2024网络安全服务检测

第第17页共96页网络安全服务检测标准目录TOC\o"1-2"\h\u17910网络安全服务检测标准 1320565.1.整体网络安全服务框架 5253195.2.资产调研与梳理 657395.3.风险评估 6310675.3.1安全扫描 65763扫描目标 629135安全扫描风险规避 831121安全扫描成果交付 8162695.3.2.安全配置检查 85955网络配置检查 103790操作系统配置检查 2130994数据库配置检查 278393编号：安全要求-设备-ORACLE-配置-2-可选 28108925.3.3渗透测试 3211577渗透测试目标 327490渗透测试前期准备 337464渗透测试实施流程 3517640采用的技术手段 3620735漏洞分级 4330116系统备份与恢复措施 4329739渗透测试风险交付 4475835.3.4web 44130195.4.业务系统威胁 45318275.4.2业务安全测试内容 452711身份认证安全 4619765业务一致性安全 4629901业务数据篡改测试 4718592用户输入合规性 4725219密码找回测试 4713619验证码绕过测试 4831434未授权访问 4821757越权访问 4822959业务流程安全 4954190重放攻击 49152835.4.3业务安全检测 4923578业务安全检测方案 498727a)任意修改用户资料 50289185.4.4安全测试结果输出 5178125.5.网络安全架构分析 5244295.5.1网络安全风险分析 52104405.5.2主机安全风险分析 52113285.5.3应用安全风险分析 54142865.5.4数据安全及备份恢复 54143915.6.专项安全检查 55243075.6.1webshell 55325835.6.2web 56315915.6.3系统登录日志专项检查 57244855.7.安全管理咨询 5864645.7.1安全管理方针和目标 59104635.7.2信息安全管理方法 5913919ISMS 6117332ISMS 6131076ISMS 62442ISMS 62259115.7.3信息安全管理体系控制域 6369695.7.4ISMS 645622范围 6521734调研和风险管理 6514926ISMS 6721599ISMS 70216305.7.5现有信息安全管理制度体系分析 7085995.7.6基于标准的信息安全管理体系设计 7126780一级文件 711170二级文件 7110704三级文件 7110791四级文件 7216985.7.7信息安全管理制度文档体系 7239965.7.8信息安全策略 7613464信息安全组织策略 7629787资产管理策略 777585人力资源安全策略 7818958物理环境安全策略 8026165通讯操作安全策略 817912访问控制策略 8414603信息系统的获取、开发和维护策略 866882信息安全事件管理策略 8711723业务连续性管理策略 88123410符合性管理策略 8926155.7.9流程化解决的问题 90246705.7.10使安全制度执行切实落地 90229315.7.11辅助决策 90169955.7.12安全运维体系建设 91297845.8.安全巡检 9272285.8.1安全巡检概述 9288225.8.2安全巡检内容 9312427防火墙安全巡检 935296网络设备安全巡检 9311015主机防护安全巡检 935595系统运行安全巡检 93105665.8.3防病毒安全巡检 9469135.8.4数据备份巡检 9427605.8.5物理机房巡检 94209255.8.6定期漏洞扫描 94190595.9.安全应急演练及响应 9416055.9.1应急响预案制定 9529922建立应急响应小组与明确小组成员 9518176明确事件响应目标 9510804准备应急响应过程中所需的工具软件 966558应急响应计划 96202835.9.2应急响应实施 9630213事件识别 9728986攻击事件分类 977568事件证据收集 9714492系统恢复 9722908事件处理报告提交 98272035.9.3应急响应计划维护与演练 9816750应急响应模拟演练 98134035.9.4安全应急响应实施方案 9829561应急响应事件识别 9810976应急响应事件分析检测与证据收集 99125625.9.5应急响应事件总结与报告归档 100146475.10.防火墙策略检查与优化 101124905.10.1策略检查与优化内容 10114716防火墙策略评估 102130095.11.漏洞预警与通告 103整体网络安全服务框架IT基础架构的安全建设，优化、调整和挖掘潜力，提升整体信息安全的保资产调研与梳理对主机、网络设备、数据库、应用系统资产进行调研梳理，可分为：资产管理：权限梳理：信息系统中资产权限梳理、权限变化梳理、有效账户与冗余账户梳理。敏感数据梳理：资产使用梳理：风险评估安全扫描扫描目标扫描目标目标类型扫描方式扫描策略http://www.扫描目标.com/门户网站内网扫描主机漏洞扫描、Web漏洞扫描、弱密码漏洞扫描\hhttp://web.扫描目标.com/应用系统内网扫描主机漏洞扫描、Web漏洞扫描、弱密码漏洞扫描\hhttp://web2.扫描目标.com/应用系统内网扫描主机漏洞扫描、Web漏洞扫描、弱密码漏洞扫描\hhttp://web3.扫描目标.com/应用系统内网扫描测试主机漏洞扫描、Web漏洞扫描、弱密码漏洞扫描安全扫描实施内容项目经理与委托单位就漏洞扫描项目进行前期沟通，接收被测单位提交的网络状况资IP实施过程中需要评估的项目包括但不限于：主机环境漏洞扫描。Web弱密码漏洞扫描。扫描方案确定，开始执行扫描任务，按照客户的扫描要求配置漏洞扫描策略进行扫描。端口扫描阶段，本阶段主要是对目标对外开放的端口和服务进行扫描，从而收集相关的信息。主机漏洞扫描阶段，本阶段主要是对目标的主机环境进行安全扫描。WebWebFTP、SQLServer、RDP清除总结阶段，清除在客户系统中产生的痕迹和中间数据，然后根据以上阶段内容总结编写《安全扫描服务报告》。安全扫描风险规避人员值守配合扫描时段选择一般会选择在夜间或安排在业务量不大的时段进行漏洞扫描。扫描策略集选择扫描前应进行备份，根据系统的具体情况配置合理的扫描策略。