2024企業(yè)網(wǎng)絡(luò)信息安全防護(hù)技術(shù)標(biāo)準(zhǔn)

企業(yè)網(wǎng)絡(luò)信息安全防護(hù)技術(shù)標(biāo)準(zhǔn)第第2頁(yè)共133頁(yè)目錄引言 6編目的 6編原則 6編依據(jù) 6術(shù)、定、符及縮語(yǔ) 6適范圍 6規(guī)性引文件 7安保障 8安保障組 8安保障法 9現(xiàn)７Ｘ２４小值班（相涉密作人名單做公） 9預(yù)平臺(tái)７Ｘ２４時(shí)值（相涉密作人名單做公） 10工時(shí)間全保障 10網(wǎng)安全務(wù)檢測(cè) 12整網(wǎng)絡(luò)全服框架 12資調(diào)研梳理 13風(fēng)評(píng)估 135.3.1安掃描 135.3.2.安配置查 15滲測(cè)試 38web安加固 50業(yè)系統(tǒng)脅 51業(yè)安全 51業(yè)安全試內(nèi)容 51業(yè)安全測(cè) 55安測(cè)試果輸出 57網(wǎng)安全構(gòu)分析 58網(wǎng)安全險(xiǎn)分析 58主安全險(xiǎn)分析 58應(yīng)安全險(xiǎn)分析 59數(shù)安全備份復(fù) 59專(zhuān)安全查 60webshell后檢查 60web日分析查 61系登錄志專(zhuān)檢查 62安管理詢 63安管理針和標(biāo) 64信安全理方法 64信安全理體控制域 68ISMS建過(guò)程 69現(xiàn)信息全管制度系分析 75基標(biāo)準(zhǔn)信息全管體系計(jì) 76信安全理制文檔系 77信安全略 81流化解的問(wèn)題 95使全制執(zhí)行實(shí)落地 95輔決策 95安運(yùn)維系建設(shè) 96安巡檢 97安巡檢述 97安巡檢容 98防毒安巡檢 99數(shù)備份檢 99物機(jī)房檢 99定漏洞描 99安應(yīng)急練及應(yīng) 99應(yīng)響預(yù)制定 100應(yīng)響應(yīng)施 101應(yīng)響應(yīng)劃維與演練 103安應(yīng)急應(yīng)實(shí)方案 103應(yīng)響應(yīng)件總與報(bào)歸檔 105防墻策檢查優(yōu)化 1065.10.1策檢查優(yōu)化容 106漏預(yù)警通告 107整網(wǎng)絡(luò)全防策略 108安防護(hù)計(jì) 108網(wǎng)安全護(hù) 109網(wǎng)防火墻 109DDOS防護(hù) 110防毒網(wǎng)關(guān) 1106.2.4VPN 110應(yīng)及數(shù)安全護(hù) 111WEB應(yīng)防火墻 111網(wǎng)云防系統(tǒng) 111數(shù)庫(kù)安防護(hù) 111內(nèi)安全護(hù) 112運(yùn)堡壘機(jī) 112綜日志計(jì) 112態(tài)實(shí)時(shí)測(cè) 112終安全護(hù) 112攻應(yīng)急置技術(shù) 113DDOS攻處置 113攻介紹 113攻防護(hù) 114CC攻處置 116攻介紹 116攻防護(hù) 116WEB入攻擊置 118攻介紹 118攻防護(hù) 118木后門(mén)置 119攻介紹 119攻防護(hù) 119異日志析處置 126日分析法 126日分析圍 132未威脅置 132攻介紹 132攻防護(hù) 133測(cè)方法 133引言編寫(xiě)目的編寫(xiě)原則有效性以實(shí)戰(zhàn)及實(shí)際場(chǎng)景為主，確保網(wǎng)絡(luò)安全應(yīng)急防護(hù)方案具備應(yīng)對(duì)實(shí)際攻擊處理的有效性。完整性安全攻擊處理以優(yōu)先保障網(wǎng)絡(luò)平臺(tái)的信息完整性，確保不被非法或惡意篡改。機(jī)密性安全防護(hù)重點(diǎn)落實(shí)數(shù)據(jù)的保密性，控制非法或越權(quán)訪問(wèn)等導(dǎo)致數(shù)據(jù)泄露等行為?？煽啃员M力保障網(wǎng)站系統(tǒng)的可用性及可靠性，在攻擊或異常情況發(fā)生時(shí)網(wǎng)站系統(tǒng)的可靠性保障。編寫(xiě)依據(jù)術(shù)語(yǔ)、定義、符號(hào)及縮略語(yǔ)適用范圍規(guī)范性引用文件《全國(guó)人大常委會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法》《國(guó)務(wù)院關(guān)于印發(fā)促進(jìn)大數(shù)據(jù)發(fā)展行動(dòng)綱要的通知》（國(guó)發(fā)〔2015〕50號(hào)）《國(guó)務(wù)院關(guān)于印發(fā)政務(wù)信息資源共享管理暫行辦法的通知》（國(guó)發(fā)〔2016〕51號(hào)）+（201655號(hào)）《國(guó)務(wù)院關(guān)于印發(fā)“十三五”國(guó)家信息化規(guī)劃的通知》（國(guó)發(fā)〔2016〕73號(hào)）《國(guó)務(wù)院辦公廳關(guān)于印發(fā)“互聯(lián)網(wǎng)+政務(wù)服務(wù)”技術(shù)體系建設(shè)指南的通知》（國(guó)辦函〔2016〕108號(hào)）《國(guó)務(wù)院辦公廳關(guān)于印發(fā)政務(wù)信息系統(tǒng)整合共享實(shí)施方案的通知》（國(guó)辦發(fā)〔2017〕39號(hào)）（GB/T35274-2017）（GB/T35273-2017）（GB/T31167-2014）《政務(wù)信息資源交換體系》（GB/T20162-2007）《WH/T52-2012管理元數(shù)據(jù)規(guī)范》《元數(shù)據(jù)注冊(cè)與管理》（GB/T30524-2014）TLS1.2-RFC5246TheSSLProtocolVersion3.0趙澤茂.數(shù)字簽名理論[M].北京:科學(xué)出版社,2007現(xiàn)代密碼學(xué)理論與實(shí)踐[M].北京:電子工業(yè)出版社,2006.HarnL,XuY,PerersenH.DesignofElGamaltypedigitalschemebasedondiscretelogarithm[J].Electronicsletters,1994,31(24):2025-2026.D.Johanson,A.Menezes,S.Vanstone.Theellipticcurvedigitalsignaturealgorithm(ECDSA).InternatinalJournalonInformationSecurity,2001,1:36-63.NybergK,RueppelRA.Messegerecoveryforsignatureschemsbasedonthediscretelogarithm[C].AdvancesinCryptology-Eurocrypt'94,Berlin:Springer-Verlag,1994.175-190安全保障安全保障小組安全保障辦法現(xiàn)場(chǎng)７Ｘ２４小時(shí)值班（相關(guān)涉密工作人員名單不做公開(kāi)）注冊(cè)網(wǎng)開(kāi)放期間，主機(jī)房７＊２４小時(shí)有人值守，現(xiàn)場(chǎng)值班人員名單分配如下：序號(hào)姓名值班時(shí)間電話郵箱１ＸＸＸ周一(8:00-20:00)白班ＸＸＸＸＸＸ２ＸＸＸ周一(20:00-8:00)夜班ＸＸＸＸＸＸ３ＸＸＸ周二(8:00-20:00)白班ＸＸＸＸＸＸ４ＸＸＸ周二(20:00-8:00)夜班ＸＸＸＸＸＸ５ＸＸＸ周三(8:00-20:00)白班ＸＸＸＸＸＸ6ＸＸＸ周三(20:00-8:00)夜班ＸＸＸＸＸＸ7ＸＸＸ周四(8:00-20:00)白班ＸＸＸＸＸＸ8ＸＸＸ周四(20:00-8:00)夜班ＸＸＸＸＸＸ9ＸＸＸ周五(8:00-20:00)白班ＸＸＸＸＸＸ10ＸＸＸ周五(20:00-8:00)夜班ＸＸＸＸＸＸ11ＸＸＸ周六(8:00-20:00)白班ＸＸＸＸＸＸ12ＸＸＸ周六(20:00-8:00)夜班ＸＸＸＸＸＸ13ＸＸＸ周日(8:00-20:00)白班ＸＸＸＸＸＸ14ＸＸＸ周日(20:00-8:00)夜班ＸＸＸＸＸＸ第第17頁(yè)共133頁(yè)預(yù)防平臺(tái)７Ｘ２４小時(shí)值守（相關(guān)涉密工作人員名單不做公開(kāi)）序號(hào)姓名值班時(shí)間電話郵箱１ＸＸＸ星期一ＸＸＸ２ＸＸＸ星期二ＸＸＸ３ＸＸＸ星期三ＸＸＸ４ＸＸＸ星期四ＸＸＸ５ＸＸＸ星期五ＸＸＸ6ＸＸＸ星期六ＸＸＸ7ＸＸＸ星期日ＸＸＸ工作時(shí)間安全保障正常工作日時(shí)間，由安全保障小組駐守市民中心，提供安全保障服務(wù)，安全保障小組人員及工作職責(zé)如下：序號(hào)姓名電話職責(zé)郵箱１ＸＸＸＸＸＸ組長(zhǎng)ＸＸＸ２ＸＸＸＸＸＸ組員ＸＸＸ３ＸＸＸＸＸＸ組員ＸＸＸ４ＸＸＸＸＸＸ組員ＸＸＸ５ＸＸＸＸＸＸ組員ＸＸＸ組長(zhǎng)：ＸＸＸ組員：ＸＸＸ，ＸＸＸ，ＸＸＸ及其他需協(xié)調(diào)人員小組職責(zé)安全配置檢查。安全漏洞掃描。安全滲透測(cè)試。安全應(yīng)急響應(yīng)及演練。突然安全事件處置。安全攻擊行為處置。安全攻擊行為調(diào)查取證。協(xié)助安全加固整改。安全事件分析。安全保障值守反制攻擊行為執(zhí)行(需網(wǎng)警配合)。工作要求：上線前，全面安全配置核查及掃描。上線前，全面滲透測(cè)試及協(xié)助漏洞加固。正式開(kāi)放前，執(zhí)行攻防演練及應(yīng)急演練。保障期間，至少每周執(zhí)行一次安全配置檢查。保障期間，至少每周執(zhí)行一次安全掃描。每周提取一次日志，并對(duì)日志進(jìn)行全面分析，提供日志給國(guó)安部門(mén)。保障期間，每發(fā)生一次系統(tǒng)變更時(shí)，至少執(zhí)行一次安全配置檢查和掃描。保障期間，每日均需執(zhí)行可控滲透測(cè)試及系統(tǒng)安全情況分析。系統(tǒng)試用運(yùn)行期間，嚴(yán)禁惡意或帶有破壞性的滲透測(cè)試及其他行為。保障期間，工作時(shí)間，安排人員現(xiàn)場(chǎng)值守。7*24保障期間，應(yīng)急響應(yīng)，確保至多一小時(shí)內(nèi)到達(dá)現(xiàn)場(chǎng)。遵守安全工作制度及峰網(wǎng)絡(luò)安全服務(wù)檢測(cè)整體網(wǎng)絡(luò)安全服務(wù)框架IT基礎(chǔ)架構(gòu)的安全建設(shè)，優(yōu)化、調(diào)整和挖掘潛力，提升整體信息安全的保資產(chǎn)調(diào)研與梳理對(duì)主機(jī)、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫(kù)、應(yīng)用系統(tǒng)資產(chǎn)進(jìn)行調(diào)研梳理，可分為：資產(chǎn)管理：權(quán)限梳理：信息系統(tǒng)中資產(chǎn)權(quán)限梳理、權(quán)限變化梳理、有效賬戶與冗余賬戶梳理。敏感數(shù)據(jù)梳理：資產(chǎn)使用梳理：風(fēng)險(xiǎn)評(píng)估安全掃描掃描目標(biāo)掃描目標(biāo)目標(biāo)類(lèi)型掃描方式掃描策略http://www.