集团风险评估项目技术建议书.doc

XXXXXXXX 集团风险评估集团风险评估 项目技术建议书 二 一四年八月 目目 录录 第第 1 章章项目方案设计项目方案设计 1 1 1 设计目标 1 1 2 设计原则 1 1 3 设计依据 2 1 3 1 政策依据 2 1 3 2 标准依据 3 1 4 方法模型 3 1 4 1 风险关系模型 3 1 4 2 风险分析方法模型 5 1 5 工具方法 6 1 5 1 风险评估采用方法 6 1 5 2 风险评估使用工具 6 第第 2 章章项目实施流程项目实施流程 7 2 1 阶段 1 项目启动阶段 7 2 1 1 阶段目标 8 2 1 2 阶段步骤 8 2 1 3 阶段输出 8 2 1 阶段 2 资产评估阶段 9 2 1 1 阶段目标 9 2 1 2 阶段步骤 9 2 1 3 阶段方法 9 2 1 4 阶段输出 10 2 2 阶段 3 威胁评估 10 2 2 1 阶段目标 11 2 2 2 阶段步骤 11 2 2 3 阶段方法 11 II 51 2 2 4 阶段输出 12 2 3 阶段 4 脆弱性评估 12 2 3 1 阶段目标 12 2 3 2 实施步骤 12 2 3 3 已有安全措施识别 28 2 3 4 阶段输出 28 2 4 阶段 5 风险综合分析 28 2 4 1 阶段目标 28 2 4 2 阶段步骤 28 2 4 3 阶段输出 31 2 5 阶段 6 风险处置计划 31 2 6 阶段 7 项目交付 32 2 6 1 成果交付 32 2 6 2 项目验收 33 第第 3 章章项目管理项目管理 33 3 1 组织管理 33 3 2 范围管理 34 3 2 1 范围定义 35 3 2 2 范围变更控制 35 3 3 进度管理 36 3 4 风险管理 36 3 5 质量管理 37 3 5 1 项目实施负责人质量控制 37 3 5 2 项目经理质量控制 37 3 5 3 质量管理质量控制 37 3 6 沟通管理 38 3 6 1 协调沟通机制基本准则 38 3 6 2 沟通计划 38 3 7 会议管理 39 III 51 3 8 文档管理 39 3 9 保密管理 40 第第 4 章章人员安排人员安排 40 第第 5 章章项目计划项目计划 44 5 1 总体计划 44 第第 6 章章客户收益客户收益 45 第第 7 章章成果交付一览表成果交付一览表 46 第第 8 章章成功案例成功案例 46 8 1 重点案例列表 46 8 2 重点案例简介 47 8 2 1 金融案例 47 8 2 2 电信案例 48 8 2 3 能源案例 48 8 2 4 政府案例 49 第第 9 章章公司优势公司优势 49 9 1 公司简介 49 9 2 公司资质 51 第第 1 章章 项目方案设计项目方案设计 1 1 设计目标设计目标 本次风险评估的安全服务项目主要目标是 通过风险评估 得到 XXXX 集团的整体安全现状 通过资产评估 得到 XXXX 集团的网络信息安全资产状况 并录入资 产库 进行资产梳理 通过威胁评估 得到 XXXX 集团存在的安全威胁情况 通过脆弱性评估 得到 XXXX 集团当前业务系统存在的脆弱性 对各个业务系统进行综合风险分析 得到风险情况 提出分系统的安全 解决方案 提出各个系统的风险处置解决方案 1 2 设计原则设计原则 1 标准性原则 遵循国家 行业和组织相关标准开展风险评估工作 2 可控性原则 在项目建设与实施过程中 应保证参与实施的人员 使用的技术和工具 过程都是可控的 3 完整性原则 项目方案要充分考虑项目所有环节 做到统筹兼顾 细节清楚 4 最小影响原则 项目的所有阶段 保证项目实施过程工作对系统正常运行的可能影响降低 到最低限度 不会对客户目前的业务系统运行造成明显的影响 5 保密原则 项目的所有阶段 将严格遵循保密原则 服务过程中涉及到的任何用户信 息均属保密信息 不得泄露给第三方单位或个人 不得利用这些信息损害用户 2 51 利益 并与 XXXX 集团签订保密协议 承诺未经允许不向其他任何第三方泄露有 关信息系统的信息 1 3 设计依据设计依据 本方案设计主要参照以下政策和标准进行设计 1 3 1 政策依据政策依据 表格表格 1 1 相关策略相关策略 时间时间相关政策文件相关政策文件 2003 年 国家信息化领导小组关于加强信息安全保障工作的意见 中办发 27 号文 提出 要重视信息安全风险评估工作 对网络与信息系统安全 的潜在威胁 薄弱环节 防护措施等进行分析评估 2004 年 为贯彻落实 27 号文件精神 原国信办组织有关单位和专家编写了 信 息安全风险评估指南 2005 年 国务院信息化工作办公室 关于印发 的通知 国信办 2005 5 号 组织在北京 上海 黑龙江 云南等 地方以及银行 税务 电力等重要行业开展信息安全风险评估试点工 作 2006 年 由国家网络与信息安全协调小组讨论通过的 关于开展信息安全风险 评估工作的意见 国信办 2006 5 号 文件要求三年内在国家基础信 息网络和重要行业信息系统中普遍推行信息安全风险评估工作 中共中央办公厅国务院办公厅 关于印发 2006 2020 年国家信息化发 展战略的通知 中办 2006 11 号文 提出加强信息安全风险评估工作 2007 年 为保障十七大 在国家基础信息网络和重要信息系统范围内 全面展 