安全扫描成果交付《漏洞扫描服务报告》漏洞扫描结果漏洞解决方案安全配置检查checklist配置检测支持包含如下：操作系统：AIX、Linux、Soalris、Windows、HP-UX数据库：Mysql、SQLSERVER、Oracle、SYBASE、DB2网络设备：CISCO、H3C防火墙、Hillstone防火墙、Huawei防火墙、中兴交换机应用程序：APACHE、IIS、Nginx、Resin、Tomcat、Weblogic网络配置检查例：cisco路由器编号：安全要求-设备-通用-配置-3-可选要求内容限制具备管理员权限的用户远程登录。远程执行管理员权限操作，操作指南1．参考配置操作Router#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#servicepassword-encryptionRouter(config)#usernamenormaluserpassword3d-zirc0niaRouter(config)#usernamenormaluserprivilege1Router(config)#linevty04Router(config-line)#loginlocalRouter(config-line)#exec-timeout50Router(config-line)#end2．补充操作说明设定账号密码加密保存normaluser1；设定远程登录启用路由器账号验证；设定超时时间为5分钟；检测方法1.判定条件I.VTY使用用户名和密码的方式进行连接验证II.2、账号权限级别较低，例如：I2.检测操作showrunning-configrunning-configBuildingconfiguration...Currentconfiguration:!servicepassword-encryptionusernamenormaluserpassword3d-zirc0niausernamenormaluserprivilege1linevty04loginlocal安全要求-设备-通用-配置-4要求内容6字、小写字母、大写字母和特殊符号4类中至少2类。操作指南参考配置操作Router#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#aaanew-modelRouter(config)#aaaauthenticationlogindefaultgrouptacacs+Router(config)#aaaauthenticationenabledefaultgrouptacacs+Router(config)#tacacs-serverhost8Router(config)#tacacs-serverkeyIr3@1yh8n#w9@swDRouter(config)#endRouter#补充操作说明与外部TACACSserver8TACACS+serveryaTACACSserver检测方法此项无法通过配置实现，建议通过管理实现2.检测操作此项无法通过配置实现，建议通过管理实现编号：安全要求-设备-通用-配置-9要求内容操作指南1．参考配置操作Router#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#servicepassword-encryptionRouter(config)#usernamenormaluserpassword3d-zirc0niaRouter(config)#usernamenormaluserprivilege1Router(config)#privilegeexeclevel15connectRouter(config)#privilegeexeclevel15telnetRouter(config)#privilegeexeclevel15rloginRouter(config)#privilegeexeclevel15showipaccess-listsRouter(config)#privilegeexeclevel15showaccess-listsRouter(config)#privilegeexeclevel15showloggingRouter(config)#!ifSSHissupported..Router(config)#privilegeexeclevel15sshRouter(config)#privilegeexeclevel1showip2．补充操作说明基本思想是创建账号并赋予不同的权限级别，并将各命令绑定在不同的权限级别上；上例操作过程如下：设定账号密码加密保存创建normaluser账号并指定权限级别为1；connect、telnet、rlogin、showipaccess-lists、showaccess-listsshowloggingssh15将showip指定为仅当账号权限级别大于1时才可使用；检测方法1.判定条件用户名绑定权限级别2.检测操作showrunning-configrunning-configBuildingconfiguration...Currentconfiguration:!usernamenormaluserpassword3d-zirc0niausernamenormaluserprivilege1privilegeexeclevel15connectprivilegeexeclevel15telnetprivilegeexeclevel15rloginprivilegeexeclevel15showipaccess-listsprivilegeexeclevel15showaccess-listsprivilegeexeclevel15showloggingprivilegeexeclevel15sshprivilegeexeclevel1showip编号：安全要求-设备-通用-配置-14-可选要求内容设备应支持远程日志功能。所有设备日志均能通过远程日志功能传输到日志服务器。设备应支持至少一种通用的远程标准日志接口，如SYSLOG、FTP等。