《某集团风险评估项目技术建议书.docx》由会员分享,可在线阅读,更多相关《某集团风险评估项目技术建议书.docx(50页珍藏版)》请在课桌文档上搜索。
1、某集团风险评估项目技术建议书XXXX集团风险评估项目技术建议书二。一四年八月第1章项目方案设计11.1. 设计目标11.2. 设计原则11.3. 设计根据21.3.1. 政策根据.21.3.2. 标准根据.31.4. 方法模型31.4.1. 风险关系模型.31.4.2. 风险分析方法模型.51.5. 工具方法61.5.1. 风险评估使用方法.61.5.2. 风险评估使用工具6第2章项目实施流程72.1. 阶段1:项目启动阶段72.1.1. 阶段目标.72.1.2. 阶段步骤.82.1.3. 阶段输出.82.1. 阶段2:资产评估阶段92.1.1. 阶段目标.92.1.2. 阶段步骤.92.1.
2、3. 阶段方法.92.1.4. 阶段输出.102.2. 阶段3:威胁评估102.2.1. 阶段目标.102.2.2. 阶段步骤.102.3. 阶段4:脆弱性评估122.3.1. 阶段目标.122.3.2. 实施步骤.122.3.3. 己有安全措施识别.162.3.4. 阶段输出.162.4. 阶段5:风险综合分析172.5. 1.阶段目标.282.5.1. 阶段步骤.282.5.2. 阶段输出302.6. 阶段6:风险处置计划312.7. 阶段7:项目交付312.7.1. 成果交付.312.7.2. 项目验收.32第3章项目管理323.1. 组织管理333.2. 范围管理343.2.1. 范围
3、定义343.2.2. 范围变更操纵343.3. 进度管理353.4. 风险管理363.5. 质量管理363.5. L项目实施负责人质量操纵363.5.2. 项目经理质量操纵363.5.3. 质量管理质量操纵363.6. 沟通管理373.6.2. 协调沟通机制基本准则.373.6.3. 沟通计划.373.9.保密管理39第4章人员安排39第5章项目计划错误!未定义书签。5.1.总体计划错误!未定义书签。第6章客户收益42第7章成果交付一览表44第8章成功案例错误!未定义书签。8.1. 重点案例列表.8.2. 重点案例简介.8.2.1. 金融案例.8.2.2. 电信案例.8.2.3. 能源案例.8
4、.2.4. 政府案例.错误!未定义书签。错误!未定义书签。错误!未定义书签。错误!未定义书签。错误!未定义书签。错误!未定义书签。第9章公司优势9.1. 公司简介9.2. 公司资质错误!未定义书签。错误!未定义书签C错误!未定义书签C第1章项目方案设计设计目标本次风险评估的安全服务项目要紧目标是:令通过风险评估,得到XXXX集团的整体安全现状;令通过资产评估,得到XXXX集团的网络信息安全资产状况,并录入资产库,进行资产梳理;令通过威胁评估,得到XXXX集团存在的安全威胁情况;令通过脆弱性评估,得到XXXX集团当前业务系统存在的脆弱性;令对各个业务系统进行综合风险分析,得到风险情况,提出分系统
5、的安全解决方案;令提出各个系统的风险处置解决方案。设计原则1 .标准性原则遵循国家、行业与组织有关标准开展风险评估工作。2 .可控性原则在项目建设与实施过程中,应保证参与实施的人员、使用的技术与工具、过程都是可控的。3 .完整性原则项目方案要充分考虑项目所有环节,做到统筹兼顾,细节清晰。4 .最小影响原则项目的所有阶段,保证项目实施过程工作对系统正常运行的可能影响降低到最低限度,不可能对客户目前的业务系统运行造成明显的影响。5 .保密原则项目的所有阶段,将严格遵循保密原则,服务过程中涉及到的任何用户信息均属保密信息,不得泄露给第三方单位或者个人,不得利用这些信息损害用户利益。并与XXXX集团签