开了自评估工作 中国移动 电力 税务 证券 2008 年 关于加强国家电子政务工程建设项目信息安全风险评估工作的通知 发改高技 2008 2071 号 明确 加强和规范国家电子政务工程建 设项目信息安全风险评估工作 3 51 1 3 2 标准依据标准依据 表格表格 2 2 相关标准相关标准 标准类型标准类型参考标准参考标准 国际标准 ISO15408 信息技术安全评估准则 ISO IEC TR 13335 信息和通信技术安全管理 ISO TR 13569 银行和相关金融服务信息安全指南 ISO IEC 27000 信息安全管理体系系列标准 AS NZS 4360 风险管理 NIST SP 800 30 IT系统风险管理指南 国内标准 GB17859计算机信息系统安全保护等级划分准则 GBT 20984信息安全风险评估规范 GBT 22239信息安全技术信息系统安全等级保护基本要求 GBZ 20985信息技术安全技术信息安全事件管理指南 GBZ 20986信息安全技术信息安全事件分类分级指南 GB T 22239 2008信息安全技术信息系统安全等级保护基本要求 GB T 22240 2008信息安全技术信息系统安全保护等级定级指南 各组织或行业内相关要求各组织或行业内相关要求 1 4 方法模型方法模型 本方案中提供的风险评估与管理模型参考了多个国际风险评估标准 建立 安全风险关系模型和安全风险分析方法模型 1 4 1 风险关系模型风险关系模型 风险关系模型从安全风险的所有要素 资产 影响 威胁 弱点 安全控 制 安全需求 安全风险等方面形象地描述的他们各自之间的关系和影响 风 险关系模型如下图所示 4 51 图图 1 1 风险关系模型图风险关系模型图 在上述关系图中 资产指组织要保护的资产 是构成整个系统的各种元素的组合 它直接的 表现了这个系统的业务或任务的重要性 这种重要性进而转化为资产应具有的 保护价值 它包括计算机硬件 通信设备 物理线路 数据 软件 服务能力 人员及知识等等 弱点是物理布局 组织 规程 人员 管理 硬件 软件或信息中存在的 缺陷与不足 它们不直接对资产造成危害 但弱点可能被环境中的威胁所利用 从而危害资产的安全 弱点也称为 脆弱性 或 漏洞 威胁是引起不期望事件从而对资产造成损害的潜在可能性 威胁可能源于 对组织信息直接或间接的攻击 例如非授权的泄露 篡改 删除等 在机密性 完整性或可用性等方面造成损害 威胁也可能源于偶发的 或蓄意的事件 一 般来说 威胁总是要利用组织网络中的系统 应用或服务的弱点才可能成功地 对资产造成伤害 从宏观上讲 威胁按照产生的来源可以分为非授权蓄意行为 不可抗力 人为错误 以及设施 设备错误等 安全风险是环境中的威胁利用弱点造成资产毁坏或损失的潜在可能性 风 险的大小主要表现在两个方面 事故发生的可能性及事故造成影响的大小 资 产 威胁 弱点及保护的任何变化都可能带来较大的风险 因此 为了降低安 5 51 全风险 应对环境或系统的变化进行检测以便及时采取有效措施加以控制或防 范 安防措施是阻止威胁 降低风险 控制事故影响 检测事故及实施恢复的 一系列实践 程序或机制 安全措施主要体现在检测 阻止 防护 限制 修 正 恢复和监视等多方面 完整的安全保护体系应协调建立于物理环境 技术 环境 人员和管理等四个领域 通常安防措施只是降低了安全风险而并未完全杜绝风险 而且风险降低得 越多 所需的成本就越高 因此 在系统中就总是有残余风险 RR 的存在 这样 系统安全需求的确定实际上也是对余留风险及其接受程度的确定 1 4 2 风险分析方法模型风险分析方法模型 在安全风险分析方法模型中提供了风险计算的方法 通过两个因素 威胁 级别 威胁发生的概率 通过风险评估矩阵得出安全风险 威胁识别 资产识别 脆弱性识别 威胁频率 资产价值 脆弱点严重程度 安全事件造成的损 失 安全事件可能性 风险值 图图 2 2 风险分析原理图风险分析原理图 风险分析中要涉及资产 威胁 脆弱性三个基本要素 每个要素有各自的 属性 资产的属性是资产 价值 威胁的属性可以是威胁主体 影响对象 出现频率 动机等 脆弱 性的属性是资产弱点的严重程度 风险分析的主要内容为 a 对资产进行识别 并对资产的价值进行赋值 b 对威胁进行识别 描述威胁的属性 并对威胁出现的频率赋值 c 对脆弱性进行识别 并对具体资产的脆弱性的严重程度赋值 d 根据威胁及威胁利用脆弱性的难易程度判断安全事件发生的可能性 6 51 e 根据脆弱性的严重程度及安全事件所作用的资产的价值计算安全事件 造成的损失 f 根据安全事件发生的可能性以及安全事件出现后的损失 计算安全事 件一旦发生对组织的影响 即风险值 1 5 工具方法工具方法 1 5 1 风险评估采用方法风险评估采用方法 风险评估常用方法如下 调查访谈 物理安全访谈表 人员安全访谈表 网络安全访谈表 系统安全访谈表 等等 工具扫描 网络安全扫描 应用安全扫描 系统安全扫描等等 人工检查 操作系统 checklist 数据库 checklist 网络设备 checklist 等等 渗透测试 由专业渗透测试工程师模拟黑客攻击方式对网络与信息系统进行非破坏 性漏泀验证性测试 文档查阅 管理制度查阅 管理策略查阅 安全指导方针查阅等等 1 5 2 风险评估使用工具风险评估使用工具 风险评估常用工具主要有以下几大类 