操作指南参考配置操作路由器侧配置：Router#configEnterconfigurationcommands,oneperline.EndwithCNTL/ZRouter(config)#loggingonRouter(config)#loggingtrapinformationRouter(config)#logging00Router(config)#loggingfacilitylocal6Router(config)#loggingsource-interfaceloopback0Router(config)#exitRouter#showloggingSysloglogging:enabled(0messagesdropped,11flushes,0overruns)Consolelogging:levelnotifications,35messagesloggedMonitorlogging:leveldebugging,35messagesloggedBufferlogging:levelinformational,31messagesloggedLoggingto00,28messagelineslogged..Router#补充操作说明Irouter00syslog启用日志记录日志级别设定“information”记录日志类型设定“local6”日志发送到00日志发送源是loopback0配置完成可以使用“showlogging”验证服务器侧配置参考如下：SyslogSyslog.conf#Saveroutermessagestorouters.loglocal6.debug/var/log/routers.log创建日志文件#touch/var/log/routers.logII. snmptEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#loggingtrapinformationRouter(config)#snmp-serverhost00trapspublicRouter(config)#snmp-servertrap-sourceloopback0Router(config)#snmp-serverenabletrapssyslogRouter(config)#exitRouter#检测方法1.判定条件SyslogloggingSNMPloggingenabled”LoggingtoIPIII. 2.检测操作showloggingRouter#showloggingSysloglogging:enabledConsolelogging:disabledMonitorlogging:leveldebugging,266messageslogged.Traplogging:levelinformational,266messageslogged.Loggingto38SNMPlogging:disabled,retransmissionafter30seconds0messagesloggedRouter#编号：安全要求-设备-通用-配置-16-可选要求内容TCP/UDPIPTCPUDPIP操作指南1．参考配置操作DNSaccess-list140permitudpanyhosteq53Router(config)#access-list140denyudpanyanylog/16DNSRouter(config)#access-list140permittcpany55Router(config)#access-list140denyipanyanylog2．补充操作说明访问控制列表命令格式：标准访问控制列表access-listlist-number{deny|permit}source[source-wildcard][log]扩展访问控制列表access-listlist-number{deny|permit}protocolsourcesource-wildcardsource-qualifiersdestinationdestination-wildcarddestination-qualifiers[log|log-input]检测方法1.判定条件acl；IPIPany2.检测操作showipaccess-list[access-list-number|name如下例：Router#showipaccess-listExtendedIPaccesslist101denyudpanyanyeqntppermittcpanyanypermitudpanyanyeqtftppermiticmpanyanypermitudpanyanyeqdomain编号：安全要求-设备-通用-配置-17-可选要求内容IPSSH操作指南1．参考配置操作router#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.router(config)#hostnameRouterRouter(config)#ipdomain-nameRouter.domain-name配置访问控制列表Router(config)#noaccess-listRouter(config)#access-list12permithost00Router(config)#linevty04Router(config-line)#access-class12inRouter(config-line)#exit配置账号和连接超时Router(config)#servicepassword-encryptionRouter(config)#usernamenormaluserpassword3d-zirc0niaRouter(config)#usernamenormaluserprivilege1Router(config)#linevty04Router(config-line)#loginlocalRouter(config-line)#exec-timeout50rsaRouter(config)#cryptokeygeneratersaThenameforthekeyswillbe:Router.domain-nameChoosethesizeofthekeymodulusintherangeof360to2048foryourGeneralPurposeKeys.Choosingakeymodulusgreaterthan512maytakeafewminutes.Howmanybitsinthemodulus[512]:2048GeneratingRSAKeys...[OK]sshsshRouter(config-line)#exitRouter(config)#2．