掃描目標(biāo).com/門(mén)戶網(wǎng)站內(nèi)網(wǎng)掃描主機(jī)漏洞掃描、Web漏洞掃描、弱密碼漏洞掃描http://web.掃描目標(biāo).com/應(yīng)用系統(tǒng)內(nèi)網(wǎng)掃描主機(jī)漏洞掃描、Web漏洞掃描、弱密碼漏洞掃描http://web2.掃描目標(biāo).com/應(yīng)用系統(tǒng)內(nèi)網(wǎng)掃描主機(jī)漏洞掃描、Web漏洞掃描、弱密碼漏洞掃描http://web3.掃描目標(biāo).com/應(yīng)用系統(tǒng)內(nèi)網(wǎng)掃描測(cè)試主機(jī)漏洞掃描、Web漏洞掃描、弱密碼漏洞掃描安全掃描實(shí)施內(nèi)容項(xiàng)目經(jīng)理與委托單位就漏洞掃描項(xiàng)目進(jìn)行前期溝通，接收被測(cè)單位提交的網(wǎng)絡(luò)狀況資IP實(shí)施過(guò)程中需要評(píng)估的項(xiàng)目包括但不限于：主機(jī)環(huán)境漏洞掃描。Web弱密碼漏洞掃描。掃描方案確定，開(kāi)始執(zhí)行掃描任務(wù)，按照客戶的掃描要求配置漏洞掃描策略進(jìn)行掃描。端口掃描階段，本階段主要是對(duì)目標(biāo)對(duì)外開(kāi)放的端口和服務(wù)進(jìn)行掃描，從而收集相關(guān)的信息。主機(jī)漏洞掃描階段，本階段主要是對(duì)目標(biāo)的主機(jī)環(huán)境進(jìn)行安全掃描。WebWebFTP、SQLServer、RDP清除總結(jié)階段，清除在客戶系統(tǒng)中產(chǎn)生的痕跡和中間數(shù)據(jù)，然后根據(jù)以上階段內(nèi)容總結(jié)編寫(xiě)《安全掃描服務(wù)報(bào)告》。安全掃描風(fēng)險(xiǎn)規(guī)避人員值守配合掃描時(shí)段選擇一般會(huì)選擇在夜間或安排在業(yè)務(wù)量不大的時(shí)段進(jìn)行漏洞掃描。掃描策略集選擇掃描前應(yīng)進(jìn)行備份，根據(jù)系統(tǒng)的具體情況配置合理的掃描策略。安全掃描成果交付《漏洞掃描服務(wù)報(bào)告》漏洞掃描結(jié)果漏洞解決方案安全配置檢查checklist配置檢測(cè)支持包含如下：操作系統(tǒng)：AIX、Linux、Soalris、Windows、HP-UX數(shù)據(jù)庫(kù)：Mysql、SQLSERVER、Oracle、SYBASE、DB2網(wǎng)絡(luò)設(shè)備：CISCO、H3C防火墻、Hillstone防火墻、Huawei防火墻、中興交換機(jī)應(yīng)用程序：APACHE、IIS、Nginx、Resin、Tomcat、Weblogic網(wǎng)絡(luò)配置檢查例：cisco路由器編號(hào)：安全要求-設(shè)備-通用-配置-3-可選要求內(nèi)容限制具備管理員權(quán)限的用戶遠(yuǎn)程登錄。遠(yuǎn)程執(zhí)行管理員權(quán)限操作，操作指南1．參考配置操作Router#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#servicepassword-encryptionRouter(config)#usernamenormaluserpassword3d-zirc0niaRouter(config)#usernamenormaluserprivilege1Router(config)#linevty04Router(config-line)#loginlocalRouter(config-line)#exec-timeout50Router(config-line)#end2．補(bǔ)充操作說(shuō)明設(shè)定賬號(hào)密碼加密保存normaluser1；設(shè)定遠(yuǎn)程登錄啟用路由器賬號(hào)驗(yàn)證；設(shè)定超時(shí)時(shí)間為5分鐘；檢測(cè)方法1.判定條件I.VTY使用用戶名和密碼的方式進(jìn)行連接驗(yàn)證II.2、賬號(hào)權(quán)限級(jí)別較低，例如：I2.檢測(cè)操作showrunning-configrunning-configBuildingconfiguration...Currentconfiguration:!servicepassword-encryptionusernamenormaluserpassword3d-zirc0niausernamenormaluserprivilege1linevty04loginlocal安全要求-設(shè)備-通用-配置-4要求內(nèi)容6字、小寫(xiě)字母、大寫(xiě)字母和特殊符號(hào)4類(lèi)中至少2類(lèi)。操作指南參考配置操作Router#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#aaanew-modelRouter(config)#aaaauthenticationlogindefaultgrouptacacs+Router(config)#aaaauthenticationenabledefaultgrouptacacs+Router(config)#tacacs-serverhost8Router(config)#tacacs-serverkeyIr3@1yh8n#w9@swDRouter(config)#endRouter#補(bǔ)充操作說(shuō)明與外部TACACSserver8TACACS+serveryaTACACSserver檢測(cè)方法此項(xiàng)無(wú)法通過(guò)配置實(shí)現(xiàn)，建議通過(guò)管理實(shí)現(xiàn)2.檢測(cè)操作此項(xiàng)無(wú)法通過(guò)配置實(shí)現(xiàn)，建議通過(guò)管理實(shí)現(xiàn)編號(hào)：安全要求-設(shè)備-通用-配置-9要求內(nèi)容操作指南1．參考配置操作Router#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#servicepassword-encryptionRouter(config)#usernamenormaluserpassword3d-zirc0niaRouter(config)#usernamenormaluserprivilege1Router(config)#privilegeexeclevel15connectRouter(config)#privilegeexeclevel15telnetRouter(config)#privilegeexeclevel15rloginRouter(config)#privilegeexeclevel15showipaccess-listsRouter(config)#privilegeexeclevel15showaccess-listsRouter(config)#privilegeexeclevel15showloggingRouter(config)#!ifSSHissupported..Router(config)#privilegeexeclevel15sshRouter(config)#privilegeexeclevel1showip2．補(bǔ)充操作說(shuō)明基本思想是創(chuàng)建賬號(hào)并賦予不同的權(quán)限級(jí)別，并將各命令綁定在不同的權(quán)限級(jí)別上；上例操作過(guò)程如下：設(shè)定賬號(hào)密碼加密保存創(chuàng)建normaluser賬號(hào)并指定權(quán)限級(jí)別為1；connect、telnet、rlogin、showipaccess-lists、showaccess-listsshowloggingssh15將showip指定為僅當(dāng)賬號(hào)權(quán)限級(jí)別大于1時(shí)才可使用；檢測(cè)方法1.判定條件用戶名綁定權(quán)限級(jí)別2.檢測(cè)操作showrunning-configrunning-configBuildingconfiguration...Currentconfiguration:!usernamenormaluserpassword3d-zirc0niausernamenormaluserprivilege1privilegeexeclevel15connectprivilegeexeclevel15telnetprivilegeexeclevel15rloginprivilegeexeclevel15showipaccess-listsprivilegeexeclevel15showaccess-listsprivilegeexeclevel15showloggingprivilegeexeclevel15sshprivilegeexeclevel1showip編號(hào)：安全要求-設(shè)備-通用-配置-14-可選要求內(nèi)容設(shè)備應(yīng)支持遠(yuǎn)程日志功能。所有設(shè)備日志均能通過(guò)遠(yuǎn)程日志功能傳輸?shù)饺罩痉?wù)器。設(shè)備應(yīng)支持至少一種通用的遠(yuǎn)程標(biāo)準(zhǔn)日志接口，如SYSLOG、FTP等。操作指南參考配置操作路由器側(cè)配置：Router#configEnterconfigurationcommands,oneperline.EndwithCNTL/ZRouter(config)#loggingonRouter(config)#loggingtrapinformationRouter(config)#logging00Router(config)#loggingfacilitylocal6Router(config)#loggingsource-interfaceloopback0Router(config)#exitRouter#showloggingSysloglogging:enabled(0messagesdropped,11flushes,0overruns)Consolelogging:levelnotifications,35messagesloggedMonitorlogging:leveldebugging,35messagesloggedBufferlogging:levelinformational,31messagesloggedLoggingto00,28messagelineslogged..Router#補(bǔ)充操作說(shuō)明Irouter00syslog啟用日志記錄日志級(jí)別設(shè)定“information”記錄日志類(lèi)型設(shè)定“l(fā)ocal6”日志發(fā)送到00日志發(fā)送源是loopback0配置完成可以使用“showlogging”驗(yàn)證服務(wù)器側(cè)配置參考如下：SyslogSyslog.conf#Saveroutermessagestorouters.loglocal6.debug/var/log/routers.log創(chuàng)建日志文件#touch/var/log/routers.logII. snmptEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#loggingtrapinformationRouter(config)#snmp-serverhost00trapspublicRouter(config)#snmp-servertrap-sourceloopback0Router(config)#snmp-serverenabletrapssyslogRouter(config)#exitRouter#檢測(cè)方法1.