同步安讯-满记甜品脆弱性评估方案

满记甜品应用系统脆弱性评估方案满记甜品脆弱性识别和评估项目技术方案目 录第1章.项目背景3第2章.脆弱性评估方案32.3.资产脆弱性评估32.3.1.评估目的42.3.2.弱点评估实施42.3.3.评估流程72.3.4.评估工具和技术手段：72.3.5.漏洞扫描工具介绍82.3.6.渗透测试工具介绍132.4.系统加固服务152.4.1.系统安全基线152.4.2.系统加固服务15第3章.项目实施进度安排16第4章.项目组织结构17第5章.项目人员职责17第6章.项目验收流程19第7章.可交付物一览表19第8章.项目售后服务20第9章.项目报价20第1章. 项目背景满记甜品集团创建于1995年，在香港西贡区创办第一间香港特式“糖汇甜品”专门店，经过五年的独有家庭式管理及不断的研制创新，在市场具有相当的占有率和影响力。随着移动支付的兴起，满记甜品正在与用户之间建立更大的粘性，需要建立用户充值消费系统，目前托管了两台物理服务器在数据机房，采用虚拟服务器架构，涉及的操作系统包括Windows 2012，Cent OS, web应用系统Nginx和Mysql数据库。网络拓扑图如下：第2章. 脆弱性评估方案2.3. 资产脆弱性评估资产脆弱性评估就其操作方法来说可以分为以下四种:基于安全标准的方法、基于财产价值的方法、基于漏洞检测的方法以及基于安全模型的方法。其中的漏洞检测是目前最为成熟的技术，漏洞检测就是对重要计算机信息系统进行检查，发现其中可被黑客利用的漏洞。2.3.1. 评估目的利用工具与手工相结合、远程与本地相结合，对网络各环节的技术与管理方面，应用软件方面的安全现状与安全风险进行分析，形成详细、明确的系统安全综合分析报告，主要内容包括现状分析、风险分析、各个层次及各个环节的评估和分析。根据对网络安全现状与风险的分析，有针对性地提供全面的系统安全加固解决方案。包括技术与管理上的相关安全隐患的整改要求与方案建议。提供在系统现有环境和措施下有条件实现的加固方案的实施建议，提供下一步的安全产品的部署方案建议和安全管理部署方案的建议。根据安全现状及风险分析，并结合所提出的全面的安全加固解决方案，对后续网络安全加固及安全体系建设提供规划建议，对如何分阶段有计划地实施与建设提供工作指导。2.3.2. 弱点评估实施. 网络、主机脆弱性识别了解网络拓扑结构图及安全域的划分、路由和IP地址分配、周边接入方式、流量分析和容灾备份等内容，分析网络架构的合理性及安全性。网络安全脆弱性识别主要采用Mcafee FounderStone安全评估工具进行脆弱性检测、现场查看交换机配置及防火墙控制台人工核查的方式进行。主机系统的脆弱性识别包含以下几个内容：（1）主机扫描通过Mcafee FounderStone安全评估工具工具对被评测对象进行扫描，安全扫描工具主要扫描服务器相关的安全漏洞，如password文件、目录和文件权限、共享文件系统、敏感服务、软件、系统漏洞等。（2）操作系统核查该项评估主要采用CHECKLIST通过手工方式进行，详细情况可参考各类操作系统核查列表，在实施过程中要特别注意系统服务的选择应根据实际业务系统的需要操作，否则有可能造成业务系统停止工作。核查内容主要包括：用户帐号、口令策略、资源共享、事件审计、访问控制、注册表加固、系统服务、系统管理等方面。主要核查Windows、Linux、Unix操作系统。（3）数据库核查该项评估主要采用CHECKLIST通过手工方式进行，详细情况可参考相关数据库安全核查列表。核查内容主要包括：补丁安装、鉴别机制、口令机制、访问控制、网络和服务设置、备份恢复机制、审计机制等方面。主要核查Oracle、SQL server数据库。. 应用脆弱性识别应用脆弱性识别主要是使用HP Webinspect和IBM Rational AppScan，可以覆盖 Web 服务器、Web 服务器配置、第三方组件和 Web 应用本身以及 Web Services。以国际组织“Web 应用安全委员会（WASC）” Threat Classification 项目中定义的 6 大类、24 小类为基础，再加上经过多年实践经验总结的部分私有测试用例，形成了一套完整的、行之有效的漏洞库，并及时更新，以确保 Web 应用扫描结果的全面性。