补充操作说明配置描述：ssh00ssh配置远程访问里连接超时rsarsasshdrsasshdssh操作系统配置检查例：HP-UX系统编号：安全要求-设备-HP-UX-配置-1要求内容应按照不同的用户分配不同的账号，避免不同用户间共享账号，避免用户账号和设备间通信使用的账号共享。操作指南1、参考配置操作为用户创建账号：#useraddusername#创建账号#passwdusername#设置密码修改权限：#chmod750directory#其中755为设置的权限，可根据实际情况设置相应的权限，directory是要更改权限的目录)使用该命令为不同的用户分配不同的账号，设置不同的口令及权限信息等。2、补充操作说明检测方法1、判定条件能够登录成功并且可以进行常用操作；2、检测操作使用不同的账号进行登录并进行一些常用操作；3、补充说明编号：安全要求-设备-HP-UX-配置-2要求内容应删除或锁定与设备运行、维护等工作无关的账号。系统内存在不可删除的内置账号，包括root,bin等。操作指南1、参考配置操作删除用户：#userdelusername;锁定用户：修改/etc/shadowNP将/etc/passwdshell/bin/noshell3)#passwd-lusername只有具备超级用户权限的使用者方可使用，#passwdlusername#passwddusername2、补充操作说明需要锁定的用户：lp,nuucp,hpdb,www,demon。检测方法1、判定条件被删除或锁定的账号无法登录成功；2、检测操作使用删除或锁定的与工作无关的账号登录系统；3、补充说明需要锁定的用户：lp,nuucp,hpdb,www,demon。编号：安全要求-设备-HP-UX-配置-3要求内容限制具备超级管理员权限的用户远程登录。远程执行管理员权限操作，应先以普通权限用户远程登录后，再切换到超级管理员权限账号后执行相应操作。操作指南1、 参考配置操作编辑/etc/securetty，加上：console保存后退出，并限制其他用户对此文本的所有权限：chownroot:sys/etc/securettychmod600/etc/securettyroottelnetssh2、补充操作说明rootssh/etc/ssh/sshd_configPermitRootLoginyesPermitRootLoginno，重启sshd检测方法1、判定条件root远程登录不成功，提示“Notonsystemconsole”；普通用户可以登录成功，而且可以切换到root用户；2、检测操作root从远程使用telnet登录；telnetrootssh普通用户从远程使用ssh登录；3、补充说明限制rootssh/etc/ssh/sshd_configPermitRootLoginyesPermitRootLoginnosshd服务。编号：安全要求-设备-HP-UX-配置-4-可选要求内容根据系统要求及用户的业务需求，建立多帐户组，将用户账号分配到相应的帐户组。操作指南1、参考配置操作创建帐户组：#groupaddgGIDgroupnameGIDGIDGID#usermod–ggroupusername#将用户username分配到group组中。GID：#idusername可以根据实际需求使用如上命令进行设置。2、补充操作说明gGID0499binmail499。GID当grop_nmegropaddnewgrp命令进行更改，如#newgrpsyssys检测方法1、判定条件可以查看到用户账号分配到相应的帐户组中；或都通过命令检查账号是否属于应有的组：#idusername2、检测操作查看组文件：cat/etc/group3、补充说明文件中的格式说明：group_name::GID:user_list编号：安全要求-设备-HP-UX-配置-5-可选要求内容对系统账号进行登录限制，确保系统账号仅被守护进程和服务使用，不应直接由该账号登录系统。如果系统没有应用这些守护进程或服务，应删除这些账号。操作指南1、参考配置操作禁止账号交互式登录：foruserinwwwsyssmbnulliwwwowwwsshd\hpsmhnameduucpnuucpadmdaemonbinlp\nobodynoaccesshpdbuseradm;dopasswd–l"$user"/usr/sbin/usermod-s/bin/false"$user"if[["$(uname-r)"=B.10*]];then/usr/lbin/modprpw-w"*""$user"else/usr/lbin/modprpw-w"$user"fidone删除账号：#userdelusername;2、补充操作说明wwwsyssmbnulliwwwowwwsshdhpsmhnameduucpnuucpadmdaemonbinlpnobodynoaccesshpdbuseradm.检测方法1、判定条件被禁止账号交互式登录的帐户远程登录不成功；2、检测操作rootloginincorrectroot3、补充说明数据库配置检查例：oracle数据库ORACLE要求内容应按照用户分配账号，避免不同用户间共享账号。操作指南1、 参考配置操作createuserabc1identifiedbypassword1;createuserabc2identifiedbypassword2;建立role，并给role授权，把role赋给不同的用户2、 补充操作说明1abc1abc2检测方法3、 判定条件不同名称的用户可以连接数据库4、 检测操作connectabc1/password1连接数据库成功5、补充说明编号：安全要求-设备-ORACLE-配置-2-可选要求内容应删除或锁定与数据库运行、维护等工作无关的账号。操作指南1、 参考配置操作alteruserusernamelock;dropuserusernamecascade;2、 补充操作说明检测方法3、 判定条件首先锁定不需要的用户在经过一段时间后，确认该用户对业务确无影响的情况下，可以删除4、检测操作5、补充说明编号：安全要求-设备-ORACLE-配置-3要求内容限制具备数据库超级管理员（SYSDBA）权限的用户远程登录。（导致数据库重起后，无法打开数据库）操作指南1、参考配置操作spfileREMOTE_LOGIN_PASSWORDFILE=NONEsqlnet.oraSQLNET.AUTHENTICATION_SERVICES=NONESYSDBA2、补充操作说明检测方法3、判定条件Sql*NetSYSDBAsqlplus/assysdba’连接到数据库需要输入口令。