1、受控:C 级 项目编号:DPtech-YNDW-AQFW-2017 XXX 安全服务方案 杭州迪普科技股份有限公司 Hangzhou DPTech Technologies Co., Ltd 年 月 XXX 安全服务方案 受控:C 级 杭州迪普科技股份有限公司 版权所有,侵权必究 All rights reserved 第 2 页,共 89 页 目 录 1 项目概述 .6 2 遵循原则 .6 3 推荐服务内容 .7 4 服务详细介绍 .8 4.1 网站安全监控 .8 4.1.1 服务简介 9 4.1.2 服务功能 11 4.1.3 服务特点 14 4.1.4 输出成果 15 4.2 渗透测试服
2、务 .15 4.2.1 测试方法 16 4.2.2 测试内容 17 4.2.3 实施步骤 18 4.2.4 输出成果 21 4.2.5 服务收益 21 4.3 网络安全评估 .21 4.3.1 评估内容 22 4.3.2 评估方法 26 4.3.3 实施步骤 28 4.3.4 输出成果 38 4.4 安全巡检服务 .38 4.4.1 服务内容 38 4.4.2 输出成果 39 XXX 安全服务方案 受控:C 级 杭州迪普科技股份有限公司 版权所有,侵权必究 All rights reserved 第 3 页,共 89 页 4.4.3 服务收益 39 4.4.4 服务频率 39 4.5 安全加固
3、服务 .40 4.5.1 加固内容 40 4.5.2 加固流程 42 4.5.3 输出成果 46 4.5.4 服务收益 47 4.5.5 服务频率 47 4.6 应急响应服务 .47 4.6.1 服务内容 48 4.6.2 输出成果 49 4.6.3 服务收益 49 4.6.4 服务频率 50 4.7 新系统入网安全评估 .50 4.7.1 评估内容 51 4.7.2 输出成果 52 4.7.3 服务收益 53 4.7.4 服务频率 53 4.8 安全攻防演练培训 .53 4.8.1 培训课程 54 4.8.2 培训流程 61 4.8.3 培训考核 62 4.8.4 培训优势 62 4.9 重
4、要时期安全保障 .63 4.9.1 现场值守 63 XXX 安全服务方案 受控:C 级 杭州迪普科技股份有限公司 版权所有,侵权必究 All rights reserved 第 4 页,共 89 页 4.9.2 预案制定 64 4.9.3 应急处理 64 4.9.4 输出成果 65 5 服务配套工具 .65 6 项目投资估算 .66 7 项目管理方案 .67 7.1 项目管理方法 .67 7.2 组织结构图 .68 7.3 项目沟通 .69 7.3.1 日常沟通、记录和备忘录 69 7.3.2 报告 69 7.3.3 会议 69 7.4 项目实施质量保证 .70 7.4.1 项目执行人员的质量
5、职责 71 7.4.2 安全服务质量保证 71 7.5 系统安全及风险规避方案 .74 7.5.1 项目实施工具 74 7.5.2 项目实施策略 74 7.5.3 项目实施中的配合 75 8 保密承诺 .76 8.1 保密协议 .76 8.1.1 保密协议的必要性 76 8.1.2 保密条款 76 8.1.3 违约责任 77 8.2 项目实施人员专项保密承诺 .78 XXX 安全服务方案 受控:C 级 杭州迪普科技股份有限公司 版权所有,侵权必究 All rights reserved 第 5 页,共 89 页 8.2.1 保密承诺的必要性 78 8.2.2 保密内容和范围 78 8.2.3
6、保密责任 78 9 迪普科技简介 .79 9.1 公司介绍 .79 9.2 服务资质 .80 9.2.1 国内最高的信息安全服务二级资质 80 9.2.2 中国通信企业协会风险评估资质 82 9.2.3 ISO 27001 信息安全管理体系认证 .83 9.2.4 国家信息安全漏洞库支撑单位 84 9.2.5 中国互联网网络安全威胁治理联盟成员单位 84 9.2.6 ISO9001 认证 85 9.2.7 ISO14001 认证 86 9.2.8 部分漏洞提交证明 86 9.3 服务优势 .88 9.3.1 信息安全监管机构高度认可 88 9.3.2 强大的漏洞挖掘研究能力 88 9.3.3