（1）应用系统扫描通过应用扫描工具对网站系统进行扫描，发现相关的安全漏洞，如SQL注入，跨站脚本，敏感信息泄漏等，并给出相应的解决办法建议。（2）安全功能核查主要通过手工验证的方式验证应用系统的安全功能项。主要内容包括： 标识和鉴别 访问控制策略 用户数据保护 通信 可信路径 安全属性的管理 安全功能的保护 安全审计. 弱点评估报告目录漏洞扫描评估报告一、评估概述评估目的评估方式评估依据评估范围安全小组成员二 本地评估结果汇总评估过程简述评估工具列表漏洞列表漏洞威胁级别的划分漏洞描述三 渗透测试评估汇总主机与设备统计与分析Unix主机安全漏洞排名Windows主机漏洞排名网络设备漏洞排名最常见漏洞排名表网络分类风险级别排名主机和设备风险级别分类统四 有关此次评估后的安全建议修补方案安全建议外网渗透测试报告一 渗透测试评估概述渗透测试简介渗透测试对象规模渗透测试结果综述二 渗透测试评估汇总评估过程简述评估工具列表漏洞列表漏洞威胁级别的划分漏洞描述 三 应用安全报告内容应用安全报告结构安全报告法规遵从报告网站质量报告可访问性报告修复建议列表四 有关此次评估后的安全建议基本安全建议全网安全整体建议安全策略与建议持续安全策略常见高风险安全漏洞与解决建议2.3.3. 评估流程评估检测流程2.3.4. 评估工具和技术手段：项目内容引用的专业安全检测软件 HP Webinspect IBM Rational AppScan Mcafee Foundstone引用的人工服务项目 手工网络检测 远程渗透测试 数据库脆弱性手工分析 弱加密机制分析 通信安全性、网络监听分析 整合测试 对扫描发现的漏洞进行抽样性检测，确认数据的准确性与真实性 报告输出与整理 安全统计分析 出具安全性评估报告结果 2.3.5. 漏洞扫描工具介绍Mcafee Foundstone Enterprise是由原美国信息安全领导厂商Foundstone和Mcafee的安全专家结合以多年累积的安全评估实务经验所开发的扫描技术，Foundstone Enterprise不仅已成功协助全球许多政府与企业有效评估、管理网络弱点与漏洞，同时成为有效的主动防护机制。Foundstone是定位为第三方公正单位的网络弱点评估服务采用仿真骇客行为模式的人工智能扫描技术，可针对所有暴露在网络上的主机与网络服务信息做最深入的扫描分析，并有效祢补一般网络安全扫描工具的缺点与被忽略的问题。Foundstone ERS可协助企业找出暴露在网络上的主机、地址、网络服务与弱点，并提供您检视骇客眼中的网络安全架构图，以了解整个网络架构的变动状况，是否影响或威胁您的安全。Foundstone ERS采用Web界面超文本方式来呈现弱点评估报告，以大量用户友好的2D、3D的图形化接口，提供深入浅出的解说，以及长、短期趋势比较分析记录，除了让技术人员能够在最短的时间之内找出安全问题并实时修复外，更可协助决策者轻松地了解企业网络安全问题。Mcafee Foundstone Vulnerability Manager 是一个动态的安全风险管理系统，持续不断的帮助客户评估和管理网络安全风险，并且帮助客户追踪漏洞的修补情况。下图描述了Vulnerability Manager的工作流程。漏洞管理的生命周期包括了10个步骤：第一步，设定弱点管理策略，包括制定弱点修补基准； 第二步，通过自动发现，清查分类资产种类与数量；第三步，定义资产价值与优先级；第四步，执行弱点扫描；第五步，执行威胁关联，及时了解新的威胁是否会影响企业的资产；第六步，计算风险等级、找出风险所在；第七步，采取安全手段，消除风险，包括实时阻止各种攻击；第八步，修补弱点、跟踪修补进度与修补确认；第九步，以量化方式评估弱点管理成效 (报表)；第十步，检查是否符合预先设定的标准。这十个步骤是一个管理周期，因此，实际工作中的安全弱点管理是以此为周期不断循环的，通过持续性的安全弱点管理，达到消除威胁，降低安全风险目的。Vulnerability Manager是一个 BS架构的产品，包括用户界面，扫描引擎和漏洞数据库。FoundStone提供了自动的IT资产发现的功能，当资产搜索完毕后，通过FoundStone的资产管理模块进行资产分组、分类和优先级划分。