判定條件SyslogloggingSNMPloggingenabled”LoggingtoIPIII. 2.檢測(cè)操作showloggingRouter#showloggingSysloglogging:enabledConsolelogging:disabledMonitorlogging:leveldebugging,266messageslogged.Traplogging:levelinformational,266messageslogged.Loggingto38SNMPlogging:disabled,retransmissionafter30seconds0messagesloggedRouter#編號(hào)：安全要求-設(shè)備-通用-配置-16-可選要求內(nèi)容TCP/UDPIPTCPUDPIP操作指南1．參考配置操作DNSaccess-list140permitudpanyhosteq53Router(config)#access-list140denyudpanyanylog/16DNSRouter(config)#access-list140permittcpany55Router(config)#access-list140denyipanyanylog2．補(bǔ)充操作說(shuō)明訪問(wèn)控制列表命令格式：標(biāo)準(zhǔn)訪問(wèn)控制列表access-listlist-number{deny|permit}source[source-wildcard][log]擴(kuò)展訪問(wèn)控制列表access-listlist-number{deny|permit}protocolsourcesource-wildcardsource-qualifiersdestinationdestination-wildcarddestination-qualifiers[log|log-input]檢測(cè)方法1.判定條件acl；IPIPany2.檢測(cè)操作showipaccess-list[access-list-number|name如下例：Router#showipaccess-listExtendedIPaccesslist101denyudpanyanyeqntppermittcpanyanypermitudpanyanyeqtftppermiticmpanyanypermitudpanyanyeqdomain編號(hào)：安全要求-設(shè)備-通用-配置-17-可選要求內(nèi)容IPSSH操作指南1．參考配置操作router#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.router(config)#hostnameRouterRouter(config)#ipdomain-nameRouter.domain-name配置訪問(wèn)控制列表Router(config)#noaccess-listRouter(config)#access-list12permithost00Router(config)#linevty04Router(config-line)#access-class12inRouter(config-line)#exit配置賬號(hào)和連接超時(shí)Router(config)#servicepassword-encryptionRouter(config)#usernamenormaluserpassword3d-zirc0niaRouter(config)#usernamenormaluserprivilege1Router(config)#linevty04Router(config-line)#loginlocalRouter(config-line)#exec-timeout50rsaRouter(config)#cryptokeygeneratersaThenameforthekeyswillbe:Router.domain-nameChoosethesizeofthekeymodulusintherangeof360to2048foryourGeneralPurposeKeys.Choosingakeymodulusgreaterthan512maytakeafewminutes.Howmanybitsinthemodulus[512]:2048GeneratingRSAKeys...[OK]sshsshRouter(config-line)#exitRouter(config)#2．補(bǔ)充操作說(shuō)明配置描述：ssh00ssh配置遠(yuǎn)程訪問(wèn)里連接超時(shí)rsarsasshdrsasshdssh操作系統(tǒng)配置檢查例：HP-UX系統(tǒng)編號(hào)：安全要求-設(shè)備-HP-UX-配置-1要求內(nèi)容應(yīng)按照不同的用戶分配不同的賬號(hào)，避免不同用戶間共享賬號(hào)，避免用戶賬號(hào)和設(shè)備間通信使用的賬號(hào)共享。操作指南1、參考配置操作為用戶創(chuàng)建賬號(hào)：#useraddusername#創(chuàng)建賬號(hào)#passwdusername#設(shè)置密碼修改權(quán)限：#chmod750directory#其中755為設(shè)置的權(quán)限，可根據(jù)實(shí)際情況設(shè)置相應(yīng)的權(quán)限，directory是要更改權(quán)限的目錄)使用該命令為不同的用戶分配不同的賬號(hào)，設(shè)置不同的口令及權(quán)限信息等。2、補(bǔ)充操作說(shuō)明檢測(cè)方法1、判定條件能夠登錄成功并且可以進(jìn)行常用操作；2、檢測(cè)操作使用不同的賬號(hào)進(jìn)行登錄并進(jìn)行一些常用操作；3、補(bǔ)充說(shuō)明編號(hào)：安全要求-設(shè)備-HP-UX-配置-2要求內(nèi)容應(yīng)刪除或鎖定與設(shè)備運(yùn)行、維護(hù)等工作無(wú)關(guān)的賬號(hào)。系統(tǒng)內(nèi)存在不可刪除的內(nèi)置賬號(hào)，包括root,bin等。操作指南1、參考配置操作刪除用戶：#userdelusername;鎖定用戶：修改/etc/shadowNP將/etc/passwdshell/bin/noshell3)#passwd-lusername只有具備超級(jí)用戶權(quán)限的使用者方可使用，#passwdlusername#passwddusername2、補(bǔ)充操作說(shuō)明需要鎖定的用戶：lp,nuucp,hpdb,www,demon。檢測(cè)方法1、判定條件被刪除或鎖定的賬號(hào)無(wú)法登錄成功；2、檢測(cè)操作使用刪除或鎖定的與工作無(wú)關(guān)的賬號(hào)登錄系統(tǒng)；3、補(bǔ)充說(shuō)明需要鎖定的用戶：lp,nuucp,hpdb,www,demon。編號(hào)：安全要求-設(shè)備-HP-UX-配置-3要求內(nèi)容限制具備超級(jí)管理員權(quán)限的用戶遠(yuǎn)程登錄。遠(yuǎn)程執(zhí)行管理員權(quán)限操作，應(yīng)先以普通權(quán)限用戶遠(yuǎn)程登錄后，再切換到超級(jí)管理員權(quán)限賬號(hào)后執(zhí)行相應(yīng)操作。操作指南1、 參考配置操作編輯/etc/securetty，加上：console保存后退出，并限制其他用戶對(duì)此文本的所有權(quán)限：chownroot:sys/etc/securettychmod600/etc/securettyroottelnetssh2、補(bǔ)充操作說(shuō)明rootssh/etc/ssh/sshd_configPermitRootLoginyesPermitRootLoginno，重啟sshd檢測(cè)方法1、判定條件root遠(yuǎn)程登錄不成功，提示“Notonsystemconsole”；普通用戶可以登錄成功，而且可以切換到root用戶；2、檢測(cè)操作root從遠(yuǎn)程使用telnet登錄；telnetrootssh普通用戶從遠(yuǎn)程使用ssh登錄；3、補(bǔ)充說(shuō)明限制rootssh/etc/ssh/sshd_configPermitRootLoginyesPermitRootLoginnosshd服務(wù)。編號(hào)：安全要求-設(shè)備-HP-UX-配置-4-可選要求內(nèi)容根據(jù)系統(tǒng)要求及用戶的業(yè)務(wù)需求，建立多帳戶組，將用戶賬號(hào)分配到相應(yīng)的帳戶組。操作指南1、參考配置操作創(chuàng)建帳戶組：#groupaddgGIDgroupnameGIDGIDGID#usermod–ggroupusername#將用戶username分配到group組中。GID：#idusername可以根據(jù)實(shí)際需求使用如上命令進(jìn)行設(shè)置。2、補(bǔ)充操作說(shuō)明gGID0499binmail499。GID當(dāng)grop_nmegropaddnewgrp命令進(jìn)行更改，如#newgrpsyssys檢測(cè)方法1、判定條件可以查看到用戶賬號(hào)分配到相應(yīng)的帳戶組中；或都通過(guò)命令檢查賬號(hào)是否屬于應(yīng)有的組：#idusername2、檢測(cè)操作查看組文件：cat/etc/group3、補(bǔ)充說(shuō)明文件中的格式說(shuō)明：group_name::GID:user_list編號(hào)：安全要求-設(shè)備-HP-UX-配置-5-可選要求內(nèi)容對(duì)系統(tǒng)賬號(hào)進(jìn)行登錄限制，確保系統(tǒng)賬號(hào)僅被守護(hù)進(jìn)程和服務(wù)使用，不應(yīng)直接由該賬號(hào)登錄系統(tǒng)。如果系統(tǒng)沒(méi)有應(yīng)用這些守護(hù)進(jìn)程或服務(wù)，應(yīng)刪除這些賬號(hào)。操作指南1、參考配置操作禁止賬號(hào)交互式登錄：foruserinwwwsyssmbnulliwwwowwwsshd\hpsmhnameduucpnuucpadmdaemonbinlp\nobodynoaccesshpdbuseradm;dopasswd–l"$user"/usr/sbin/usermod-s/bin/false"$user"if[["$(uname-r)"=B.10*]];then/usr/lbin/modprpw-w"*""$user"else/usr/lbin/modprpw-w"$user"fidone刪除賬號(hào)：#userdelusername;2、補(bǔ)充操作說(shuō)明wwwsyssmbnulliwwwowwwsshdhpsmhnameduucpnuucpadmdaemonbinlpnobodynoaccesshpdbuseradm.