7、专业的安全咨询服务团队 88 9.3.4 国家重大会议活动首选安全保障团队 89 XXX 安全服务方案 受控:C 级 杭州迪普科技股份有限公司 版权所有,侵权必究 All rights reserved 第 6 页,共 89 页 1 项目概述 近年来,随着棱镜门事件的爆发,网络和信息安全受到前所未有的关注。2014 年 中央网络安全和信息化领导小组的成立,习近平主席“没有网络安全就没有国家安全” 等指示的提出,无不表明网络与信息安全工作已经上升至国家战略安全层面。 在这种形势下,网络安全的重要性被提到了前所未有的高度。在 XXX 中,如果网 络和业务系统被黑客攻击,页面被得法自发、敏感信息被窃
8、取,其影响将难以估计。 同时,2017.6.1 既将实行的网络安全法中,规定将对出现安全事件的组织负责人进行 处罚。 随着安全技术的发展,各行业的网络和业务系统,必将成为黑客或反动势力的攻 击目标。种种迹象表明,如果网络和业务系统存在安全漏洞,将非常容易导致被攻击 者非法入侵,并对敏感数据进行非法窃取、篡改、删除等操作。 编写本方案的目的,是希望通过迪普科技长期从事网络安全、网站安全、安全服 务工作的经验,以及对黑客攻击过程的深入理解,为 XXX 的网络和业务系统提供全方 位的安全防护建议,并为 XXX 的安全运行保驾护航。 2 遵循原则 本次为 XXX 提供的安全服务,全程遵循以下原则。 先
9、进性原则 安全服务和形成的规划方案,在路线上应与业界的主流发展趋势相一致,保证依 据此方案进行安全防护的 XXX 具备先进性。 标准性原则 XXX 安全服务方案 受控:C 级 杭州迪普科技股份有限公司 版权所有,侵权必究 All rights reserved 第 7 页,共 89 页 安全服务和产品的选择,按照国家安全管理、安全控制、安全规程为参考依据。 实用性原则 具备多层次、多角度、全方位、立体化的安全保护功能。各种安全技术措施尽显 其长,相互补充。当某一种或某一层保护失效时,其它仍可起到保护作用。 可控性原则 安全服务和安全规划的技术和解决方案,涉及的工程实施应具有可控性。 系统性、均
10、衡性、综合性研究原则 安全服务从全系统出发,综合分析各种安全风险,采取相应的安全措施,并根据 风险的大小,采取不同强度的安全措施,提供具有最优的性能价格比的安全解决方案。 可行性、可靠性原则 技术和解决方案,需在保证网络和业务系统正常运转的前提下,提供最优安全保 障。 可扩展性原则 良好的可扩展性,能适应安全技术的快速发展和更新,能随着安全需求的变化而 变化,充分保证投资的效益。 3 推荐服务内容 根据国家监管机构要求以及 XXX 安全需求,我们推荐以下服务内容。 序号 服务内容 服务描述 服务方式 1 网站安全监控 对 XXX 指定的网站进行 7*24 小时安全监控,并 提供监控日报、周报、
11、月报,在网站出现异常情 况时(被攻击、篡改、挂马),进行实时告警。 远程 XXX 安全服务方案 受控:C 级 杭州迪普科技股份有限公司 版权所有,侵权必究 All rights reserved 第 8 页,共 89 页 2 渗透测试服务 通过人工方式,模拟黑客攻击方法,对 XXX 的 网站进行非破坏性质的安全测试,查找应用层面 漏洞并给出对应的修复建议。 远程/现场 3 网络安全评估 评估 XXX 的网络拓扑架构、安全域规划、边界 防护、安全防护措施、核心设备安全配置、设备 脆弱性等,从而全面评估网络的安全现状,查找 安全隐患。 现场 4 安全巡检服务 定期对 XXX 的业务系统进行安全漏洞
12、检测、基 线配置核查、安全日志审计,评估业务系统的安 全现状,如果存在安全风险,则提供对应的整改 建议。 现场 5 安全加固服务 对安全巡检发现的漏洞进行修复、配置隐患进行 优化的过程。加固内容包括但不限于系统补丁、 防火墙、防病毒、危险服务、共享、自动播放、 密码安全。 远程/现场 6 应急响应服务 当 XXX 的网站或服务器遭受黑客入侵攻击时, 第一时间对入侵事件进行分析、检测、抑制、处 理,查找入侵来源并恢复系统正常运行。 远程/现场 7 新系统入网安 全评估 在新系统入网前,对其进行全面的安全评估,包 括渗透测试、漏洞检测、基线核查,评估新系统 的安全状况,查找不符合安全要求的配置项以