FoundStone Enterprise采用的是人工智能扫描技术，因此可祢补一般网络安全扫描工具的缺点与忽略的问题。它可仿真骇客的行为模式，协助企业找出暴露在因特网上的每一部主机、网络服务，以及相关讯息与弱点，并提供您检视黑客眼中的网络安全架构图(Network topology map)，以了解整个网络架构的变动状况，是否影响或威胁您的安全。但是更重要的是，FoundStone通过资产分类和优先级定义，通过在后台的自动评估和计算，得出量化的信息系统的安全风险等级，帮助企业监控信息系统的真实存在的安全风险，并且进行自动的、持续的风险监控，呈现安全风险上升或下降的详细原因。当发现弱点时，修补是必不可少的。FoundStone的Remediation模块是个工作流管理系统，通过定义工作流模版规则，它能自动从发现的弱点产生修补问题票单，通过邮件自动发送给相关的安全管理员，并且跟踪管理员的修补过程，若管理员及时修复，它能够进行确认并自动关闭该问题票单；若该弱见没有在规定时间内修补，则会发出报警，提醒管理员需要及时修补该弱点。 弱点修复追踪Foundstone Enterprise的Remediation Module弱点修复管理模块具备Web & Email Alerting警讯通报与追踪功能，您不仅可将被发现的漏洞讯息以问题单(ticket)的方式派送给负责修复人员，并指定截止时间，同时亦可追踪、记录相关漏洞的修补进度，以落实弱点评估管理流程与绩效验证。管理者可透过此模块得知：漏动是否已指派专人处理、是否已如期修复完成，有哪些漏洞尚待修复、有那些漏洞已修补完毕等。 在线更新检查机制Foundstone Enterprise内建在线更新检查功能，您可以设定手动或自动定时的方式，自Foundstone原厂取得最新的Signatures漏洞特征库。 逻辑式扫描引擎Foundstone Enterprise采用FoundScan Engine逻辑式扫描引擎，可根据目标的特性自动作出扫描选择与判断，使用者无须进行繁复的检查项目设定即可快速地辨识出各种操作系统、网络服务、漏洞。除了可节省管理者操作与扫描时间，同时可减轻对网络频宽的影响，更可有效降低误判率，提升准确度。 跨平台弱点扫描可针对路由器、防火墙、交换器等网络设备、Windows NT/2000与UNIX服务器及Web网站服务器等所有TCP/IP网络设备进行安全扫描评估。 网络设备：3com、Avaya、Cisco、Dlink、Entrasys、Foundry、Intel、Linksys、Lucent、Extreme、Nortel、ZyXel 防 火 墙：Check Point Firewall-1、Cisco Pix Firewall、NetScreen、Nokia、WatchGuard 操作系统：AS/400、FreeBSD、HP UX、IBM AIX、Irix、Linux、MacOS、NetBSD、Novell、OpenBSD、IBM OS/2、SCO OpenServer、Sun Solaris、Windows 98/ME/2000/XP/.Net、Zeus 应用程序：BIND、Exchange 、Samba、Sendmail 数据库：DB2、Informix、MSSQL、Mysql、Oracle 网站服务器：Apache、BEA WebLogic、Macromedia ColdFusion、IIS、Lotus Domino、Netscape、iPlanet、WebSphere Windows窗口系统安全评估只要于Foundstone Enterprise输入网域管理员或主机管理员的登入账号与密码，您即可在不需额外安装Agent的情况下，深入Windows主机的注册表(Registry)执行大范围的Host-based安全测试并得知：l 哪些主机上未安装修补程序?l 哪些主机安装了点对点(Peer-to-Peer如：Kazaa、eDonkey)或实时通讯(Instant Messaging Application 如：ICQ、MSN)应用程序。