4、检测操作Oraclesqlplus/assysdbasqlplusshowparameterNONE。ShowparameterREMOTE_LOGIN_PASSWORDFILE检查在$ORACLE_HOME/network/admin/sqlnet.oraNONE。5、补充说明编号：安全要求-设备-ORACLE-配置-8要求内容在数据库权限配置能力内，根据用户的业务需要，配置其所需的最小权限。操作指南1、参考配置操作grant权限tousername;revoke权限fromusername;2、补充操作说明用第一条命令给用户赋相应的最小权限用第二条命令收回用户多余的权限检测方法3、判定条件4、检测操作5、补充说明编号：安全要求-设备-ORACLE-配置-9要求内容使用数据库角色（ROLE）来管理对象的权限。操作指南1、参考配置操作CreateRoleGrantRole2、补充操作说明检测方法3、判定条件DBARoleDBAsqlplusdba_role_privs、dba_sys_privsdba_tab_privsROLE5、补充说明编号：安全要求-设备-ORACLE-配置-10-可选要求内容对用户的属性进行控制，包括密码策略、资源限制等。操作指南1、参考配置操作可通过下面类似命令来创建profile，并把它赋予一个用户CREATEPROFILEapp_user2LIMITFAILED_LOGIN_ATTEMPTS6PASSWORD_LIFE_TIME60PASSWORD_REUSE_TIME60PASSWORD_REUSE_MAX5PASSWORD_VERIFY_FUNCTIONverify_functionPASSWORD_LOCK_TIME1/24PASSWORD_GRACE_TIME90;ALTERUSERjdPROFILEapp_user2;2、补充操作说明检测方法3、判定条件profileprofileCPUDBAsqlplus查询视图dba_profilesdba_usresprofile编号：安全要求-设备-ORACLE-配置-13要求内容启用数据字典保护，只有SYSDBA用户才能访问数据字典基础表。操作指南1、参考配置操作SYSDBAO7_DICTIONARY_ACCESSIBILITY=FALSE2、补充操作说明检测方法3、判定条件以普通dba用户登陆到数据库，不能查看X$开头的表，比如：select*fromsys.x$ksppi;4、检测操作Oraclesqlplus/assysdbasqlplusshowparameterFALSE。ShowparameterO7_DICTIONARY_ACCESSIBILITY5、补充说明渗透测试（渗透测试报告的价值直接依赖于测试者的专业技能渗透测试目标扫描目标目标类型扫描方式扫描策略http://www.渗透目标.com/门户网站内网扫描主机漏洞扫描、Web漏洞扫描、弱密码漏洞扫描\hhttp://web.渗透目标.com/应用系统内网扫描主机漏洞扫描、Web漏洞扫描、弱密码漏洞扫描\hhttp://web2.应用系统内网扫描主机漏洞扫描、Web漏洞扫渗透目标.com/描、弱密码漏洞扫描\hhttp://web3.渗透目标.com/应用系统内网扫描测试主机漏洞扫描、Web漏洞扫描、弱密码漏洞扫描渗透测试工作标准依据如下标准实施渗透测试服务：GB/T18336-2001信息技术安全技术信息技术安全性评估准则。OSSTMM-Open-SourceSecurityTestingMethodologyManualISSAF-InformationSystemsSecurityAssessmentFrameworkOWASP-OpenWebApplicationSecurityProjectWASC-WebApplicationSecurityConsortium渗透测试前期准备客户书面同意确定渗透目标范围渗透测试时间范围此外客户可根据其对自身系统安全状态的了解情况为渗透测试者规定一个测试时间窗，要求渗透测试者在此时间窗内完成其渗透测试工作。IP确定渗透测试的人员风险规避措施渗透测试实施流程渗透测试流程：信息收集信息收集是指渗透实施前尽可能多地获取目标信息系统相关信息，例如网站注册信息、弱点分析获取权限对目标信息系统渗透成功，获取目标信息系统普通权限。权限提升采用的技术手段主要是通过网络层、系统层、应用层三个方面进行渗透测试。网络层安全针对该系统所在网络层进行网络拓扑的探测、路由测试、防火墙规则试探、规避测试、Vlan由于服务器系统和网络设备研发生产过程中所固有的安全隐患及系统管理员或网络管理员的疏忽，一般网络层安全漏洞包括以下安全威胁：明文保存密码由于管理员的疏忽，设备配置密码以明文的方式保存，这带来了一定的安全威胁。未配置登录超时AAA系统没有配置统一的AAA认证，这不便于权限的管理。ACL交换机没有配置管理IP的ACL，可导致任意地址访问设备，应该增加ACL进行限制。其他配置问题系统层安全版本过低（Apache版本过底，可能存在大量溢出漏洞）。远程溢出漏洞（使用者输入参数对所接收数据本地提权漏洞本地提权漏洞是指低权限、受限制的用户，可以提升到系统最高权限或比较大的权限，从而取得对网站服务器的控制权。弱口令权限过大权限过大是指某用户操作权限超出他本身安全操作权限范围之外，这存在一定的安全风险。高危服务/端口开放系统很多高危服务和端口会被默认开放，例如，80，443，843，80018010，其中8001~8010TCPUDPSSH、Telnet、X-windows、Rlogin、ms-rpc、SNMP、FTP、TFTPIPC$连接允许匿名IPC$连接，是一个远程登录功能，同时所有的逻辑盘(c$,d$,e$……)和系统目录winnt或windows(admin$)资源可共享，存在一定的安全风险。其他配置问题应用层安全SQLCSRFSQLSQLSQLSQL跨站脚本XSSCSS(CrossSiteScriptExecution)，是指服务器端的CGIHTMLWEBHTML表单绕过SQL上传漏洞上传漏洞是指网站开发者在开发时在上传页面中针对文件格式（asp、php）和文webshell文件包含已知木马PCPC敏感信息泄露WEBSQLSQL以下几个是比较典型的敏感信息泄露漏洞：源码信息泄露；……恶意代码解析漏洞远程代码执行漏洞（有时我们在用户认证只显示给用户认证过的任意文件读取系统开发过程中没有重视安全问题或使用不安全的第三方组件等，导致任意文件可读取，可导致入侵者获得数据库权限，并利用数据库提权进一步获得系统权限。