网络与信息安全管理中心安全值守技术方案

1技术建议书1.1服务方案1.1.1项目概况近几年来，信息安全的重要性逐步得到了各行业的广泛关注，国家相关部门也出台了多项政策、法规和标准，用以指导各行业的信息安全建设。由于信息安全相关的标准和法规相对抽象，加之信安中心承担了管理和生产职能，在突发事件处置等方面人员储备不足，受限于人员配置和资源问题，部分安全工作需要大量安全工具及专人参与。为保障中国公司结合自身情况制定长期、系统、有效的安全建设规划，提出驻场服务的需求。1.1.2建设目标1、为安全工作开展提供高质量的安全保障服务。2、在发生网络调整，系统升级扩容，新系统上线等变更时，进行评估，给出明确的、可实施的安全建议及建设规划，配合相关安全工作开展。3、在日常工作中，协助安全人员开展定期的自查评估工作，设备或系统上线时，实施上线前的安全评估和反馈相关的制度、规范和流程的落实情况。4、保障日常工作中的网络安全。5、应急响应及安全事件分析。6、开展安全培训工作，提升相关人员的安全专业水平。7、对重要系统（网络安全整合平台）进行协助运维和推广。2/1061.1.3服务方法本次安全值守服务项目我们提供以下服务方法：1.1.3.1日常安全工作常态化漏洞扫描，弱口令检查，web业务系统渗透测试及相关文档、总结撰写定期安全检查：全网扫描（范围）。根据目标主机数量制定扫描计划，每个月能保证至少完成一次对全部维护对象的安全扫描工作。出具安全扫描结果并和维护人员进行面对面沟通确认，督促维护人员进行整改和加固，加固结束后进行再次复查并出具复查报告，对于不能加固的漏洞提供安全解决建议。系统上线安全检查：对于新的业务系统上线前，值守人员配合完成上线设备的安全检查工作，安全检查包含以下几项工作：远程安全扫描通过使用现有远程安全评估系统对上线设备进行扫描，确保没有高、中等级的安全问题，对于低等级的安全问题，应确保该问题不会泄露设备敏感信息本地安全检查配合安全加固的checklist对上线设备进行检查，以确保上线设备已进行了必要的安全设置注：若已制定相关的安全准入规范，将使用提供的checklist替代的checklist远程渗透测试对复杂的应用系统，如：WEB系统，根据需求进远程渗透测试1.1.3.1.1渗透测试概述渗透测试（PenetrationTest）是指是从一个攻击者的角度来检查和审核一个网络系统的安全性的过程。通常由安全工程师尽可能完整地模拟黑客使用的漏洞发现技术和攻击手段，对目标网络/系统/主机/应用的安全性作深入的探测，发现系统最脆弱的环节。渗3/106透测试能够直观的让管理人员知道自己网络所面临的问题。作为一种专业的安全服务，类似于军队里的“实战演习”或者“沙盘推演”的概念，通过实战和推演，让清晰了解目前网络的脆弱性、可能造成的影响，以便采取必要的防范措施。1.1.3.1.2渗透测试意义从渗透测试中，客户能够得到的收益至少有：协助发现组织中的安全短板一次渗透测试过程也就是一次黑客入侵实例，其中所利用到的攻击渗透方法，也是其它具备相关技能的攻击者所最可能利用到的方法；由渗透测试结果所暴露出来的问题，往往也是一个企业或组织中的安全最短木板，结合这些暴露出来的弱点和问题，可以协助企业有效的了解目前降低风险的最迫切任务，使在信息安全方面的有限投入可以得到最大的回报。作为信息安全状况方面的具体证据和真实案例渗透测试的结果可以作为向投资方或管理人员提供的信息安全状况方面的具体证据，一份文档齐全有效的渗透测试报告有助于IT组织管理者以案例的形式向相关人员直观展示目前企业或组织的安全现状，从而增强员工对信息安全的认知程度，提高相关人员的安全意识及素养，甚至提高组织在安全方面的预算。发现系统或组织里逻辑性更强、更深层次的弱点渗透测试和工具扫描可以很好的互相补充。