l 哪些主机上安装了调制解调器或多片网卡l 哪些主机上有安装防毒软件以及是否为最新版本l IE浏览器安全设定 SANS/FBI Top 20 漏洞扫描Foundstone特别将美国SANS/FBI所归纳之全球二十大最常见安全漏洞，设计为一独立的测试项目；透过One-Click简易设定，管理者可迅速检测企业网络上是否受到这20大常见漏洞，以有效辨别网络安全风险所在。 目标主机辨识透过ICMP Ping、TCP Ping、UDP Ping等主机辨识技术，Foundstone Enterprise可准确判断被扫描目标的存在与否，并可成功辨识被扫描主机的操作系统与版本，有效协助管理者清查企业网络上的资产。 网络服务通讯端口辨识Foundstone Enterprise提供TCP、UDP、ICMP的Timeout时间设定，使用者可自选TCP、UDP扫描侦测的通讯端口号，如21(FTP)、23(Telnet)、53(DNS)、80(http)、161(SNMP)等常见通讯端口或以外的通讯端口进行扫描侦测，以便发现所有暴露在企业网络上的网络服务通讯端口，有助于管理者判断哪些是必要或不必要使用的网络通讯服务。 账号密码破解扫描可针对HTTP、TELNET、FTP、POP3、IMAP、NETBIOS Login等预设帐号密码、易猜测之账号密码组合，提供密码破解扫描侦测。 Foundstone Enterprise亦提供使用者自行编辑账号文件与密码文件之功能，以便自订欲检测之特定账号与密码组合。 远程管理工具与后门程序扫描Foundstone Enterprise可针对暴露在企业网络上的远程管理工具如PcAnywhere、VNC以及NetBus、BackOrifice等后门程序(Trojan/backdoor)提供弱点扫描侦测。 破坏型漏洞扫描Foundstone Enterprise具备多种DoS阻断服务攻击以及缓冲区溢位攻击Buffer Overflow漏洞之扫描功能。使用者亦可选择设定非入侵型扫描侦测项目，或入侵型扫描侦测项目。 弱点评估数据防护使用者可利用任何兼容于Windows 2000操作系统的数字签章储存系统来针对弱点评估数据进行加密保护，以确保数据完整无误。 结果报表FoundStone Enterprise采用Drill Down HTML方式来呈现图形化安全扫描报告，以友好的用户的导航浏览接口，提供深入浅出的描述，以及趋势比较分析记录，除了让技术人员能够在最短的时间之内找出安全问题并实时修复外，更可协助决策者轻松地了解企业网络安全变动的状况和原因。不需具备网络安全的专业技术，即可获得完整、详细、易阅读的评估报告。2.3.6. 渗透测试工具介绍IBM Rational AppScan是一款自动进行漏洞评估的 Web 应用程序安全性测试工具。通过自动化的安全性分析检测易受攻击的漏洞，降低与手动漏洞测试相关的成本并帮助防护网络攻击的威胁。 支持全面和自动化的 Web 应用程序漏洞测试 全面集成的恶意软件（英文）扫描：扫描 Web 站点上的嵌入式恶意软件和链接到恶意或不良网站的链接。 提供自定义和可扩展的功能：AppScan eXtension Framework（英文） 让用户社区能够构建和共享开源插件。 自动化渗透测试的功能：先进的测试实用工具和 Pyscan 框架为手动测试提供了补充，提供了更强大的功能和效率。 支持安全性测试以检测新出现的 Web 漏洞：目前包含检测 RSS 订阅源注入、易受攻击的 ActiveX、文件上传、Flash 源代码泄露等。 法规遵从性报表：40 款开箱即用的遵从性报表，包括 PCI 数据安全标准、支付应用程序数据安全（PA-DSS）（新）、ISO 27001 和 ISO 27002（新）和 Basel II。 Rational AppScan就像一个黑盒测试工具一样，测试人员不需要了解 Web 应用本身的结构。AppScan 拥有庞大完整的攻击特征库，通过在 http request 中插入测试用例的方法实现几百中应用攻击，再通过分析 http response 判断该应用是否存在相应的漏洞。整个过程简单易懂高效，测试人员可以快速的定位漏洞所在的位置，同时 AppScan 可以详细指出该漏洞的原理以及解决该漏洞的方法，帮助开发人员迅速修复程序安全隐患。