檢測(cè)方法1、判定條件被禁止賬號(hào)交互式登錄的帳戶遠(yuǎn)程登錄不成功；2、檢測(cè)操作rootloginincorrectroot3、補(bǔ)充說(shuō)明數(shù)據(jù)庫(kù)配置檢查例：oracle數(shù)據(jù)庫(kù)ORACLE要求內(nèi)容應(yīng)按照用戶分配賬號(hào)，避免不同用戶間共享賬號(hào)。操作指南1、 參考配置操作createuserabc1identifiedbypassword1;createuserabc2identifiedbypassword2;建立role，并給role授權(quán)，把role賦給不同的用戶2、 補(bǔ)充操作說(shuō)明1abc1abc2檢測(cè)方法3、 判定條件不同名稱(chēng)的用戶可以連接數(shù)據(jù)庫(kù)4、 檢測(cè)操作connectabc1/password1連接數(shù)據(jù)庫(kù)成功5、補(bǔ)充說(shuō)明編號(hào)：安全要求-設(shè)備-ORACLE-配置-2-可選要求內(nèi)容應(yīng)刪除或鎖定與數(shù)據(jù)庫(kù)運(yùn)行、維護(hù)等工作無(wú)關(guān)的賬號(hào)。操作指南1、 參考配置操作alteruserusernamelock;dropuserusernamecascade;2、 補(bǔ)充操作說(shuō)明檢測(cè)方法3、 判定條件首先鎖定不需要的用戶在經(jīng)過(guò)一段時(shí)間后，確認(rèn)該用戶對(duì)業(yè)務(wù)確無(wú)影響的情況下，可以刪除4、檢測(cè)操作5、補(bǔ)充說(shuō)明編號(hào)：安全要求-設(shè)備-ORACLE-配置-3要求內(nèi)容限制具備數(shù)據(jù)庫(kù)超級(jí)管理員（SYSDBA）權(quán)限的用戶遠(yuǎn)程登錄。（導(dǎo)致數(shù)據(jù)庫(kù)重起后，無(wú)法打開(kāi)數(shù)據(jù)庫(kù)）操作指南1、參考配置操作spfileREMOTE_LOGIN_PASSWORDFILE=NONEsqlnet.oraSQLNET.AUTHENTICATION_SERVICES=NONESYSDBA2、補(bǔ)充操作說(shuō)明檢測(cè)方法3、判定條件Sql*NetSYSDBAsqlplus/assysdba’連接到數(shù)據(jù)庫(kù)需要輸入口令。4、檢測(cè)操作Oraclesqlplus/assysdbasqlplusshowparameterNONE。ShowparameterREMOTE_LOGIN_PASSWORDFILE檢查在$ORACLE_HOME/network/admin/sqlnet.oraNONE。5、補(bǔ)充說(shuō)明編號(hào)：安全要求-設(shè)備-ORACLE-配置-8要求內(nèi)容在數(shù)據(jù)庫(kù)權(quán)限配置能力內(nèi)，根據(jù)用戶的業(yè)務(wù)需要，配置其所需的最小權(quán)限。操作指南1、參考配置操作grant權(quán)限tousername;revoke權(quán)限fromusername;2、補(bǔ)充操作說(shuō)明用第一條命令給用戶賦相應(yīng)的最小權(quán)限用第二條命令收回用戶多余的權(quán)限檢測(cè)方法3、判定條件4、檢測(cè)操作5、補(bǔ)充說(shuō)明編號(hào)：安全要求-設(shè)備-ORACLE-配置-9要求內(nèi)容使用數(shù)據(jù)庫(kù)角色（ROLE）來(lái)管理對(duì)象的權(quán)限。操作指南1、參考配置操作CreateRoleGrantRole2、補(bǔ)充操作說(shuō)明檢測(cè)方法3、判定條件DBARoleDBAsqlplusdba_role_privs、dba_sys_privsdba_tab_privsROLE5、補(bǔ)充說(shuō)明編號(hào)：安全要求-設(shè)備-ORACLE-配置-10-可選要求內(nèi)容對(duì)用戶的屬性進(jìn)行控制，包括密碼策略、資源限制等。操作指南1、參考配置操作可通過(guò)下面類(lèi)似命令來(lái)創(chuàng)建profile，并把它賦予一個(gè)用戶CREATEPROFILEapp_user2LIMITFAILED_LOGIN_ATTEMPTS6PASSWORD_LIFE_TIME60PASSWORD_REUSE_TIME60PASSWORD_REUSE_MAX5PASSWORD_VERIFY_FUNCTIONverify_functionPASSWORD_LOCK_TIME1/24PASSWORD_GRACE_TIME90;ALTERUSERjdPROFILEapp_user2;2、補(bǔ)充操作說(shuō)明檢測(cè)方法3、判定條件profileprofileCPUDBAsqlplus查詢視圖dba_profilesdba_usresprofile編號(hào)：安全要求-設(shè)備-ORACLE-配置-13要求內(nèi)容啟用數(shù)據(jù)字典保護(hù)，只有SYSDBA用戶才能訪問(wèn)數(shù)據(jù)字典基礎(chǔ)表。操作指南1、參考配置操作SYSDBAO7_DICTIONARY_ACCESSIBILITY=FALSE2、補(bǔ)充操作說(shuō)明檢測(cè)方法3、判定條件以普通dba用戶登陸到數(shù)據(jù)庫(kù)，不能查看X$開(kāi)頭的表，比如：select*fromsys.x$ksppi;4、檢測(cè)操作Oraclesqlplus/assysdbasqlplusshowparameterFALSE。ShowparameterO7_DICTIONARY_ACCESSIBILITY5、補(bǔ)充說(shuō)明滲透測(cè)試（滲透測(cè)試報(bào)告的價(jià)值直接依賴于測(cè)試者的專(zhuān)業(yè)技能滲透測(cè)試目標(biāo)掃描目標(biāo)目標(biāo)類(lèi)型掃描方式掃描策略http://www.滲透目標(biāo).com/門(mén)戶網(wǎng)站內(nèi)網(wǎng)掃描主機(jī)漏洞掃描、Web漏洞掃描、弱密碼漏洞掃描http://web.滲透目標(biāo).com/應(yīng)用系統(tǒng)內(nèi)網(wǎng)掃描主機(jī)漏洞掃描、Web漏洞掃描、弱密碼漏洞掃描http://web2.應(yīng)用系統(tǒng)內(nèi)網(wǎng)掃描主機(jī)漏洞掃描、Web漏洞掃滲透目標(biāo).com/描、弱密碼漏洞掃描http://web3.滲透目標(biāo).com/應(yīng)用系統(tǒng)內(nèi)網(wǎng)掃描測(cè)試主機(jī)漏洞掃描、Web漏洞掃描、弱密碼漏洞掃描滲透測(cè)試工作標(biāo)準(zhǔn)依據(jù)如下標(biāo)準(zhǔn)實(shí)施滲透測(cè)試服務(wù)：GB/T18336-2001信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則。OSSTMM-Open-SourceSecurityTestingMethodologyManualISSAF-InformationSystemsSecurityAssessmentFrameworkOWASP-OpenWebApplicationSecurityProjectWASC-WebApplicationSecurityConsortium滲透測(cè)試前期準(zhǔn)備客戶書(shū)面同意確定滲透目標(biāo)范圍滲透測(cè)試時(shí)間范圍此外客戶可根據(jù)其對(duì)自身系統(tǒng)安全狀態(tài)的了解情況為滲透測(cè)試者規(guī)定一個(gè)測(cè)試時(shí)間窗，要求滲透測(cè)試者在此時(shí)間窗內(nèi)完成其滲透測(cè)試工作。IP確定滲透測(cè)試的人員風(fēng)險(xiǎn)規(guī)避措施滲透測(cè)試實(shí)施流程滲透測(cè)試流程：信息收集信息收集是指滲透實(shí)施前盡可能多地獲取目標(biāo)信息系統(tǒng)相關(guān)信息，例如網(wǎng)站注冊(cè)信息、弱點(diǎn)分析獲取權(quán)限對(duì)目標(biāo)信息系統(tǒng)滲透成功，獲取目標(biāo)信息系統(tǒng)普通權(quán)限。權(quán)限提升采用的技術(shù)手段主要是通過(guò)網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層三個(gè)方面進(jìn)行滲透測(cè)試。網(wǎng)絡(luò)層安全針對(duì)該系統(tǒng)所在網(wǎng)絡(luò)層進(jìn)行網(wǎng)絡(luò)拓?fù)涞奶綔y(cè)、路由測(cè)試、防火墻規(guī)則試探、規(guī)避測(cè)試、Vlan由于服務(wù)器系統(tǒng)和網(wǎng)絡(luò)設(shè)備研發(fā)生產(chǎn)過(guò)程中所固有的安全隱患及系統(tǒng)管理員或網(wǎng)絡(luò)管理員的疏忽，一般網(wǎng)絡(luò)層安全漏洞包括以下安全威脅：明文保存密碼由于管理員的疏忽，設(shè)備配置密碼以明文的方式保存，這帶來(lái)了一定的安全威脅。未配置登錄超時(shí)AAA系統(tǒng)沒(méi)有配置統(tǒng)一的AAA認(rèn)證，這不便于權(quán)限的管理。ACL交換機(jī)沒(méi)有配置管理IP的ACL，可導(dǎo)致任意地址訪問(wèn)設(shè)備，應(yīng)該增加ACL進(jìn)行限制。其他配置問(wèn)題系統(tǒng)層安全版本過(guò)低（Apache版本過(guò)底，可能存在大量溢出漏洞）。遠(yuǎn)程溢出漏洞（使用者輸入?yún)?shù)對(duì)所接收數(shù)據(jù)本地提權(quán)漏洞本地提權(quán)漏洞是指低權(quán)限、受限制的用戶，可以提升到系統(tǒng)最高權(quán)限或比較大的權(quán)限，從而取得對(duì)網(wǎng)站服務(wù)器的控制權(quán)。弱口令權(quán)限過(guò)大權(quán)限過(guò)大是指某用戶操作權(quán)限超出他本身安全操作權(quán)限范圍之外，這存在一定的安全風(fēng)險(xiǎn)。高危服務(wù)/端口開(kāi)放系統(tǒng)很多高危服務(wù)和端口會(huì)被默認(rèn)開(kāi)放，例如，80，443，843，80018010，其中8001~8010TCPUDPSSH、Telnet、X-windows、Rlogin、ms-rpc、SNMP、FTP、TFTPIPC$連接允許匿名IPC$連接，是一個(gè)遠(yuǎn)程登錄功能，同時(shí)所有的邏輯盤(pán)(c$,d$,e$……)和系統(tǒng)目錄winnt或windows(admin$)資源可共享，存在一定的安全風(fēng)險(xiǎn)。