风险评估案例

第118页共118页珠海中富实业股份有限公司信息系统安全评估方案杭州安恒信息技术有限公司2013年10月

目录TOC\o"1-2"\h\z\u1 项目概述 41.1 项目背景 41.2 项目目标 41.3 工作范围 51.4 项目原则 71.5 项目依据 91.6 项目内容 102 风险评估综述 122.1风险评估概要 122.2风险要素及模型 133 风险评估流程和方法 153.1 信息安全风险评估流程 153.2 信息安全渗透测试流程 253.3 评估方法与工具 273.4 输出文档 374 信息系统可能存在安全风险和漏洞 384.1 基础架构环境可能存在的安全漏洞 384.2 企业网络与网络安全可能存在的安全漏洞 404.3 企业邮件应用系统可能存在的安全漏洞 414.4 企业ERP+BI核心应用系统可能存在的安全漏洞 424.5 企业基础支撑平台可能存在的安全漏洞 445 保密管理 465.1 签署保密责任书 465.2 现场安全保密管理 465.3 文档安全保密管理 465.4 离场安全保密管理 466 项目实施与方案 476.1 组织结构 476.2 工作配合 476.3 质量保证 496.4 实施过程风险控制措施 506.5项目成果提交 517 安恒信息简介 537.1公司简介 537.2WEB应用防护的领导厂商 547.3安全研究 547.4WEB应用防火墙核心专利技术 547.5SQL注入WEB攻击的实时入侵检测系统专利 557.6OWASP安全组织的主要成员之一 567.7国家信息安全漏洞共享平台技术合作组成员之一 577.8安全产品 587.9安全服务 598 公司服务相关资质和奖励 618.1 企业相关资质 618.2 企业近3年在国家、部级、省级的获奖情况 698.3维护服务队伍的专业配置 839 部分客户案例汇总表 9610 附录信息安全评估系统检查点 98项目概述项目背景珠海中富公司为美国“可口可乐”、“百事可乐”两大国际饮料公司在中国的灌装厂，以及国内名牌饮料厂家提供食品饮料容器包装，是目前中国生产设备最齐全、技术最先进、规模最大的PET瓶专业生产企业之一。产品符合我国食品卫生标准，并获“可口可乐”、“百事可乐”公司质量认可，指定为该两大公司的饮料提供包装材料。本公司产品有各种款式的PET汽水，矿泉水，纯净水，蒸馏水瓶和PET热灌装（茶、果汁）饮料瓶与PET防爆啤酒瓶及系列瓶胚，PVC热收缩型与OPP粘贴型彩印标签，PVC、LDPE、LLDPE热收缩膜（套），HDPE、LDPE、LLDPE薄膜与各种规格的塑料袋，高级优质包装纸箱等，并提供饮料贴牌加工（OEM）服务。随着信息技术的广泛应用，IT系统成为珠海中富公司日常业务高度依赖的基础，信息系统也逐渐庞大而复杂，IT成为员工每天工作不可缺少的一部分。然而，无论我们是否已经注意到，不断披露的漏洞、肆虐的蠕虫病毒、淡薄的安全意识、不足的安全技能……这些都实实在在的存在着。公司IT系统确实面临着各种安全风险和安全威胁，识别和解决与安全性相关的问题变得越来越重要。为了以适当方式减缓这些威胁，珠海中富公司必须识别出IT系统真实存在的风险，并将其纳入安全框架中，然后利用该框架来确定产品、服务的安全要求，制定和实施基线防护措施。项目目标本次项目旨在协助珠海中富公司做好信息安全规划落实工作、重要措施部署工作及重大工程建议工作，同时结合系统建设的自身特点情况，评估目标系统是否存在可以被攻击者真实利用的漏洞以及由此引起的风险大小，为制定相应的安全措施与解决方案提供实际的依据，积极推进双方在信息安全检测技术、入侵监测技术、安全评估等方面的研究和交流。将通过模拟黑客可能使用的漏洞发现技术与攻击模式，对珠海中富公司授权的目标系统进行深入的探测与信息发掘，以发现系统中最脆弱的环节和可能被利用的入侵点，并明确当前系统中可能存在的严重问题，必要情况下可能获得目标系统最高权限并进行相关说明，同时避免导致目标系统的不正常行为及影响正常的应用。本风险评估项目的目的在于：识别与评估IT系统面临的安全风险和存在的技术脆弱性；针对评估结果，提出信息安全技术解决方案；为相关管理部门制定安全策略、采取安全措施提供决策支持，同时为下一步安全规划提供基础；制订出珠海中富公司的安全基线技术防护措施；为珠海中富安全等级自评提供相关依据。工作范围根据《GB/T20984—2007信息安全技术信息安全风险评估规范》，对珠海中富公司的重要信息系统物理安全、网络安全、主机安全、数据安全和安全管理等进行安全评估。珠海中富公司信息系统的清单如下：描述服务器HPDL系列服务器DELLPOWERDGE系列服务器DELLR系列服务器IBMP系列服务器EMC存储及连接光纤网络DELLPOWERVAULT存储FortiNetMailGatewayMbackU邮件备份系统AG1000网络存储网络设备Linksys无线路由器D-LINK无线路由器H3C交换机H3C核心交换机O2D及E系列防火墙O2U系列防火墙O2SuccendoVPN服务器Fortinet400防垃圾邮件平台WindowsServer2003WindowsStorageServerWindows2008ServerIBMAIX5.xand6.xRadhatEnterpriseLinuxVMWareESX其它设备SANTAKUPSIBMLTO磁带机移动MAS机PloycomV-ConfVSX系列PolycomV-ConfESX系列PolycomV-ConfMCU应用服务OracleDBServerMicrosoftSQLServerMysqlDBserverIBMWebsphereApacheWebServerWindowsIISServerJBossandTomcatWebserverWindowsTerminalServiceUFIDANC5ERPInformaticapowercenterCognos8MicrosoftExchangeEnterpriseServerAnhLabNetworkSecurityV4MicrosoftSharepoint中国电信企智通SymentecBackupExecMicrosoftActiveDirectoryWindowsDNSServiceWindowsDHCPServiceWindowsWSUSServiceServ-U8.xFTPServerLogbase日志审计系统PasswordSafy管理系统SensaphoneIMS-1000机房环境监控系统山特UPS备用电源应用系统ColasoftCapsa网络监控系统Ios平台手机邮箱、VPN网络连接Android平台手机邮箱、VPN网络连接项目原则珠海中富风险评估项目的方案设计与实施应满足以下原则：符合性原则安恒信息在珠海中富的安全服务项目过程中将严格遵守国家的相关法律法规，并综合考虑网络与信息系统的重要性、涉密程度和面临的信息安全风险等因素，进行相应等级的安全建设和管理规划。坚持积极防御、综合防范的方针，全面提高信息安全防护能力，重点保障基础信息网络和重要信息系统安全，创建安全健康的网络环境，保障和促进信息化发展，保护公众利益，维护国家安全。