13、及 安全风险点。 远程/现场 8 安全攻防演练 培训 为 XXX 提供一个理论结合实际、可以实战演练、 场景真实逼真的安全攻防培训,从而真正提升受 训人员的安全技术和实际动手能力。 现场 9 重要时期安全 保障 在重要时期(如重大会议、重大节假日),我司 派出安全攻防经验丰富的安全专家,进驻用户现 场,对业务系统进行现场安全值守和保障。 现场 4 服务详细介绍 下面,对每项服务内容,进行详细说明。 XXX 安全服务方案 受控:C 级 杭州迪普科技股份有限公司 版权所有,侵权必究 All rights reserved 第 9 页,共 89 页 4.1 网站安全监控 随着互联网技术的快速发展,网
14、站攻击的门槛不断降低。各类型网站受到的安全 威胁越来越多,为形象、各 Web 应用系统的正常使用。应实现以下基本安全需求: 监控网站页面内容完整、不被篡改; 监控网站存在的 SQL 注入、XSS、非法访问、信息泄露等应用层漏洞,从而 提前解决潜在风险; 监控网站,防止网站挂马而导致的客户满意度损失; 监控网站是否存在敏感信息,对于网站的敏感信息内容自行配制告警功能, 方便管理者及时了解到发生的安全事件,可根据量化的标准,对网站的安全 事件严重程度进行不同形式的告警,杜绝可能存在的政治风险和声誉损失; 监控网站是否被钓鱼,导致相关的名誉损失。 4.1.1 服务简介 WEB 网站安全监控平台安全监
15、控系统是迪普科技根据“云”的理念研发出的一款 全天候 Web 监测系统。WEB 网站安全监控平台监控系统基于 PAAS(Platform-AsA- Service)模式,通过部署于各信息节点的监测引擎对客户指定的网站(WEB 应用)进 行可用率和站点安全性检测,以保障客户网站业务持续性,从而向客户提供网站安全 的保障。 XXX 安全服务方案 受控:C 级 杭州迪普科技股份有限公司 版权所有,侵权必究 All rights reserved 第 10 页,共 89 页 XXX 安全服务方案 受控:C 级 杭州迪普科技股份有限公司 版权所有,侵权必究 All rights reserved 第 1
16、1 页,共 89 页 4.1.2 服务功能 4.1.2.1 被动防御 被动防御主要提供如下服务: 网站异常推送 无需时时刻刻紧盯着网站,也无需改变任何网络的部署,也不需专门的人员进行 安全设备维护及分析日志,一旦 Web 出现任何异常行为,迪普科技 WEB 网站安全监 控平台会自动把异常推送到云端,然后在云端进行分析检测。您完全不用担心找不到 异常的解决办法,WEB 网站安全监控平台会帮你完成这一系列繁杂的任务。 预警服务 每一个用户所发生的异常行为都会在推送到云端分析结束后保留在云端特征库中, 一旦该异常再次发生,异常比对后,云端几乎可无间隔预警。也就是说我们的用户越 XXX 安全服务方案
17、受控:C 级 杭州迪普科技股份有限公司 版权所有,侵权必究 All rights reserved 第 12 页,共 89 页 多,WEB 网站安全监控平台全方位立体式的监控就越完善,您的网站也越加安全。 专业团队 Web 异常原因根据系统环境,人员等各种因素各式各样。在遇到云端无法解决的 情况下,我们专业团队会在第一时间通知您,并提供解决方案。 系统报表 每日监测后网站性能等监测指标都可以随时生成相应的报表,方便您的查阅。您 无需在去找人进行参数整理等重复性工作,解决大量的人力重复劳动。 4.1.2.2 主动扫描 主动扫描主要提供如下服务: 网站性能监控 性能监控主要对服务器性能、网站访问可
18、用率、延迟、故障时间的一个持续评测。 是主动扫描中基础模块之一,它能更准确的让您清楚每天网站运行的状态。 检测功能: 有效的监测网站实时的可用率,更加直观的表现出网站的性能; 统计网站的故障时间,可有效的查出故障时间段,针对性解决网站故障; 网站性能分析,根据监测结果智能分析出网站可能出现的异常情况。 网站篡改检测 网站防线攻破后,入侵者会对网站的页面内容进行篡改,发布一些危害网站正常 运行的言论,从对网站形象带来巨大负面影响。 检测功能: 有效防止挂黑链,避免影响网站优化,导致排名下降; XXX 安全服务方案 受控:C 级 杭州迪普科技股份有限公司 版权所有,侵权必究 All rights