资产发现类工具 端口服务检测类 漏洞扫描检测类 网络嗅探分析类 7 51 安全审计分析类 系统验证测试类 合规遵循检查类 各种定制脚本类 各种专项检测类 第第 2 章章 项目实施流程项目实施流程 我们将整个项目的实施内容分为 7 个阶段 从项目启动阶段到项目验收整 个项目实施过程 我们用 WBS 图中完整地描述了整个项目实施过程的重要工 作任务 阶阶段段1 1 服服务务启启动动阶阶段段2 2 资资产产评评估估阶阶段段3 3 威威胁胁评评估估阶阶段段4 4 脆脆弱弱性性评评估估阶阶段段5 5 风风险险分分析析阶阶段段6 6 处处置置计计划划阶阶段段7 7 服服务务验验收收 项项目目实实施施风风险险及及规规避避措措施施 服服务务管管理理 服服务务组组织织结结构构 实实施施计计划划 质质量量管管理理 保保密密控控制制 资产识别 资产分类 资产清单 资产分析 资产赋值 威胁识别 威胁分类 范围确定 系统调研 制定计划 报告提交 成果汇报 服务验收威胁分析 威胁赋值 获得支持 技术脆弱识别 管理脆弱识别 控制措施识别 脆弱性分析 脆弱性赋值 资资产产评评估估报报告告 服服务务实实施施计计划划 威威胁胁评评估估报报告告 脆脆弱弱性性评评估估报报告告 风风险险评评估估报报告告 风风险险处处置置计计划划 服服务务验验收收报报告告 风险综合识别 风险模型计算 风险接收准则 风险综合评价 安全目标确定 安全措施选择 实施内容安排 制定处置计划 图图 3 3 项目实施流程图项目实施流程图 2 1 阶段阶段 1 1 项目启动阶段 项目启动阶段 此阶段是项目的启动和计划阶段 是项目实施阶段的开始 对项目整个过 程的实施工作与项目管理工作都非常重要 8 51 2 1 1 阶段目标阶段目标 在此阶段的主要工作目标是召开评估项目启动会议 并就项目组的工作方 式 日常流程 工作计划 交付件蓝图进行沟通和确认 2 1 2 阶段步骤阶段步骤 评估项目启动阶段 是整个项目过程中 对项目的有效性的一种保证 实 施风险评估是一种战略性的考虑 其结果将受到组织的业务战略 业务流程 安全需求 系统规模和结构等方面的影响 步骤一 项目组织 确定双项目组织结构及人员分工 步骤二 召开项目启动会 包括项目中需要落实内容 a 获得支持和配合 b 确定项目的目标 c 确定项目的内容 d 组建项目服务团队 e 对项目的对象 范围进行调研并确认 f 宣贯风险评估方法和评估思想 g 建立项目组的工作场所和环境 h 确定项目组的工作流程 包括文档交付流程 项目更改流程等 i 确定项目组的工作方式 包括指定接口人 保密方式 资料保管和备份 方式等 步骤三 确定各个细节后 项目启动完成 进入项目实施阶段 2 1 3 阶段输出阶段输出 本阶段完成后输出如下文件 项目实施计划 项目启动会议纪要 项目蓝图 保密协议书 9 51 项目组织结构和人员职责 项目范围确认书 培训计划 针对风险评估知识宣贯实施方法 2 1 阶段阶段 2 资产评估阶段 资产评估阶段 保护资产免受安全威胁是本项目实施的根本目标 要做好这项工作 首先 需要详细了解资产分类与管理的详细情况 2 1 1 阶段目标阶段目标 资产识别的目的就是要系统的相关资产做潜在价值分析 了解其资产利用 维护和管理现状 明确各类资产具备的保护价值和需要的保护层次 从而使企 业能够更合理的利用现有资产 更有效地进行资产管理 更有针对性的进行资 产保护 最具策略性的进行新的资产投入 2 1 2 阶段步骤阶段步骤 阶段一 根据项目范围进行资产分类与识别 包括主机设备 网络设备 数据库系统 应用系统 文档资产 人员资产等等 阶段二 进行资产识别 分类并赋值 2 1 3 阶段方法阶段方法 表格表格 3 3 资产评估方法资产评估方法 项目名称项目名称 资产分类调查资产分类调查 简要描述简要描述采集资产信息 进行资产分类 划分资产重要级别及赋值 达成目标达成目标 采集资产信息 进行资产分类 划分资产重要级别及赋值 进一步明确评估的范围和重点 主要内容主要内容 采集资产信息 获取资产清单 进行资产分类划分 10 51 确定资产的重要级别 对资产进行赋值 实现方式实现方式 调查 填表式调查 资产调查表 包含计算机设备 通讯设备 存储及保障设备 信息 软件等 交流 审阅已有的针对资产的安全管理规章 制度 与高级主管 业务人员 网络管理员 系统管理员 等进行交流 工作条件工作条件2 3 人工作环境 2 台笔记本 电源和网络环境 客户人员和资料配合 工作结果工作结果资产类别 资产重要级别 参加人员参加人员 依据现场状况 启明星辰全体评估人员在业务系统相关技术和管理人 员的配合下进行资产分类调查 2 1 4 阶段输出阶段输出 本阶段完成后输出文档如下 资产详细清单 资产赋值列表 2 2 阶段阶段 3 威胁评估 威胁评估 威胁是指可能对资产或组织造成损害事故的潜在原因 作为风险评估的重 要因素 威胁是一个客观存在的事物 无论对于多么安全的信息系统 它都存 在 为全面 准确地了解系统所面临的各种威胁 需采用威胁分析方法 2 2 1 阶段目标阶段目标 通过威胁分析 找出系统目前存在的潜在风险因素 并进行统计 赋值 以便于列出风险 11 51 2 2 2 阶段步骤阶段步骤 威胁识别采用人工审计 安全策略文档审阅 人员面谈 入侵检测系统收 集的信息和人工分析 步骤一 