目录遍历目录遍历是指由于程序中没有过滤用户输入的../和./之类的目录跳转符,导致攻击者通过提交目录跳转来遍历服务器上的任意文件。目录列出URL（URL跨站请求伪造（Cross-siterequestforgeryoneclickattacksessionridingCSRFXSRFXSSXSSCSRFXSS攻击相比，CSRF攻击往往不大流行（因此对其进行防范的资源也相当稀少）和难以防范，所以被认为比XSS更具危险性。弱口令不安全对象引用安全配置错误HTTP链接地址重定向（而某些程序在重定向的跳转过程中，对重定向的地址未进行必要的有效性和安全性检URL，而导致用户信息受损。跳转漏洞URLXSS后台管理会话管理会话管理主要是针对需授权的登录过程的一种管理方式，以用户密码验证为常见方式，通过对敏感用户登录区域的验证，可有效校验系统授权的安全性，测试包含以下部分：用户口令易猜解通过对表单认证、HTTP是否存在验证码防护是否存在易暴露的管理登录地址某些管理地址虽无外部链接可介入，但由于采用了容易猜解的地址（如：admin）而导致登录入口暴露，从而给外部恶意用户提供了可乘之机。是否提供了不恰当的验证错误信息HTTPFuzzingSession是否随机SessionSessionSession校验前后Session是否变更SessionSession会话存储是存储于客户端本地（cookie）还是存储于服务端（Session无效验证码目标系统管理入口（或数据库外部连接）存在缺少验证码，攻击者可利用弱口令漏洞，漏洞分级根据漏洞危害程度将漏洞等级分为高危、中危、低危三个级别：高危：漏洞很明显，容易被利用，黑客通过该漏洞可获取完全验证权限，执行管理中危该漏洞需通过深入挖掘发现，攻击者利用该漏洞可获得敏感信息，影响到部分用户，同时攻击者在一定时间内可重复攻击。低危：该漏洞发现困难，利用难度大，重复攻击难，危害影响小。系统备份与恢复措施网络应用系统类：对网络应用服务系统及其配置、用户信息、数据库等进行备份。网络设备类：对网络设备的配置文件进行备份。桌面系统类：备份用户信息，用户文档，电子邮件等信息资料。渗透测试风险交付交付成果报告列表：《渗透测试报告》渗透测试结果安全加固方案web安全专家针对源代码、页面以及网站中存在的安全漏洞，进行点对点安全修复与加固。安全加固风险与控制措施安全加固和优化服务存在以下安全风险：安全加固过程中的误操作；安全加固后造成业务服务性能下降、服务中断；厂家提供的加固补丁和工具可能存在新的漏洞，带来新的风险；我们将采取以下措施，控制和避免上述风险：严格审核安全加固的流程和规范；严格审核安全加固的各子项内容和加固操作方法、步骤，实施前进行统一的培训；严格员工工作纪律和操作规范，实施前进行统一的培训；制订意外事件的紧急处理和恢复流程；收集系统信息做好备份工作webweb复查配置对加固后的系统，全部复查一次所作加固内容，确保正确无误。应急恢复业务系统威胁业务安全业务安全测试内容身份认证安全sessioncookie暴力破解burpsuitesessioncookiesessionsessionIDIDsessionidCookiecooikiecookiecookie加密测试https业务一致性安全用户信息篡改订单/用户/IDIDID（加减一）能够查看其它用户的订单信息、或者IDID业务数据篡改测试业务数据的篡改常见于在商品的数量价格方面进行绕过篡改，造成经济损失。金额数据修改商品数量修改jsJavascriptJavascript用户输入合规性XSSFUZZ密码找回测试密码是用户的重要身份凭证之一，在测试用户密码时一般流程：首先尝试正常密码找回流程，选择不同找回方式，记录所有数据包；分析数据包，找到敏感部分；分析后台找回机制所采用的验证手段；修改数据包验证推测。验证码绕过测试验证码不单单在登录、找密码应用，提交敏感数据的地方也有类似应用，故单独分类，并进一步详情说明。burpsuite验证码时间、次数测试：抓取携带验证码的数据包不断重复提交，例如：在投诉建验证码客户端回显测试：当客户端有需要和服务器进行交互，发送验证码时，即可使用浏览器调试功能就可看到客户端与服务器进行交互的详细信息；验证码绕过测试：当第一步向第二步跳转时，抓取数据包，对验证码进行篡改清空测试，验证该步骤验证码是否可以绕过；jsjs未授权访问非授权访问是指用户在没有通过认证授权的情况下能够直接访问需要通过认证才能访越权访问垂直越权：垂直越权是指使用权限低的用户可以访问权限较高的用户；水平越权：水平越权是指相同权限的不同用户可以互相访问。业务流程安全ABCDBDCCC重放攻击（（重放（重放后被多次生成有效的业务或数据结果，可以造成恶意注册、短信炸弹等漏洞。业务安全检测业务安全检测准备2burpsuiteFiddlerFirefox+hackbarcookiemanagerpython等安全工具。业务安全检测方案恶意注册验证码绕过6burpsuite密码找回重置短信验证码越权访问常见于任意修改用户用户名密码资料、用户银行账号信息、用户购买商品信息等。任意修改用户资料BBABBAURLAB任意查询修改用户数据uid输入数据合规性SQLSQLXSS业务流程绕过服务接口测试通过测试服务接口的功能来验证是否存在用户可控的信息。安全测试结果输出通过以上一系列的针对业务的检测手段，可以快速发掘定位业务系统中存在的安全漏网络安全架构分析网络安全风险分析网络结构存在单点故障，设备性能不足以支撑业务系统需求等原因造成网络堵塞，业务丢包率较高。由于网络互连引起越权访问、恶意攻击、病毒入侵等原因，使得网络边界存在安全隐患。缺乏必要的身份鉴别、安全防范、安全审计等技术手段，容易造成设备的无权限访问和恶意更改设备参数。缺乏必要的网络安全检测、主动防御设备，使得恶意攻击、非法访问、网络病毒、DOS（拒绝服务）/DDOS主机安全风险分析WindowsLinux都可能存在安全漏洞，影响主机运行安全的风险主要有：缺乏必要的身份鉴别、安全审计等手段，容易造成设备的无权限访问和恶意更改设备参数。系统中残存有未及时删除的过期账号、测试账号、共享账号、默认用户等可非法入侵的账户信息。病毒入侵导致信息泄漏、文件丢失、机器死机等不安全因素。应用安全风险分析用户账号被非法使用，冒用他人身份非法访问信息系统，导致数据被非法窃取、非授权访问、恶意篡改等非法操作。