其他配置問(wèn)題應(yīng)用層安全SQLCSRFSQLSQLSQLSQL跨站腳本XSSCSS(CrossSiteScriptExecution)，是指服務(wù)器端的CGIHTMLWEBHTML表單繞過(guò)SQL上傳漏洞上傳漏洞是指網(wǎng)站開(kāi)發(fā)者在開(kāi)發(fā)時(shí)在上傳頁(yè)面中針對(duì)文件格式（asp、php）和文webshell文件包含已知木馬PCPC敏感信息泄露WEBSQLSQL以下幾個(gè)是比較典型的敏感信息泄露漏洞：源碼信息泄露；……惡意代碼解析漏洞遠(yuǎn)程代碼執(zhí)行漏洞（有時(shí)我們?cè)谟脩粽J(rèn)證只顯示給用戶認(rèn)證過(guò)的任意文件讀取系統(tǒng)開(kāi)發(fā)過(guò)程中沒(méi)有重視安全問(wèn)題或使用不安全的第三方組件等，導(dǎo)致任意文件可讀取，可導(dǎo)致入侵者獲得數(shù)據(jù)庫(kù)權(quán)限，并利用數(shù)據(jù)庫(kù)提權(quán)進(jìn)一步獲得系統(tǒng)權(quán)限。目錄遍歷目錄遍歷是指由于程序中沒(méi)有過(guò)濾用戶輸入的../和./之類(lèi)的目錄跳轉(zhuǎn)符,導(dǎo)致攻擊者通過(guò)提交目錄跳轉(zhuǎn)來(lái)遍歷服務(wù)器上的任意文件。目錄列出URL（URL跨站請(qǐng)求偽造（Cross-siterequestforgeryoneclickattacksessionridingCSRFXSRFXSSXSSCSRFXSS攻擊相比，CSRF攻擊往往不大流行（因此對(duì)其進(jìn)行防范的資源也相當(dāng)稀少）和難以防范，所以被認(rèn)為比XSS更具危險(xiǎn)性。弱口令不安全對(duì)象引用安全配置錯(cuò)誤HTTP鏈接地址重定向（而某些程序在重定向的跳轉(zhuǎn)過(guò)程中，對(duì)重定向的地址未進(jìn)行必要的有效性和安全性檢URL，而導(dǎo)致用戶信息受損。跳轉(zhuǎn)漏洞URLXSS后臺(tái)管理會(huì)話管理會(huì)話管理主要是針對(duì)需授權(quán)的登錄過(guò)程的一種管理方式，以用戶密碼驗(yàn)證為常見(jiàn)方式，通過(guò)對(duì)敏感用戶登錄區(qū)域的驗(yàn)證，可有效校驗(yàn)系統(tǒng)授權(quán)的安全性，測(cè)試包含以下部分：用戶口令易猜解通過(guò)對(duì)表單認(rèn)證、HTTP是否存在驗(yàn)證碼防護(hù)是否存在易暴露的管理登錄地址某些管理地址雖無(wú)外部鏈接可介入，但由于采用了容易猜解的地址（如：admin）而導(dǎo)致登錄入口暴露，從而給外部惡意用戶提供了可乘之機(jī)。是否提供了不恰當(dāng)?shù)尿?yàn)證錯(cuò)誤信息HTTPFuzzingSession是否隨機(jī)SessionSessionSession校驗(yàn)前后Session是否變更SessionSession會(huì)話存儲(chǔ)是存儲(chǔ)于客戶端本地（cookie）還是存儲(chǔ)于服務(wù)端（Session無(wú)效驗(yàn)證碼目標(biāo)系統(tǒng)管理入口（或數(shù)據(jù)庫(kù)外部連接）存在缺少驗(yàn)證碼，攻擊者可利用弱口令漏洞，漏洞分級(jí)根據(jù)漏洞危害程度將漏洞等級(jí)分為高危、中危、低危三個(gè)級(jí)別：高危：漏洞很明顯，容易被利用，黑客通過(guò)該漏洞可獲取完全驗(yàn)證權(quán)限，執(zhí)行管理中危該漏洞需通過(guò)深入挖掘發(fā)現(xiàn)，攻擊者利用該漏洞可獲得敏感信息，影響到部分用戶，同時(shí)攻擊者在一定時(shí)間內(nèi)可重復(fù)攻擊。低危：該漏洞發(fā)現(xiàn)困難，利用難度大，重復(fù)攻擊難，危害影響小。系統(tǒng)備份與恢復(fù)措施網(wǎng)絡(luò)應(yīng)用系統(tǒng)類(lèi)：對(duì)網(wǎng)絡(luò)應(yīng)用服務(wù)系統(tǒng)及其配置、用戶信息、數(shù)據(jù)庫(kù)等進(jìn)行備份。網(wǎng)絡(luò)設(shè)備類(lèi)：對(duì)網(wǎng)絡(luò)設(shè)備的配置文件進(jìn)行備份。桌面系統(tǒng)類(lèi)：備份用戶信息，用戶文檔，電子郵件等信息資料。滲透測(cè)試風(fēng)險(xiǎn)交付交付成果報(bào)告列表：《滲透測(cè)試報(bào)告》滲透測(cè)試結(jié)果安全加固方案web安全專(zhuān)家針對(duì)源代碼、頁(yè)面以及網(wǎng)站中存在的安全漏洞，進(jìn)行點(diǎn)對(duì)點(diǎn)安全修復(fù)與加固。安全加固風(fēng)險(xiǎn)與控制措施安全加固和優(yōu)化服務(wù)存在以下安全風(fēng)險(xiǎn)：安全加固過(guò)程中的誤操作；安全加固后造成業(yè)務(wù)服務(wù)性能下降、服務(wù)中斷；廠家提供的加固補(bǔ)丁和工具可能存在新的漏洞，帶來(lái)新的風(fēng)險(xiǎn)；我們將采取以下措施，控制和避免上述風(fēng)險(xiǎn)：嚴(yán)格審核安全加固的流程和規(guī)范；嚴(yán)格審核安全加固的各子項(xiàng)內(nèi)容和加固操作方法、步驟，實(shí)施前進(jìn)行統(tǒng)一的培訓(xùn)；嚴(yán)格員工工作紀(jì)律和操作規(guī)范，實(shí)施前進(jìn)行統(tǒng)一的培訓(xùn)；制訂意外事件的緊急處理和恢復(fù)流程；收集系統(tǒng)信息做好備份工作webweb復(fù)查配置對(duì)加固后的系統(tǒng)，全部復(fù)查一次所作加固內(nèi)容，確保正確無(wú)誤。應(yīng)急恢復(fù)業(yè)務(wù)系統(tǒng)威脅業(yè)務(wù)安全業(yè)務(wù)安全測(cè)試內(nèi)容身份認(rèn)證安全sessioncookie暴力破解burpsuitesessioncookiesessionsessionIDIDsessionidCookiecooikiecookiecookie加密測(cè)試https業(yè)務(wù)一致性安全用戶信息篡改訂單/用戶/IDIDID（加減一）能夠查看其它用戶的訂單信息、或者IDID業(yè)務(wù)數(shù)據(jù)篡改測(cè)試業(yè)務(wù)數(shù)據(jù)的篡改常見(jiàn)于在商品的數(shù)量?jī)r(jià)格方面進(jìn)行繞過(guò)篡改，造成經(jīng)濟(jì)損失。金額數(shù)據(jù)修改商品數(shù)量修改jsJavascriptJavascript用戶輸入合規(guī)性XSSFUZZ密碼找回測(cè)試密碼是用戶的重要身份憑證之一，在測(cè)試用戶密碼時(shí)一般流程：首先嘗試正常密碼找回流程，選擇不同找回方式，記錄所有數(shù)據(jù)包；分析數(shù)據(jù)包，找到敏感部分；分析后臺(tái)找回機(jī)制所采用的驗(yàn)證手段；修改數(shù)據(jù)包驗(yàn)證推測(cè)。驗(yàn)證碼繞過(guò)測(cè)試驗(yàn)證碼不單單在登錄、找密碼應(yīng)用，提交敏感數(shù)據(jù)的地方也有類(lèi)似應(yīng)用，故單獨(dú)分類(lèi)，并進(jìn)一步詳情說(shuō)明。burpsuite驗(yàn)證碼時(shí)間、次數(shù)測(cè)試：抓取攜帶驗(yàn)證碼的數(shù)據(jù)包不斷重復(fù)提交，例如：在投訴建驗(yàn)證碼客戶端回顯測(cè)試：當(dāng)客戶端有需要和服務(wù)器進(jìn)行交互，發(fā)送驗(yàn)證碼時(shí)，即可使用瀏覽器調(diào)試功能就可看到客戶端與服務(wù)器進(jìn)行交互的詳細(xì)信息；驗(yàn)證碼繞過(guò)測(cè)試：當(dāng)?shù)谝徊较虻诙教D(zhuǎn)時(shí)，抓取數(shù)據(jù)包，對(duì)驗(yàn)證碼進(jìn)行篡改清空測(cè)試，驗(yàn)證該步驟驗(yàn)證碼是否可以繞過(guò)；jsjs未授權(quán)訪問(wèn)非授權(quán)訪問(wèn)是指用戶在沒(méi)有通過(guò)認(rèn)證授權(quán)的情況下能夠直接訪問(wèn)需要通過(guò)認(rèn)證才能訪越權(quán)訪問(wèn)垂直越權(quán)：垂直越權(quán)是指使用權(quán)限低的用戶可以訪問(wèn)權(quán)限較高的用戶；水平越權(quán)：水平越權(quán)是指相同權(quán)限的不同用戶可以互相訪問(wèn)。業(yè)務(wù)流程安全ABCDBDCCC重放攻擊（（重放（重放后被多次生成有效的業(yè)務(wù)或數(shù)據(jù)結(jié)果，可以造成惡意注冊(cè)、短信炸彈等漏洞。業(yè)務(wù)安全檢測(cè)業(yè)務(wù)安全檢測(cè)準(zhǔn)備2burpsuiteFiddlerFirefox+hackbarcookiemanagerpython等安全工具。業(yè)務(wù)安全檢測(cè)方案惡意注冊(cè)驗(yàn)證碼繞過(guò)6burpsuite密碼找回重置短信驗(yàn)證碼越權(quán)訪問(wèn)常見(jiàn)于任意修改用戶用戶名密碼資料、用戶銀行賬號(hào)信息、用戶購(gòu)買(mǎi)商品信息等。任意修改用戶資料BBABBAURLAB任意查詢修改用戶數(shù)據(jù)uid輸入數(shù)據(jù)合規(guī)性SQLSQLXSS業(yè)務(wù)流程繞過(guò)服務(wù)接口測(cè)試通過(guò)測(cè)試服務(wù)接口的功能來(lái)驗(yàn)證是否存在用戶可控的信息。安全測(cè)試結(jié)果輸出通過(guò)以上一系列的針對(duì)業(yè)務(wù)的檢測(cè)手段，可以快速發(fā)掘定位業(yè)務(wù)系統(tǒng)中存在的安全漏網(wǎng)絡(luò)安全架構(gòu)分析網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析網(wǎng)絡(luò)結(jié)構(gòu)存在單點(diǎn)故障，設(shè)備性能不足以支撐業(yè)務(wù)系統(tǒng)需求等原因造成網(wǎng)絡(luò)堵塞，業(yè)務(wù)丟包率較高。由于網(wǎng)絡(luò)互連引起越權(quán)訪問(wèn)、惡意攻擊、病毒入侵等原因，使得網(wǎng)絡(luò)邊界存在安全隱患。缺乏必要的身份鑒別、安全防范、安全審計(jì)等技術(shù)手段，容易造成設(shè)備的無(wú)權(quán)限訪問(wèn)和惡意更改設(shè)備參數(shù)。缺乏必要的網(wǎng)絡(luò)安全檢測(cè)、主動(dòng)防御設(shè)備，使得惡意攻擊、非法訪問(wèn)、網(wǎng)絡(luò)病毒、DOS（拒絕服務(wù)）/DDOS主機(jī)安全風(fēng)險(xiǎn)分析WindowsLinux都可能存在安全漏洞，影響主機(jī)運(yùn)行安全的風(fēng)險(xiǎn)主要有：缺乏必要的身份鑒別、安全審計(jì)等手段，容易造成設(shè)備的無(wú)權(quán)限訪問(wèn)和惡意更改設(shè)備參數(shù)。