把已经发现的威胁进行分类 步骤二 把发现的威胁事件进行分析 2 2 3 阶段方法阶段方法 表格表格 4 4 威胁调查评估威胁调查评估 项目名称项目名称威胁调查评估威胁调查评估 简要描述简要描述使用技术手段分析信息系统可能面临的所有安全威胁和风险 达成目标达成目标 全面了解掌握信息系统可能面临的所有安全威胁和风险 对威胁进行赋值并 确定威胁等级 主要内容主要内容 被动攻击威胁与风险 网络通信数据被监听 口令等敏感信息被截获等 主动攻击威胁与风险 扫描目标主机 拒绝服务攻击 利用协议 软件 系统故障 漏洞插入或执行恶意代码 如 特洛依木马 病毒 后门等 越 权访问 篡改数据 伪装 重放所截获的数据等 邻近攻击威胁与风险 毁坏设备和线路 窃取存储介质 偷窥口令等 分发攻击威胁与风险 在设备制造 安装 维护过程中 在设备上设置 隐藏的后门或攻击途径 内部攻击威胁与风险 恶意修改数据和安全机制配置参数 恶意建立未 授权连接 恶意的物理损坏和破坏 无意的数据损坏和破坏 实现方式实现方式 调查交流 工具检测 人工检测 工作条件工作条件2 3 人工作环境 2 台笔记本 电源和网络环境 客户人员和资料配合 工作结果工作结果根据分析结果列出系统所面临的威胁 对威胁赋值并确定威胁级别 12 51 参加人员参加人员启明星辰评估小组 网络管理人员 系统管理人员 2 2 4 阶段输出阶段输出 本阶段完成主要输出文档如下 威胁调查表 威胁赋值列表 2 3 阶段阶段 4 脆弱性评估 脆弱性评估 脆弱性是对一个或多个资产弱点的总称 脆弱性评估是对技术脆弱性和管 理脆性进行识别和赋值的过程 2 3 1 阶段目标阶段目标 技术脆弱性主要是采用工具扫描 人工检查 checklist 渗透测试 访谈 等方式对物理环境 网络结构 系统软件 应用软件 业务流程等进行脆弱性 识别并赋值 管理脆弱性主要是通过管理访谈 文档查阅等方式对安全管理制度 安全 管理机构 人员安全管理 安全建设管理 安全运维管理等进行脆弱性识别并 赋值 2 3 2 实施步骤实施步骤 脆弱性识别步骤主要是通过技术脆弱性和管理脆弱性来进行识别 2 3 2 1 技术脆弱性技术脆弱性 物理环境物理环境 物理安全是一切系统安全的基础 对物理安全的评估将从机房选址 建设 员工 外来访问者进入机房的权限控制 机房的报警 电子监控以及防火 防 13 51 水 防静电 防雷击 防鼠害 防辐射 防盗窃 火灾报警及消防措施 内部 装修 供配电系统等方面进行 表格表格 5 5 物理安全评估物理安全评估 项目名称项目名称物理安全评估物理安全评估 简要描述简要描述分析物理安全是否满足相关的安全标准 达成目标达成目标准确把握物理安全中的安全隐患 提出安全建议 主要内容主要内容 评估环境安全 机房选址 建设 防火 防水 防静电 防雷击 防鼠 害 防辐射 防盗窃 火灾报警及消防措施 内部装修 供配电系统是 否满足相关国家标准 内部及外来人员对机房的访问权限控制 安全审 查及管理制度 评估设备安全 门控系统 网络专用设备 路由器 交换机等 和主机 设备 终端计算机 打印机 服务器等 设备安全主要包括设备的防盗 防毁 防电磁信息辐射泄漏 防止线路截获 抗电磁干扰及电源保护 维修 报废等 设备冗余备份 评估介质安全 软盘 硬盘 光盘 磁带等媒体的管理 信息媒体的维 修将保证所存储的信息不被泄漏 不再需要的媒体 将按规定及时安全 地予以销毁 实现方式实现方式 问询 现场检查 资料收集 工作条件工作条件客户人员和资料配合 工作结果工作结果依据相关的物理安全标准 结合客户的实际需求 协助客户改进安全措施 参加人员参加人员客户机房 设备管理员 维护人员 启明星辰评估小组 网络结构网络结构 从网络结构设计 边界保护 外部访问控制策略 内部访问控制策略 网 络设备安全配置等方面进行识别 网络结构分析是风险评估中对业务系统安全性进行全面了解的基础 一个 14 51 业务系统的网络结构是整个业务系统的承载基础 及时发现网络结构存在的安 全性 网络负载问题 网络设备存在的安全性 抗攻击的问题是整个业务系统 评估的重要环节 对评估对象的物理网络结构 逻辑网络结构及网络的关键设备进行评估 基 本信息包括网络带宽 协议 硬件 Internet 接入 地理分布方式和网络管理 发现存在的安全性 合理性 使用效率等方面的问题 结合业务体系 系统体 系等结构的检查逻辑网络 由什么物理网络组成以及网络的关键设备的位置所 在对于保持网络的安全是非常重要的 另外 鉴定关键网络拓扑 对于成功地 一个实施基于网络的风险管理方案是很关键的 网络结构分析能够做到 改善网络性能和利用率 使之满足业务系统需要 提供有关扩充网络 增加 IT 投资和提高网络稳定性的信息 帮助用户降低风险 改善网络运行效率 提高网络的稳定性 确保网络系统的安全运行 对网络环境 性能 故障和配置进行检查 在本项目安全工程中 网络体系既起着支撑正常业务的作用 本身也作为 提供给用户使用的信息基础设施的一部分 在评估过程中 主要针对网络拓扑 访问控制策略与措施 网络设备配置 安全设备配置 网络性能与业务负载几 个方面进行调查与分析 系统软件系统软件 系统软件指对操作系统 数据库系统等采用访谈 checklist 漏洞扫描工具 等方式对用户帐号 口令策略 资源共享 访问控制 新系统配置 初始化 网络安全等脆弱性方面进行识别 