管理信息化信息技术网络与信息安全管理中心安全值守技术方案

《管理信息化信息技术网络与信息安全管理中心安全值守技术方案》由会员分享，可在线阅读，更多相关《管理信息化信息技术网络与信息安全管理中心安全值守技术方案（111页珍藏版）》请在金锄头文库上搜索。

1、管理信息化信息技术网络与信 息安全管理中心安全值守技术方 案 管理信息化信息技术网络与信 息安全管理中心安全值守技术方 案 1.1.1 服务方法1.1.1 服务方法 本次安全值守服务项目我们提供以下服务方法：本次安全值守服务项目我们提供以下服务方法： 1.1.1.1 日常安全工作1.1.1.1 日常安全工作 常态化漏洞扫描，弱口令检查，web 业务系统渗透测试及相关文档、总结撰 写 定期安全检查：定期安全检查： 全网扫描（范围）。 根据目标主机数量制定扫描计划，每个月能保证至少完成一次对全部维护对 象的安全扫描工作。 出具安全扫描结果并和维护人员进行面对面沟通确认，督促维护人员进行整 改和加固

2、，加固结束后进行再次复查并出具复查报告，对于不能加固的漏洞提供 安全解决建议。 系统上线安全检查：系统上线安全检查： 对于新的业务系统上线前，值守人员配合完成上线设备的安全检查工作，安 全检查包含以下几项工作： 远程安全扫描远程安全扫描 通过使用现有远程安全评估系统对上线设备进行扫描，确保没有高、中等级 的安全问题，对于低等级的安全问题，应确保该问题不会泄露设备敏感信息 本地安全检查本地安全检查 配合安全加固的 checklist 对上线设备进行检查，以确保上线设备已进行了 必要的安全设置 注：若已制定相关的安全准入规范，将使用提供的 checklist 替代的 checklist 远程渗透测

3、试远程渗透测试 对复杂的应用系统，如：WEB 系统，根据需求进远程渗透测试 1.1.1.1.1渗透测试概述1.1.1.1.1渗透测试概述 渗透测试（PenetrationTest）是指是从一个攻击者的角度来检查和审核一 个网络系统的安全性的过程。通常由安全工程师尽可能完整地模拟黑客使用的漏 洞发现技术和攻击手段，对目标网络/系统/主机/应用的安全性作深入的探测， 发现系统最脆弱的环节。渗透测试能够直观的让管理人员知道自己网络所面临的 问题。 作为一种专业的安全服务，类似于军队里的“实战演习”或者“沙盘推演” 的概念，通过实战和推演，让清晰了解目前网络的脆弱性、可能造成的影响，以 便采取必要的防

4、范措施。 1.1.1.1.2渗透测试意义1.1.1.1.2渗透测试意义 从渗透测试中，客户能够得到的收益至少有： 协助发现组织中的安全短板 一次渗透测试过程也就是一次黑客入侵实例， 其中所利用到的攻击渗透方法， 也是其它具备相关技能的攻击者所最可能利用到的方法；由渗透测试结果所暴露 出来的问题，往往也是一个企业或组织中的安全最短木板，结合这些暴露出来的 弱点和问题，可以协助企业有效的了解目前降低风险的最迫切任务，使在信息安 全方面的有限投入可以得到最大的回报。 作为信息安全状况方面的具体证据和真实案例 渗透测试的结果可以作为向投资方或管理人员提供的信息安全状况方面的 具体证据，一份文档齐全有效

5、的渗透测试报告有助于 IT 组织管理者以案例的形 式向相关人员直观展示目前企业或组织的安全现状，从而增强员工对信息安全的 认知程度，提高相关人员的安全意识及素养，甚至提高组织在安全方面的预算。 发现系统或组织里逻辑性更强、更深层次的弱点 渗透测试和工具扫描可以很好的互相补充。 工具扫描具有很好的效率和速度， 但是存在一定的误报率和漏报率，并且不能发现高层次、复杂、并且相互关联的 安全问题；渗透测试的价值直接依赖于实施者的专业技能和素养但是非常准确， 可以发现系统和组织里逻辑性更强、更深层次的弱点。 从整体上把握组织或企业的信息安全现状 信息安全是一个整体工程，一个完整和成功的渗透测试案例可能会