对于攻击的特征以及测试用例用户不需要花费大量的精力，WatchFire 团队定期的对特征库进行更新，随着保证与业界的同步，最大化的提高用户的工作效率。如图所示， APPSCAN 系统就像普通用户浏览网站一样，并不关心 Web 应用内部的技术架构（如使用何种语言编写等），只是将应用看做黑盒。它从网站的主页（home page）或者用户指定的任何一页开始，遍历所有链接。根据每一页面的特点，APPSCAN 会使用多种测试参数，对页面进行分析。这些测试参数以 HTTP 请求的形式发送，并通过返回的 HTTP 响应来决定应用中是否存在安全漏洞。APPSCAN 有数以千计的内置测试参数，可以检测出百余种漏洞。Rational AppScan 同时提供了很多高级功能，帮助客户对复杂应用进行检测。支持的扫描配置有： Starting URL：起始 URL，制定被测应用的起始地址 Custom Error Pages：制定错误网页提高测试效率 Session IDs：管理测试过程中的 session Automatic Server Detection：自动检测应用所在的应用服务器、web server、操作系统 Exclusion and Inclusion：制定哪些 Web 被扫描或者被排除，哪些文件类型不被扫描 Scan Limits：其他高级扫描限制，例如扫描次数限制等 Advanced：扫描的方式，是宽度扫描还是深度扫描 Communication Settings：对扫描中的延时、线程数量进行配置 Proxy Settings：代理设置vLogin/logout：对被测应用的登陆进行设置，可以采用录制回放的方式、也可以使用自动登陆的方式 configure a Test Policy: 配置测试测量，即想测试哪些漏洞。 如上所述，用户可以通过 AppScan 进行一系列高级配置，制定所要检测的 Web 模型，即哪些需要扫描、哪些不需要、扫描的方式等等；也可以定义需要扫描漏洞的列表，从而保证了用户关心的网站模型有无用户所关心的安全漏洞。在检测出安全漏洞之后，AppScan 又提供了全面的解决方案帮助客户快速解决这些问题，最大化的保证 Web 应用的安全。另外，对于 Web 服务 AppScan 同样可以支持。AppScan 也提供了一系列的小工具，例如：Authentication Tester 通过暴力检测方法扫描被测网站的用户名称和密码；HTTP Request Editor 提供了编辑 Http request 的功能，等等。2.4. 系统加固服务2.4.1. 系统安全基线所谓系统安全基线规范，作为安全评估服务的一个补充，是为了确保信息系统所涉及的相关设备达到最基本的防护能力要求而制定的一系列达标基准，是一套统一的安全设置指标。为保证业务的稳定运行，需要在业务系统整个生命周期的各个环节，对上述设备与系统的安全配置进行检查。同步安讯在对用户进行信息安全评估服务后，基于资产识别的内容，针对用户的具体应用环境，推出专家服务与安全基线检查工具相结合的解决方案，使专业的安全检查过程可同时达到自动化、标准化、持续化、可视化。提供各种网络设备、操作系统和应用程序提供安全基线配置文档。同步安讯针对如下常见的网络设备、操作系统和应用程序提供基线配置文档：1. 网络设备：Cisco、华为、华三等厂商的交换机、路由器设备2. 操作系统：Windows、Linux、HP UX、IBM AIX、Solaris、Freebsd3. 网站应用程序：IIS、Apache、ASP、JSP、PHP、tomcat等4. 数据库系统：Oracle、Sql server、DB2、mySQL5. 网络安全设备：Check Point、Juniper、H3C、Sonicwall等厂商的防火墙、IPS同步安讯的安全专家会根据该安全基线配置文档，协助并配合用户加强系统的安全设置和相关配置，减少信息系统的脆弱性并降低信息系统面临的风险。2.4.2. 系统加固服务安全加固服务是指根据信息安全评估结果，制定相应的系统加固方案，针对不同目标系统，通过打补丁、修改安全配置、增加安全机制等方法，合理进行安全性加强。