标准性原则安恒信息在珠海中富的安全服务项目的方案设计、实施与信息安全体系的构建应依据国内、国际的相关标准进行。规范性原则安恒信息将从多个方面配合珠海中富，以便达到珠海中富对评估工作的可控性。这些可控性包括：1） 人员可控性安恒信息项目组人员的资历都事先通知珠海中富，并经过珠海中富的认可。安恒信息将确保项目组成员工作的连续性。安恒信息将派遣有经验的顾问和工程师参加本项目的安全服务工作，同时还会安排有经验的项目管理人员、质量保证人员、标准化审核人员等支持项目的工作。安恒信息公司的人员安排将在服务的工作说明中明确定义并得到双方的同意、确认和签署。如果根据项目的具体情况，后期需要进行人员调整时，必须经过正规的项目变更程序，并得到双方的正式认可和签署。2） 工具可控性安恒信息项目组所使用的所有技术工具都事先通告珠海中富。并且在必要时可以应珠海中富公司的要求，向珠海中富公司介绍主要工具的使用方法，并进行一些测试实验。3） 项目过程可控性风险评估项目的管理将依据PMI项目管理方法学、安恒信息公司的DIEM安全工程模型和安恒信息管理规范等项目管理方法。特别是在项目管理中突出“沟通管理”，达到项目过程的可控性。整体性原则安恒信息将按照珠海中富公司提供的项目范围进行全面的规划、设计、评估、审计、咨询、加固、培训，从范围、深度上满足珠海中富公司的要求。项目实施包括安全涉及的各个层面，避免由于遗漏造成未来的安全隐患；保证安全服务的全面性，既要包括技术方面的，又要包括管理策略和培训方面的内容。最小影响原则安恒信息会从项目管理和技术应用的层面，将安全服务对系统和网络的正常运行所可能的影响降到最低程度，不对当前运行的网络和业务系统产生显著影响（包括系统性能明显下降、网络拥塞、服务中断），同时在实施安全服务前做好备份和应急措施。保密原则安恒信息所有参与本项目的项目组成员都将与珠海中富公司签署此项目特定的保密协议和非侵害协议，对工作过程数据和结果数据严格保密，未经授权不得泄露给任何单位和个人，不会利用此数据进行任何侵害珠海中富的行为。安恒信息项目组在进行数据交换时，使用PGP高位数据加密软件，防止明文数据共享带来的安全隐患。安恒信息将根据珠海中富要求，对相关文档、数据资料设置保管生命周期，在保管生命周期结束之后，项目组成员将彻底销毁所有和项目有关的数据和文档资料，并承诺不做任何恢复动作。2/8原则珠海中富公司的IT系统庞大，如果对所有的系统都详细评估将花费大量的人力和资源，既不可行，也没必要。根据业界经验20%的安全问题导致80%的损失，我们将评估重点花在20％相对重要的系统上，而对其它的信息系统如用户终端或普通服务器、交换机则采用抽样的方式进行评估，既保证了重点，也保证了一定的代表性和全明性。项目依据依据《信息安全风险管理指南》、《信息安全风险评估规范》等在对信息系统进行安全技术的安全控制测评及系统整体测评结果基础上，针对相信息系统遵循的标准进行综合系统测评，提出相应的信息系统安全整改建议。主要参考标准如下：《信息安全技术信息安全风险评估规范》（GB/T20984-2007）《信息安全技术信息安全风险管理指南》（GB/Z24364-2009）《信息安全技术网络基础安全技术要求》（GB/T20270-2006）《信息安全技术操作系统安全技术要求》（GB/T20272-2006）《信息安全技术数据库管理系统安全技术要求》（GB/T20273-2006）《信息安全技术服务器技术要求》（GB/T21028-2007）《信息安全技术终端计算机系统安全等级技术要求》（GA/T671-2006）《OWASPTestingGuide》《信息系统Web安全测试规范》ISO13335《IT安全管理方针》项目内容根据信息安全风险评估规范的相关标准寻找信息系统安全基线差距，加固管信息安全系统中现有的安全风险（仅限于安全配置加固），重点提高应用系统安全防护能力，本次服务内容包括：漏洞扫描使用一些定制工具，对系统可能存在的漏洞进行评估和量定。通过对网络的扫描，能了解信息系统的安全设置和运行的应用服务，及时发现安全漏洞，客观评估网络风险等级。根据扫描的结果更正网络安全漏洞和系统中的错误设置，在黑客攻击前进行防范。如果说防火墙和网络监视系统是被动的防御手段，那么安全扫描就是一种主动的防范措施，能有效避免黑客攻击行为，做到防患于未然。安全评估为了充分了解企业专用网络信息系统的当前安全状况或安全隐患，通过训练有素的专业安全分析人员对系统漏洞进行人工测试和量定，对系统可能存在的危险性及其可能产生的后果进行综合评价和预测，并根据可能导致的事故风险的大小，提出相应的安全对策措施，以达到保障信息系统安全的过程。渗透测评渗透测试（PenetrationTest）是指安全工程师尽可能完整地模拟黑客使用的漏洞发现技术和攻击手段，对目标网络/系统/主机/应用的安全性作深入的探测，发现系统最脆弱的环节的过程。渗透测试能够直观的让管理人员知道自己网络所面临的问题。渗透测试是一种专业的安全服务，类似于军队里的“实战演习”或者“沙盘推演”的概念，通过实战和推演，让用户清晰了解目前网络的脆弱性、可能造成的影响，以便采取必要的防范措施。对于在运行的应用系统开展渗透测试服务，发现系统存在的漏洞。渗透测试是对在线应用系统最好的漏洞发现机制，不影响系统的正常运行，可发现系统运行中的漏洞。对于新上线业务系统，制定安全上线检测基线管理，开展基线检查、漏洞扫描和代码审核；将系统运行状态安全检测提前至系统上线前，做好提前防护，可以规避大部分安全问题；上线评测过程会形成应用系统安全配置信息，便于系统上线后的维护管理。风险评估综述风险评估概要风险评估的目的是全面、准确的了解组织机构的网络安全现状，发现系统的安全问题及其可能的危害，为系统最终安全需求的提出提供依据：分析网络信息系统的安全需求，找出目前的安全策略和实际需求的差距，为保护信息系统的安全提供科学依据；通过合理步骤制定适合系统具体情况的安全策略及其管理和实施规范，为安全体系的设计提供参考。风险评估是一个组织机构实现信息系统安全的必要的、重要的步骤，可以使单位的决策者们对其业务信息系统的安全建设或安全改造思路有更深刻的认识。通过安全风险评估，他们将清楚业务信息系统包含的重要资产、面临的主要威胁、本身的弱点；哪些威胁出现的可能性较大，造成的影响也较大，哪些威胁出现的可能性较小，造成的影响可以忽略不计；通过保护哪些资产，防止哪些威胁出现，如何保护和防止才能保证系统达到某一安全级别；所提出的安全方案需要多少技术和费用的消耗；更进一步，我们还会分析出信息系统的风险是如何随时间变化的，将来应如何面对这些风险。风险评估为后期进一步安全防护技术的实施提供了严谨的安全理论依据，为决策者制定网络安全策略、构架安全体系以及确定有效的安全措施、选择可靠的安全产品、建立全面的安全防护层次提供了一套完整、规范的指导模型。一个完整的安全体系和安全解决方案是根据网络体系结构和网络安全形势的具体情况来确定的，没有一个“以不变应万变”的通用的安全解决方案。信息安全关心的是保护信息资产免受威胁。绝对安全是不可能的，只能通过一定的措施把风险降低到一个可接受的程度。