系統(tǒng)中殘存有未及時(shí)刪除的過(guò)期賬號(hào)、測(cè)試賬號(hào)、共享賬號(hào)、默認(rèn)用戶等可非法入侵的賬戶信息。病毒入侵導(dǎo)致信息泄漏、文件丟失、機(jī)器死機(jī)等不安全因素。應(yīng)用安全風(fēng)險(xiǎn)分析用戶賬號(hào)被非法使用，冒用他人身份非法訪問(wèn)信息系統(tǒng)，導(dǎo)致數(shù)據(jù)被非法竊取、非授權(quán)訪問(wèn)、惡意篡改等非法操作。應(yīng)用軟件存在漏洞或在開(kāi)發(fā)過(guò)程中存在后門(mén)，為黑客留下入侵的可操作性；同時(shí)軟數(shù)據(jù)安全及備份恢復(fù)在數(shù)據(jù)傳輸過(guò)程中無(wú)法檢測(cè)用戶數(shù)據(jù)和重要業(yè)務(wù)數(shù)據(jù)等在傳輸過(guò)程中是否受到破壞或因關(guān)鍵數(shù)據(jù)未及時(shí)備份，在主節(jié)點(diǎn)遭到破壞后無(wú)法及時(shí)進(jìn)行數(shù)據(jù)恢復(fù)。5）管理安全風(fēng)險(xiǎn)分析責(zé)權(quán)不明、管理混亂、沒(méi)有相應(yīng)的安全管理組織，缺少安全管理人員編制，安全管理組織不健全會(huì)造成上下級(jí)管理混亂，遇到突發(fā)情況時(shí)無(wú)法及時(shí)有效地進(jìn)行應(yīng)急響應(yīng)。人員安全意識(shí)淡薄，在日常工作中無(wú)意泄露系統(tǒng)口令、隨意放置操作員卡、私接外網(wǎng)、非法拷貝系統(tǒng)信息、私自安裝/卸載程序、違規(guī)操作、擅離崗位等均會(huì)造成安全隱患。人員分工和職責(zé)不明，缺乏必要的監(jiān)督、約束、獎(jiǎng)罰制度等造成的潛在管理風(fēng)險(xiǎn)。專(zhuān)項(xiàng)安全檢查webshellwebwebshellWebshellwebwebwebshell（webshellwebphp、asp、aspx、jspwebshellwebshellPHPwebshellASP/ASPXwebshell:JSP/JSPXwebshell:webWebwebIP，useragentApache日志格式:IIS日志格式例：日志匯總wvs掃描特征：系統(tǒng)登錄日志專(zhuān)項(xiàng)檢查通過(guò)對(duì)系統(tǒng)日志進(jìn)行分析，可以對(duì)登錄時(shí)間、登錄IP進(jìn)行判定，查找出可疑的登錄行為。LINUX日志示例：Windows登錄檢測(cè)：安全管理咨詢3-5制定安全策略，并根據(jù)策略完善相關(guān)制度體系；建立信息安全管理體系（ISMS），提升總體安全管理水平；IS27000ISMS建立安全運(yùn)維管理體系；結(jié)合信息安全整體規(guī)劃進(jìn)行實(shí)施；結(jié)合安全域劃分進(jìn)行實(shí)施；結(jié)合等級(jí)保護(hù)相關(guān)內(nèi)容進(jìn)行實(shí)施。安全管理方針和目標(biāo)信息安全管理方法ISO/IEC27001:2005PDCA建立健全信息安全管理體系的過(guò)程模式如下圖所示。信息安全管理體系的建立、實(shí)施、運(yùn)作、監(jiān)視、評(píng)審、保持和改進(jìn)的策劃活動(dòng)包括：1、信息安全管理體系的策劃與準(zhǔn)備。策劃與準(zhǔn)備階段主要是做好建立信息安全管理體系的各種前期工作。內(nèi)容包括教育培訓(xùn)、擬定計(jì)劃、信息安全管理現(xiàn)狀調(diào)查與風(fēng)險(xiǎn)評(píng)估，及信息安全管理體系設(shè)計(jì)。2、信息安全管理體系文件的編制。為實(shí)現(xiàn)風(fēng)險(xiǎn)控制、評(píng)價(jià)和改進(jìn)信息安全管理體系、實(shí)現(xiàn)持續(xù)改進(jìn)提供不可或缺的依據(jù)。3、信息安全管理體系運(yùn)行。信息安全管理體系文件編制完成以后，按照文件的控制要求進(jìn)行審核與批準(zhǔn)并發(fā)布實(shí)4、信息安全管理體系審核與評(píng)審。ISMS根據(jù)ISO/IEC27001:2005的要求，按以下步驟建立ISMS：ISMSISMS定義適用于行業(yè)的風(fēng)險(xiǎn)評(píng)估方法；識(shí)別信息系統(tǒng)涉及的資產(chǎn)面臨的各種風(fēng)險(xiǎn)；對(duì)各種風(fēng)險(xiǎn)加以評(píng)估，判斷風(fēng)險(xiǎn)是否可以接受或需要進(jìn)行必要的處置；選擇風(fēng)險(xiǎn)處置的控制目標(biāo)和控制方式；根據(jù)行業(yè)的信息安全方針，處置不可接受的風(fēng)險(xiǎn)。管理層批準(zhǔn)可接受的殘留風(fēng)險(xiǎn)；ISMS；ISMS在信息安全管理體系文件編制完成以后，分成兩個(gè)階段來(lái)實(shí)施并運(yùn)作ISMS：公布風(fēng)險(xiǎn)處置計(jì)劃；實(shí)施風(fēng)險(xiǎn)處置計(jì)劃以達(dá)到確定的控制目標(biāo)；評(píng)估控制措施的有效性；對(duì)員工進(jìn)行培訓(xùn)。PDCAISMSISMS實(shí)施程序及其他控制以及時(shí)檢測(cè)、響應(yīng)安全事故。ISMS執(zhí)行監(jiān)視程序和其它控制；及時(shí)檢測(cè)過(guò)程、結(jié)果中的錯(cuò)誤；及時(shí)識(shí)別失敗的或成功的安全違規(guī)和事故；決定反映業(yè)務(wù)優(yōu)先級(jí)的安全違規(guī)的解決措施。ISMS評(píng)審殘留風(fēng)險(xiǎn)和可接受風(fēng)險(xiǎn)的等級(jí)考慮以下方面的變化：組織結(jié)構(gòu)變化技術(shù)變革更新業(yè)務(wù)目標(biāo)和過(guò)程已識(shí)別的威脅外部事件如法律法規(guī)環(huán)境的變化、社會(huì)風(fēng)氣的變化ISMSISMSISMSISMSISMS訓(xùn)；溝通結(jié)果和措施并與所有相關(guān)方達(dá)成一致；確保改進(jìn)活動(dòng)達(dá)到了預(yù)期的目的。信息安全管理體系控制域ISO/IEC27001:2005《信息安全管理體系》，和行業(yè)管1111安全策略為信息安全提供管理指導(dǎo)和支持，并與業(yè)務(wù)要求和相關(guān)的法律法規(guī)保持一致。安全組織資產(chǎn)管理通過(guò)及時(shí)更新的信息資產(chǎn)目錄對(duì)信息資產(chǎn)進(jìn)行適當(dāng)?shù)谋Ｗo(hù)。人力資源安全物理環(huán)境安全防止對(duì)工作場(chǎng)所和信息的非法訪問(wèn)、破壞和干擾。通訊操作安全確保信息處理設(shè)施的正確和安全操作。訪問(wèn)控制控制對(duì)行業(yè)內(nèi)所有信息的訪問(wèn)行為。信息系統(tǒng)的獲取、開(kāi)發(fā)和維護(hù)確保安全始終成為信息系統(tǒng)在不同生命周期之中的一部分。信息安全事件管理確保與信息系統(tǒng)有關(guān)的安全事件和弱點(diǎn)的報(bào)告，以便及時(shí)采取糾正措施。業(yè)務(wù)連續(xù)性管理符合性管理避免違反法律、法規(guī)、規(guī)章、合同要求和其它安全要求。ISMSISO27001ISMSISO27001范圍信息安全管理體系建設(shè)和落實(shí)、培訓(xùn)等內(nèi)容。1ISO27001協(xié)助客戶進(jìn)行信息安全管理體系進(jìn)行發(fā)布、宣貫和培訓(xùn)；面向試點(diǎn)單位各層面宣貫本次服務(wù)項(xiàng)目的成果，確保安全管理流程的落實(shí)和執(zhí)行。2培訓(xùn)內(nèi)容應(yīng)包括：ISMSISMS27001調(diào)研和風(fēng)險(xiǎn)管理1、管理體系范圍確定ISMS確定的范圍具體一般包括：業(yè)務(wù)、部門(mén)、應(yīng)用系統(tǒng)范圍信息資產(chǎn)（如硬件、軟件、數(shù)據(jù)）人員（如項(xiàng)目組成員及聯(lián)系方式）環(huán)境（如建筑、設(shè)備物理位置）活動(dòng)（如對(duì)資產(chǎn)進(jìn)行的操作、相關(guān)的權(quán)限等）IP（IP）工作方法：實(shí)地考察、安全顧問(wèn)訪談、協(xié)調(diào)會(huì)議討論。2調(diào)研內(nèi)容包括但不限于：現(xiàn)有的安全政策、規(guī)范和文件安全管理組織結(jié)構(gòu)及人員配置人員知識(shí)、技能和意識(shí)情況現(xiàn)有安全控制措施的設(shè)置和部署、運(yùn)維情況現(xiàn)有的技術(shù)支撐設(shè)施情況績(jī)效考核KPI現(xiàn)有安全管理流程、規(guī)范的開(kāi)展、落實(shí)情況現(xiàn)有安全管理流程、規(guī)范的實(shí)施效果來(lái)自業(yè)務(wù)、法律法規(guī)方面的安全需求曾發(fā)生的信息安全事件工作方法：文檔審查、安全顧問(wèn)訪談。3、流程梳理工作方法：文檔審查、安全顧問(wèn)訪談。4、ISO27001差距分析ISO27001ISO270011139133工作方法：團(tuán)隊(duì)討論、統(tǒng)計(jì)分析。5、風(fēng)險(xiǎn)評(píng)估ISMSIT（ISMS1、適用性聲明ISO27001工作方法：安全顧問(wèn)訪談、協(xié)調(diào)會(huì)議討論。2、總體設(shè)計(jì)ISO27001ISO27002ISMS工作方法：協(xié)調(diào)會(huì)議討論。3、總體安全方針建設(shè)ISO27001A5ISMS工作方法：安全顧問(wèn)訪談、協(xié)調(diào)會(huì)議討論。4、信息安全策略體系建設(shè)ISO27001工作方法：協(xié)調(diào)會(huì)議討論。5、管理制度、規(guī)范及流程建設(shè)（IT工作方法：意見(jiàn)征集、協(xié)調(diào)會(huì)議討論。6、審計(jì)與考核體系建設(shè)工作方法：意見(jiàn)征集、協(xié)調(diào)會(huì)議討論。7、信息安全組織體系建設(shè)ISO27001（不僅僅是從事安全管理和業(yè)務(wù)的人員工作方法：協(xié)調(diào)會(huì)議討論。ISMS1、體系分發(fā)與宣貫ISMS工作方法：協(xié)調(diào)會(huì)議討論、培訓(xùn)。2、制度試用工作內(nèi)容：ISMS工作方法：現(xiàn)場(chǎng)測(cè)試。3、巡檢和審計(jì)工作內(nèi)容：安保公司定期對(duì)不同角色的不同安全管理流程、規(guī)范的執(zhí)行情況進(jìn)行檢查，通過(guò)查看相關(guān)流程遵循情況、表單記錄情況。