其主要目的是： 消除与降低安全隐患 周期性的评估和加固工作相结合，尽可能避免安全风险的发生同步安讯公司提供的安全加固的内容包括实施加固活动和提出加固建议两种，主要包括： 操作系统加固：Windows、Linux、HP UX、IBM AIX、Solaris等 网络设备加固：Cisco、华为、华三等厂商的交换机、路由器设备等 安全设备策略调整建议：Check Point、Juniper、H3C、Sonicwall等厂商的防火墙、IPS 网络架构调整建议：网络拓扑分析、路由配置安全性评价、网络接入等。 数据库加固：Oracle、Sql server、DB2、mySQL。 通用应用软件加固，包括：IIS、Apache、ASP、JSP、PHP、tomcat等常见应用安全性加固，及业务系统软件的架构性调整建议。安全加固工作主要是通过人工的方式进行的，同步安讯公司会制定详细的系统加固建议，协助满记甜品进行系统加固，同时对其跟踪记录，提供必要的技术支持，确保系统的可用性。第3章. 项目实施进度安排同步安讯采用科学的方法将用户实施的要求与工程各阶段的工作内容相结合制定切实可行的工程实施计划，将每一项工作细分到每一人，且每一项细分的工作周期都不大于一周，每一项工作都有明确的检验标准。项目经理进行项目进展回顾，发现问题，解决问题。以确保项目严格按计划执行。该项目计划按照一年二次进行，分别为首次评估，整改后评估，共计36人天，预期首次脆弱性评估完成时间为10个工作日完成。阶段活动项目安全顾问高级安全顾问汇总1.项目准备前期调研10.51.52.系统脆弱性评估扫描实施0.5*21扫描结果整理0.5*20.51.5漏洞核查0.5*21项目文档整理0.5*213.远程应用渗透测试渗透测试实施1*22结果整理1*22人工核查0.5*20.5*22报告整理1*225.基线文档和加固需求调研0.50.5文档收集整理116.安全技术支持一年四次安全技术支持447.知识转移知识转移、项目验收0.50.5合计(人天)18220第4章. 项目组织结构本项目成立项目领导小组，由满记甜品和同步安讯共同组成，其成员为满记甜品、同步安讯项目领导小组以及双方的项目经理，满记甜品任何与项目相关的信息和问题，均可以通过同步安讯方的项目经理进行沟通。同步安讯针对满记甜品安全体系建设项目，专门成立由具备多年咨询管理项目经验的项目小组，同时项目小组中配以参与过相关项目的安全顾问，分别负责项目整体进度、质量、与具体实施。满记甜品有责任成立专门的项目小组，配合同步安讯的技术专家进行项目的实施，同时同步安讯也希望通过双方的项目组成员的配合，能够尽可能地进行随时随地的知识转移过程，以便为项目实施完毕后。满记甜品的项目人员应有足够的专门用于项目的时间，项目小组成员主要职责是能够完全掌握本项目技术内容，并能够跨领域掌握整个项目的相关知识。第5章. 项目人员职责本项目成立项目领导小组，由满记甜品和同步安讯共同组成，其成员为满记甜品、同步安讯项目领导小组以及双方的项目经理，满记甜品任何与项目相关的信息和问题，均可以通过同步安讯方的项目经理进行沟通。满记甜品的项目人员应有足够的专门用于项目的时间，项目小组成员主要职责是能够完全掌握本项目技术内容，并能够跨领域掌握整个项目的相关知识。 满记甜品项目人员职责角色设置职责描述任务阶段人员安排项目领导小组1、 确认项目范围；2、 确认项目实施计划；3、 监督项目进展；4、 支持项目小组的工作；5、 对项目阶段性成果做关键决策， 6、 参见项目关键点会议；7、 推动方案建议的实施。项目实施的监督与检查，并协调项目过程中的相关资源。满记甜品信息部及管理者代表。项目组成员1、 整理并提供公司现有的体系于相关资料；2、 协助并参与现状调研，配合必要的访谈调查和现场评估；3、 协助确认评估证据项目实施全程。满记甜品项目组核心成员。 其他项目参与人员1、 配合必要的现场调查；2、 配合必要的人员访谈。3、 配合进行渗透测试过程范围内相关部门人员，可包括：网络、应用、系统管理人员 同步安讯人员责任角色设置职责描述任务阶段人员安排项目总监1、 有效安排资源，组织、协调实施组成员的工作；2、 控制项目的总体实施进度，监督项目执行情况；3、 负责项目组之间的协调和沟通；4、