《网络与信息安全管理中心安全值守技术策划方案讲义》由会员分享,可在线阅读,更多相关《网络与信息安全管理中心安全值守技术策划方案讲义(154页珍藏版)》请在金锄头文库上搜索。
1、1 技术建议书1.1 服务方案1.1.1 项目概况近几年来,信息安全的重要性逐步得到了各行业的广泛关注,国家相关部门也出台了多项政策、法规和标准,用以指导各行业的信息安全建设。由于信息安全相关的标准和法规相对抽象,加之信安中心承担了治理和生产职能,在突发事件处置等方面人员储备不足,受限于人员配置和资源问题,部分安全工作需要大量安全工具及专人参与。为保障中国公司结合自身情况制定长期、系统、有效的安全建设规划,提出驻场服务的需求。1.1.2 建设目标1、为安全工作开展提供高质量的安全保障服务。2、在发生网络调整,系统升级扩容,新系统上线等变更时,进行评估,给出明确的、可实施的安全建议及建设规划,配
2、合相关安全工作开展。3、在日常工作中,协助安全人员开展定期的自查评估工作,设备或系统上线时,实施上线前的安全评估和反馈相关的制度、规范和流程的落实情况。4、保障日常工作中的网络安全。5、应急响应及安全事件分析。6、开展安全培训工作,提升相关人员的安全专业水平。7、对重要系统(网络安全整合平台)进行协助运维和推广。1.1.3 服务方法本次安全值守服务项目我们提供以下服务方法:1.1.3.1 日常安全工作常态化漏洞扫描,弱口令检查,web业务系统渗透测试及相关文档、总结撰写定期安全检查:l 全网扫描(范围)。l 依照目标主机数量制定扫描打算,每个月能保证至少完成一次对全部维护对象的安全扫描工作。l
3、 出具安全扫描结果并和维护人员进行面对面沟通确认,督促维护人员进行整改和加固,加固结束后进行再次复查并出具复查报告,关于不能加固的漏洞提供安全解决建议。系统上线安全检查:关于新的业务系统上线前,值守人员配合完成上线设备的安全检查工作,安全检查包含以下几项工作: 远程安全扫描l 通过使用现有远程安全评估系统对上线设备进行扫描,确保没有高、中等级的安全问题,关于低等级的安全问题,应确保该问题可不能泄露设备敏感信息 本地安全检查l 配合安全加固的checklist 对上线设备进行检查,以确保上线设备已进行了必要的安全设置l 注:若已制定相关的安全准入规范,将使用提供的checklist替代的chec
4、klist 远程渗透测试l 对复杂的应用系统,如:WEB系统,依照需求进远程渗透测试1.1.3.1.1 渗透测试概述渗透测试(Penetration Test)是指是从一个攻击者的角度来检查和审核一个网络系统的安全性的过程。通常由安全工程师尽可能完整地模拟黑客使用的漏洞发觉技术和攻击手段,对目标网络/系统/主机/应用的安全性作深入的探测,发觉系统最脆弱的环节。渗透测试能够直观的让治理人员明白自己网络所面临的问题。作为一种专业的安全服务,类似于军队里的“实战演习”或者“沙盘推演”的概念,通过实战和推演,让清晰了解目前网络的脆弱性、可能造成的阻碍,以便采取必要的防范措施。1.1.3.1.2 渗透测
5、试意义从渗透测试中,客户能够得到的收益至少有:u 协助发觉组织中的安全短板一次渗透测试过程也确实是一次黑客入侵实例,其中所利用到的攻击渗透方法,也是其它具备相关技能的攻击者所最可能利用到的方法;由渗透测试结果所暴露出来的问题,往往也是一个企业或组织中的安全最短木板,结合这些暴露出来的弱点和问题,能够协助企业有效的了解目前降低风险的最迫切任务,使在信息安全方面的有限投入能够得到最大的回报。u 作为信息安全状况方面的具体证据和真实案例渗透测试的结果能够作为向投资方或治理人员提供的信息安全状况方面的具体证据,一份文档齐全有效的渗透测试报告有助于IT组织治理者以案例的形式向相关人员直观展示目前企业或组