对一个组织来说，解决信息安全的首要问题就是明白组织的信息与网络系统目前与未来的风险所在，充分评估这些风险可能带来的威胁与影响的程度，做到“对症下药”，这就是网络信息系统的安全风险评估。作为信息安全工程学重要组成部分的风险评估是有效保证信息安全的前提条件，也是建立在网络入侵防护系统、实施风险管理程序所开展的一项基础性工作。其原理是对采用的安全策略和规章制度进行评审，发现不合理的地方，采用模拟攻击的形式对目标可能存在的已知安全漏洞进行逐项检查，确定存在的安全隐患和风险级别。风险分析针对包括系统的体系结构、安全策略、人员状况以及各类设备如服务器、交换机、工作站等各种对象。根据检查结果向系统管理员提供周密可靠的安全性分析报告，为提高网络安全整体水平提供重要依据。信息技术使用面的迅速扩大和相关安全风险知识的增长，使得所有风险被准确识别、评估和管理变得相当重要。安恒公司根据信息安全管理标准BS7799和ISO13335等的信息安全管理标准的风险管理思想及其安全风险模型，制定了一系列的信息系统风险评估方案。在这些方案中，安恒公司还结合了大量的国际国内标准的指导，保证了整个评估的有效性和全面性。经过多年的积累和经验证明，这些评估方法适合于我国众多组织和机构。它们既适用于大型网络信息系统的评估，也可以有针对性的对局部某一应用系统进行评估。通过不同方式的安全评估，可以客观地、有重点地反映出信息系统某些方面的安全状况。风险要素及模型风险的三个要素为“资产”、“威胁”和“脆弱性”。安全风险模型是整个安全风险评估过程的主导。“资产”由于自身的“脆弱性”，使得各种“威胁”的发生成为可能，从而形成风险，这种可能一旦成为现实，则会造成“影响”。换句话说，风险分析的过程实际上就是对“影响”、“威胁”和“脆弱性”分析的过程，但它们都紧紧围绕着“资产”。“威胁”是指可能对资产或组织造成损害事故的潜在原因。作为风险评估的重要因素，“威胁”是一个客观存在的事物，无论对于多么安全的信息系统，它都存在。“脆弱性”是指资产或资产组中能被“威胁”所利用的漏洞，它包括物理环境、组织机构、业务流程、人员、管理、硬件、软件及通讯设施等各个方面，这些都可能被各种安全威胁利用来侵害一个组织机构内的有关资产及这些资产所支持的业务系统。这些表现出来的各种安全薄弱环节自身并不会造成什么影响，它们只有在被各种安全威胁利用后才可能造成相应的危害。在风险评估阶段，资产的价值、资产破坏后造成的影响、威胁的严重程度、威胁发生的可能性、资产的脆弱程度都成为风险评估的关键因素，参见下图。风险分析结束后，可以客观的根据所有资产面临的风险状况提出安全需求，并通过针对性的选择和实施某些安全控制措施来满足安全需求，从而达到降低风险的目的。安全措施安全措施抗击业务战略脆弱性安全需求威胁风险残余风险安全事件依赖拥有被满足利用暴露降低增加加依赖增加导出演变未被满足未控制可能诱发残留成本资产资产价值风险要素之间的关系根据安全风险评估模型，风险评估就是对资产、威胁、脆弱性及风险的评估。资产的评估主要是对资产进行相对估价，而其估价准则就是依赖于对其影响的分析。威胁评估就是对资产所受威胁发生可能性及威胁严重程度的评估。脆弱性的评估是对资产脆弱程度的评估，也即是对资产被威胁利用成功的可能性的评估。安全风险评估就是通过综合分析评估后的资产信息、威胁信息和脆弱性信息，最终生成风险信息。风险评估流程和方法信息安全风险评估流程评估准备阶段评估对象确定：根据已经了解到的被评估系统信息，分析整个被评估系统及其涉及的业务应用系统，确定出本次评估的对象。评估指标确定：根据已经了解到的被评估系统定级结果，确定出被评估系统的评估指标。评估工具接入点确定：确定需要进行工具评估的对象，选择评估路径，根据评估路径确定评估工具的接入点。评估内容确定：确定现场评估的具体实施内容，即单元评估内容。评估实施手册开发：编制评估实施手册，详细描述现场评估的工具、方法和操作步骤等，具体指导评估人员如何进行评估活动。工具和表单准备：根据系统的实际情况，准备评估工具和各类评估表单。资产识别与赋值资产识别与赋值包括采集资产信息，确定系统划分原则和等级评估原则，并与被评估单位共同确认系统和CIA等级划分。资产识别资产是构成整个系统的各种元素的组合，它直接的表现了这个系统的业务或任务的重要性，这种重要性进而转化为资产应具有的保护价值。在划定的评估范围内，按照网络拓扑结构图的业务系统为主线，列出所有资产。资产赋值在识别出所有信息资产后，接着是为每项资产赋予价值。资产估价是一个主观的过程，资产价值是指其相对价值。在对资产进行估价时，不仅要考虑资产的成本价格，更重要的是考虑资产对于组织的运作的重要性，即根据资产损失所引发的潜在的影响来决定。为确保资产估价时的一致性和准确性，将建立一个资产价值尺度（资产评估标准），以明确如何对资产进行赋值。在本次项目中，依据信息资产的保密性、可用性和完整性来划分资产等级，进行科学有效的赋值。资产的赋值将首先根据前面资产的调查结果对资产属性进行权值定义，然后对资产进行影响分析。影响就是由人为或突发性因素引起的安全事件对资产破坏的后果。这一后果可能毁灭某些资产，危及并使其丧失机密性、完整性、可用性。按照CIA模型，资产的价值可以分为保密性（C）、完整性（I）和可用性（A），可参考下表的资产赋值方法。级别定义保密性(C)完整性(I)可用性(A)5属于绝密信息，完全不允许泄漏，只有组织高层可以接触完全不允许出现变更，必须采用实时检测机制基本不允许中断，可靠性达到99.9999%4属于机密信息，不允许泄漏，组织中层以上可以接触不允许出现变更，应采用实时检测机制可短时间中断，可靠性达到99.99%3属于秘密信息，不允许泄漏，业务相关人员可以接触不允许出现变更，应采用检测机制中断时间小于1天，可靠性达到99.9%2属于内部信息，组织内部人员可以接触，可小范围公开允许出现小范围的不一致，并在短时间内更正中断时间小于1天，可靠性达到99%1属于公开信息基本没有要求，不一致时可在一定时间内更正对故障时间基本没有要求资产价值VA可采用以下计算公式：在此阶段输出成果为：《珠海中富公司网络与信息系统资产识别表》威胁评估威胁是对系统的资产引起不期望事件而造成的损害的潜在可能性。威胁可能源于对资产直接或间接的攻击，例如非授权的泄露、篡改、删除等在机密性、完整性或可用性等方面造成损害。威胁也可能源于偶发的、或蓄意的事件。一般来说，威胁总是要利用网络中的系统、应用或服务的脆弱性才可能成功地对资产造成伤害。威胁具有两个属性：可能性、影响。可能性和影响可以被赋予一个数值，来表示该属性。在这一过程中，首先要对组织需要保护的每一项关键资产进行威胁识别。在威胁识别过程中，应根据资产所处的环境条件和资产以前遭受威胁损害的情况来判断，一项资产可能面临着多个威胁，同样一个威胁可能对不同的资产造成影响。识别出威胁由谁或什么因素引发以及威胁影响的资产是什么，即确认威胁的主体和客体。威胁可能源于意外的或有预谋的事件。用于威胁评估的信息能够从信息安全管理的有关人员以及相关的过程中获得。接着要做的是对每种威胁的严重性和发生的可能性进行分析，最终为其赋一个相对等级值。威胁的严重性是威胁本身的一个重要因素，因为在风险的分析时这个因素由资产的相对价值体现出来，所以在这一阶段并不对威胁的严重性进行详细评估。