6、订保密协议,承诺未经同意不向其他任何第三方泄露有关信息系统的信息。设计根据本方案设计要紧参照下列政策与标准进行设计。1.1.1. 政策根据表格1有关策略时间有关政策文件2003年/国家信息化领导小组关于加强信息安全保障工作的意见(中办发27号文),提出“要重视信息安全风险评估工作,对网络与信息系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估”。2004年/为贯彻落实27号文件精神,原国信办组织有关单位与专家编写了信息安全风险评估指南。2005年/国务院信息化工作办公室关于印发信息安全风险评估试点工作方案的通知(国信办【2005】5号),组织在北京、上海、黑龙江、云南等地方与银行、税务、电力
7、等重要行业开展信息安全风险评估试点工作。2006年/由国家网络与信息安全协调小组讨论通过的关于开展信息安全风险评估工作的意见(国信办20065号),文件要求三年内在国家基础信息网络与重要行业信息系统中普遍推行信息安全风险评估工作。/中共中央办公厅国务院办公厅关于印发2006-2020年国家信息化进展战略的通知(中办200611号文)提出加强信息安全风险评估工作。2007年/为保隙十七大,在国家基础信息网络与重要信息系统范围内,全面展开了自评估工作。(中国移动、电力、税务、证券)2008年/关于加强国家电子政务工程建设项目信息安全风险评估工作的通知(发改高技(2008)2071号),明确“加强与
8、规范国家电子政务工程建设项目信息安全风险评估工作”。表格2有关标准标准类型参考标准国际标准 IS015408信息技术安全评估准则 ISO/IECTR13335信息与通信技术安全管理ISO/TR13569银行与有关金融服务信息安全指南ISO/IEC27000信息安全管理体系系列标准AS/NZS4360风险管理NISTSP800-30IT系统风险管理指南国内标准GB17859计算机信息系统安全保护等级划分准则GBT20984信息安全风险评估规范GBT22239信息安全技术信息系统安全等级保护基本要求GBZ20985信息技术安全技术信息安全事件管理指南GBZ20986信息安全技术信息安全事件分类分级
9、指南GB/T22239-2008信息安全技术信息系统安全等级保护基本要求GB/T22240-2008信息安全技术信息系统安全保护等级定级指南各组织或者行业内有关要求方法模型本方案中提供的风险评估与管理模型参考了多个国际风险评估标准,建立安全风险关系模型与安全风险分析方法模型。1.1.3. 风险关系模型风险关系模型从安全风险的所有要素:资产、影响、威胁、弱点、安全操纵、安全需求、安全风险等方面形象地描述的他们各自之间的关系与影响,风险关系模型如下图所示。威胁弱点Si一上低T麻血弓M防护需求价值图1风险关系模型图在上述关系图中:资产指组织要保护的资产,是构成整个系统的各类元素的组合,它直接的表现了
10、这个系统的业务或者任务的重要性,这种重要性继而转化为资产应具有的保护价值。它包含计算机硬件、通信设备、物理线路、数据、软件、服务能力、人员及知识等等。弱点是物理布局、组织、规程、人员、管理、硬件、软件或者信息中存在的缺陷与不足,它们不直接对资产造成危害,但弱点可能被环境中的威胁所利用从而危害资产的安全。弱点也称之“脆弱性”或者“漏洞”。威胁是引起不期望事件从而对资产造成损害的潜在可能性。威胁可能源于对组织信息直接或者间接的攻击,比如非授权的泄露、篡改、删除等,在机密性、完整性或者可用性等方面造成损害;威胁也可能源于偶发的、或者蓄意的事件。通常来说,威胁总是要利用组织网络中的系统、应用或者服务的
