《网络与信息安全管理中心安全值守技术方案讲义》由会员分享,可在线阅读,更多相关《网络与信息安全管理中心安全值守技术方案讲义(140页珍藏版)》请在金锄头文库上搜索。
1、1 技术建议书1.1 服务方案1.1.1 项目概况近几年来,信息息安全的重要要性逐步得到到了各行业的的广泛关注,国国家相关部门门也出台了多多项政策、法法规和标准,用用以指导各行行业的信息安安全建设。由由于信息安全全相关的标准准和法规相对对抽象,加之之信安中心承承担了管理和和生产职能,在在突发事件处处置等方面人人员储备不足足,受限于人人员配置和资资源问题,部部分安全工作作需要大量安安全工具及专专人参与。为为保障中国公公司结合自身身情况制定长长期、系统、有有效的安全建建设规划,提提出驻场服务务的需求。1.1.2 建设目标1、为安全工作作开展提供高高质量的安全全保障服务。2、在发生网络络调整,系统统
2、升级扩容,新新系统上线等等变更时,进进行评估,给给出明确的、可可实施的安全全建议及建设设规划,配合合相关安全工工作开展。3、在日常工作作中,协助安安全人员开展展定期的自查查评估工作,设设备或系统上上线时,实施施上线前的安安全评估和反反馈相关的制制度、规范和和流程的落实实情况。4、保障日常工工作中的网络络安全。5、应急响应及及安全事件分分析。6、开展安全培培训工作,提提升相关人员员的安全专业业水平。7、对重要系统统(网络安全全整合平台)进进行协助运维维和推广。1.1.3 服务方法本次安全值守服服务项目我们提供以下服务务方法:1.1.3.1 日常安全工作常态化漏洞扫描描,弱口令检检查,webb业务
3、系统渗渗透测试及相相关文档、总总结撰写定期安全检查:l 全网扫描(范围围)。l 根据目标主机数数量制定扫描描计划,每个个月能保证至至少完成一次次对全部维护护对象的安全全扫描工作。l 出具安全扫描结结果并和维护护人员进行面面对面沟通确确认,督促维维护人员进行行整改和加固固,加固结束束后进行再次次复查并出具具复查报告,对对于不能加固固的漏洞提供供安全解决建建议。系统上线安全检检查:对于新的业务系系统上线前,值值守人员配合合完成上线设设备的安全检检查工作,安安全检查包含含以下几项工工作: 远程安全扫描l 通过使用现有远远程安全评估估系统对上线线设备进行扫扫描,确保没没有高、中等等级的安全问问题,对于
4、低低等级的安全全问题,应确确保该问题不不会泄露设备备敏感信息 本地安全检查l 配合安全加固的的checkklist 对上线设备备进行检查,以以确保上线设设备已进行了了必要的安全全设置l 注:若已制定相相关的安全准准入规范,将将使用提供的的checkklist替替代的cheecklisst 远程渗透测试l 对复杂的应用系系统,如:WWEB系统,根根据需求进远远程渗透测试试1.1.3.1.1 渗透测试概述渗透测试(Peenetraation Test)是是指是从一个个攻击者的角角度来检查和和审核一个网网络系统的安安全性的过程程。通常由安安全工程师尽尽可能完整地地模拟黑客使使用的漏洞发发现技术和攻攻
5、击手段,对对目标网络/系统/主机机/应用的安安全性作深入入的探测,发发现系统最脆脆弱的环节。渗渗透测试能够够直观的让管管理人员知道道自己网络所所面临的问题题。作为一种专业的的安全服务,类类似于军队里里的“实战演习”或者“沙盘推演”的概念,通通过实战和推推演,让清晰晰了解目前网网络的脆弱性性、可能造成成的影响,以以便采取必要要的防范措施施。1.1.3.1.2 渗透测试意义从渗透测试中,客客户能够得到到的收益至少少有:u 协助发现组织中中的安全短板板一次渗透测试过过程也就是一一次黑客入侵侵实例,其中中所利用到的的攻击渗透方方法,也是其其它具备相关关技能的攻击击者所最可能能利用到的方方法;由渗透透测