工具扫描具有很好的效率和速度，但是存在一定的误报率和漏报率，并且不能发现高层次、复杂、并且相互关联的安全问题；渗透测试的价值直接依赖于实施者的专业技能和素养但是非常准确，可以发现系统和组织里逻辑性更强、更深层次的弱点。从整体上把握组织或企业的信息安全现状信息安全是一个整体工程，一个完整和成功的渗透测试案例可能会涉及系统或组织中的多个部门、人员或对象，有助于组织中的所有成员意识到自己所在岗位对系统整体安全的影响，进而采取措施降低因为自身的原因造成的风险，有助于内部安全的提升。4/1061.1.3.1.3渗透测试步骤渗透测试实际就是一个模拟黑客攻击的过程，因此其的实施过程也类似于一次完整的黑客攻击过程，我们将其划分为如下几个阶段：预攻击阶段（寻找渗透突破口）攻击阶段（获取目标权限）后攻击阶段（扩大攻击渗透成果）如下图：1.1.3.1.3.1预攻击阶段预攻击阶段主要是为了收集获取信息，从中发现突破口，进行进一步攻击决策。主要包括网络信息，如网络拓补、IP及域名分布、网络状态等服务器信息，如OS信息、端口及服务信息、应用系统情况等漏洞信息，如跟踪最新漏洞发布、漏洞的利用方法等其利用到的方法及工具主要有：网络配置、状态，服务器信息PingTracerouteNslookupwhoisFingerNbtstat其它相关信息（如WEB服务器信息，服务器管理员信息等）google、yahoo、baidu等搜索引擎获取目标信息5/106企业组织名称、个人姓名、电话、生日、身份证号码、电子邮件等等……（网站、论坛、社交工程欺骗）常规扫描及漏洞发现确认NMAP端口扫描及指纹识别利用各种扫描工具进行漏洞扫描（ISS、Nessus等）采用FWtester、hping3等工具进行防火墙规则探测采用SolarWind对网络设备等进行发现采用nikto、webinspect等软件对web常见漏洞进行扫描采用如AppDetectiv之类的商用软件对数据库进行扫描分析应用分析（web及数据库应用）采用WebProxy、SPIKEProxy、webscarab、ParosProxy、Absinthe等工具进行分析对Web服务进行分析检测用webscan、fuzzer进行SQL注入和XSS漏洞初步分析某些特定应用或程序的漏洞的手工验证检测（如sql注入、某些论坛网站的上传漏洞、验证漏洞，某些特定软件的溢出漏洞等）采用类似OScanner的工具对数据库进行分析用Ethereal抓包协助分析1.1.3.1.3.2攻击阶段攻击阶段是渗透测试的实际实施阶段，在这一阶段根据前面得到的信息对目标进行攻击尝试，尝试获取目标的一定权限。在这一阶段，主要会用到以下技术或工具：账号口令猜解口令是信息安全里永恒的主题，在以往的渗透测试项目中，通过账号口令问题获取权限者不在少数。有用的账号口令除了系统账号如UNIX账号、Windows账号外，还包括一些数据库账号、WWW账号、FTP账号、MAIL账号、SNMP账号、CVS账号以及一些其它应用或者服务的账号口令。尤其是各个系统或者是应用服务的一些默认账号口令和弱口令账号。大多综合性的扫描工具都有相应的弱口令审核模块，此外，也可以采用Brutus、Hydra、溯雪等比较专业的账号猜解工具。6/106缓冲区溢出攻击针对具体的溢出漏洞，可以采用各种公开及私有的缓冲区溢出程序代码进行攻击，如下图：基于应用服务的攻击基于web、数据库或特定的B/S或C/S结构的网络应用程序存在的弱点进行攻击，常见的如SQL注入攻击、跨站脚本攻击、一些特定网站论坛系统的上传漏洞、下载漏洞、物理路径暴露、重要文件暴露等均属于这一类型，特定的对象及其漏洞有其特定的利用方法，这里就不一一举例。1.1.3.1.3.3后攻击阶段后攻击阶段主要是在达到一定的攻击效果后，隐藏和清除自己的入侵痕迹，并利用现有条件进一步进行渗透，扩大入侵成果，获取敏感信息及资源，长期的维持一定权限。