11、弱点才可能成功地对资产造成伤害。从宏观上讲,威胁按照产生的来源能够分为非授权蓄意行为、不可抗力、人为错误、与设施/设备错误等。安全风险是环境中的威胁利用弱点造成资产毁坏或者缺失的潜在可能性。风险的大小要紧表现在两个方面:事故发生的可能性及事故造成影响的大小。资产、威胁、弱点及保护的任何变化都可能带来较大的风险,因此,为了降低安全风险,应对环境或者系统的变化进行检测以便及时采取有效措施加以操纵或者防范。安防措施是阻止威胁、降低风险、操纵事故影响、检测事故及实施恢复的一系列实践、程序或者机制。安全措施要紧表达在检测、阻止、防护、限制、修正、恢复与监视等多方面。完整的安全保护体系应协调建立于物理环境
12、、技术环境、人员与管理等四个领域。通常安防措施只是降低了安全风险而并未完全杜绝风险,而且风险降低得越多,所需的成本就越高。因此,在系统中就总是有残余风险(RR)的存在,这样,系统安全需求的确定实际上也是对余留风险及其同意程度的确定。1.1.4. 风险分析方法模型在安全风险分析方法模型中提供了风险计算的方法,通过两个因素:威胁级别、威胁发生的概率,通过风险评估矩阵得出安全风险。图2风险分析原理图风险分析中要涉及资产、威胁,、脆弱性三个基本要素。每个要素有各自的属性,资产的属性是资产价值;威胁的属性能够是威胁主体、影响对象、出现频率、动机等;脆弱性的属性是资产弱点的严重程度。风险分析的要紧内容为:
13、a)对资产进行识别,并对资产的价值进行赋值;b)对威胁进行识别,描述威胁的属性,并对威胁出现的频率赋值;c)对脆弱性进行识别,并对具体资产的脆弱性的严重程度赋值;d)根据威胁及威胁利用脆弱性的难易程度推断安全事件发生的可能性;e)根据脆弱性的严重程度及安全事件所作用的资产的价值计算安全事件造成的缺失;f)根据安全事件发生的可能性与安全事件出现后的缺失,计算安全事件一旦发生对组织的影响,即风险值。1.2.工具方法1.2.1. 风险评估使用方法风险评估常用方法如下:令调查访谈物理安全访谈表、人员安全访谈表、网络安全访谈表、系统安全访谈表等等;工具扫描网络安全扫描、应用安全扫描、系统安全扫描等等;令
14、人工检查操作系统CheCklist、数据库CheCidist、网络设备CheCkliSt等等;令渗透测试由专业渗透测试工程师模拟黑客攻击方式对网络与信息系统进行非破坏性漏涧验证性测试;令文档查阅管理制度查阅、管理策略查阅、安全指导方针查阅等等。1.2.2. 风险评估使用工具风险评估常用工具要紧有下列几大类:令资产发现类工具令端口服务检测类令漏洞扫描检测类令网络嗅探分析类安全审计分析类令系统验证测试类令合规遵循检查类令各类定制脚本类令各类专项检测类第2章项目实施流程我们将整个项目的实施内容分为7个阶段。从项目启动阶段到项目验收整个项目实施过程,我们用WBS图中完整地描述了整个项目实施过程的重要工
15、作任阶段L项目启动阶段此阶段是项目的启动与计划阶段,是项目实施阶段的开始,对项目整个过程的实施工作与项目管理工作都非常重要。2.1.1. 阶段目标在此阶段的要紧工作目标是召开评估项目启动会议,并就项目组的工作方式、日常流程、工作计划、交付件蓝图进行沟通与确认。2.1.2. 阶段步骤评估项目启动阶段,是整个项目过程中,对项目的有效性的一种保证。实施风险评估是一种战略性的考虑,其结果将受到组织的业务战略、业务流程、安全需求、系统规模与结构等方面的影响。步骤一:项目组织,确定双项目组织结构及人员分工。步骤二:召开项目启动会,包含项目中需要落实内容:a)获得支持与配合;b)确定项目的目标;c)确定项目