19、reserved 第 13 页,共 89 页 及时发现留后门,预防网站二次入侵; 第一时间发现恶意修改的虚假信息,避免误导用户; 时刻检测恶意代码植入,避免网站被杀软警报屏蔽; 避免主页被篡改,减少声誉损失,避免网站服务中断。 网站挂马监控 挂马检测模块采用大规模、分布式、动态行为检测和静态检测相结合的挂马识别 方式,能够准确判断出网站的挂马页面,并及时发出警报,可以有效维护网站安全和 利益。同时,通过高级木马检测服务,用户可指定监控间隔周期、监控页面深度、报 警方式等参数,更好的满足用户需求。 检测功能: 检测 iframe 框架挂马,让您及时清理,避免成为木马散布点; 检测 script
20、挂马,避免通过 script 的调用来挂马; 检测图片伪装挂马,让您及时处理,避免网页被杀软报警; 检测网页漏洞,让您及时修复,预防被挂马; 实时监控网站挂马情况,让您及时处理挂马问题。 网站敏感词监控 敏感词监控主要是针对网站敏感词的一个检测过滤,它能准确的检测出你在其管 理平台中设立的敏感词。一旦发现存在某个页面中,WEB 网站安全监控平台会主动提 醒您。 检测功能: 检测网页源码中敏感词出现; 检测数据库中敏感词出现; XXX 安全服务方案 受控:C 级 杭州迪普科技股份有限公司 版权所有,侵权必究 All rights reserved 第 14 页,共 89 页 统计敏感词出现次数,
21、定位到具体代码数据。 网跨站钓鱼检测 跨站钓鱼检测模块通过静态分析技术与虚拟机沙箱行为检测技术相结合,对网站 进行跨站钓鱼检测,能在最快的时间内完成跨站检测。 检测功能: 检测 iframe 框架跨站钓鱼; 检测 script 跨站钓鱼,避免通过 script 的调用来跨站钓鱼; 检测 img 跨站钓鱼; 对页面的中的链接域名进行监测,保障用户访问的域名正确性。 4.1.3 服务特点 4.1.3.1 易操作 用户只需要登录我们的平台,在其授权管理后,设置网站所需要监控的项目。迪 普科技本着“以人为本”理念,在产品设计时非常注重用户体验,您只需要简单的几 步操作既可完成整个网站的监控。同时产品中
22、拥有丰富的帮助文档,即使您没有接触 过类似产品,在帮助文档的指引下也可以顺利的完成操作。可以在管理平台中根据您 设置对网站安全情况进行日报、周报、月报的报告通告,并通过邮件及时通知您。 4.1.3.2 智能管理 主动扫描模式,被动防御模式 主动扫描模式可主动更深入的测查出网站所存在的安全隐患,可主动发现各种网 页挂马、敏感词的出现、以及网站实时性能的一个总体分析。您可随意调整扫描模式, 达到预期效果。被动防御模式可全天候监测网站异常,并在异常出现第一时间预警通 XXX 安全服务方案 受控:C 级 杭州迪普科技股份有限公司 版权所有,侵权必究 All rights reserved 第 15 页
23、,共 89 页 您。 节省投资与管理成本 提供 365*7*24 全天候的在线木马监测服务,让您的站点每一分钟都在监控中。 大大节省您在安全设备采购的投资,并且您无需亲自动手操作各种安全设备,避免在 使用设备过程中的繁琐,节省您的时间和精力。 订阅故障统计报告 站点安全情况可根据用户需求进行订阅,让用户能够了解到行业内、地域内站点 的安全情况,及时做好维护升级,避免不必要的损失。 4.1.4 输出成果 网站安全监控的输出成果如下: XXX 网站安全监控周报 XXX 网站安全监控月报 4.2 渗透测试服务 渗透测试服务,是在 XXX 授权的前提下,以模拟黑客攻击的方式,对 XXX 网站的 安全漏