6、织的安全现状,从而增强职员对信息安全的认知程度,提高相关人员的安全意识及素养,甚至提高组织在安全方面的预算。u 发觉系统或组织里逻辑性更强、更深层次的弱点渗透测试和工具扫描能够专门好的互相补充。工具扫描具有专门好的效率和速度,然而存在一定的误报率和漏报率,同时不能发觉高层次、复杂、同时相互关联的安全问题;渗透测试的价值直接依靠于实施者的专业技能和素养然而特不准确,能够发觉系统和组织里逻辑性更强、更深层次的弱点。u 从整体上把握组织或企业的信息安全现状信息安全是一个整体工程,一个完整和成功的渗透测试案例可能会涉及系统或组织中的多个部门、人员或对象,有助于组织中的所有成员意识到自己所在岗位对系统整
7、体安全的阻碍,进而采取措施降低因为自身的缘故造成的风险,有助于内部安全的提升。1.1.3.1.3 渗透测试步骤渗透测试实际确实是一个模拟黑客攻击的过程,因此其的实施过程也类似于一次完整的黑客攻击过程,我们将其划分为如下几个时期: 预攻击时期(查找渗透突破口) 攻击时期(猎取目标权限) 后攻击时期(扩大攻击渗透成果)如下图:1.1.3.1.3.1 预攻击时期预攻击时期要紧是为了收集猎取信息,从中发觉突破口,进行进一步攻击决策。要紧包括 网络信息,如网络拓补、IP及域名分布、网络状态等 服务器信息,如OS信息、端口及服务信息、应用系统情况等 漏洞信息,如跟踪最新漏洞公布、漏洞的利用方法等其利用到的
8、方法及工具要紧有:l 网络配置、状态,服务器信息 Ping Traceroute Nslookup whois Finger Nbtstatl 其它相关信息(如WEB服务器信息,服务器治理员信息等) http:/ http:/ http:/ google、yahoo、baidu 等搜索引擎猎取目标信息 企业组织名称、个人姓名、电话、生日、身份证号码、电子邮件等等(网站、论坛、社交工程欺骗)l 常规扫描及漏洞发觉确认 NMAP端口扫描及指纹识不 利用各种扫描工具进行漏洞扫描(ISS、Nessus等) 采纳 FWtester、hping3 等工具进行防火墙规则探测 采纳 SolarWind 对网络
9、设备等进行发觉 采纳 nikto、webinspect 等软件对 web 常见漏洞进行扫描 采纳如AppDetectiv 之类的商用软件对数据库进行扫描分析l 应用分析(web及数据库应用) 采纳 WebProxy、SPIKEProxy、webscarab、ParosProxy、Absinthe 等工具进行分析对Web服务进行分析检测 用 webscan、fuzzer 进行 SQL 注入和 XSS 漏洞初步分析 某些特定应用或程序的漏洞的手工验证检测(如sql注入、某些论坛网站的上传漏洞、验证漏洞,某些特定软件的溢出漏洞等) 采纳类似OScanner 的工具对数据库进行分析 用 Etherea
10、l 抓包协助分析1.1.3.1.3.2 攻击时期攻击时期是渗透测试的实际实施时期,在这一时期依照前面得到的信息对目标进行攻击尝试,尝试猎取目标的一定权限。在这一时期,要紧会用到以下技术或工具:l 账号口令猜解口令是信息安全里永恒的主题,在以往的渗透测试项目中,通过账号口令问题猎取权限者不在少数。有用的账号口令除了系统账号如UNIX账号、Windows账号外,还包括一些数据库账号、WWW账号、FTP账号、MAIL账号、SNMP账号、CVS账号以及一些其它应用或者服务的账号口令。尤其是各个系统或者是应用服务的一些默认账号口令和弱口令账号。大多综合性的扫描工具都有相应的弱口令审核模块,此外,也能够采