6、涉及系统 或组织中的多个部门、人员或对象，有助于组织中的所有成员意识到自己所在岗 位对系统整体安全的影响，进而采取措施降低因为自身的原因造成的风险，有助 于内部安全的提升。 1.1.1.1.3渗透测试步骤1.1.1.1.3渗透测试步骤 渗透测试实际就是一个模拟黑客攻击的过程，因此其的实施过程也类似于一 次完整的黑客攻击过程，我们将其划分为如下几个阶段： 预攻击阶段（寻找渗透突破口） 攻击阶段（获取目标权限） 后攻击阶段（扩大攻击渗透成果） 如下图： 1.1.1.1.3.1 预攻击阶段1.1.1.1.3.1 预攻击阶段 预攻击阶段主要是为了收集获取信息，从中发现突破口，进行进一步攻击决 策。主要

7、包括 网络信息，如网络拓补、IP 及域名分布、网络状态等 服务器信息，如 OS 信息、端口及服务信息、应用系统情况等 漏洞信息，如跟踪最新漏洞发布、漏洞的利用方法等 其利用到的方法及工具主要有： 网络配置、状态，服务器信息网络配置、状态，服务器信息 Ping Traceroute Nslookup whois Finger Nbtstat 其它相关信息（如 WEB 服务器信息，服务器管理员信息等）其它相关信息（如 WEB 服务器信息，服务器管理员信息等） . google、yahoo、baidu 等搜索引擎获取目标信息 企业组织名称、个人姓名、电话、生日、身份证号码、电子邮件等等（网 站、论坛

8、、社交工程欺骗） 常规扫描及漏洞发现确认常规扫描及漏洞发现确认 NMAP 端口扫描及指纹识别 利用各种扫描工具进行漏洞扫描（ISS、Nessus 等） 采用 FWtester、hping3 等工具进行防火墙规则探测 采用 SolarWind 对网络设备等进行发现 采用 nikto、webinspect 等软件对 web 常见漏洞进行扫描 采用如 AppDetectiv 之类的商用软件对数据库进行扫描分析 应用分析（web 及数据库应用）应用分析（web 及数据库应用） 采用 WebProxy、SPIKEProxy、webscarab、ParosProxy、Absinthe 等工具进 行分析对

9、Web 服务进行分析检测 用 webscan、fuzzer 进行 SQL 注入和 XSS 漏洞初步分析 某些特定应用或程序的漏洞的手工验证检测（如 sql 注入、某些论坛网站的 上传漏洞、验证漏洞，某些特定软件的溢出漏洞等） 采用类似 OScanner 的工具对数据库进行分析 用 Ethereal 抓包协助分析 1.1.1.1.3.2 攻击阶段1.1.1.1.3.2 攻击阶段 攻击阶段是渗透测试的实际实施阶段，在这一阶段根据前面得到的信息对目 标进行攻击尝试，尝试获取目标的一定权限。在这一阶段，主要会用到以下技术 或工具： 账号口令猜解账号口令猜解 口令是信息安全里永恒的主题，在以往的渗透测试

10、项目中，通过账号口令问 题获取权限者不在少数。有用的账号口令除了系统账号如 UNIX 账号、Windows 账 号外，还包括一些数据库账号、WWW 账号、FTP 账号、MAIL 账号、SNMP 账号、CVS 账号以及一些其它应用或者服务的账号口令。尤其是各个系统或者是应用服务的 一些默认账号口令和弱口令账号。大多综合性的扫描工具都有相应的弱口令审核 模块，此外，也可以采用 Brutus、Hydra、溯雪等比较专业的账号猜解工具。 缓冲区溢出攻击缓冲区溢出攻击 针对具体的溢出漏洞，可以采用各种公开及私有的缓冲区溢出程序代码进行 攻击，如下图： 基于应用服务的攻击基于应用服务的攻击 基于 web、

11、数据库或特定的 B/S 或 C/S 结构的网络应用程序存在的弱点进行 攻击，常见的如 SQL 注入攻击、跨站脚本攻击、一些特定网站论坛系统的上传漏 洞、下载漏洞、物理路径暴露、重要文件暴露等均属于这一类型，特定的对象及 其漏洞有其特定的利用方法，这里就不一一举例。 1.1.1.1.3.3 后攻击阶段1.1.1.1.3.3 后攻击阶段 后攻击阶段主要是在达到一定的攻击效果后，隐藏和清除自己的入侵痕迹， 并利用现有条件进一步进行渗透，扩大入侵成果，获取敏感信息及资源，长期的 维持一定权限。 这一阶段，一般主要进行 3 个工作： 1）植入后门木或者键盘记录工具等，获得对对象的再一次的控制权 在真实的