并赋值 应用软件应用软件 应用软件是指应用系统本身或者中间平台 进行脆弱性分析主要包括身份 签别 访问控制策略 通信 鉴别机制 密码保护等方面进行 15 51 业务流程业务流程 依据业务过程的数据流程评估客户的业务流程 从信息产生到信息消亡整 个过程所涉及的业务系统 目的是了解客户业务流程的安全隐患 协助客户进 行业务流程的安全防护 表格表格 6 6 业务流程评估业务流程评估 项目名称项目名称业务流程评估 数据流程 业务流程评估 数据流程 简要描述简要描述依据业务过程的数据流程评估客户的业务流程 达成目标达成目标 了解客户业务流程的安全隐患 协助河北移动管理信息系统进行业务流程的 优化 主要内容主要内容 业务数据流向 输入 传输 存储 输出 策略 业务要求 使用范围 安全等级 业务实现方式 业务安全要求 各时段业务负载量 业务流程优化建议 授权和认证 审计 加密 完整性 不可否认性等 实现方式实现方式 调查 检查 工作结果工作结果数据流图 业务关系图 报告 参加人员参加人员启明星辰评估人员 客户相关主管和业务人员 2 3 2 2 管理脆弱性管理脆弱性 安全管理制度安全管理制度 项目中的安全管理制度要从安全管理制度的安全要求 安全管理制度的制 定和发布 安全管理制度的评审和修订三部分根据等级保护的具体内容来进行 管理部分的脆弱性识别 16 51 安全管理机构安全管理机构 安全管理机构的脆弱性识别要从岗位设置 人员配备 授权和审批 沟通 和合作 审核和检查五个方面 根据等级保护的安全要求的具体内容来进行安 全管理机构的脆弱性发现 人员安全管理人员安全管理 人员安全管理的脆弱性识别是按照人员录用 人员离岗 人员考核 人员 的安全意识教育和培训 外部人员的管理这五个部分内容 根据等级保护级别 和各个类别的安全要求来进行脆弱性发现 安全建设管理安全建设管理 安全建设管理主要是从安全边界和定级 安全方案设计 安全产品采购和 使用 自主研发环境安全 外包软件研发环境安全 工程实施安全 测试验收 交付 安全服务商的选择 安全网络定级备案安全 10 个方面来进行安全建设的 脆弱性发现识别 安全运维管理安全运维管理 安全运维管理是从环境管理 资产管理 介质管理 设备管理 网络安全 管理 系统安全管理 恶意代码防范管理 密码管理 变更管理 备份与恢复 管理 安全事件处置 应急预案管理等 12 个方面发现在日常安全运维中存在的 安全脆弱性 2 3 3 已有安全措施识别已有安全措施识别 在脆弱性识别中 发现已经实施的安全脆弱性防护手段 进行整理 17 51 2 3 4 阶段输出阶段输出 本阶段完成后主要输出文档如下 脆弱性赋值列表 已有安全措施列表 2 4 阶段阶段 5 渗透测试 渗透测试方案方案 通过各种安全扫描工具 手工检查 网络架构分析 渗透性测试等技术手 段识别信息系统的各项脆弱点 分析可能存在的系统漏洞 评估系统防入侵 拒绝恶意攻击 抗风险的能力 2 4 1 渗透测试方法渗透测试方法 渗透测试完全模拟黑客的入侵思路与技术手段 黑客的攻击入侵需要利用 目标网络的安全弱点 渗透测试也是同样的道理 以人工渗透为主 辅助以攻 击工具的使用 这样保证了整个渗透测试过程都在可以控制和调整的范围之内 针对各应用系统的渗透测试方法包括以下方法但不局限于以下方法 测试 类型 测试描述 信息 收集 信息收集是渗透攻击的前提 通过信息收集可以有针对性地制 定模拟攻击测试计划 提高模拟攻击的成功率 同时可以有效的降 低攻击测试对系统正常运行造成的不利影响 信息收集的方法包括端口扫描 操作系统指纹判别 应用判别 账号扫描 配置判别等 端口 扫描 通过对目标地址的 TCP UDP 端口扫描 确定其所开放的服务 的数量和类型 这是所有渗透测试的基础 通过端口扫描 可以基 本确定一个系统的基本信息 结合安全工程师的经验可以确定其可 能存在以及被利用的安全弱点 为进行深层次的渗透提供依据 18 51 口令 猜测 本阶段将对暴露在公网的所有登陆口进行口令猜解的测试 找 出各个系统可能存在的弱口令或易被猜解的口令 猜解成功后将继 续对系统进行渗透测试 挖掘嵌套在登录口背后的漏洞 寻找新的 突破口以及可能泄漏的敏感信息 并评估相应的危害性 猜解的对 象包括 WEB 登录口 FTP 端口 数据库端口 远程管理端口等 远程 溢出 这是当前出现的频率最高 威胁最严重 同时又是最容易实现 的一种渗透方法 一个具有一般网络知识的入侵者就可以在很短的 时间内利用现成的工具实现远程溢出攻击 对于在防火墙内的系统存在同样的风险 只要对跨接防火墙内 外的一台主机攻击成功 那么通过这台主机对防火墙内的主机进行 攻击就易如反掌 本地 溢出 本地溢出是指在拥有了一个普通用户的账号之后 通过一段特 殊的指令代码获得管理员权限的方法 使用本地溢出的前提是首先 要获得一个普通用户的密码 也就是说由于导致本地溢出的一个关 键条件是设置不当的密码策略 多年的实践证明 在经过前期的口令猜测阶段获取的普通账号 登录系统之后 对系统实施本地溢出攻击 就能获取不进行主动安 全防御的系统的控制管理权限 脚本 测试 脚本测试专门针对 Web 服务器进行 根据最新的技术统计 脚本安全弱点为当前 Web 系统尤其存在动态内容的 Web 系统存在 的主要比较严重的安全弱点之一 利用脚本相关弱点轻则可以获取 系统其他目录的访问权限 