工作方法：穿行測(cè)試、問(wèn)卷調(diào)查、顧問(wèn)訪談。4ISMSISMS工作方法：安全顧問(wèn)訪談、管理問(wèn)卷調(diào)查、實(shí)地考察等。現(xiàn)有信息安全管理制度體系分析安保公司將匯總客戶現(xiàn)有的信息科技風(fēng)險(xiǎn)管理工作制度文檔并進(jìn)行分析，整理制度名錄，給出框架圖，并進(jìn)行總體分析。在此基礎(chǔ)之上，對(duì)現(xiàn)有制度進(jìn)行分析評(píng)估，包括：現(xiàn)有制度與監(jiān)管要求之間的差異?？蛻粜畔⒖萍硷L(fēng)險(xiǎn)管理現(xiàn)狀與現(xiàn)有制度之間的差異，即執(zhí)行落實(shí)的狀況?？蛻粜畔⒖萍硷L(fēng)險(xiǎn)管理現(xiàn)狀與監(jiān)管要求之間的差距?；跇?biāo)準(zhǔn)的信息安全管理體系設(shè)計(jì)安保公司將按照四級(jí)的結(jié)構(gòu)為客戶建立信息安全管理策略與制度體系。一級(jí)文件二級(jí)文件三級(jí)文件四級(jí)文件信息安全管理制度文檔體系（文件類(lèi)型級(jí)別文件名稱(chēng)信息安全管理體系一級(jí)信息安全方針、目標(biāo)信息安全管理范圍信息安全管理適用性說(shuō)明信息安全管理文件說(shuō)明二級(jí)信息安全管理內(nèi)審與改進(jìn)規(guī)定信息安全管理管理評(píng)審規(guī)定信息安全管理文件管理規(guī)定信息安全管理記錄管理規(guī)定信息資產(chǎn)風(fēng)險(xiǎn)評(píng)估管理規(guī)定四級(jí)糾正和預(yù)防措施處理表格信息安全管理內(nèi)部稽審方案內(nèi)審檢查表內(nèi)部稽審報(bào)告不符合項(xiàng)報(bào)告管理評(píng)審計(jì)劃部門(mén)管理評(píng)審報(bào)告管理評(píng)審報(bào)告會(huì)議簽到表信息安全管理文件清單外來(lái)信息安全管理文件清單信息安全管理文件發(fā)放回收記錄信息安全管理文件修改申請(qǐng)單信息安全管理記錄借閱登記表信息安全管理記錄處理審批表信息安全管理記錄清單信息安全管理風(fēng)險(xiǎn)評(píng)估參數(shù)量化標(biāo)準(zhǔn)資產(chǎn)風(fēng)險(xiǎn)評(píng)估表樣例信息安全管理信息資產(chǎn)登記表信息安全管理資產(chǎn)風(fēng)險(xiǎn)評(píng)估表信息安全管理信息資產(chǎn)風(fēng)險(xiǎn)評(píng)估更新記錄信息安全組織三級(jí)信息安全組織架構(gòu)、職責(zé)描述、實(shí)施規(guī)范資產(chǎn)管理三級(jí)信息資產(chǎn)管理規(guī)定信息資產(chǎn)敏感性標(biāo)識(shí)實(shí)施細(xì)則四級(jí)信息介質(zhì)安全報(bào)廢申請(qǐng)表人力資源安全三級(jí)人力資源安全管理規(guī)定工作人員變動(dòng)管理辦法人員信息安全守則信息安全量化記分管理細(xì)則第三方和外包人員安全管理細(xì)則四級(jí)人員保密協(xié)議信息安全責(zé)任書(shū)(即領(lǐng)導(dǎo)的安全承諾書(shū))員工信息安全承諾書(shū)外部人員信息安全承諾書(shū)(新增）信息安全違規(guī)行為基礎(chǔ)分值表信息安全違規(guī)行為記錄表物理與環(huán)境安全三級(jí)物理與環(huán)境安全管理規(guī)定物理安全區(qū)域管理細(xì)則機(jī)房管理辦法物理安全區(qū)域標(biāo)識(shí)實(shí)施細(xì)則四級(jí)來(lái)訪人員登記表機(jī)房出入申請(qǐng)表機(jī)房出入登記表機(jī)房安全巡檢登記表通訊與操作管理三級(jí)通信與操作管理規(guī)定計(jì)算機(jī)病毒防治管理辦法數(shù)據(jù)備份管理辦法IP備份存儲(chǔ)介質(zhì)管理細(xì)則移動(dòng)存儲(chǔ)介質(zhì)管理辦法電子郵件管理細(xì)則信息存儲(chǔ)介質(zhì)數(shù)據(jù)安全清除管理細(xì)則網(wǎng)絡(luò)日常安全監(jiān)控管理規(guī)定系統(tǒng)安全補(bǔ)丁管理辦法信息系統(tǒng)變更和發(fā)布管理辦法IT辦公電腦安全管理辦法四級(jí)應(yīng)用系統(tǒng)變更審查表備份數(shù)據(jù)恢復(fù)需求登記表數(shù)據(jù)備份需求登記表移動(dòng)存儲(chǔ)介質(zhì)登記表信息存儲(chǔ)介質(zhì)數(shù)據(jù)清除申請(qǐng)表訪問(wèn)控制三級(jí)訪問(wèn)控制管理規(guī)定用戶賬戶及口令管理辦法四級(jí)重要系統(tǒng)關(guān)鍵用戶權(quán)限及口令季度審查表信息系統(tǒng)獲取、開(kāi)發(fā)及維護(hù)三級(jí)系統(tǒng)開(kāi)發(fā)過(guò)程安全管理辦法軟件開(kāi)發(fā)安全基本原則四級(jí)系統(tǒng)外包信息保密及不披露協(xié)議信息安全事故管理三級(jí)信息安全事件管理規(guī)定四級(jí)信息安全事件報(bào)告信息安全事件登記表業(yè)務(wù)連續(xù)性管理三級(jí)業(yè)務(wù)連續(xù)性計(jì)劃開(kāi)發(fā)程序及框架客戶信息系統(tǒng)應(yīng)急預(yù)案四級(jí)信息技術(shù)應(yīng)急組織人員名單信息系統(tǒng)事故分類(lèi)和分級(jí)對(duì)照表信息系統(tǒng)事故報(bào)告政策表信息安全突發(fā)事件實(shí)時(shí)報(bào)告表信息安全事故處理報(bào)告信息應(yīng)急預(yù)案啟動(dòng)表信息系統(tǒng)應(yīng)急演練記錄表信息系統(tǒng)應(yīng)急恢復(fù)策略與操作步驟匯編符合性管理規(guī)定三級(jí)信息安全檢查細(xì)則信息安全法律法規(guī)清單外購(gòu)軟件清單符合性授權(quán)軟件清單四級(jí)信息安全檢查計(jì)劃信息安全檢查表信息安全檢查報(bào)告信息安全策略以下安全策略作為拋磚引玉，將根據(jù)客戶實(shí)際情況進(jìn)行制定。信息安全組織策略策略目標(biāo)：策略內(nèi)容：應(yīng)建立專(zhuān)門(mén)的信息安全組織體系，以管理信息安全事務(wù)，指導(dǎo)信息安全實(shí)踐。策略描述：（包括相關(guān)權(quán)威人士策略二：管理外部組織對(duì)信息資產(chǎn)的訪問(wèn)策略目標(biāo)：確保被外部組織訪問(wèn)的信息資產(chǎn)得到了安全保護(hù)。策略內(nèi)容：策略說(shuō)明：資產(chǎn)管理策略策略目標(biāo)：對(duì)本行的信息資產(chǎn)建立責(zé)任，為實(shí)施適當(dāng)保護(hù)奠定基礎(chǔ)。策略內(nèi)容：策略說(shuō)明：策略目標(biāo)：通過(guò)對(duì)信息資產(chǎn)的分類(lèi)，明確其可以得到適當(dāng)程度的保護(hù)策略內(nèi)容：應(yīng)按照信息資產(chǎn)的價(jià)值、對(duì)組織的敏感程度和關(guān)鍵程度進(jìn)行分類(lèi)和進(jìn)行標(biāo)識(shí)。策略描述：信息的分類(lèi)及相關(guān)保護(hù)控制要考慮到共享或限制信息的業(yè)務(wù)需求以及與這種需求相關(guān)人力資源安全策略策略一：人員聘用前的管理策略目標(biāo)：策略內(nèi)容：策略說(shuō)明：第三方人員主要有：借調(diào)或借用外部人員以及其他外部服務(wù)人員等。策略二：人員聘用中的管理策略目標(biāo)：策略內(nèi)容：策略說(shuō)明：策略三：聘用的中止與變更策略目標(biāo)：策略內(nèi)容：策略說(shuō)明：當(dāng)資產(chǎn)的訪問(wèn)權(quán)和使用權(quán)發(fā)生變更及運(yùn)行發(fā)生變化時(shí)，要及時(shí)通知各相關(guān)方。物理環(huán)境安全策略策略目標(biāo)：防止對(duì)本行的工作場(chǎng)所和信息的非授權(quán)物理訪問(wèn)、損壞和干擾。策略內(nèi)容：重要的或敏感的信息處理設(shè)施要放置在安全區(qū)域內(nèi)，建立適當(dāng)?shù)陌踩琳虾腿肟诳刂?，策略說(shuō)明：可以通過(guò)在邊界和信息處理設(shè)施周?chē)O(shè)置一個(gè)或多個(gè)物理屏障來(lái)實(shí)現(xiàn)對(duì)安全區(qū)域的物策略目標(biāo)：應(yīng)保護(hù)設(shè)備免受物理的和環(huán)境的威脅。策略內(nèi)容：防止設(shè)備的丟失、損壞、失竊或危及資產(chǎn)安全以及造成本行活動(dòng)的中斷。策略說(shuō)明：（包括離開(kāi)本行使用和財(cái)產(chǎn)移動(dòng)的保護(hù)是減少未授權(quán)訪問(wèn)信息的風(fēng)險(xiǎn)和防止丟（/通風(fēng)和空調(diào)及考慮采取措施保證電源布纜和通信布纜免受竊聽(tīng)或損壞。通訊操作安全策略策略目標(biāo)：策略內(nèi)容：應(yīng)當(dāng)為所有的信息處理設(shè)施建立必要的管理和操作的職責(zé)及程序。策略說(shuō)明：策略二：管理第三方服務(wù)策略目標(biāo)：策略內(nèi)容：策略說(shuō)明：策略目標(biāo)：策略內(nèi)容：策略說(shuō)明：（策略目標(biāo)：保持信息和信息處理設(shè)施的完整性及可用性。策略內(nèi)容：應(yīng)按照已設(shè)的備份策略，定期對(duì)本行的重要信息和軟件進(jìn)行備份，并進(jìn)行恢復(fù)測(cè)試。策略說(shuō)明：應(yīng)提供足夠的備份設(shè)施，以確保所有必要的信息和軟件能在災(zāi)難或介質(zhì)故障后進(jìn)行恢策略目標(biāo)：確保網(wǎng)絡(luò)中的信息和支持性基礎(chǔ)設(shè)施得到保護(hù)。策略內(nèi)容：策略說(shuō)明：策略六：對(duì)存儲(chǔ)介質(zhì)的處理策略目標(biāo)：策略內(nèi)容：組織應(yīng)當(dāng)對(duì)存儲(chǔ)介質(zhì)的使用、移動(dòng)、保管及處置等操作進(jìn)行有效管理。策略說(shuō)明：CDDVD策略七：系統(tǒng)監(jiān)測(cè)策略目標(biāo)：檢測(cè)未經(jīng)授權(quán)的信息處理活動(dòng)。策略內(nèi)容：策略說(shuō)明：訪問(wèn)控制策略策略目標(biāo)：確保只有授權(quán)用戶才能訪問(wèn)系統(tǒng)，預(yù)防對(duì)信息系統(tǒng)的非授權(quán)訪問(wèn)。策略內(nèi)容：應(yīng)建立正式的程序，來(lái)控制對(duì)信息系統(tǒng)和服務(wù)的用戶訪問(wèn)權(quán)的分配。