评估确定威胁发生的可能性是这一阶段的重要工作，将根据经验和有关的统计数据来判断威胁发生的频率或者发生的概率。一个潜在脆弱性被一个给定威胁源攻击的可能性可以用不同的级别来表示。下表描述了威胁可能性VL的级别。可能性赋值简称说明5VH几乎肯定4H很可能3M可能2L不太可能1N罕见威胁影响分析可以使得组织清晰理解各业务系统对他们的重要性，以及如果发生安全事件，将会对组织有什么样的影响，从而确定相应的安全需求。影响分析时，现有控制措施的存在和有效性也是应该考虑的重要因素。影响可以被赋予一个数值，来表示该属性。级别定义经济影响(F)时间敏感性(T)对客户影响(C)社会影响(S)法律影响（L）导致直接经济损失（￥）可接受的中断时间不满意的客户数量会引起如下机构的注意将涉及不同程度的法律问题510,000,000以上1小时以下50,000以上国际的媒体、机构被迫面对复杂的法律诉讼，案情由级别相当高的法院审理，控方提出的赔付数额巨大41,000,001-10,000,0001-24小时10,001-50,000国家级媒体、机构提交更高级别法院立案，诉讼过程漫长3100,001-1,000,0001-3天1,001-10,000公司正式提交法院立案250,001-100,0003-10天101-1,000公司部门会有人就法律问题提出交涉150，000以下10天以上100以下几人或工作组几乎没有法律问题影响值VI可采用以下计算公式：在本项目中，将通过人员访谈（含问卷调查）、IDS抽样分析等手段，结合收集的历史安全事件等记录，对面临的非法用户、合法用户、系统组件、物理环境等各方面威胁进行评估。在此阶段输出成果为：《珠海中富公司网络与信息系统威胁识别表》脆弱性评估脆弱性和资产紧密相连，它可能被威胁利用、引起资产损失或伤害。值得注意的是，脆弱性本身不会造成损失，它只是一种条件或环境、可能导致被威胁利用而造成资产损失。存在于系统安全措施、设计、实现、内部管理等方面的脆弱性（漏洞），能够被使用（偶然触发或有意利用）并危害系统安全策略。脆弱性包括技术性漏洞和非技术漏洞两种。技术性漏洞主要是指操作系统和业务应用系统等方面存在的设计和实现缺陷。技术漏洞的标号以CVE漏洞列表的编号为标准；如果存在某些CVE没有标号的漏洞，则以国际通用的BUGTRAQID号为标号；如果以上两种编号都无法满足标号要求，则以本次统一的漏洞入库编号中关于无法准确定义的漏洞编号为准。技术性漏洞评估主要针对操作系统和业务应用系统等方面存在的设计和实现缺陷进行统计和归纳。非技术性漏洞主要是指系统的安全策略、物理和环境安全、人事安全、访问控制、组织安全、运行安全、系统开发和维护、业务连续性管理、遵循性等方面存在的不足或者缺陷。非技术性漏洞评估主要针对以上方面存在的不足或者缺陷进行统计和归纳。按照一般的技术漏洞和非技术漏洞的分级方法，可参考以下脆弱性级别定义方法：脆弱性级别定义说明4VH可以直接导致系统被非法取得权限进行控制，甚至破坏整个系统3H可以直接导致系统被非法取得本地用户权限，或者用来执行拒绝服务、远程非授权访问等入侵行为2M可以被用来获取系统信息，非授权文件读取等入侵行为1L可以通过正常业务应用服务获取一般系统信息，不存在被利用获取更高权限的威胁0N正常业务信息或者扫描执行过程信息在这一过程，将针对每一项需要保护的信息资产，找出每一种威胁所能利用的脆弱性，并对脆弱性的严重程度进行评估即对脆弱性被威胁利用的可能性进行评估，最终为其赋相对的等级值。在本项目中，将从技术、管理和策略三个方面进行脆弱性评估。技术方面：依据风险评估技术规范和等级保护基本要求，通过远程和本地两种方式进行漏洞扫描、对网络设备和主机等进行适当的人工安全检查、对关键外网服务主机进行远程渗透测试，以保证技术脆弱性评估的全面性和有效性。管理方面：主按照ISO/IEC27001的安全管理要求和等级保护基本要求，对现有的安全管理制度及其执行情况进行检查，发现其中的管理漏洞和不足。策略方面：依据风险评估原理和等级保护基本要求，从整体网络安全的角度对现有的网络安全策略进行全局性的评估，它也包含了技术和管理方面的内容。脆弱性现场评估将针对单项进行，分别从技术上的物理安全、网络安全、主机系统安全、应用安全和数据安全五个层面和管理上的安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理五个方面分别进行。物理安全：通过人员访谈、文档审查和实地察看的方式评估信息系统的物理安全保障情况。主要涉及对象为物理基础设施。在内容上，物理安全层面评估实施过程涉及10个评估单元，包括：物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护。网络安全：通过访人员访谈、配置检查和工具测试的方式评估信息系统的网络安全保障情况。主要涉及对象为网络互联设备、网络安全设备和网络拓扑结构。在内容上，网络安全层面评估实施过程涉及7个评估单元，包括：结构安全、访问控制、安全审计、边界完整性检查、入侵防范、网络设备防护、恶意代码防范（针对三级系统）。主机安全：通过人员访谈、配置检查和工具测试的方式评估信息系统的主机安全保障情况。主要涉及对象为各类服务器的操作系统、数据库管理系统。在内容上，主机系统安全层面评估实施过程涉及7个评估单元，包括：身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、资源控制、剩余信息保护（针对三级系统）。应用安全：通过人员访谈、配置检查和工具测试的方式评估信息系统的应用安全保障情况，主要涉及对象为各类应用系统。在内容上，应用安全层面评估实施过程涉及9个评估单元，包括：身份鉴别、访问控制、安全审计、通信完整性、通信保密性、软件容错、资源控制、剩余信息保护（针对三级系统）、抗抵赖（针对三级系统）。数据安全：通过人员访谈、配置检查的方式评估信息系统的数据安全保障情况，主要涉及对象为信息系统的管理数据及业务数据等。在内容上，数据安全层面评估实施过程涉及3个评估单元，包括：数据完整性、数据保密性、备份和恢复。安全管理制度：通过人员访谈、文档审查和实地察看的方式评估信息系统的安全管理制度情况。在内容上，安全管理制度方面评估实施过程涉及3个评估单元，包括：管理制度、制定和发布、评审和修订。安全管理机构：通过人员访谈、文档审查的方式评估信息系统的安全管理机构情况。在内容上，安全管理机构方面评估实施过程涉及5个评估单元，包括：岗位设置、人员配备、授权和审批、沟通和合作、审核和检查。人员安全管理：通过人员访谈、文档审查的方式评估信息系统的人员安全管理情况。在内容上，人员安全管理方面评估实施过程涉及5个评估单元，包括：人员录用、人员离岗、人员考核、安全意识教育和培训、外部人员访问管理。系统建设管理：通过人员访谈、文档审查的方式评估信息系统的系统建设管理情况。在内容上，系统建设管理方面评估实施过程涉及11个评估单元，包括：系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、安全服务商选择、系统备案（针对三级系统）、系统评估（针对三级系统）。系统运维管理：通过人员访谈、文档审查的方式评估信息系统的系统运维管理情况。