12、黑客入侵事件中，这一步往往还要进行入侵行为的隐藏比如清楚日 志、隐藏后门木马服务、修补对象漏洞以防止他人利用等，但在渗透测试实例中 却不需要如此，往往需要保留对象相应的日志记录，可以作为渗透测试的相关证 据和参考信息。 2）获得对象的完全权限 这一步主要以破解系统的管理员权限账号为主， 有许多著名的口令破解软件， 如 L0phtCrack、JohntheRipper、Cain 等可以帮助我们实现该任务。 3）利用已有条件，进行更深入的入侵渗透测试 在成功获取某个对象的一定权限后，就可以利用该成果，以此对象为跳板， 进行进一步的入侵渗透。在这一步会重复预攻击阶段和攻击阶段的那些操作，因 为前提条

13、件的变化，可能实现许多先前不可能实现的渗透任务。此外，还这个阶 段，还有一些有用的攻击方法也是比较有效的，比如 Sniffer 嗅探、跳板攻击、 IP 欺骗、 ARP 欺骗与 MITM(中间人)攻击等， 都可以帮我们实现某些特定渗透结果。 1.1.1.1.4渗透测试流程1.1.1.1.4渗透测试流程 渗透测试与安全风险评估、安全加固等安全服务一样，在具体实施中都有可 能带来一些负面风险，因此一个严格的有效的实施流程是保证渗透测试正常实施 的关键，安全渗透测试服务严格遵循以下的项目实施流程： 1.1.1.1.4.1 制定方案并获得授权1.1.1.1.4.1 制定方案并获得授权 合法性即客户书面授

14、权委托并同意实施方案， 这是进行渗透测试的必要条件。 渗透测试首先必须将实施方法、实施时间、实施人员、实施工具等具体的实施方 案提交给客户，并得到客户的书面委托和授权。 实施方案大致包括下面几方面的内容： 项目基本情况及目标介绍 渗透测试实施方案及计划 渗透测试成果的审核确认 应该做到客户对渗透测试所有细节和风险的知晓、所有过程都在客户的控制 下进行，这也是专业渗透测试服务与黑客攻击入侵的本质不同。 1.1.1.1.4.2 信息收集分析1.1.1.1.4.2 信息收集分析 信息收集是每一步渗透攻击的前提，通过信息收集寻找渗透测试的突破口并 细化渗透测试方案，有针对性地制定模拟攻击测试计划。 信

15、息收集主要涉及如下内容： 域名及 IP 分布 网络拓补、设备及操作系统 OS 端口及服务情况 应用系统情况 最新漏洞情况 其它信息（如服务器管理员的相关信息等） 1.1.1.1.4.3 渗透测试方案细化1.1.1.1.4.3 渗透测试方案细化 根据预攻击阶段信息收集的结果，对渗透测试方案进行细化，主要是具体漏 洞细节及针对这些漏洞的可能采用的测试手段，详细时间安排，以及可能带来的 风险，需要客户配合或关注的地方等。方案细化后再次知会客户并取得客户同意 授权才能进行下一步操作。 1.1.1.1.4.4 渗透测试的实施1.1.1.1.4.4 渗透测试的实施 在取得客户同意后，开始具体的实施过程，包

16、括如下几方面内容： 获得目标系统权限 后门木马植入，保持控制权 跳板渗透，进一步扩展攻击成果 获取敏感信息数据或资源 在实施过程中，特别提请注意的是采取的渗透测试技术及手段一定不能导致 对象的业务中断和工作异常，必须对对象的状态进行实时监控，必要的情况下可 以要求客户协助进行。 1.1.1.1.5渗透测试报告1.1.1.1.5渗透测试报告 渗透测试之后，针对每个系统需要向客户提供一份渗透测试报告相关系统 网络渗透测试报告 ，报告十分详细的说明渗透测试过程中的得到的数据和信息， 并且将会详细的纪录整个渗透测试的全部操作。 渗透测试报告应包含如下内容： 渗透结论渗透结论 包括目标系统的安全状况、存在的问题、渗透测试的结果等 渗透测试项目的介绍渗透测试项目的介绍 包括项目情况、时间、参与人员、操作地点等 渗透测试过程渗透测试过程 包括渗透测试的各个实施阶段中的方法、工具、技术及其操作细节等 渗透测试的证据渗透测试的证据 渗透测试的一些过程及证明文件 解决方案解决方案 针对渗透测试中发现的问题给出对应的解决办法和建议 附录部分附录部分 渗透测试中的一些其它相关内容，如