24、洞、安全隐患进行全面检测,最终目标是查找网站的安全漏洞、评估网站的安 全状态、提供漏洞修复建议。 在渗透过程中,我们会采用业界领先的漏洞检测技术、攻击技术、攻击工具和迪 普安全团队编写的脚本。过程分为四步:计划与准备、信息收集、实施渗透、输出报 告。计划与准备阶段主要是根据网站反馈的内容制定项目实施方案与计划;信息收集 与实施渗透是项目的实施阶段,输出报告主要是汇总和评估项目中发现的安全威胁, 并输出文档。 XXX 安全服务方案 受控:C 级 杭州迪普科技股份有限公司 版权所有,侵权必究 All rights reserved 第 16 页,共 89 页 测试方法 我司提供的渗透测试服务,采用
25、的测试方法如下。 信息搜集 信息探测阶段包括信息收集,端口、服务扫描,计算机漏洞检测,此阶段主要做 渗透前的踩点用。 使用工具: Maltego ,搜集管理员email、tel、常用id,网络拓扑等 Nmap ,端口、服务扫描,弱口令破解,系统信息探测 X-scan ,端口、服务扫描,弱口令破解,系统信息探测 P0f ,系统识别 Appscan ,Web漏洞检测程序 WVS ,Web漏洞检测程序 W3AF ,Web漏洞检测程序 Scanner1000 ,迪普科技开发的漏洞检测产品,支持系统漏洞检测,Web漏洞 检测等一系列功能 端口扫描 通过对目标地址的TCP/UDP端口扫描,确定其所开放的服
26、务的数量和类型,这是 所有渗透测试的基础。通过端口扫描,可以基本确定一个系统的基本信息,结合安全 工程师的经验可以确定其可能存在以及被利用的安全弱点,为进行深层次的渗透提供 依据。 口令猜测 口令猜测也是一种出现概率很高的风险,几乎不需要任何攻击工具,利用一个简 单的暴力攻击程序和一个比较完善的字典,就可以猜测口令。 XXX 安全服务方案 受控:C 级 杭州迪普科技股份有限公司 版权所有,侵权必究 All rights reserved 第 17 页,共 89 页 对一个系统账号的猜测通常包括两个方面:首先是对用户名的猜测,其次是对密 码的猜测。 脚本测试 脚本测试专门针对 Web 服务器进行
27、。根据最新的技术统计,脚本安全弱点为当前 Web 系统尤其存在动态内容的 Web 系统存在的主要比较严重的安全弱点之一。利用脚 本相关弱点轻则可以获取系统其他目录的访问权限,重则将有可能取得系统的控制权 限。因此对于含有动态页面的 Web 系统,脚本测试将是必不可少的一个环节。 Hydra ,暴力破解工具,支持Samba, FTP, POP3, IMAP, Telnet, HTTP Auth, LDAP, NNTP, MySQL, VNC, ICQ, Socks5, PCNFS, Cisco等多种协议的暴力破 解 Metasploit ,溢出程序利用平台 菜刀 ,Webshell功力工具 Pw
28、dump7 ,读取系统HASH Cain ,内网sniffer工具 Disniff , linux下嗅探工具 人工渗透 人工渗透,主要针对系统的业务逻辑漏洞进行安全测试,利用业务逻辑漏洞查找 可准确、切实的找出业务中存在的安全隐患,避免被恶意用户利用,对系统造成重大 损失。 4.2.2 测试内容 对 XXX 网站的渗透测试,除使用产品和工具扫描外,更重要的需要进行人工渗透, 渗透内容包括但不限于以下项,且需要对发现的漏洞进行验证和利用。 XXX 安全服务方案 受控:C 级 杭州迪普科技股份有限公司 版权所有,侵权必究 All rights reserved 第 18 页,共 89 页 序号 渗
29、透测试大项 渗透测试小项 1 配置管理 备份测试、HTTP 方法测试、传输安全 2 身份鉴别 用户注册、账户权限、账户枚举、弱口令 3 认证授权 认证绕过、目录遍历、授权绕过、权限提升 4 会话管理 超时测试、会话管理绕过测试、会话令牌泄露测试、跨站点请求伪造 CSRF 测试 5 输入验证 SQL 注入、代码注入、命令执行注入、跨站脚本XSS 6 错误处理 错误码分析、栈追踪分析 7 业务逻辑 数据验证、请求伪造、完整性、次数限制、上传测试 4.2.3 实施步骤 根据黑客入侵的过程,并结合渗透测试的要求,我司渗透测试的实施步骤如下。 XXX 安全服务方案 受控:C 级 杭州迪普科技股份有限公司
