樣的文件名的?！策@些文件名看起來都很象正常的文件名〕加固標(biāo)準(zhǔn)不存在異常隱含文件控制點(diǎn)16:登錄超時(shí)檢查；目的設(shè)置登錄超時(shí)時(shí)間加固檢查使用命令“cat/etc/profile|grepTMOUT”查看TMOUT是否被設(shè)置加固標(biāo)準(zhǔn)設(shè)置超時(shí)時(shí)間為180控制點(diǎn)17:SSH平安連接檢查；目的遠(yuǎn)程連接使用加密協(xié)議加固檢查查看SSH效勞狀態(tài)：#servicesshstatus查看telnet效勞狀態(tài)：#servicetelnetstatus加固標(biāo)準(zhǔn)關(guān)閉telnet，遠(yuǎn)程連接使用SSH協(xié)議控制點(diǎn)18:超級用戶登錄檢查；目的禁止root用戶遠(yuǎn)程登錄