重则将有可能取得系统的控制权限 因 此对于含有动态页面的 Web 系统 脚本测试将是必不可少的一个 环节 权限 获取 通过初步信息收集分析 存在两种可能性 一种是目标系统存 在重大的安全弱点 测试可以直接控制目标系统 另一种是目标系 统没有远程重大的安全弱点 但是可以获得普通用户权限 这时可 以通过该普通用户权限进一步收集目标系统信息 接下来尽最大努 19 51 力取得超级用户权限 收集目标主机资料信息 寻求本地权限提升 的机会 这样不停的进行信息收集分析 权限提升的结果形成了整 个的渗透测试过程 2 4 2 渗透测试流程渗透测试流程 渗透测试流程严格依照下图执行 采用可控制的 非破坏性质的渗透测试 并在执行过程中把握好每一个步骤的信息输入 输出 控制好风险 确保对网络 不造成破坏性的损害 保证渗透测试前后信息系统的可用性 可靠性保持一致 20 51 图 1 渗透测试流程 2 4 3 渗透测试工具渗透测试工具 工具类型测试工具名称 信息收集 工具 搜索引擎 Google 百度 Bing 等 DNS 工具 Nslookup DIG DNSmap 等 信息探索工具 matigoo 在线网络数据库 APNIC Ripe Sucuri Netcraft 等 21 51 漏洞扫描 工具 天镜 6 0 Nmap SuperScan Nessus 等 口令猜测 工具 Hydra 溢出测试 工具 MetaSploit 工具集 脚本测试 工具 天镜 6 0 JbroFuzz 等 网银客户 端安全测试工 具 1 钩子工具 有 RING3 钩子 RING0 钩子 2 客户端修改程序工具 LCCrypto zip 3 内存读取测试工具 WinHex 4 屏幕截图和屏幕录像工具 5 截取发包测试工具 WinsockExpert 6 逆向测试工具 Ollydbg 2 4 4 渗透测试内容渗透测试内容 通过可控的安全测试技术对限定范围内的应用系统进行渗透测试 同时结 合业界著名的 OSSTMM 与 OWASP 测试框架组合成最佳实践进行操作 本次渗透测试将参考 OSSTMM 测试框架中的以下技术方法 信息收集和状态评估 网络节点枚举和探测 系统服务和端口扫描验证 应用层测试 漏洞挖掘与验证 本次渗透测试将参考 OWASP 2013 最新发布的十大 Web 应用 漏洞排名 并使用测试框架中相应的技术方法 SQL 注入 跨站脚本 XSS 22 51 恶意文件执行 不安全的直接对象引用 跨站请求伪造 CSRF 信息泄漏和错误处理不当 认证和会话管理失效 不安全的加密存储 不安全的通讯 URL 访问失效 2 4 5 渗透测试试用例库渗透测试试用例库 为保证渗透测试内容的全面性以及测试漏洞的深入挖掘 启明星辰总结了 多年的渗透测试经验与丰富的渗透测试用例 以下是启明星辰用于 Web 应用层 渗透测试的用例库 测试条目涵盖了全面 最新的 Web 应用层漏洞与测试方法 将根据不同应用系统的特性进行有针对性的匹配测试 测试 类型 测试条 目 测试描述 目录爬 行 遍历 这个阶段将通过浏览 目录爬行的方式捕获 收 集应用的资源 搜索引 擎侦测 搜索引擎 比如 Google 能够用来发现公开发 布的网页应用结构或者错误页面等相关问题 应用程 序入口探测 枚举应用入口和攻击途径是入侵发生之前的预 警 这部分枚举完成后 将帮助测试人员找出在应 用里面应该重点关注的领域 信息 收集 Web 应用程序指 纹探测 应用指纹是信息收集的第一步 获取运行网页 服务器的版本 让测试人员知道哪些是已知弱点及 在测试时使用何种方法恰当 23 51 应用程 序发现 本项测试发现以 web 服务器的网页应用作为目 标 本项测试对于发现细节 寻找突破尤为有效 比 如发现用于管理的应用脚本 或旧版本的文件 控件 在测试 开发或维护过程中产生的已不用的脚本 分析错 误代码 信 息泄漏 在渗透性测试过程中 网页应用可能泄露原本 不想被用户看见的信息 错误码等信息能让测试者 了解应用程序使用的有关技术和产品 很多情况下 由于异常处理和程序代码的不合理 甚至不需要任 何特殊技术或工具 都很容易触发产生错误代码的 条件从而产生错误代码导致被攻击者利用 SSL T LS 测试 SSL 和 TLS 是两个以加密的方式为传输的信息 提供安全隧道的协议 具有保护 加密和身份认证 的功能 这些安全组件在应用中非常关键 因此确保高强度 的加密算法和正确的执行非常重要 本项测试的模块为 SSL 版本 算法 密钥长度 数字证书 有效期 数据库 监听器 DB Listener 测试 许多数据库管理员在配置数据库服务器时 没 有充分考虑到数据库侦听器组件的安全 如果没有 进行安全的配置而使用手动或自动的技术进行侦听 侦听器就可能泄露敏感数据以及配置信息或正在运 行的数据库实例信息 泄露的信息对测试者来说通 常是有用的 他能将此应用到后续更深入的测试中 去 配置 管理测试 基础配 置信息测试 Web 应用基础架构由于其内在的复杂性和关联 性 一个微小的漏洞就可能对同一服务器上的另一 个应用程序产生严重的威胁 甚至破坏整个架构的 安全 为了解决这些问题 对配置的管理和已知安 24 51 全问题进行深入审查尤为重要 应用程 序配置信息 测试 通常在应用程序开发和配置中会产生一些没有 考虑到的信息 而这些信息暂时被发布后的 