30、 版权所有,侵权必究 All rights reserved 第 19 页,共 89 页 4.2.3.1 计划与准备阶段 1) 工作目标 计划与准备阶段,需要明确渗透测试的实施范围与测试对象,制定实施方法与方 案,并制定详细的实施计划,为渗透测试的顺利进行,作重要准备。渗透测试的实施, 将按照方案和计划进行。 2) 工作内容 计划与准备阶段的工作,主要是对渗透测试实施举行研讨会,讨论渗透测试操作 思路,说明渗透测试的实施范围和测试对象,然后根据研讨内容制定相应得实施方案 与计划。由领导审核批准实施方案与计划,项目组根据实际情况的需要,会对实施方 案与计划进行一定的调整。 3) 实施计划 序号
31、任务名称 工作内容 计划时间 1 渗透测试研讨会 讨论渗透测试的工作思路,说明测试 范围、测试目标对象、实施方式以及 实施人员和大致的时间计划 2 制定渗透测试实施方 案与计划 根据研讨会的讨论内容,制定相应的 渗透测试实施方案和实施计划 3 提交渗透测试实施方 案与计划 提交渗透测试实施方案与计划 4 审核与确认渗透测试 实施方案与计划 项目组提交渗透测试实施方案与计划, 由领导进行审核确认,提出相应的意 XXX 安全服务方案 受控:C 级 杭州迪普科技股份有限公司 版权所有,侵权必究 All rights reserved 第 20 页,共 89 页 见与建议 5 修正实施方案与计划 根据
32、领导审核意见和建议,对实施方 案与计划进行相应的修正 4.2.3.2 信息收集阶段 1) 工作目标 信息收集是所有入侵攻击的前奏和基础。通过信息收集分析,攻击者可以有针对 性地制定入侵攻击的方法策略,提高入侵的成功率、减小暴露或被发现的机率。因此 以模拟黑客攻击方式进行的渗透测试,也以信息收集为第一个实施的阶段过程。 2) 工作内容 信息收集阶段的工作内容是对目标所在的整个 IP 网段进行扫描探测与手工查阅。 通过对目标地址的 TCP/UDP 端口扫描,确定其所开放的服务的数量和类型,这是 所有渗透性测试的基础。通过信息探测漏洞检测,可以基本确定一个系统的基本信息, 结合安全工程师的经验可以确
33、定其可能存在以及被利用的安全弱点,为进行深层次的 渗透提供依据。并且用手工的方式对应用、网页等内容进行一些信息查看。 3) 实施计划 序号 任务名称 工作内容 计划时间 1 渗透测试变更流程与变更 操作 根据渗透测试的需要,进行相应的 变更 2 信息收集阶段实施操作 按照实施方案,进行信息收集阶段 实施操作 XXX 安全服务方案 受控:C 级 杭州迪普科技股份有限公司 版权所有,侵权必究 All rights reserved 第 21 页,共 89 页 4.2.3.3 渗透实施阶段 4.2.3.4 输出报告阶段 1) 工作目标 本阶段为根据渗透测试得出的结果,进行汇总分析,输出渗透测试报告
34、。 2) 工作内容 编写、整理渗透测试报告。 3) 实施计划 序号 任务名称 工作内容 计划时间 1 编写渗透测试报告 对渗透测试得出的结果进行分析,并 输出报告 4.2.4 输出成果 渗透测试的输出成果如下: XXX 渗透测试服务报告 XXX 渗透测试服务复测报告 4.2.5 服务收益 对网站进行渗透测试,可为 XXX 带来如下收益: 评估网站中存在的安全隐患、安全隐患; 发现网站存在的深层次安全隐患; 验证网站现有安全措施的防护强度; 评估网站被入侵的可能性,并在入侵者发起攻击前封堵可能被利用的攻击途 径。 XXX 安全服务方案 受控:C 级 杭州迪普科技股份有限公司 版权所有,侵权必究
35、All rights reserved 第 22 页,共 89 页 4.3 网络安全评估 网络安全评估是对网络和业务系统的安全漏洞、安全隐患、安全风险,进行探测、 识别、控制、消除的全过程,它从风险管理角度,运用科学的方法和手段,系统地分 析网络与应用系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成 的危害程度,提出有针对性的抵御威胁的防护对策和整改措施。 网络安全评估的内容,包括网络拓扑架构、安全域规划、边界防护、安全防护措 施、核心设备安全配置、设备脆弱性等,从而全面评估网络的安全现状,查找安全隐 患。 4.3.1 评估内容 4.3.1.1 资产评估 概述 信息资产的识别可以