应用软件存在漏洞或在开发过程中存在后门，为黑客留下入侵的可操作性；同时软数据安全及备份恢复在数据传输过程中无法检测用户数据和重要业务数据等在传输过程中是否受到破坏或因关键数据未及时备份，在主节点遭到破坏后无法及时进行数据恢复。5）管理安全风险分析责权不明、管理混乱、没有相应的安全管理组织，缺少安全管理人员编制，安全管理组织不健全会造成上下级管理混乱，遇到突发情况时无法及时有效地进行应急响应。人员安全意识淡薄，在日常工作中无意泄露系统口令、随意放置操作员卡、私接外网、非法拷贝系统信息、私自安装/卸载程序、违规操作、擅离岗位等均会造成安全隐患。人员分工和职责不明，缺乏必要的监督、约束、奖罚制度等造成的潜在管理风险。专项安全检查webshellwebwebshellWebshellwebwebwebshell（webshellwebphp、asp、aspx、jspwebshellwebshellPHPwebshellASP/ASPXwebshell:JSP/JSPXwebshell:webWebwebIP，useragentApache日志格式:IIS日志格式例：日志汇总wvs扫描特征：系统登录日志专项检查通过对系统日志进行分析，可以对登录时间、登录IP进行判定，查找出可疑的登录行为。LINUX日志示例：Windows登录检测：安全管理咨询3-5制定安全策略，并根据策略完善相关制度体系；建立信息安全管理体系（ISMS），提升总体安全管理水平；IS27000ISMS建立安全运维管理体系；结合信息安全整体规划进行实施；结合安全域划分进行实施；结合等级保护相关内容进行实施。安全管理方针和目标信息安全管理方法ISO/IEC27001:2005PDCA建立健全信息安全管理体系的过程模式如下图所示。信息安全管理体系的建立、实施、运作、监视、评审、保持和改进的策划活动包括：1、信息安全管理体系的策划与准备。策划与准备阶段主要是做好建立信息安全管理体系的各种前期工作。内容包括教育培训、拟定计划、信息安全管理现状调查与风险评估，及信息安全管理体系设计。2、信息安全管理体系文件的编制。为实现风险控制、评价和改进信息安全管理体系、实现持续改进提供不可或缺的依据。3、信息安全管理体系运行。信息安全管理体系文件编制完成以后，按照文件的控制要求进行审核与批准并发布实4、信息安全管理体系审核与评审。ISMS根据ISO/IEC27001:2005的要求，按以下步骤建立ISMS：ISMSISMS定义适用于行业的风险评估方法；识别信息系统涉及的资产面临的各种风险；对各种风险加以评估，判断风险是否可以接受或需要进行必要的处置；选择风险处置的控制目标和控制方式；根据行业的信息安全方针，处置不可接受的风险。管理层批准可接受的残留风险；ISMS；ISMS在信息安全管理体系文件编制完成以后，分成两个阶段来实施并运作ISMS：公布风险处置计划；实施风险处置计划以达到确定的控制目标；评估控制措施的有效性；对员工进行培训。PDCAISMSISMS实施程序及其他控制以及时检测、响应安全事故。ISMS执行监视程序和其它控制；及时检测过程、结果中的错误；及时识别失败的或成功的安全违规和事故；决定反映业务优先级的安全违规的解决措施。ISMS评审残留风险和可接受风险的等级考虑以下方面的变化：组织结构变化技术变革更新业务目标和过程已识别的威胁外部事件如法律法规环境的变化、社会风气的变化ISMSISMSISMSISMSISMS训；沟通结果和措施并与所有相关方达成一致；确保改进活动达到了预期的目的。信息安全管理体系控制域ISO/IEC27001:2005《信息安全管理体系》，和行业管1111安全策略为信息安全提供管理指导和支持，并与业务要求和相关的法律法规保持一致。安全组织资产管理通过及时更新的信息资产目录对信息资产进行适当的保护。人力资源安全物理环境安全防止对工作场所和信息的非法访问、破坏和干扰。通讯操作安全确保信息处理设施的正确和安全操作。访问控制控制对行业内所有信息的访问行为。信息系统的获取、开发和维护确保安全始终成为信息系统在不同生命周期之中的一部分。信息安全事件管理确保与信息系统有关的安全事件和弱点的报告，以便及时采取纠正措施。业务连续性管理符合性管理避免违反法律、法规、规章、合同要求和其它安全要求。ISMSISO27001ISMSISO27001范围信息安全管理体系建设和落实、培训等内容。1ISO27001协助客户进行信息安全管理体系进行发布、宣贯和培训；面向试点单位各层面宣贯本次服务项目的成果，确保安全管理流程的落实和执行。2培训内容应包括：ISMSISMS27001调研和风险管理1、管理体系范围确定ISMS确定的范围具体一般包括：业务、部门、应用系统范围信息资产（如硬件、软件、数据）人员（如项目组成员及联系方式）环境（如建筑、设备物理位置）活动（如对资产进行的操作、相关的权限等）IP（IP）工作方法：实地考察、安全顾问访谈、协调会议讨论。2调研内容包括但不限于：现有的安全政策、规范和文件安全管理组织结构及人员配置人员知识、技能和意识情况现有安全控制措施的设置和部署、运维情况现有的技术支撑设施情况绩效考核KPI现有安全管理流程、规范的开展、落实情况现有安全管理流程、规范的实施效果来自业务、法律法规方面的安全需求曾发生的信息安全事件工作方法：文档审查、安全顾问访谈。3、流程梳理工作方法：文档审查、安全顾问访谈。4、ISO27001差距分析ISO27001ISO270011139133工作方法：团队讨论、统计分析。5、风险评估ISMSIT（ISMS1、适用性声明ISO27001工作方法：安全顾问访谈、协调会议讨论。2、总体设计ISO27001ISO27002ISMS工作方法：协调会议讨论。3、总体安全方针建设ISO27001A5ISMS工作方法：安全顾问访谈、协调会议讨论。4、信息安全策略体系建设ISO27001工作方法：协调会议讨论。5、管理制度、规范及流程建设（IT工作方法：意见征集、协调会议讨论。6、审计与考核体系建设工作方法：意见征集、协调会议讨论。7、信息安全组织体系建设ISO27001（不仅仅是从事安全管理和业务的人员工作方法：协调会议讨论。ISMS1、体系分发与宣贯ISMS工作方法：协调会议讨论、培训。2、制度试用工作内容：ISMS工作方法：现场测试。3、巡检和审计工作内容：安保公司定期对不同角色的不同安全管理流程、规范的执行情况进行检查，通过查看相关流程遵循情况、表单记录情况。工作方法：穿行测试、问卷调查、顾问访谈。