互联网系统在线安全监测技术方案(标书).doc

1、1.1在线安全监测1.1.1 网站安全监测背景当前，互联网在我国政治、经济、文化以及社会生活中发挥着愈来愈重要的作用，作为国家关键基础设施和新的生产、生活工具，互联网的发展极大地促进了信息流通和共享，提高了社会生产效率和人民生活水平，促进了经济社会的发展。网络安全形势日益严峻，针对我国互联网基础设施和金融、证券、交通、能源、海关、税务、工业、科技等重点行业的联网信息系统的探测、渗透和攻击逐渐增多。基础网络防护能力提升，但安全隐患不容忽视；政府网站篡改类安全事件影响巨大；以用户信息泄露为代表的与网民利益密切相关的事件，引起了公众对网络安全的广泛关注；遭受境外的网络攻击持续增多；网上银行面临的钓鱼

2、威胁愈演愈烈；工业控制系统安全事件呈现增长态势；手机恶意程序现多发态势；木马和僵尸网络活动越发猖獗；应用软件漏洞呈现迅猛增长趋势；DDoS攻击仍然呈现频率高、规模大和转嫁攻击的特点。1.1.2 网站安全监测服务介绍1.1.2.1基本信息安全分析对网站基本信息进行扫描评估，如网站使用的 WEB 发布系统版本，使用的 BBS、CMS 版本；检测网站是否备案等备案信息；另外判断目标网站使用的应用系统是否存在已公开的安全漏洞，是否有调试信息泄露等安全隐患等。1.1.2.2网站可用性及平稳度监测拒绝服务、域名劫持等是网站可用性面临的重要威胁；远程监测的方式对拒绝服务的检测，可用性指通过 PING、HTT

3、P 等判断网站的响应速度，然后经分析用以进一步判断网站是否被拒绝服务攻击等。域名安全方面，可以判断域名解析速度检测，即 DNS 请求解析目标网站域名成功解析 IP 的速度。1.1.2.3网站挂马监测功能挂马攻击是指攻击者在已经获得控制权的网站的网页中嵌入恶意代码 （通常是通过 IFrame、Script 引用来实现） ，当用户访问该网页时， 嵌入的恶意代码利用浏览器本身的漏洞、第三方 ActiveX 漏洞或者其它插件（如Flash、 PDF 插件等）漏洞， 在用户不知情的情况下下载并执行恶意木马。网站被挂马不仅严重影响到了网站的公众信誉度，还可能对访问该网站的用户计算机造成很大的破坏。一般情况

4、下，攻击者挂马的目的只有一个：利益。如果用户访问被挂网站时，用户计算机就有可能被植入病毒，这些病毒会偷盗各类账号密码，如网银账户、游戏账号、邮箱账号、QQ 及 MSN 账号等。 植入的病毒还可能破坏用户的本地数据，从而给用户带来巨大的损失，甚至让用户计算机沦为僵尸网络中的一员。1.1.2.4网站敏感内容及防篡改监测基于远程 Hash 技术，实时对重点网站的页面真实度进行监测，判断页面是否存在敏感内容或遭到篡改，并根据相应规则进行报警1.1.2.5网站安全漏洞监测Web 时代的互联网应用不断扩展，在方便了互联网用户的同时也打开了罪恶之门。在地下产业巨大的经济利益驱动之下，网站挂马形势越来越严峻。

5、2008 年全球知名反恶意软件组织 StopBadware 的研究报告显示，全球有 10%的站点都存在恶意链接或被挂马。一旦一个网站被挂马，将会很快使得浏览该网站用户计算机中毒，导致客户敏感信息被窃取，反过来使得网站失去用户的信任，从而丧失用户；同时当前主流安全工具、浏览器、搜索引擎等都开展了封杀挂马网站行动，一旦网站出现挂马，将会失去 90%以上用户。网站挂马的根本原因，绝大多数是由于网站存在 SQL 注入漏洞和跨站脚本漏洞导致。尤其是随着自动化挂马工具的发展，这些工具会自动大面积扫描互联网，自动找到存在 SQL 注入漏洞的网站，并自动注入挂马代码。所以解决挂马问题需要从源头上加强网站的安全

6、。1. SQL 注入漏洞检测通过对多个字段进行注入测试，除了对传统的 get 参数字段进行检测，还对 COOKIE， REFERER 、URL 中的 PATH 字段等 HTTP 头部字段进行检测。同时，通过使用网页动态参数判定、网页结构分析等技术，有效过滤非动态参数，大大提高了检测效率，降低了误报的可能性。采用多种业内领先的识别技术进行漏洞判定，如关键字匹配、返回信息智能识别等技术。2. XSS 跨站脚本漏洞检测通过使用网页动态参数判定、网页结构分析等技术，有效过滤非动态参数，大大提高了检测效率，降低了误报的可能性。采用多种业内领先的识别技术进行漏洞判定，如关键字匹配、返回信息智能识别等技术。