36、确定评估的对象,是整个安全服务工作的基础。并且,本阶 段可以帮助 XXX 实现信息资产识别和整理,完成一份完整和最新的信息资产清单, 对 XXX 的信息资产管理工作会有所帮助。 目标 完成一份完整和最新的信息资产清单。 过程描述 首先识别信息资产,完成所有重要信息资产的清单。按照资产性质和业务类型等 可以分成若干资产类,一般分为数据,软件,服务,硬件,设备和文档等。根据不同 的项目目标与项目特点,重点识别的资产类别会有所不同,在通常的项目中,一般数 据、软件和服务为重点。 XXX 安全服务方案 受控:C 级 杭州迪普科技股份有限公司 版权所有,侵权必究 All rights reserved
37、第 23 页,共 89 页 4.3.1.2 架构安全评估 概述 对网络结构,逻辑网络结构及网络的关键设备进行评估,发现存在的安全性方面 的问题。结合业务体系、系统体系等结构的检查逻辑网络,由什么物理网络组成以及 网络的关键设备的位置所在对于保持网络的安全是非常重要的。另外,鉴定关键网络 拓扑,对于成功地实施一个基于网络的风险管理方案是非常关键的。基本信息包括网 络带宽,协议,硬件(例如:交换机,路由器等)Internet 接入,地理分布方式和网络 管理。 目标 发现网络结构存在的安全性问题。 过程描述 1.网络拓扑分析 拓扑结构合理性分析,可扩展性分析,例如网络中重要节点的链路是否有冗余。 2
38、.安全域评估 对 XXX 网络进行全面了解,查看安全域是否有划分,安全域的划分是否合理, 安全域间是否有相应的安全防护措施,并提出对应的改进方案。 对于信息系统的安全,除了自身的安全检测外,还需要考虑与其他系统进行对接 的接口安全,即边界安全。划分安全域并对其进行安全防护,将有效保障系统与对接 系统的安全。 所以,安全域评估是架构评估中的重中之重,我司将对 XXX 的安全域进行详细 的分析与划分,并提出对应的措施,以保障对接应用系统的边界安全,有效保障应用 系统的安全运行。 XXX 安全服务方案 受控:C 级 杭州迪普科技股份有限公司 版权所有,侵权必究 All rights reserved
39、 第 24 页,共 89 页 3.边界接入评估 对边界接入进行全面调研分析,对各种接入情况进行安全风险评估,与非信任网 络间互访的安全管理,提出改进方案。 边界接入评估,也能有效促进系统与其他系统的对接接口安全。 4.访问控制情况调查评估 在相关的网络隔离点,是否有恰当的访问控制规则设立,是否被有效的执行。 5.接入/连接方式的安全性评估 各个接入节点部分是否具备安全措施保障,是否被正确配置和执行。 6.信任网络之间的安全性评估 信任网络或者不信任网络之间是否有控制,控制本身带来的安全程度以及是否有 可以绕过控制的途径。 7.网络架构管理评估 网络体系架构是如何进行管理的,是否有良好的机制和制
40、度保障网络架构本身不 被改变,没有非法的不符合安全策略的架构改变。 8.网络设备认证管理评估 是否有集中的设备认证管理机制,是否被正确的配置和执行。 9.网络的高可用性和可靠性评估 网络建设中是否良好的考虑了网络的高可用性和可靠性问题,是否被正确使用和 良好的配置,是否有机制保障不被修改。 4.3.1.3 配置安全评估 概述 XXX 安全服务方案 受控:C 级 杭州迪普科技股份有限公司 版权所有,侵权必究 All rights reserved 第 25 页,共 89 页 对网络及安全设备的配置进行检查,对 IP 地址分配是否正确、VLAN 划分是否 合理,路由协议、安全策略是否合理等多方面进
41、行分析,网络配置是整个网络安全的 基础。 目标 发现网络设备配置存在的不合理及安全性问题。 过程描述 1.路由协议评估 分析所采用的路由协议,是否存在配置漏洞,冗余路由配置情况,路由协议的信 任关系问题。 2.安全策略评估 分析配置中是否采用安全相关配置,系统的安全策略是否存在,以及是否和业务 系统相互吻合。 3.协议选择评估 对网络管理相关协议的分析整理; 对业务应用相关协议的分析整理。XXX 业务系统本身业务服务所采用的相关协 议,以及由此而带来的相关的网络支撑设备。 4.访问控制情况调查评估 在相关的网络隔离点,是否有恰当的访问控制规则设立,是否被有效的执行。 5.VLAN 划分评估 分