Web 应 用程序所隐藏 这些信息可能从源代码 日志文件或 Web 服务器的 默认错误代码中泄露 文件扩 展名处理测 试 通过 Web 服务器或 Web 应用程序上的文件扩展 名能够识别出目标应用程序使用的技术 例如扩展 名 JSP 与 ASP 文件扩展名也可能暴露与该应用程 序相连接的其它系统 旧文件 备份文件 未引用文件 测试 Web 服务器上存在多余的 可读 可下载的文 件 并且用于备份的文件 是信息泄漏的一大源头 因为它们可能包含应用程序和或数据库的部分源代 码 安装路径以及密码等敏感信息 本项测试验证 这些文件是否存在于发布的 Web 应用系统上 应用程 序管理接口 测试 许多应用程序的管理接口通常使用一个公用路 径 路径获取后可能面临猜测或暴力破解管理密码 的风险 此项测试目的是找到管理接口 并检测是 否可以利用它来获取管理员权限 HTTP 请求方法与 XST 测试 Web 服务器可以配置为多种请求方式 如 Get Post Put Delete 等 此项测试将鉴定 Web 服 务器是否允许具有潜在危险性的 HTTP 请求方法 同时鉴定是否存在跨网站追踪攻击 XST 证书加 密通道传输 安全性测试 本项测试试图分析用户输入 Web 表单中的数据 如为了登录网站而输入的登录凭据是否使用了安全 的传输协议 以免受到攻击 认证 测试 用户枚本项测试为了验证是否可能通过与应用程序的 25 51 举测试认证机制交互 提示信息 收集有效的用户 这项 测试好于暴力破解 一旦获取有效的用户名后 就 可针对性的进行密码攻击 字典猜 解测试 本项测试鉴定应用系统是否存在默认的用户帐 户或可猜测的用户名 密码组合 遍历测试 口令暴 力猜解测试 当遍历攻击失败 测试者可尝试使用暴力破解 的方式进行验证 暴力破解测试肯能可能碰到锁定 用户或 IP 等限制 验证绕 过测试 本项测试尝试以非常规的方式企图绕过身份认 证机制 使得应用程序资源失去正常的保护 从而 能够在没有认证的情况下访问这些受保护的资源 密码重 置 找回漏 洞测试 本项测试鉴定应用程序的 忘记密码 功能是否 起到足够的保护 检查应用程序是否允许用户在浏 览器中存储密码 用户注 销缓存漏洞 测试 检查注销和缓存功能能否得到正确实现 多因素 认证漏洞测 试 多因素身份验证将测试以下认证方式的安全性 一次性密码 OTP 所生成的验证码 USB 加密设备 基于 X 509 证书的智能卡 通过 SMS 发送的随机一次性密码 只有合法用户知道的个人信息 会话 管理测试 会话管 理测试 本项测试分析会话管理模式和机制 鉴定发送 给客户端浏览器的会话验证码的安全性 鉴定是否 能够打破这一机制从而绕过用户会话 如 对 Cookie 实行反向工程 通过篡改 Cookies 来劫持会 26 51 话 Cookie 属性测试 Cookies 通常是恶意用户攻击合法用户的关键途 径 本项测试将分析应用程序在分派 Cookie 时如何 采取必要的防护措施 以及这些已正确配置的 Cookie 属性 会话固 定测试 本项测试鉴定当应用程序在成功验证用户后不 再更新 Cookie 时 能否找到会话固定漏洞并迫使用 户使用攻击者已知的 Cookie 会话变 量泄漏测试 由于会话验证码连系了用户身份和用户会话 它所代表的是保密信息 本项测试鉴定会话验证码 是否暴露在漏洞中 并试着追溯会话攻击 CSRF 跨站请求伪 造测试 跨站伪造请求指在 Web 应用中 迫使已通过验 证的未知用户执行非法请求的方法 本项测试鉴定 应用程序是否存在这种漏洞 路径遍 历测试 本项测试鉴定是否能够找到一种方法来执行路 径遍历攻击并获成功得服务器返回的信息 授权绕 过测试 本项测试核实如何对某个角色或特权实施授权 模式以便获得保留的功能和资源 授权 测试 权限提 升测试 本项测试确认用户是否可能采用特权提升攻击 的方式修改自己在应用程序内部的特权或角色 数据 验证测试 跨站脚 本反射测试 反射式跨站脚本攻击 XSS 是非持久性跨站脚 本攻击的另一个名称 该攻击不会使用存在漏洞的 Web 应用程序加载 而使用受害者载入的违规的 URI 本项测试将确认应用程序对来自用户提交的恶意代 码是否进行了存储或反射处理 对各类非法字符进 行了严格过滤 27 51 存储跨 站脚本测试 储存式跨站脚本 XSS 是一种最危险的跨站 脚本 允许用户存储数据的 Web 应用程序都有可能 遭受这种类型的攻击 SQL 注入测试 Oracle Mysql MsSQL Access SQL 注入测试检测是否有可能将数据注入到应 用程序中 以便在后端数据库中执行用户定制的 SQL 查询 如果应用程序在没有合理验证数据的情 况下使用用户输入创建 SQL 查询 那幺说明该应用 程序存在 SQL 注入漏洞 成功利用这一类别的漏洞 会导致未授权用户访问或操作数据库中的数据 Code 注入测试 代码注入测试检测是否有可能在应用程序中注 入稍后由 Web 服务器执行的代码 OS Commandin g 本项测试将设法通过 HTTP 请求在应用程序中 注入 OS 命令 缓冲区 溢出测试 字符串格 式 本项测试将检查不同类型的缓冲区溢出漏洞 Web 服务信息收 集 进行 Web 服务测试的第一步是确定 WS 入口点 和链接图标 Web 服务测试 XML 架构测试 XML 