4ISMSISMS工作方法：安全顾问访谈、管理问卷调查、实地考察等。现有信息安全管理制度体系分析安保公司将汇总客户现有的信息科技风险管理工作制度文档并进行分析，整理制度名录，给出框架图，并进行总体分析。在此基础之上，对现有制度进行分析评估，包括：现有制度与监管要求之间的差异。客户信息科技风险管理现状与现有制度之间的差异，即执行落实的状况。客户信息科技风险管理现状与监管要求之间的差距。基于标准的信息安全管理体系设计安保公司将按照四级的结构为客户建立信息安全管理策略与制度体系。一级文件二级文件三级文件四级文件信息安全管理制度文档体系（文件类型级别文件名称信息安全管理体系一级信息安全方针、目标信息安全管理范围信息安全管理适用性说明信息安全管理文件说明二级信息安全管理内审与改进规定信息安全管理管理评审规定信息安全管理文件管理规定信息安全管理记录管理规定信息资产风险评估管理规定四级纠正和预防措施处理表格信息安全管理内部稽审方案内审检查表内部稽审报告不符合项报告管理评审计划部门管理评审报告管理评审报告会议签到表信息安全管理文件清单外来信息安全管理文件清单信息安全管理文件发放回收记录信息安全管理文件修改申请单信息安全管理记录借阅登记表信息安全管理记录处理审批表信息安全管理记录清单信息安全管理风险评估参数量化标准资产风险评估表样例信息安全管理信息资产登记表信息安全管理资产风险评估表信息安全管理信息资产风险评估更新记录信息安全组织三级信息安全组织架构、职责描述、实施规范资产管理三级信息资产管理规定信息资产敏感性标识实施细则四级信息介质安全报废申请表人力资源安全三级人力资源安全管理规定工作人员变动管理办法人员信息安全守则信息安全量化记分管理细则第三方和外包人员安全管理细则四级人员保密协议信息安全责任书(即领导的安全承诺书)员工信息安全承诺书外部人员信息安全承诺书(新增）信息安全违规行为基础分值表信息安全违规行为记录表物理与环境安全三级物理与环境安全管理规定物理安全区域管理细则机房管理办法物理安全区域标识实施细则四级来访人员登记表机房出入申请表机房出入登记表机房安全巡检登记表通讯与操作管理三级通信与操作管理规定计算机病毒防治管理办法数据备份管理办法IP备份存储介质管理细则移动存储介质管理办法电子邮件管理细则信息存储介质数据安全清除管理细则网络日常安全监控管理规定系统安全补丁管理办法信息系统变更和发布管理办法IT办公电脑安全管理办法四级应用系统变更审查表备份数据恢复需求登记表数据备份需求登记表移动存储介质登记表信息存储介质数据清除申请表访问控制三级访问控制管理规定用户账户及口令管理办法四级重要系统关键用户权限及口令季度审查表信息系统获取、开发及维护三级系统开发过程安全管理办法软件开发安全基本原则四级系统外包信息保密及不披露协议信息安全事故管理三级信息安全事件管理规定四级信息安全事件报告信息安全事件登记表业务连续性管理三级业务连续性计划开发程序及框架客户信息系统应急预案四级信息技术应急组织人员名单信息系统事故分类和分级对照表信息系统事故报告政策表信息安全突发事件实时报告表信息安全事故处理报告信息应急预案启动表信息系统应急演练记录表信息系统应急恢复策略与操作步骤汇编符合性管理规定三级信息安全检查细则信息安全法律法规清单外购软件清单符合性授权软件清单四级信息安全检查计划信息安全检查表信息安全检查报告信息安全策略以下安全策略作为抛砖引玉，将根据客户实际情况进行制定。信息安全组织策略策略目标：策略内容：应建立专门的信息安全组织体系，以管理信息安全事务，指导信息安全实践。策略描述：（包括相关权威人士策略二：管理外部组织对信息资产的访问策略目标：确保被外部组织访问的信息资产得到了安全保护。策略内容：策略说明：资产管理策略策略目标：对本行的信息资产建立责任，为实施适当保护奠定基础。策略内容：策略说明：策略目标：通过对信息资产的分类，明确其可以得到适当程度的保护策略内容：应按照信息资产的价值、对组织的敏感程度和关键程度进行分类和进行标识。策略描述：信息的分类及相关保护控制要考虑到共享或限制信息的业务需求以及与这种需求相关人力资源安全策略策略一：人员聘用前的管理策略目标：策略内容：策略说明：第三方人员主要有：借调或借用外部人员以及其他外部服务人员等。策略二：人员聘用中的管理策略目标：策略内容：策略说明：策略三：聘用的中止与变更策略目标：策略内容：策略说明：当资产的访问权和使用权发生变更及运行发生变化时，要及时通知各相关方。物理环境安全策略策略目标：防止对本行的工作场所和信息的非授权物理访问、损坏和干扰。策略内容：重要的或敏感的信息处理设施要放置在安全区域内，建立适当的安全屏障和入口控制，策略说明：可以通过在边界和信息处理设施周围设置一个或多个物理屏障来实现对安全区域的物策略目标：应保护设备免受物理的和环境的威胁。策略内容：防止设备的丢失、损坏、失窃或危及资产安全以及造成本行活动的中断。策略说明：（包括离开本行使用和财产移动的保护是减少未授权访问信息的风险和防止丢（/通风和空调及考虑采取措施保证电源布缆和通信布缆免受窃听或损坏。通讯操作安全策略策略目标：策略内容：应当为所有的信息处理设施建立必要的管理和操作的职责及程序。策略说明：策略二：管理第三方服务策略目标：策略内容：策略说明：策略目标：策略内容：策略说明：（策略目标：保持信息和信息处理设施的完整性及可用性。策略内容：应按照已设的备份策略，定期对本行的重要信息和软件进行备份，并进行恢复测试。策略说明：应提供足够的备份设施，以确保所有必要的信息和软件能在灾难或介质故障后进行恢策略目标：确保网络中的信息和支持性基础设施得到保护。策略内容：策略说明：策略六：对存储介质的处理策略目标：策略内容：组织应当对存储介质的使用、移动、保管及处置等操作进行有效管理。策略说明：CDDVD策略七：系统监测策略目标：检测未经授权的信息处理活动。策略内容：策略说明：访问控制策略策略目标：确保只有授权用户才能访问系统，预防对信息系统的非授权访问。策略内容：应建立正式的程序，来控制对信息系统和服务的用户访问权的分配。策略说明：访问控制程序应涵盖用户访问生命周期内的各个阶段，从新用户初始注册、日常使用，策略目标：策略内容：策略说明：策略目标：策略内容：策略说明：策略目标：策略内容：策略说明：策略目标：在使用移动计算和远程工作设施时，确保信息的安全。策略内容：策略说明：信息系统的获取、开发和维护策略策略目标：确保将安全作为信息系统建设的重要组成部分。策略内容：应用系统的所有安全需求都需要在项目需求分析阶段被确认，并且作