在内容上，系统运维管理方面评估实施过程涉及13个评估单元，包括：环境管理、资产管理、介质管理、设备管理、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、监控管理和安全管理中心（针对三级系统）。在此阶段输出成果为：《珠海中富公司网络与信息系统弱点识别表》风险评估分析计算风险是一种潜在可能性，是指某个威胁利用脆弱性引起某项资产或一组资产的损害，从而直接地或间接地引起的损害。因此，风险和具体的资产、其价值、威胁等级以及相关的脆弱性直接相关。风险评估的策略是首先选定某项资产、评估资产价值、挖掘并评估资产面临的威胁、挖掘并评估资产存在的脆弱性、评估该资产的风险、进而得出整个评估目标的风险。风险存在两个属性：后果（Consequence）和可能性（Likelihood）。最终风险的影响，也就是对风险的评估赋值是对上述两个属性权衡作用的结果。不同的资产面临的主要威胁各不相同。而随着威胁可以利用的、资产存在的脆弱性数量的增加会增加风险的可能性，随着脆弱性类别的提高会增加该资产面临风险的后果。在这个过程中，将根据上面评估的结果，选择适当的风险测量方法或工具确定风险的大小与风险等级，即对安全管理范围内的每一信息资产因遭受泄露、修改、不可用和破坏所带来的任何影响做出一个风险控制的列表，以便识别与选择适当和正确的安全控制方式，这也将是策划信息安全管理体系的重要步骤。目前的风险计算方法，国际上一直还在不断的研究中，也有相当多的定量或者定性的风险计算方法被提出，但是并没有被公认接受的风险计算方法，因为安全风险要素的各个环节存在太多的不确定因素和无法定量的特性。在本项目中，将以国际相关标准推荐的风险评估规范方法为主，结合多年的研究和实践经验进行风险计算。在能够得到充足的资产信息的情况下，某资产风险的可能性是面临的威胁的可能性和资产存在的脆弱性的函数，而风险的后果是资产的价值和威胁的影响的函数。本项目采用的简化算式如下：风险值=风险影响值X风险可能性值=（资产价值X威胁影响）X（威胁可能性X脆弱性）风险评估报告前几个阶段工程实施基本结束，最后将对整个评估过程和结果进行总结，生成完整的风险评估报告，并根据评估结果和需求进一步完成相关的安全技术建议书等相关报告。从报告中可以看出，评估范围内业务系统包含的重要资产、面临的主要威胁、本身的脆弱性；哪些威胁出现的可能性较大，造成的影响也较大；通过保护哪些资产，防止哪些威胁出现，如何保护和防止才能保证系统达到某一安全级别。为了便于对风险评估结果的评审，结果能够量化的尽可能地量化，不能量化的做出形式化描述。如某个设备存在漏洞缺陷的数量等可以量化的，那么必须给出量化后的结果；而像某些系统应用的安全级别不好量化，那么应根据有关的评估标准来确定它的安全级别（如A级、B级或C级）。这样得出的分析结果将是大量的表格数据，这些数据就是以后各项工作的依据，应妥善地保存。另外，可以根据分析的数据结果得出更进一步的评估结论。对结果进行分析时将所得到的结果与以前的结果进行比较，或者与其他的评估结果进行比较，与有关的标准进行比较。严格的比较有助于安全性定级，因此参照物的选择很关键。在比较之后，通过总体的权衡，给出整个系统安全性的概述说明，并将结论与评估结果生成书面报告。在此阶段输出成果为：《珠海中富公司网络与信息系统风险评估汇总表》《珠海中富公司网络与信息系统风险评估报告》《珠海中富公司信息系统风险评估报告》（总体报告）信息安全渗透测试流程图1安恒公司信息安全评估工作流程参见上面的工作流程图，信息的收集和分析伴随着每一个渗透测试步骤，每一个步骤又由三个部分组成：操作、响应和结果分析。实施方案制定、客户书面同意客户书面授权委托，并同意实施方案是进行安全评估的必要条件。安全评估首先必须将实施方法、实施时间、实施人员，实施工具等具体的实施方案提交给客户，并得到客户的相应书面委托和授权。应该做到客户对安全评估所有细节和风险的知晓、所有过程都在客户的控制下进行。这也是安恒公司的专业渗透测试服务与黑客攻击入侵的本质不同。信息收集分析信息收集是每一步安全评估的前提，通过信息收集可以有针对性地制定模拟攻击测试计划，提高模拟攻击的成功率，同时可以有效的降低攻击测试对系统正常运行造成的不利影响。信息收集的方法包括PingSweep、DNSSweep、DNSzonetransfer、操作系统指纹判别、应用判别、账号扫描、配置判别等。信息收集常用的工具包括商业网络安全漏洞扫描软件（如，天镜等），免费安全检测工具（如，NMAP、NESSUS等）。操作系统内置的许多功能（如,TELNET、NSLOOKUP、IE等）也可以作为信息收集的有效工具。内部计划制定根据客户推托范围和时间，并结合前一步初步的信息收集得到的设备存活情况、网络拓扑情况以及扫描得到的服务开放情况、漏洞情况制定内部的详细实施计划。具体包括每个地址下一步可能采用的测试手段，详细时间安排。并将以下一步工作的计划和时间安排与客户进行确认。实施现场评估通过初步的信息收集分析，存在两种可能性，一种是目标系统存在重大的安全弱点，测试可以直接控制目标系统；另一种是目标系统没有远程重大的安全弱点，但是可以获得普通用户权限，这时可以通过该普通用户权限进一步收集目标系统信息。接下来尽最大努力取得超级用户权限、收集目标主机资料信息，寻求本地权限提升的机会。这样不停的进行信息收集分析、权限提升的结果形成了整个的漏洞扫描、渗透测试和安全评估的过程。生成评估报告安全评估之后，安恒公司将会提供一份安全评估报告。安全评估报告将会十分详细的说明安全评估过程中的得到的数据和信息、并且将会详细的纪录整个安全评估的全部操作。评估方法与工具安全评估方法概述在本项目中将采用以下规范化的评估方法：工具测试利用技术工具（漏洞扫描工具、渗透测试工具、性能测试工具等）对系统进行测试，包括基于网络探测和基于主机审计的漏洞扫描、渗透测试、性能测试等。测评方法工具测试简要描述利用技术工具，从网络的不同接入点对网络内的主机、服务器、数据库、网络设备、安全设备等进行脆弱性检查和分析达成目标发掘系统的安全漏洞工作条件1-2人工作环境，电源和网络接入环境，人员、网络、系统配合工作结果工具测试结果记录配置检查利用上机验证的方式检查主机、服务器、数据库、网络设备、安全设备、应用系统的配置是否正确，是否与文档、相关设备和部件保持一致，对文档审核的内容进行核实（包括日志审计等），测评其实施的正确性和有效性，检查配置的完整性，测试网络连接规则的一致性，从而测试系统是否达到可用性和可靠性的要求。测评方法配置检查简要描述通过登陆系统控制台的方式，人工核查和分析主机、服务器、数据库、网络设备、安全设备、应用系统的安全配置情况达成目标发现配置的安全隐患工作条件1-2人工作环境，人员、网络、系统配合工作结果配置检查结果记录人员访谈与被测系统有关人员（个人/群体）进行交流、讨论等活动，获取相关证据，了解有关信息。在访谈范围上，不同等级信息系统在测评时有不同的要求，一般应基本覆盖所有的安全相关人员类型，在数量上可以抽样。