需要有合法的格式才能正确的运作 当服 务器端进行 XML 语句分析时 不合规格的 XML 将 会出错 一个解析器需要在整个 XML 信息中按照序 列的方式彻底运行 这样才能评估 XML 格式是否合 格 XML 解析器通常占用较多的 CPU 资源 某些攻击 通过发送大量或者不合规的 XML 信息来利用这个漏 28 51 洞 XML 内容级别测 试 内容级别的攻击对象是 Web 服务及其使用的应 用程序的服务器 包括 Web 服务器 数据库 应用 程序服务器 操作系统等等 内容级别攻击向量包 括 1 SQL 注入 XPath 注入 2 缓存溢出 3 命令 注入 HTTP GET 参数 REST 测试 许多 XML 应用程序是通过 HTTP GET 查询传 输参数来使用的 在 HTTP GET 字符串例如 超长 的参数 2048 字符 SQL 语句 注入 或 OS 注入 参数 中传输恶意内容时 Web 服务将会受到攻击 Naught y SOAP 附 件 本项测试将检测接受附件的 Web 服务的是否存 在漏洞 这类危险存在于当信息附加到服务器和分 配到用户的时候 重放测 试 重放攻击的威胁在于攻击者可以伪装成一个合 法用户的身份 然后不被察觉的情况下进行一些恶 意操作 本项测试将检测 Web 服务是否存在重放漏 洞 2 4 6 渗透测试验证渗透测试验证 针对本次测试过程中发现的漏洞进行层次性的安全加固 特别对于通过渗 透测试发现的漏洞进行适应性的补救和加固措施 在保证不影响正常业务的情 况下 配合行方运行维护人员或安全管理人员实施加固方案 对于加固后的系统进行重复性的渗透测试验证 以保障漏洞不可利用性 同时验证安全加固措施的有效性 最后形成具体验证成果报告 确保对外提供 安全稳定的应用服务 29 51 2 5 阶段阶段 6 风险综合分析 风险综合分析 风险是一种潜在可能性 是指某个威胁利用弱点引起某项资产或一组资产 的损害 从而直接地或间接地引起企业或机构的损害 因此 风险和具体的资 产 其价值 威胁等级以及相关的弱点直接相关 从上述的定义可以看出 风险评估的策略是首先选定某项资产 评估资产 价值 挖掘并评估资产面临的威胁 挖掘并评估资产存在的弱点 评估该资产 的风险 进而得出整个评估目标的风险 2 5 1 阶段目标阶段目标 本阶段目标是对目前存在的安全风险进行分析 包括风险的计算 风险的 处置和风险的安全控制措施选择 根据计算出的风险值 对风险进行排序 并与客户共同选择风险的处置方 式和风险的安全控制措施 2 5 2 阶段步骤阶段步骤 2 5 2 1 步骤一 风险计算步骤一 风险计算 3 3 4 1 风险的计算 在完成了资产识别 威胁识别 脆弱性识别后 将采用适当的方法确定威 胁利用脆弱性导致安全事件发生的可能性 综合资产价值及脆弱性的严重程度 判断安全事件一旦发生造成的损失 最终得到风险值 风险计算原理如图所示 30 51 威胁出现 的频率 脆弱性的 严重程度 资产价值 风险值 威胁识别 脆弱性 识别 资产识别 安全事件 的可能性 安全事件 的损失 存在的脆 弱性 图图 4 风险计算原理风险计算原理 对风险计算原理可以采用下面的范式形式化加以说明 风险值 R A T V R L Ta Vb F Ia Va 其中 R 表示安全风险计算函数 A 表示资产 T 表示威胁 V 表示脆弱 性 Ta 表示威胁出现的频率 Ia 表示安全事件所作用的资产价值 Va 表示脆 弱性严重程度 Vb 表示存在的脆弱性 L 表示威胁利用资产存在的脆弱性导致 安全事件发生的可能性 F 表示安全事件发生后产生的损失 有以下三个关键 计算环节 1 计算安全事件发生的可能性 根据威胁出现频率及脆弱性状况 计算威胁利用脆弱性导致安全事件发生 的可能性 即 安全事件发生的可能性 L 威胁出现频率 脆弱性 L Ta Vb 在具体评估中 应综合攻击者技术能力 专业技术程度 攻击设备等 脆 弱性被利用的难易程度 可访问时间 设计和操作知识公开程度等 资产吸引 力等因素来判断安全事件发生的可能性 2 计算安全事件的损失 根据资产价值及脆弱性严重程度 计算安全事件一旦发生造成的损失 即 安全事件的损失 F 资产价值 脆弱性严重程度 F Ia Va 部分安全事件发生造成的损失不仅仅是针对该资产本身 还可能影响其提 31 51 供业务的连续性 不同安全事件对组织造成的影响也是不一样的 在计算某个 安全事件的损失时 应将对组织的影响也考虑在内 3 计算风险值 根据计算出的安全事件发生的可能性以及安全事件的损失 计算风险值 即 风险值 R 安全事件发生的可能性 安全事件的损失 R L Ta Vb F Ia Va 2 5 2 2 步骤二 进行风险结果判定步骤二 进行风险结果判定 确定风险数值的大小不是组织风险评估的最终目的 重要的是明确不 同威胁对资产所产生的风险的相对值 即要确定不同风险的优先次序或等 级 对于风险级别高的资产应被优先分配资源进行保护 风险等级建议从1到5划分为五级 等级越大 风险越高 评估者也可以根 据被评估系统的实际情况自定义风险的等级 下表提供了一种风险等级划分方 法 表格表格 7 7 风险图风险图 等级等级标识标识描述描述 5 很高 一旦发生将使系统遭受非常严重破坏 组织利益受到非常严重损失 如严重破坏组织信誉 严重影响组织业务的正常运行 经济损失重 大 企业影响恶