42、析 XXX 网络中 VLAN 划分是否合理,相应设备上的 VLAN 配置是否正确, IP 地址是否分配正确。 6.安全配置均衡性分析 XXX 安全服务方案 受控:C 级 杭州迪普科技股份有限公司 版权所有,侵权必究 All rights reserved 第 26 页,共 89 页 安全配置本身是否具有不合理的配置或者弱点存在。 7.网络的高可用性和可靠性评估 网络建设中是否良好的考虑了网络的高可用性和可靠性问题,是否被正确使用和 良好的配置,是否有机制保障不被修改。 4.3.1.4 设备漏洞扫描 概述 为了充分了解 XXX 当前网络存在的安全隐患,采用迪普综合漏洞评估扫描工具 对 XXX 的
43、网络进行全面扫描,检查其网络设备的弱点,识别被入侵者用来非法进入 网络的漏洞。 目标 通过对 XXX 的网络设备的扫描,发现目前 XXX 网络设备存在的技术性安全漏 洞。同时,也为安全加固工作提供依据。 过程描述 首先,确定扫描范围,主要针对重要信息资产和抽样网段。然后提交扫描方案和 扫描申请,明确扫描执行人员和时间安排。采用迪普综合漏洞评估扫描工具对网络进 行全面扫描,检查其网络设备的弱点,识别被入侵者用来非法进入网络的漏洞。 4.3.2 评估方法 资料收集 现状资料收集是现状调研重要的信息来源。项目组向业务管理部门和信息系统的 负责人收集了网络拓扑图、IP 地址规划表、设备配置等资料,为全
44、面评估 XXX 三套 网络的安全状况提供了数据依据。 XXX 安全服务方案 受控:C 级 杭州迪普科技股份有限公司 版权所有,侵权必究 All rights reserved 第 27 页,共 89 页 现场访谈 项目组对 XXX 三套网络的维护人员,进行了现场访谈。 针对访谈对象在信息安全管理和执行信息安全控制中所扮演的角色,有重点的了 解了信息安全管理现状及信息安全基础设施建设情况。 通过现场访谈,项目组能够获取三套网络安全现状的第一手资料,并可验证之前 收集到的资料,从而提高其准确度和完整性。 现场勘查 对用户网络进行现场检查,查找可能存在的安全隐患和漏洞,如物理机房安全评 估,安全意识
45、标语检查等。 调研问卷 给用户单位员工下发信息安全调查问卷,根据员工填写的结果,了解用户网络安 全意识、安全方针、安全培训、安全应急等情况。 漏洞扫描 漏洞扫描是指使用基于网络的安全弱点扫描工具,根据其内置的漏洞测试方法、 扫描策略,从网络中对扫描对象进行一系列的安全检查,从而发现可能存在的安全漏 洞、安全隐患。 使用漏洞扫描工具可以实现远程自动化扫描,降低安全评估的工作量,并能根据 需求输出评估结果或者报表。 在对三套网络进行安全评估时,我们采用我司自己的漏洞扫描系统,对网络设备、 安全设备进行漏洞扫描,能够有效评估 XXX 三套的安全状况。 综合分析 综合分析,是指对上述所有方法获得的相关
46、信息,以及发现被评估对象所存在的 XXX 安全服务方案 受控:C 级 杭州迪普科技股份有限公司 版权所有,侵权必究 All rights reserved 第 28 页,共 89 页 安全缺陷和风险,进行综合分析。 评估人员分析和整理通过上述过程中所收集的各项信息,查找系统及相关的评估 对象之间的相互关联、相互配合中所存在的缺陷和安全风险,并与安全管理人员核实 所收集的信息是否真实反映了网络的真实安全情况,核实有疑问的信息。 4.3.3 实施步骤 安全风险评估项目的流程,一般划分为 5 个阶段:项目计划-资料收集-现场评 估- 数据分析 -评估报告,如下。 现场评估 数据分析 评估报告 明确评估范围和目标 制定项目计划、计划讨 论 项目计划 资产赋值、漏洞扫描 控制台审计、安全访谈 渗透测试、数据流分析 弱点分析、威胁分析 可能性分析、影响分析 风险识别 弱点评估报告 风险评估报告 安全修复建议 资料收集 资产调查表、网络拓扑 安全调研表、其他信息 具体实施步骤如下: 4.3.3.1 风险评估准备 确定风险评估目标 XXX 安全服务方案 受控:C 级 杭州迪普科技股份有限公司 版权所