测评方法人员访谈简要描述通过交流、讨论的方式，对技术和管理方面进行脆弱性检查和分析达成目标发掘技术和管理方面存在的安全问题工作条件1-2人工作环境，人员配合工作结果人员访谈结果记录文档审查检查制度、策略、操作规程、制度执行情况记录等文档（包括安全方针文件、安全管理制度、安全管理的执行过程文档、系统设计方案、网络设备的技术资料、系统和产品的实际配置说明、系统的各种运行记录文档、机房建设相关资料、机房出入记录等过程记录文档）的完整性，以及这些文件之间的内部一致性。测评方法文档审查简要描述通过文档审核与分析，检查制度、策略、操作规程、制度执行情况记录的完整性和内部一致性达成目标发掘技术和管理方面存在的安全问题工作条件1-2人工作环境，人员、各类文档资料配合工作结果文档审查结果记录实地查看通过实地的观察人员行为、技术设施和物理环境状况判断人员的安全意识、业务操作、管理程序和系统物理环境等方面的安全情况，测评其是否达到了相应等级的安全要求。项目名称实地查看简要描述通过现场查看人员行为、技术设施和物理环境状况，检查人员的安全意识、业务操作、管理程序和系统物理环境等方面的安全情况。达成目标发掘技术和管理方面存在的安全问题工作条件1-2人工作环境，人员配合工作结果实地查看结果记录漏洞扫描技术方法系统端口扫描通过对中富公司网络目标地址的TCP/UDP端口扫描，确定其所开放的服务的数量和类型，这是所有渗透测试的基础。通过端口扫描，可以基本确定一个系统的基本信息，结合我公司安全测试工程师的经验可以确定其可能存在，以及被利用的安全弱点，为进行深层次的渗透提供依据。扫描的基本原理是枚举目标网络中存在漏洞与弱点，比如：目标网络内主机生成的ICMP响应消息类型目标网络中运行的、可访问的TCP及UDP网络服务目标主机的操作平台及其配置目标主机IP协议栈实现中的漏洞（比如序列号可预测性，可用于TCP欺骗以及会话劫持等攻击）过滤机制与安全系统的配置（包括防火墙、边界路由器、交换机以及IDS/IPS机制）Web应用漏洞扫描自动化扫描工具只能检测到部分常见的漏洞（如SQL注入漏洞、XSS跨站点脚本攻击漏洞、敏感信息泄露漏洞、后台弱口令和目录遍历漏洞等），不是针对用户代码的，也就是说不能理解业务逻辑，无法对这些漏洞做进一步业务上的判断。往往最严重的安全问题并不是常见的漏洞，而是通过这些漏洞针对业务逻辑和应用的攻击。针对Web应用漏洞，我们将采用MatriXayWebscan工具进行扫描，以发现Web应用中存在的常见漏洞。网络协议漏洞扫描通过对网络目标地址的协议漏洞扫描，确定其所开放的服务的数量和类型，这是所有渗透测试的基础。通过协议漏洞扫描，可以基本确定一个系统的基本信息，结合我公司安全测试工程师的经验可以确定其可能存在，以及被利用的安全弱点，为进行深层次的渗透提供依据。网络协议漏洞扫描的是发现目标网络中存在如下漏洞与弱点，包括但不限于：TCP服务标志截取路由器、交换机和安全设备中存在的与Telnet、HTTP、SNMP以及TFTP存取和配置机制相关可执行权限的常见缺陷某些路由器、交换机和安全设备中存在的默认SNMP的cable-docsis与ILMI等高权限默认团体名或账号，且这些默认用户账号不会出现在conifg文件中。（public、private）HSRP、VRRP、GLBP、OSPF、IGRP、BGP、IS-IS、RIPv2等路由协议没有加密，防止Dos攻击、中间人攻击等没有PortSecurity防止MACFlooding洪水攻击ARPSTPDHCPPoECoPPCDPVTPLAP协议漏洞测评pop3、smtp和smtp等邮件服务中的漏洞Finger、auth、ldap、rwho、rpcrusers进程操纵漏洞远程过程调用（RPC）服务漏洞测评ntp、rsh、rlogin、ftp、等服务中的漏洞RDP、VNC等远程管理中间人攻击Sendmail信息泄露、进程操纵漏洞Samba服务等高风险远程漏洞，可绕过安全机制并执行任意代码TNSListener枚举与信息潺潺攻击OracleNetManager远程管理漏洞TNSListener进程操作漏洞可远程控制的TNSListener漏洞XDS服务，可执行任意命令操作漏洞PL/SQL注入Delete、Insert和Update语句其他高风险0day漏洞渗透测试技术方法信息收集信息收集分析几乎是所有入侵攻击的前提/前奏/基础。“知己知彼，百战不殆”，信息收集分析就是完成的这个任务。安恒公司通过对珠海中富公司网络信息收集分析，可以相应地、有针对性地制定模拟黑客入侵攻击的计划，以提高入侵（or测试）的成功率、减小暴露或被发现的几率。安恒公司信息收集的方法包括主机网络扫描、操作类型判别、应用判别、账号扫描、配置判别等等。模拟入侵攻击常用的工具包括Nmap、Nessus、X-Scan等，操作系统中内置的许多工具（例如telnet）也可以成为非常有效的模拟攻击入侵武器。权限提升安恒公司通过收集信息和分析，存在两种可能性，其一是珠海中富公司客户目标系统存在重大弱点：安恒公司测试工程师可以直接控制目标系统，然后直接调查目标系统中的弱点分布、原因，形成最终的测试报告；其二是目标系统没有远程重大弱点，但是可以获得远程普通权限，这时安恒公司测试工程师可以通过该普通权限进一步收集目标系统信息。接下来，尽最大努力获取本地权限，收集本地资料信息，寻求本地权限升级的机会。这些不停的信息收集分析、权限升级的结果将构成此次项目整个渗透测试过程的输出。代码审查对站点进行安全代码审查的目的是要识别出会导致安全问题和事故的不安全编码技术和漏洞。这项工作虽然可能很耗时，但是必须进行，安恒公司代码审查测试工作包括如下工作但不仅限于此：审查代码中的XSS脚本漏洞；审查代码中的SQL注入漏洞；审查代码中的潜在缓冲区溢出；审查识别允许恶意用户启动攻击的不良代码技术；其他软件编写错误及漏洞的寻找及审查。不同网段/Vlan之间的渗透这种渗透方式是安恒公司从某内/外部网段，尝试对珠海中富公司客户另一网段/Vlan进行渗透。这类测试通常可能用到的技术包括：对网络设备和无线设备的远程攻击；对防火墙的远程攻击或规则探测、规避尝试。信息的收集和分析伴随着每一个渗透测试步骤，每一个步骤又有三个组成部分：操作、响应和结果分析。SQL注入攻击SQL注入常见于应用了SQL数据库后端的网站服务器，入侵者通过提交某些特殊SQL语句，最终可能获取、篡改、控制网站服务器端数据库中的内容。此类漏洞是入侵者最常用的入侵方式之一。安恒公司测试工程师在测试中会进行此项的测试。检测页面隐藏字段网站应用系统常采用隐藏字段存储信息。许多基于网站的电子商务应用程序用隐藏字段来存储商品价格、用户名、密码等敏感内容。恶意用户通过操作隐藏字段内容达到恶意交易和窃取信息等行为，是一种非常危险的漏洞。我公司测试工程师将在测试中进行此项的测试.跨站攻击入侵者可以借助网站来攻击访问此网站的终端用户，来获得用户口令或使用站点挂马来控制客户端。安恒公司测试工程师将在测试中对客户的网站系统进行此项的测试.