7、针对 XSS 跨站漏洞的特殊性和检测环境的复杂性，储备了大量的 XSS 检测代码，从而保证了漏洞检出的成功率，避免出现未做深入的研究及优化，导致误报率特别高。3. 其他漏洞检测可检测其他 WEB 应用常见漏洞，如 CSRF 漏洞检测、CGI 漏洞检测、表单绕过漏洞等检测。1.1.2.6主机脆弱性扫描1. 脆弱性扫描与分析渐进式的扫描方法能够利用已经发现的资产信息进行针对性扫描，以发现主机上不同应用对象（操作系统和应用软件）的弱点和漏洞，同时保证扫描过程的快速和结果的准确。目前，可检测的漏洞数量已经超过 3000 种，涵盖了各种常见的网络主机、操作系统、应用系统和数据库系统的安全漏洞。任务管理和

8、策略管理功能，可以使用户的扫描操作变得更加方便和灵活。用户可以使用默认扫描策略或者自定义扫描策略，创建特定或者自动计划任务，调整扫描参数以提高扫描效率，甚至可以在同一个任务中对不同的对象采用不同的策略进行扫描，从而方便的实现更具针对性的脆弱性扫描。在扫描任务执行的过程中，就可以将扫描的过程信息、阶段性的扫描结果实时显示出来，并且可以生成在线报表。在扫描任务结束后，使用报表管理功能可以对扫描结果进行细致全面的分析，生成面向不同安全管理角色诸如主管领导、管理人员、技术人员的客户化报表。报表可以分漏洞扫描、资产统计和弱点评估 3 大类 20 多种，以统计、比较、交叉、评估、详述等多种方法对扫描结果进

9、行分析，支持以 XML、HTML、WORD、Excel、PDF、RTF 等多种常用格式导出，方便用户使用。2. 脆弱性风险评估对漏洞、主机和网络的脆弱性风险进行评估和定性。采用最新的 CVSS v2 标准来对所有漏洞进行统一评级，客观的展现其危险级别。在此基础上，利用漏洞的 CVSS 评分，综合被扫描资产的保护等级和资产价值，采用参考国家标准制定的风险评估算法，能够对主机、网络的脆弱性风险做出定量和定性的综合评价，帮助用户明确主机和网络的脆弱性风险等级，制定出合理的脆弱性风险管理策略。漏洞信息的描述中包含 CVSS 评分，主机和网络的脆弱性风险评估结论会在弱点评估报表中直接体现，并且对风险控制

10、措施做出建议。3. 弱点修复指导通过 CVSS 评分，能够直接给修复工作提供优先级的指导，以确保最危险的漏洞被先修复。下表显示了 CVSS 评分和修复工作优先级的关系，并给出推荐的修复工作时限：CVSS 分值 优先级别 修补时间01 P4 可以自由决定14 P3 3-6 个月47 P2 最多 4 周710 P1 最多 2 周漏洞修复工作的优先级别每个漏洞都有详细的描述，包括漏洞的说明、影响的系统、平台、危险级别以及标准的 CNCVE、CVE、BUGTRAQ 等对应关系以及链接信息，并提供修补方案，如系统加固建议、安全配置步骤、以及补丁下载链接等，这些信息可以帮助用户建立对漏洞的全面认识，正确完

11、成弱点修复工作。1.1.2.7结果分析服务远程网站安全检查服务是针对互联网网站安全需求，依托自动化安全检测平台和专业网站防护专家团队，结合漏洞扫描在实际环境使用中存在的问题，推出定制化人工的网页挂马检查服务和网页漏洞检查服务，通过与检测软件配合，最大化保证检测的真实性，这样能有效的辅助信息管理人员解决网络中应用存在的安全问题，便于公共安全工作的展开。1. 准确识别当前流行的挂马行为通过与远程网站安全检查服务的结合，能够覆盖包括：Iframe 框架挂马、JS 文件挂马、JS 变形加密等十余种目前流行的挂马方式，通过在自动化的安全检查平台沙箱虚拟环境中充分暴露其行为模式，准确的定位网页挂马所在的位

12、置。能辅助用户一针见血发现问题，同时也能提供更细化的安全解决意见。2. 识别常见的 Web 应用漏洞通过与远程网站安全检查服务基于先进的自动化安全检查平台，能够更精确的识别目前流行的 Web 应用漏洞，例如 SQL 注入、跨网站脚本攻击以及缓存溢出等，并且定位 Web 应用漏洞所在的位置，同时也能结合用户实际环境，提供合理的解决建议。3. 准确的标准化检测报告对交付的自动化检测结果，可在安全专家的实际审核后形成。这样的流程有效的避免了误报发生的可能性，确保检测结果的真实准确性，也能保证我们网监检测内容更准确，同时也能给出更合理、更科学的解决方案。4. 专家级的木马清除方案和漏洞修复建议当最终交