策略說(shuō)明：訪問(wèn)控制程序應(yīng)涵蓋用戶訪問(wèn)生命周期內(nèi)的各個(gè)階段，從新用戶初始注冊(cè)、日常使用，策略目標(biāo)：策略內(nèi)容：策略說(shuō)明：策略目標(biāo)：策略內(nèi)容：策略說(shuō)明：策略目標(biāo)：策略內(nèi)容：策略說(shuō)明：策略目標(biāo)：在使用移動(dòng)計(jì)算和遠(yuǎn)程工作設(shè)施時(shí)，確保信息的安全。策略內(nèi)容：策略說(shuō)明：信息系統(tǒng)的獲取、開(kāi)發(fā)和維護(hù)策略策略目標(biāo)：確保將安全作為信息系統(tǒng)建設(shè)的重要組成部分。策略內(nèi)容：應(yīng)用系統(tǒng)的所有安全需求都需要在項(xiàng)目需求分析階段被確認(rèn)，并且作為一個(gè)信息系統(tǒng)的總體構(gòu)架的重要組成部分，要得到對(duì)其合理性的證明、并獲得用戶認(rèn)可，同時(shí)要記錄在案。策略說(shuō)明：策略目標(biāo)：維護(hù)應(yīng)用程序系統(tǒng)中的軟件和信息的安全。策略內(nèi)容：策略說(shuō)明：信息安全事件管理策略策略一：報(bào)告信息安全事故和系統(tǒng)弱點(diǎn)策略目標(biāo)：確保與信息系統(tǒng)有關(guān)的安全事件和系統(tǒng)弱點(diǎn)能得到及時(shí)報(bào)告，以便采取必要的糾正措施。策略內(nèi)容：策略說(shuō)明：策略目標(biāo)：確保使用持續(xù)有效的方法管理信息安全事故。策略內(nèi)容：策略說(shuō)明：應(yīng)該應(yīng)用一個(gè)連續(xù)性的改進(jìn)過(guò)程，對(duì)信息安全事故進(jìn)行響應(yīng)、監(jiān)視、評(píng)估和總體管理。業(yè)務(wù)連續(xù)性管理策略策略目標(biāo)：保護(hù)本行的關(guān)鍵業(yè)務(wù)流程不會(huì)因信息系統(tǒng)重大失效或自然災(zāi)害的影響而造成中斷。策略內(nèi)容：策略說(shuō)明：IT方面的服務(wù)。符合性管理策略策略目標(biāo)：應(yīng)避免違反法律、法規(guī)、規(guī)章、合同的要求和其他的安全要求。策略內(nèi)容：信息系統(tǒng)的設(shè)計(jì)、運(yùn)行、使用和管理要符合法律、法規(guī)及合同的要求。策略說(shuō)明：策略二：符合安全政策和標(biāo)準(zhǔn)以及技術(shù)符合性策略目標(biāo)：策略內(nèi)容：應(yīng)定期對(duì)信息系統(tǒng)的安全進(jìn)行合規(guī)性評(píng)審和技術(shù)評(píng)審，判斷其是否符合適用的安全政策、實(shí)施標(biāo)準(zhǔn)和文件化的安全控制措施。策略說(shuō)明：技術(shù)符合性檢查應(yīng)由有經(jīng)驗(yàn)的系統(tǒng)工程師手動(dòng)執(zhí)行（如需要，利用合適的軟件工具支持），或者由技術(shù)專(zhuān)家用自動(dòng)工具來(lái)執(zhí)行，此工具可生成供后續(xù)解釋的技術(shù)報(bào)告。流程化解決的問(wèn)題公司設(shè)計(jì)客戶安全流程時(shí)，會(huì)首先確定哪些信息安全活動(dòng)需要用流程來(lái)進(jìn)行管理。如：安全事件應(yīng)急響應(yīng)流程數(shù)據(jù)備份及恢復(fù)流程員工離職交接流程（信息安全相關(guān)）……使安全制度執(zhí)行切實(shí)落地輔助決策從效果上看，信息安全量化工作可以將以往僅能定性說(shuō)明的問(wèn)題改為定量說(shuō)明，如“A漏洞可能帶來(lái)很高風(fēng)險(xiǎn)”是一個(gè)定性的說(shuō)法，而“A漏洞可能在今年給客戶帶來(lái)價(jià)值1000萬(wàn)元人民幣的綜合損失”，具體的數(shù)字可以讓領(lǐng)導(dǎo)層做出更合理的安全決策，也讓投資預(yù)算（IT安全運(yùn)維體系建設(shè)運(yùn)維體系設(shè)計(jì)框架可按如下圖所示：客戶可通過(guò)下發(fā)文件、會(huì)議宣貫、組織學(xué)習(xí)、專(zhuān)業(yè)培訓(xùn)等多種方式對(duì)制定的安全規(guī)劃、管理體系、運(yùn)維體系等進(jìn)行宣貫，確保所有相關(guān)人員熟悉、理解和遵守相關(guān)的流程和規(guī)范。安全巡檢安全巡檢概述安全巡檢內(nèi)容設(shè)備巡檢對(duì)各類(lèi)型的設(shè)備系統(tǒng)信息、IP防火墻安全巡檢網(wǎng)絡(luò)邊界處是否部署防火墻；是否設(shè)置防火墻策略；DMZ是否定期檢查防火墻日志。網(wǎng)絡(luò)設(shè)備安全巡檢網(wǎng)絡(luò)設(shè)備是否安全使用；網(wǎng)絡(luò)的接入是否管理有效。主機(jī)防護(hù)安全巡檢用戶權(quán)限與訪問(wèn)控制策略是否安全；是否及時(shí)更新操作系統(tǒng)補(bǔ)丁程序；系統(tǒng)日志管理是否完備，對(duì)現(xiàn)有對(duì)主機(jī)系統(tǒng)進(jìn)行日志分析審計(jì)。系統(tǒng)運(yùn)行安全巡檢是否指定系統(tǒng)運(yùn)行值班操作人員；是否提供常見(jiàn)和簡(jiǎn)便的操作命令手冊(cè)；是否對(duì)運(yùn)行值班過(guò)程中所有現(xiàn)象、操作過(guò)程等信息進(jìn)行記錄；是否有信息系統(tǒng)運(yùn)行應(yīng)急預(yù)案。防病毒安全巡檢100%；是否有專(zhuān)責(zé)人員負(fù)責(zé)嚴(yán)重病毒的通告及病毒庫(kù)及時(shí)更新；是否限制從網(wǎng)上隨意下載軟件；外來(lái)設(shè)備（硬盤(pán)、U）使用前是否進(jìn)行殺毒處理。數(shù)據(jù)備份巡檢是否制定信息系統(tǒng)數(shù)據(jù)備份相關(guān)管理規(guī)程；是否對(duì)關(guān)鍵系統(tǒng)進(jìn)行定期系統(tǒng)備份與數(shù)據(jù)備份；物理機(jī)房巡檢對(duì)機(jī)房的物理環(huán)境包括適當(dāng)?shù)陌踩琳虾腿肟诳刂?，以及環(huán)境安全（防火、防水、防雷擊等自然災(zāi)害）；設(shè)備和介質(zhì)的防盜竊防破壞等方面。定期漏洞掃描WEBweb針對(duì)漏洞掃描結(jié)果提供合理的整改建議方案。安全應(yīng)急演練及響應(yīng)WEB第第100頁(yè)共133頁(yè)web應(yīng)急響預(yù)案制定建立應(yīng)急響應(yīng)小組與明確小組成員明確事件響應(yīng)目標(biāo)在制定事件響應(yīng)計(jì)劃前，我們應(yīng)當(dāng)明白事件響應(yīng)的目標(biāo)是什么?是為了阻止攻擊，減小準(zhǔn)備應(yīng)急響應(yīng)過(guò)程中所需的工具軟件應(yīng)急響應(yīng)計(jì)劃(1)需要保護(hù)的資產(chǎn)；(2(3)事件響應(yīng)的目標(biāo)；(4)事件處理小組成員及組成結(jié)構(gòu)，以及事件處理時(shí)與它方的合作方式；(5)事件處理的具體步驟及注意事項(xiàng)；(6)事件處理完成后文檔編寫(xiě)存檔及上報(bào)方式；(7)事件響應(yīng)計(jì)劃的后期維護(hù)方式；(8)事件響應(yīng)計(jì)劃的模擬演練計(jì)劃。應(yīng)急響應(yīng)實(shí)施一般應(yīng)急響應(yīng)可以按照以下五方面展開(kāi)：事件識(shí)別，事件分類(lèi)，事件證據(jù)收集，網(wǎng)絡(luò)、系統(tǒng)及應(yīng)用程序數(shù)據(jù)恢復(fù)，以及事件處理完成后建檔上報(bào)和保存。事件識(shí)別攻擊事件分類(lèi)當(dāng)確認(rèn)已經(jīng)發(fā)現(xiàn)攻擊事件后，就應(yīng)當(dāng)立即對(duì)已經(jīng)出現(xiàn)了的攻擊事件做出嚴(yán)重程度的判斷，以明確攻擊事件達(dá)到的危害程度，以便決定下一步采取應(yīng)對(duì)措施。對(duì)攻擊事件進(jìn)行分類(lèi)：(1)試探性事件;(2)一般性事件;(3)控制系統(tǒng)事件;(4)拒絕服務(wù)事件;(5)竊取破壞機(jī)密數(shù)據(jù)事件。事件證據(jù)收集系統(tǒng)恢復(fù)事件處理報(bào)告提交應(yīng)急響應(yīng)計(jì)劃維護(hù)與演練應(yīng)急響應(yīng)計(jì)劃后期維護(hù)應(yīng)急響應(yīng)模擬演練安全應(yīng)急響應(yīng)實(shí)施方案應(yīng)急響應(yīng)事件識(shí)別應(yīng)急響應(yīng)事件分析檢測(cè)與證據(jù)收集web1、webshell后門(mén)查殺通過(guò)對(duì)大量的應(yīng)急響應(yīng)經(jīng)驗(yàn)總結(jié)中，在大部分的安全事件中都會(huì)伴隨著webshell（webshellasp、php、jspcgiaspphpWEBasp所以需要對(duì)網(wǎng)站文件webshell2、取證分析webwebwebSQLSQL3、文檔記錄IP應(yīng)急響應(yīng)安全漏洞修復(fù)解決系統(tǒng)恢復(fù)應(yīng)急響應(yīng)事件總結(jié)與報(bào)告歸檔應(yīng)急響應(yīng)服務(wù)提供者對(duì)應(yīng)急過(guò)程中的安全檢查記錄與處理記錄進(jìn)行詳細(xì)記錄，并對(duì)處理過(guò)程進(jìn)行總結(jié)和分析。建檔的目的有二點(diǎn)，一是用來(lái)向上級(jí)領(lǐng)導(dǎo)報(bào)告事件起因及處理方法，應(yīng)急響應(yīng)總結(jié)的具體工作包括以下幾項(xiàng)：1）事件發(fā)生的現(xiàn)象總結(jié)時(shí)間發(fā)生的原因總結(jié)系統(tǒng)的損失損害程度評(píng)估應(yīng)急過(guò)程中采用的處理手段與解決方法相關(guān)的工具、文檔歸檔應(yīng)急響應(yīng)服務(wù)應(yīng)向服務(wù)對(duì)象提供完整的應(yīng)急事件處理報(bào)告與網(wǎng)絡(luò)安全建設(shè)方面的措施和建議，并以文檔形式發(fā)送給項(xiàng)目相關(guān)人員。防火墻策略檢查與優(yōu)化多廠商防火墻環(huán)境，可能產(chǎn)生錯(cuò)誤配置或者出現(xiàn)漏洞；復(fù)雜的網(wǎng)絡(luò)環(huán)境，擁有大量防火墻而無(wú)法有效管理安全策略；高度動(dòng)態(tài)的防火墻環(huán)境，即使數(shù)量不多，由于環(huán)境不斷發(fā)生變化，管理非常困難；行業(yè)監(jiān)管要求不斷提升需定期審計(jì)及合規(guī)性檢查；現(xiàn)網(wǎng)防火墻存在大量訪問(wèn)策略安全隱患與無(wú)用策略、未生效策略。策略檢查與優(yōu)化內(nèi)容防火墻策