WEB应用测试Web脚本及应用测试专门针对Web及数据库服务器进行。根据最新的统计，脚本安全弱点为当前Web系统，尤其是存在动态内容的Web系统比较严重的安全弱点之一。利用脚本相关弱点轻则可以获取系统其他目录的访问权限，重则将有可能取得系统的控制权限。因此对于含有动态页面的Web、数据库等系统，Web脚本及应用测试将是必不可少的一个环节。安恒公司在Web脚本及应用测试中，可能需要检查的部份包括：检查应用系统架构,防止用户绕过系统直接修改数据库；检查身份认证模块，用以防止非法用户绕过身份认证；检查数据库接口模块，用以防止用户获取系统权限；检查文件接口模块，防止用户获取系统文件；检查其他安全威胁；第三方软件误配置第三方软件的错误设置可能导致入侵者利用该漏洞构造不同类型的入侵攻击。安恒公司测试工程师将在测试中要求登陆主机或者扫描目标主机进行此项的测试。Cookie利用网站应用系统常使用cookies机制在客户端主机上保存某些信息，例如用户ID、口令、时戳等。入侵者可能通过篡改cookies内容，获取用户的账号，导致严重的后果。安恒公司测试工程师将在测试中进行此项的测试。后门程序检查系统开发过程中遗留的后门和调试选项可能被入侵者所利用，导致入侵者轻易地从捷径实施攻击。安恒公司测试工程师将在测试中进行此项的测试。远程溢出这是当前出现的频率最高、威胁最严重，同时又是最容易实现的一种渗透方法，一个具有一般网络知识的入侵者就可以在很短的时间内利用现成的工具实现远程溢出攻击。对于在防火墙内的系统存在同样的风险，只要对跨接防火墙内外的一台主机攻击成功，那么通过这台主机对防火墙内的主机进行攻击就易如反掌。口令猜测口令猜测也是一种出现概率很高的风险，几乎不需要任何攻击工具，利用一个简单的暴力攻击程序和一个比较完善的字典，就可以猜测口令。对一个系统账号的猜测通常包括两个方面：首先是对用户名的猜测，其次是对密码的猜测。本地溢出所谓本地溢出是指在拥有了一个普通用户的账号之后，通过一段特殊的指令代码获得管理员权限的方法。使用本地溢出的前提是首先要获得一个普通用户的密码。也就是说由于导致本地溢出的一个关键条件是设置不当的密码策略。多年的实践证明，在经过前期的口令猜测阶段获取的普通账号登录系统之后，对系统实施本地溢出攻击，就能获取不进行主动安全防御的系统的控制管理权限。脚本测试脚本测试专门针对Web服务器进行。根据最新的技术统计，脚本安全弱点为当前Web系统尤其存在动态内容的Web系统存在的主要比较严重的安全弱点之一。利用脚本相关弱点轻则可以获取系统其他目录的访问权限，重则将有可能取得系统的控制权限。因此对于含有动态页面的Web系统，脚本测试将是必不可少的一个环节。其他测试在渗透测试中还需要借助暴力破解、网络嗅探等其他方法，目的也是为获取用户名及密码。安恒公司测试工程师在测试中也将进行这些选项的测试，以全面检测珠海中富公司网络的安全性。测评工具安恒公司在安全评估过程中使用的测评工具严格遵循可控性原则，即所有使用的测评工具将事先提交给珠海中富公司检查确认，确保在双方认可的范围之内，而且测评过程中采用的技术手段确保已经过可靠的实际应用。在本项目中，我们将采用以下测评工具：工具类别工具名称型号工具介绍备注漏洞扫描工具远程安全评估系统安恒公司生产的商业漏洞扫描系统Web应用扫描工具WEB应用弱点扫描器安恒公司生产的商业Web应用弱点扫描系统数据库扫描数据库弱点扫描器安恒公司生产的商业数据库弱点扫描系统安全配置核查工具网络设备配置检查工具安恒公司生产的网络设备配置检查工具主要对主流网络设备进行安全分析检查Linux主机配置检查工具安恒公司生产的网络设备配置检查工具主要对Linux主机进行安全分析检查Windows配置检查工具安恒公司生产的网络设备配置检查工具主要对Windows主机进行安全分析检查计算机终端审查工具安恒公司生产的计算机终端审计工具主要针对核心用户的电脑终端、管理员操作终端进行安全检查渗透测试工具半自动化渗透测试工具安恒公司生产的专门针对渗透测试的工具MetasploitframeworkV3.0广泛使用的渗透测试工具软件集合包输出文档安全评估报告项目名称信息安全风险评估报告、信息安全加固完善建议简要描述分析测评结果，判断信息系统是否存在导致信息系统面临较高的安全风险的弱点或漏洞达成目标列出每项测评指标和分析过程、分析结果，获得符合性分析结论主要内容技术指标检测和分析实现方式汇总分析、报告编写工作结果安全评估报告参加人员乙方项目组信息系统可能存在安全风险和漏洞信息系统的漏洞扫描、安全评估和渗透测试有利于，发现信息系统众多安全风险、弱点和漏洞。包括但不限于以下内容：基础架构环境可能存在的安全漏洞通过对信息系统运行所必须依赖的基础架构环境进行分析，可发现其可能存在的安全漏洞。包括但不限于以下内容：机房没有配置电子门禁系统；没有登记记录机房进出人员；没有利用光、电等技术设置机房防盗报警系统；机房配电箱没有防雷保护器；没有对关键设备和磁介质实施电磁屏蔽；没有双路冗余电力供应；没有冗余通信线路防止单点故障；服务器没有双机或群集部署无法保证高可用性；木马、后门、漏洞；RDP、VNC等远程管理中间人攻击；LinuxSamba服务等高风险远程漏洞，可绕过安全机制并执行任意代码；LinuxSendmail信息泄露、进程操纵漏洞；TNSListener枚举与信息潺潺攻击；OracleNetManager远程管理漏洞；TNSListener进程操作漏洞；可远程控制的TNSListener漏洞；XDS服务，可执行任意命令操作漏洞；其他高风险0day漏洞；PL/SQL注入Delete、Insert和Update语句；多余或默认账户；数据库字典攻击；SQL解析服务溢出漏洞；Cmd_shell等多余高风险存储过程漏洞；SQL进程操纵漏洞；MySQL进程操纵漏洞；SQL注入漏洞；XSS跨站点脚本攻击漏洞；敏感信息泄露漏洞；后台弱口令；目录遍历漏洞；木马、病毒、后门；没有强制限制主机系统和数据库系统口令的复杂度和限制口令的最小长度，只是管理上有要求；主机系统和数据库系统都没有开启登录失败处理功能；主机系统和数据库系统都没有采取两种或以上的身份鉴别方法对登录用户进行认证；没有重命名系统的默认管理员账户administrator，没有命名数据库系统中默认的管理员账户SA；没有禁用默认共享路径,ipc$c$d$；没有配置主机特权用户的权限没有分离；主机系统和数据库系统都没有对重要的信息资源做敏感标记；主机系统和数据库系统都没有对重要的信息资源做敏感标记；没有对日志记录数据进行分析，并生成审计报表；审计日志没有进行备份到日志服务器或采取其他技术手段避免受到未预期的删除、修改或覆盖等；没有定期更新操作系统安全补丁；没有保证操作系统和数据库系统用户的鉴别信息所在的存储空间，被释放或再分配给其他用户前得到完全清除，没有配置对剩余信息保护；没有确保系统内的文件、目录和数据库记录等资源所在的存储空间，被释放或重新分配给其他用户前得到完全清除；没有根据安全策略设置登录终端的操作超时锁定；没有对重要服务器进行监视、包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况；没有限制单个用户对系统资源的最大或最小使用限度；没有对系统的服务水平降低到预先规定的最小值进行检测和报警；企业网络与网络安全可能存在的安全漏洞通过对信息系统运行所必须依赖的基础网络环境进行分析，可发现其可能存在的安全漏洞。