13、付的检测报告发现网站存在网页挂马现象或者 WEB 应用程序漏洞，安全专家还会在报告中提出专家级挂马清除方案和漏洞修复建议。用户可以根据报告建议进行网站安全应急处理，保障了漏洞检测的真正意义。1.1.2.8监测周期本项目监测规模约为山东省 XXX 互联网系统，根据以往经验，按照平均每个域名 1000URL 进行估算。我们建议可从网站的可用性、网站的脆弱性（漏洞）以及网站的内容安全（挂马、关键字、网页变更）等几个方面对网站进行监测，具体的监测策略建议如下：序号 监控类别 监控周期 监控页面深度1网站可用性、平稳度监测5 分钟/次 首页5 分钟/次 首页2网页敏感信息及防篡改监测 6 小时/次检测至

14、二级页面，页面总数不超过 50010 分钟/次 首页3 网页挂马监测24 小时/次检测至二级页面，页面总数不超过 5004 WEB 漏洞监测 7 天/次 全部页面5 系统漏洞检测 7 天/次 全部站点1.1.2.9安全监测功能列表功能模块 说明篡改检测 网页变更检测 变更检测功能用来远程监控目标网站是否发生变更，是否被篡改。内容安全检测网页木马检测 对网站使用基于传统静态匹配特征、云特征等多种检测手段，判别网站页面是否存在挂马，准确率95%。WEB 脆弱性检测SQL 注入检测 检测网站是否存在 SQL 注入漏洞，支持如下类型的注入检测：Get 参数/Post 参数/Cookie 中变量/HTT

15、P 头部变量的注入检测优化的 SQL 注入检测算法，能够智能归类属于同一模板文件的所有页面，提高检测速度XSS 漏洞检测 检测网站是否存在 XSS 漏洞，支持反射型 XSS、存储型XSS 和 DOM 型 XSS 的检测CSRF 漏洞检测 检测网站是否存在 CSRF 漏洞，支持 Get、Post、Ajax 型的CSRF 检测Web 应用漏洞检测基于 Web 漏洞库的 Web 漏洞检测，支持准确的 Web 应用、Web 容器、Web 服务端语言、操作系统识别技术，包含 500条以上的第三方软件漏洞CGI 漏洞检测 覆盖全面的 CGI 漏洞检测，能够支持 1000 条以上检测规则表单绕过检测 准确识

16、别出后台地址与登录的表单地址，支持检测基于弱口令的表单绕过，基于 SQL 注入的表单绕过操作系统脆弱性检测检测常见操作系统如 Microsoft Windows、Sun Solaris、HP Unix、IBM AIX、Linux、BSD 等存在的系统漏洞应用系统脆弱性检测检测主流的 WEB 服务器如 IIS、Apache 、NginX 等，主要的中间件如 Tomcat、Websphere、Weblogic 等的系统漏洞系统脆弱性检测数据库系统脆弱性检测检测常见数据库如 SQL Server、Oracle、Sybase 、DB2、MySQL 存在的漏洞域名解析速度检测DNS 请求解析目标网站域名

17、成功解析 IP 的速度域名劫持检测 能检测到类似 GFW 的 DNS 污染，即篡改 DNS 响应数据包内容的行为；能检测到大部分 ISP 域名劫持PING 探测 Ping 目标网站得到响应的速度可用性检测HTTP 探测 HTTP 请求目标网站得到响应的速度Web 应用探测 支持 Web 应用及版本的识别，涵盖包括国内外最常见的CMS，BBS，Blog，eShop，web 框架等类型的 Web 应用服务端指纹识别精准识别目标网站的操作系统类型、Web 容器类型、服务端语言及相关的版本信息网站服务器端口检测检测网站服务器的端口开放情况，比如数据库端口，额外的Web 服务端口，FTP 服务端口等网站

18、备案检测 检测网站是否备案站点信息检测网站 whois 信息检测检测网站域名的 whois 信息，域名是否到期等网站内容安全检测暗链检测 检测网站是否被嵌入暗链地址，一般为在浏览器中隐藏不可见的广告链接，如网游、博彩，色情等广告链接。内容泄露检测 检测网站是否存在以下内容泄露：内网 IP 地址信息泄露、数据库信息泄露、网站调试信息泄露、网站目录浏览、Web服务器路径信息泄露、电子邮件地址信息泄露、不安全的Flash 参数配置文件泄露检测 检测网站是否存在以下文件泄露：网站敏感目录泄露、网站备份文件泄露、数据库备份文件泄露、svn 信息泄露、phpinfo 文件信息泄露、服务器探针文件信息泄露、webshell检测编辑器临时文件信息泄露、Shell 历史文件信息泄漏1.1.3 工作时间本阶段工作期限为 24 个月。1.1.4 参与人员山东 XX 山东 XX信息科技部门技术总监项目顾问项目经理技术工程师人数：不限 人数：3-5 人1.1.5 交付成果项目验收将交付如下工作成果： 每月出具一份互联网信息系统安全监测报告 发现攻击或漏洞及时通知并记录