11、纳Brutus、Hydra、溯雪等比较专业的账号猜解工具。l 缓冲区溢出攻击针对具体的溢出漏洞,能够采纳各种公开及私有的缓冲区溢出程序代码进行攻击,如下图:l 基于应用服务的攻击基于web、数据库或特定的B/S 或C/S 结构的网络应用程序存在的弱点进行攻击,常见的如SQL 注入攻击、跨站脚本攻击、一些特定网站论坛系统的上传漏洞、下载漏洞、物理路径暴露、重要文件暴露等均属于这一类型,特定的对象及其漏洞有其特定的利用方法,那个地点就不一一举例。1.1.3.1.3.3 后攻击时期后攻击时期要紧是在达到一定的攻击效果后,隐藏和清除自己的入侵痕迹,并利用现有条件进一步进行渗透,扩大入侵成果,猎取敏感信
12、息及资源,长期的维持一定权限。这一时期,一般要紧进行3个工作:1)植入后门木或者键盘记录工具等,获得对对象的再一次的操纵权在真实的黑客入侵事件中,这一步往往还要进行入侵行为的隐藏比如清晰日志、隐藏后门木马服务、修补对象漏洞以防止他人利用等,但在渗透测试实例中却不需要如此,往往需要保留对象相应的日志记录,能够作为渗透测试的相关证据和参考信息。2)获得对象的完全权限这一步要紧以破解系统的治理员权限账号为主,有许多闻名的口令破解软件,如L0phtCrack、John the Ripper、Cain 等能够关心我们实现该任务。3)利用已有条件,进行更深入的入侵渗透测试在成功猎取某个对象的一定权限后,就
13、能够利用该成果,以此对象为跳板,进行进一步的入侵渗透。在这一步会重复预攻击时期和攻击时期的那些操作,因为前提条件的变化,可能实现许多先前不可能实现的渗透任务。此外,还那个时期,还有一些有用的攻击方法也是比较有效的,比如Sniffer嗅探、跳板攻击、 IP欺骗、ARP欺骗与MITM(中间人)攻击等,都能够帮我们实现某些特定渗透结果。1.1.3.1.4 渗透测试流程渗透测试与安全风险评估、安全加固等安全服务一样,在具体实施中都有可能带来一些负面风险,因此一个严格的有效的实施流程是保证渗透测试正常实施的关键,安全渗透测试服务严格遵循以下的项目实施流程:1.1.3.1.4.1 制定方案并获得授权合法性
14、即客户书面授权托付并同意实施方案,这是进行渗透测试的必要条件。渗透测试首先必须将实施方法、实施时刻、实施人员、实施工具等具体的实施方案提交给客户,并得到客户的书面托付和授权。实施方案大致包括下面几方面的内容: 项目差不多情况及目标介绍 渗透测试实施方案及打算 渗透测试成果的审核确认应该做到客户对渗透测试所有细节和风险的知晓、所有过程都在客户的操纵下进行,这也是专业渗透测试服务与黑客攻击入侵的本质不同。1.1.3.1.4.2 信息收集分析信息收集是每一步渗透攻击的前提,通过信息收集查找渗透测试的突破口并细化渗透测试方案,有针对性地制定模拟攻击测试打算。信息收集要紧涉及如下内容: 域名及IP分布
15、网络拓补、设备及操作系统OS 端口及服务情况 应用系统情况 最新漏洞情况 其它信息(如服务器治理员的相关信息等)1.1.3.1.4.3 渗透测试方案细化依照预攻击时期信息收集的结果,对渗透测试方案进行细化,要紧是具体漏洞细节及针对这些漏洞的可能采纳的测试手段,详细时刻安排,以及可能带来的风险,需要客户配合或关注的地点等。方案细化后再次知会客户并取得客户同意授权才能进行下一步操作。1.1.3.1.4.4 渗透测试的实施在取得客户同意后,开始具体的实施过程,包括如下几方面内容: 获得目标系统权限 后门木马植入,保持操纵权 跳板渗透,进一步扩展攻击成果 猎取敏感信息数据或资源在实施过程中,特不提请注意的是采取的渗透测试技术及手段一定不能导致对象的业务中断和工作异常,必须对对象的状态进行实时监控,必要的情况下能够要求客户协助进行。1.1.3.1.5 渗透测试报告渗透测试之后,针对每个系统需要向客户提供一份渗透测试报告相关系统网络渗透测试报告,报告十分详细的讲明渗透测