6、试结果所所暴露出来的的问题,往往往也是一个企企业或组织中中的安全最短短木板,结合合这些暴露出出来的弱点和和问题,可以以协助企业有有效的了解目目前降低风险险的最迫切任任务,使在信信息安全方面面的有限投入入可以得到最最大的回报。u 作为信息安全状状况方面的具具体证据和真真实案例渗透测试的结果果可以作为向向投资方或管管理人员提供供的信息安全全状况方面的的具体证据,一一份文档齐全全有效的渗透透测试报告有有助于IT组织管理理者以案例的的形式向相关关人员直观展展示目前企业业或组织的安安全现状,从从而增强员工工对信息安全全的认知程度度,提高相关关人员的安全全意识及素养养,甚至提高高组织在安全全方面的预算算。
7、u 发现系统或组织织里逻辑性更更强、更深层层次的弱点渗透测试和工具具扫描可以很很好的互相补补充。工具扫扫描具有很好好的效率和速速度,但是存存在一定的误误报率和漏报报率,并且不不能发现高层层次、复杂、并并且相互关联联的安全问题题;渗透测试试的价值直接接依赖于实施施者的专业技技能和素养但但是非常准确确,可以发现现系统和组织织里逻辑性更更强、更深层层次的弱点。u 从整体上把握组组织或企业的的信息安全现现状信息安全是一个个整体工程,一一个完整和成成功的渗透测测试案例可能能会涉及系统统或组织中的的多个部门、人人员或对象,有有助于组织中中的所有成员员意识到自己己所在岗位对对系统整体安安全的影响,进进而采取
8、措施施降低因为自自身的原因造造成的风险,有有助于内部安安全的提升。1.1.3.1.3 渗透测试步骤渗透测试实际就就是一个模拟拟黑客攻击的的过程,因此此其的实施过过程也类似于于一次完整的的黑客攻击过过程,我们将将其划分为如如下几个阶段段: 预攻击阶段(寻寻找渗透突破破口) 攻击阶段(获取取目标权限) 后攻击阶段(扩扩大攻击渗透透成果)如下图:1.1.3.1.3.1 预攻击阶段预攻击阶段主要要是为了收集集获取信息,从从中发现突破破口,进行进进一步攻击决决策。主要包包括 网络信息,如网网络拓补、IIP及域名分分布、网络状状态等 服务器信息,如如OS信息、端端口及服务信信息、应用系系统情况等 漏洞信息
9、,如跟跟踪最新漏洞洞发布、漏洞洞的利用方法法等其利用到的方法法及工具主要要有:l 网络配置、状态态,服务器信信息 Ping Tracerooute Nslookuup whois Finger Nbtstattl 其它相关信息(如如WEB服务务器信息,服服务器管理员员信息等) google、yyahoo、bbaidu 等搜索引擎擎获取目标信信息 企业组织名称、个个人姓名、电电话、生日、身身份证号码、电电子邮件等等等(网站、论论坛、社交工工程欺骗)l 常规扫描及漏洞洞发现确认 NMAP端口扫扫描及指纹识识别 利用各种扫描工工具进行漏洞洞扫描(ISSS、Nesssus等) 采用 FWteester
10、、hhping33 等工具进进行防火墙规规则探测 采用 SolaarWindd 对网络设设备等进行发发现 采用 niktto、webbinspeect 等软软件对 weeb 常见漏漏洞进行扫描描 采用如AppDDetecttiv 之类类的商用软件件对数据库进进行扫描分析析l 应用分析(weeb及数据库库应用) 采用 WebPProxy、SPIKEEProxyy、websccarab、ParossProxyy、Absinnthe 等等工具进行分分析对Webb服务进行分分析检测 用 websccan、fuzzeer 进行 SQLL 注入和 XSSS 漏洞初初步分析 某些特定应用或或程序的漏洞洞的手