包括但不限于以下内容：大多数网络设备和安全可能存在cable-docsis与ILMI等默认团体名或账号，且不会出现在conifg文件中。（另public、private待默认团体名）；没有PortSecurity防止Flooding洪水攻击；VRRP和OSPF没有配置强壮认证来确保路由选择更新和路由选择信息没有被篡改，阻止网络设备接收和处理未授权的或恶意的路由选择更新；重要网段没采取技术手段防止地址欺骗；没有对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录；没有在网络边界处对恶意代码进行检测和清除；没有维护网络层恶意代码防范设备的恶意代码库的升级和检测系统的更新；没有对网络设备的管理员登录地址进行限制；没有对主要网络设备同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别；网络设备身份鉴别信息密码没有复杂度限制；没有登录失败处理功能；对网络设备进行远程管理时，使用HTTP，TELNET等非安全管理协议；网络设备、通信线路、等没有双机冗余，保证系统的高可用性；企业邮件应用系统可能存在的安全漏洞通过对珠海中富公司人员沟通和协作所必须依赖的邮件应用系统进行分析，可发现其可能存在的安全漏洞。包括但不限于以下内容：邮件内容检查机制欺骗（利用漏洞绕过邮件病毒检测机制转发病毒）；利用后门账号伪造邮件、窃取邮件机密；邮件备份使用非安全协议，或POP协议将邮件备份到某到账户，而使用该账户可以查看所有用户，导致泄密的风险；邮件系统多余账户；邮件系统后门账户；应用系统没有对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别；没有配置登录失败处理功能；没有授予不同帐户为完成各自承担任务所需的最小权限，并在它们之间形成相互制约的关系；没有登出失败安全审计日志记录；审计日志没有记录事件类型等；没有授权用户浏览和分析审计数据提供专门的审计分析功能；没有保护通信完整性；传输过程没有敏感字段加密；没有具有在请求的情况下为数据原发者或接收者提供数据原发证据的功能；没有双机热备，不能在故障发生时，应用系统应能够继续提供一部分功能，确保能够实施必要的措施；没有对系统最大并发会话连接数进行限制；没有对系统单个账号的多重并发会话进行限制；没有对一个时间段内可能的并发会话连接数进行限制；没有对一个访问帐户或一个请求进程占用的资源分配最大限额和最小限额；没有能够对系统服务水平降低到预先规定的最小值进行检测和报警；没有提供服务优先级设定功能，并在安装后根据安全策略设定访问帐户或请求进程的优先级，根据优先级分配系统资源；应用系统没有采用校验码技术保证通信过程中数据的完整性；没有对关键应用系统鉴别信息进行加密传输和存储；比如用户口令采用明文传输；企业ERP+BI核心应用系统可能存在的安全漏洞通过对珠海中富公司人员沟通和协作所必须依赖的企业ERP+BI核心应用系统进行分析，可发现其可能存在的安全漏洞。包括但不限于以下内容：操作系统和后台数据库的漏洞，配置不当，如弱口令等等，导致黑客、病毒可以利用这些缺陷对网站进行攻击。Web业务常用的发布系统(即Web服务器)，如IIS、Apache等，这些系统存在的安全漏洞，会给入侵者可乘之机。Web应用程序的编写人员，在编程的过程中没有考虑到安全的因素，使得黑客能够利用这些漏洞发起对网站的攻击，比如SQL注入、跨站脚本攻击等等。Oracle/SQLServer账号混淆，权限不明确，存在用户越权使用的可能。Oracle/SQLServer没有加密客户端与数据库之间或中间件与数据库之间的网络传输数据数据库空闲远程连接无法断开应用系统没有对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别；没有配置登录失败处理功能；没有授予不同帐户为完成各自承担任务所需的最小权限，并在它们之间形成相互制约的关系；没有登出失败安全审计日志记录；审计日志没有记录事件类型等；没有授权用户浏览和分析审计数据提供专门的审计分析功能；没有保护通信完整性；传输过程没有敏感字段加密；没有具有在请求的情况下为数据原发者或接收者提供数据原发证据的功能；没有双机热备，不能在故障发生时，应用系统应能够继续提供一部分功能，确保能够实施必要的措施；没有对系统最大并发会话连接数进行限制；没有对系统单个账号的多重并发会话进行限制；没有对一个时间段内可能的并发会话连接数进行限制；没有对一个访问帐户或一个请求进程占用的资源分配最大限额和最小限额；没有能够对系统服务水平降低到预先规定的最小值进行检测和报警；没有提供服务优先级设定功能，并在安装后根据安全策略设定访问帐户或请求进程的优先级，根据优先级分配系统资源；应用系统没有采用校验码技术保证通信过程中数据的完整性；没有对关键应用系统鉴别信息进行加密传输和存储；比如用户口令采用明文传输；企业基础支撑平台可能存在的安全漏洞通过对珠海中富公司人员沟通和协作所必须依赖的企业基础支撑平台进行分析，可发现其可能存在的安全漏洞。包括但不限于以下内容：应用系统没有对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别；没有配置登录失败处理功能；没有授予不同帐户为完成各自承担任务所需的最小权限，并在它们之间形成相互制约的关系；没有登出失败安全审计日志记录；审计日志没有记录事件类型等；没有授权用户浏览和分析审计数据提供专门的审计分析功能；没有保护通信完整性；传输过程没有敏感字段加密；没有具有在请求的情况下为数据原发者或接收者提供数据原发证据的功能；没有双机热备，不能在故障发生时，应用系统应能够继续提供一部分功能，确保能够实施必要的措施；没有对系统最大并发会话连接数进行限制；没有对系统单个账号的多重并发会话进行限制；没有对一个时间段内可能的并发会话连接数进行限制；没有对一个访问帐户或一个请求进程占用的资源分配最大限额和最小限额；没有能够对系统服务水平降低到预先规定的最小值进行检测和报警；没有提供服务优先级设定功能，并在安装后根据安全策略设定访问帐户或请求进程的优先级，根据优先级分配系统资源；应用系统没有采用校验码技术保证通信过程中数据的完整性；没有对关键应用系统鉴别信息进行加密传输和存储；比如用户口令采用明文传输；保密管理为了保障甲方的信息安全，通过如下控制措施，加强安全保密工作。签署保密责任书甲乙双方签订《保密责任书》，同时乙方保证所有参与项目的人员均与乙方已签订《保密责任书》。现场安全保密管理测评过程中，如有安全保密确有需要，项目中乙方使用的笔记本可由甲方提供，并且仅限于在甲方的工作环境内使用和保管，未经甲方允许严禁私自带出。在甲方办公环境中，除甲方提供或允许的U盘外，严禁出现其他存储介质。文档安全保密管理对需要甲方提供的文档资料，乙方提交《文档调用单》给甲方，《文档调用单》上的“借出部分”须明确文档类别、文档内容、文档申请人员、文档使用人员、调用时间。文档资料未经甲方允许严禁带出现场，统一保管在甲方指定的文件柜里，使用完后乙方返还给甲方，并填写《文档调用单》上“交回部分”的交回人员、交回时间。对于电子文档，所有传