这一阶段，一般主要进行3个工作：1）植入后门木或者键盘记录工具等，获得对对象的再一次的控制权在真实的黑客入侵事件中，这一步往往还要进行入侵行为的隐藏比如清楚日志、隐藏后门木马服务、修补对象漏洞以防止他人利用等，但在渗透测试实例中却不需要如此，往往需要保留对象相应的日志记录，可以作为渗透测试的相关证据和参考信息。2）获得对象的完全权限7/106这一步主要以破解系统的管理员权限账号为主，有许多著名的口令破解软件，如L0phtCrack、JohntheRipper、Cain等可以帮助我们实现该任务。3）利用已有条件，进行更深入的入侵渗透测试在成功获取某个对象的一定权限后，就可以利用该成果，以此对象为跳板，进行进一步的入侵渗透。在这一步会重复预攻击阶段和攻击阶段的那些操作，因为前提条件的变化，可能实现许多先前不可能实现的渗透任务。此外，还这个阶段，还有一些有用的攻击方法也是比较有效的，比如Sniffer嗅探、跳板攻击、IP欺骗、ARP欺骗与MITM(中间人)攻击等，都可以帮我们实现某些特定渗透结果。1.1.3.1.4渗透测试流程渗透测试与安全风险评估、安全加固等安全服务一样，在具体实施中都有可能带来一些负面风险，因此一个严格的有效的实施流程是保证渗透测试正常实施的关键，安全渗透测试服务严格遵循以下的项目实施流程：8/1061.1.3.1.4.1制定方案并获得授权合法性即客户书面授权委托并同意实施方案，这是进行渗透测试的必要条件。渗透测试首先必须将实施方法、实施时间、实施人员、实施工具等具体的实施方案提交给客户，并得到客户的书面委托和授权。实施方案大致包括下面几方面的内容：项目基本情况及目标介绍渗透测试实施方案及计划渗透测试成果的审核确认应该做到客户对渗透测试所有细节和风险的知晓、所有过程都在客户的控制下进行，这也是专业渗透测试服务与黑客攻击入侵的本质不同。9/1061.1.3.1.4.2信息收集分析信息收集是每一步渗透攻击的前提，通过信息收集寻找渗透测试的突破口并细化渗透测试方案，有针对性地制定模拟攻击测试计划。信息收集主要涉及如下内容：域名及IP分布网络拓补、设备及操作系统OS端口及服务情况应用系统情况最新漏洞情况其它信息（如服务器管理员的相关信息等）1.1.3.1.4.3渗透测试方案细化根据预攻击阶段信息收集的结果，对渗透测试方案进行细化，主要是具体漏洞细节及针对这些漏洞的可能采用的测试手段，详细时间安排，以及可能带来的风险，需要客户配合或关注的地方等。方案细化后再次知会客户并取得客户同意授权才能进行下一步操作。1.1.3.1.4.4渗透测试的实施在取得客户同意后，开始具体的实施过程，包括如下几方面内容：获得目标系统权限后门木马植入，保持控制权跳板渗透，进一步扩展攻击成果获取敏感信息数据或资源在实施过程中，特别提请注意的是采取的渗透测试技术及手段一定不能导致对象的业务中断和工作异常，必须对对象的状态进行实时监控，必要的情况下可以要求客户协助进行。10/1061.1.3.1.5渗透测试报告渗透测试之后，针对每个系统需要向客户提供一份渗透测试报告《相关系统网络渗透测试报告》，报告十分详细的说明渗透测试过程中的得到的数据和信息，并且将会详细的纪录整个渗透测试的全部操作。渗透测试报告应包含如下内容：渗透结论包括目标系统的安全状况、存在的问题、渗透测试的结果等渗透测试项目的介绍包括项目情况、时间、参与人员、操作地点等渗透测试过程包括渗透测试的各个实施阶段中的方法、工具、技术及其操作细节等渗透测试的证据渗透测试的一些过程及证明文件解决方案针对渗透测试中发现的问题给出对应的解决办法和建议附录部分渗透测试中的一些其它相关内容，如异常事件的记录和处理等1.1.3.2三同步工作包括网络部、业务支撑与信息部，兼顾全部区公司新上线系统基线达标检查，新上线设备安全配置核查，各域新业务上线安全检查。1.1.3.2.1新业务上线安全检查目标在新业务上线前，对相关的IT