11、工验证证检测(如ssql注入、某某些论坛网站站的上传漏洞洞、验证漏洞洞,某些特定定软件的溢出出漏洞等) 采用类似OSccannerr 的工具对对数据库进行行分析 用 Etherreal 抓抓包协助分析析1.1.3.1.3.2 攻击阶段攻击阶段是渗透透测试的实际际实施阶段,在在这一阶段根根据前面得到到的信息对目目标进行攻击击尝试,尝试试获取目标的的一定权限。在在这一阶段,主主要会用到以以下技术或工工具:l 账号口令猜解口令是信息安全全里永恒的主主题,在以往往的渗透测试试项目中,通通过账号口令令问题获取权权限者不在少少数。有用的的账号口令除除了系统账号号如UNIXX账号、Wiindowss账号外,
12、还还包括一些数数据库账号、WWWW账号、FFTP账号、MMAIL账号号、SNMPP账号、CVVS账号以及及一些其它应应用或者服务务的账号口令令。尤其是各各个系统或者者是应用服务务的一些默认认账号口令和和弱口令账号号。大多综合合性的扫描工工具都有相应应的弱口令审审核模块,此此外,也可以以采用Bruutus、Hydraa、溯雪等比比较专业的账账号猜解工具具。l 缓冲区溢出攻击击针对具体的溢出出漏洞,可以以采用各种公公开及私有的的缓冲区溢出出程序代码进进行攻击,如如下图:l 基于应用服务的的攻击基于web、数数据库或特定定的B/S 或C/S 结构构的网络应用用程序存在的的弱点进行攻攻击,常见的的如S
13、QL 注入攻击、跨跨站脚本攻击击、一些特定定网站论坛系系统的上传漏漏洞、下载漏漏洞、物理路路径暴露、重重要文件暴露露等均属于这这一类型,特特定的对象及及其漏洞有其其特定的利用用方法,这里里就不一一举举例。1.1.3.1.3.3 后攻击阶段后攻击阶段主要要是在达到一一定的攻击效效果后,隐藏藏和清除自己己的入侵痕迹迹,并利用现现有条件进一一步进行渗透透,扩大入侵侵成果,获取取敏感信息及及资源,长期期的维持一定定权限。这一阶段,一般般主要进行33个工作:1)植入后门木木或者键盘记记录工具等,获获得对对象的的再一次的控控制权在真实的黑客入入侵事件中,这这一步往往还还要进行入侵侵行为的隐藏藏比如清楚日日
14、志、隐藏后后门木马服务务、修补对象象漏洞以防止止他人利用等等,但在渗透透测试实例中中却不需要如如此,往往需需要保留对象象相应的日志志记录,可以以作为渗透测测试的相关证证据和参考信信息。2)获得对象的的完全权限这一步主要以破破解系统的管管理员权限账账号为主,有有许多著名的的口令破解软软件,如L00phtCrrack、JJohn tthe Riipper、CCain 等等可以帮助我我们实现该任任务。3)利用已有条条件,进行更更深入的入侵侵渗透测试在成功获取某个个对象的一定定权限后,就就可以利用该该成果,以此此对象为跳板板,进行进一一步的入侵渗渗透。在这一一步会重复预预攻击阶段和和攻击阶段的的那些操
15、作,因因为前提条件件的变化,可可能实现许多多先前不可能能实现的渗透透任务。此外外,还这个阶阶段,还有一一些有用的攻攻击方法也是是比较有效的的,比如Snnifferr嗅探、跳板板攻击、 IIP欺骗、AARP欺骗与与MITM(中间人)攻攻击等,都可可以帮我们实实现某些特定定渗透结果。1.1.3.1.4 渗透测试流程渗透测试与安全全风险评估、安安全加固等安安全服务一样样,在具体实实施中都有可可能带来一些些负面风险,因因此一个严格格的有效的实实施流程是保保证渗透测试试正常实施的的关键,安全全渗透测试服服务严格遵循循以下的项目目实施流程:1.1.3.1.4.1 制定方案并获得得授权合法性即客户书书面授权委托托并同意实施施方案,这是是进行渗透测测试的必要条条件。渗透测测试首先必须须将实施方法法、实施时间间、实施人员员、实施工具具等具体的实实施方案提交交给客户,并并得到客户的的书面委托和和授权。实施方案大致包包括下面几方方面的内容: 项目基本情况及及目标介绍 渗透测试实施方方案及计划 渗透测试成果的的审核确认应该做到客户对对渗透测试所所有细节和风风险的知晓、所所有过程都在在客户的控制制下进行,这这也是专业渗渗透测试服务务与黑客攻击击入侵的本质质不同。1.1.3.