16、的内容;d)组建项目服务团队;e)对项目的对象、范围进行调研并确认;D宣贯风险评估方法与评估思想;g)建立项目组的工作场所与环境;h)确定项目组的工作流程,包含文档交付流程、项目更换流程等;i)确定项目组的工作方式,包含指定接口人,保密方式,资料保管与备份方式等。步骤三:确定各个细节后,项目启动完成,进入项目实施阶段。2.1.3. 阶段输出本阶段完成后输出如下文件:/项目实施计划/项目启动会议纪要/项目蓝图/保密协议书/项目组织结构与人员职责/项目范围确认书/培训计划(针对风险评估知识宣贯实施方法)2.1. 阶段2:资产评估阶段保护资产免受安全威胁是本项目实施的根本目标。要做好这项工作,首先需
17、要全面熟悉资产分类与管理的全面情况。2.1.1. 阶段目标资产识别的目的就是要系统的有关资产做潜在价值分析,熟悉其资产利用、保护与管理现状。明确各类资产具备的保护价值与需要的保护层次,从而使企业能够更合理的利用现有资产,更有效地进行资产管理,更有针对性的进行资产保护,最具策略性的进行新的资产投入。2.1.2. 阶段步骤阶段一:根据项目范围进行资产分类与识别,包含主机设备、网络设备、数据库系统、应用系统、文档资产、人员资产等等。阶段二:进行资产识别,分类并赋值。2.1.3. 阶段方法表格3资产评估方法项目名称资产分类调查简要描述采集资产信息,进行资产分类,划分资产重要级别及赋值;达成目标采集资产
18、信息,进行资产分类,划分资产重要级别及赋值;进一步明确评估的范围与重点。要紧内容 采集资产信息,获取资产清单; 进行资产分类划分; 确定资产的重要级别,对资产进行赋值。实现方式调查。Q填表式调查。 资产调查表,包含计算机设备、通讯设备、存储及保障设备、信息、软件等。 交流。 批阅已有的针对资产的安全管理规章、制度。 与高级主管、业务人员、网络管理员(系统管理员)等进行交流。工作条件2-3人工作环境,2台笔记本,电源与网络环境,客户人员与资料配合。工作结果资产类别、资产重要级别。参加人员根据现场状况,启明星辰全体评估人员在客户业务系统有关技术与管理人员的配合下进行资产分类调查。2.1.4. 阶段
19、输出本阶段完成后输出文档如下:/资产全面清单/资产赋值列表阶段3:威胁评估威胁是指可能对资产或者组织造成损害事故的潜在原因。作为风险评估的重要因素,威胁是一个客观存在的事物,不管关于多么安全的信息系统,它都存在。为全面、准确地熟悉系统所面临的各类威胁,需使用威胁分析方法。2.1.5. 阶段目标通过威胁分析,找出系统目前存在的潜在风险因素,并进行统计,赋值,以便于列出风险。2.1.6. 阶段步骤威胁识别使用人工审计、安全策略文档批阅、人员面谈、入侵检测系统收集的信息与人工分析。步骤一:把已经发现的威胁进行分类;步骤二:把发现的威胁事件进行分析。2.1.7. 阶段方法表格4威胁调查评估项目名称威胁
20、调查评估简要描述使用技术手段分析信息系统可能面临的所有安全威胁与风险。达成目标全面熟悉掌握信息系统可能面临的所有安全威胁与风险。对威胁进行赋值并确定威胁等级。要紧内容被动攻击威胁与风险:网络通信数据被监听、口令等敏感信息被截获等。主动攻击威胁与风险:扫描目标主机、拒绝服务攻击、利用协议、软件、系统故障、漏洞插入或者执行恶意代码(如:特洛依木马、病毒、后门等)、越权访问、篡改数据、伪装、重放所截获的数据等。令邻近攻击威胁与风险:毁坏设备与线路、窃取存储介质、偷窥口令等。分发攻击威胁与风险:在设备制造、安装、保护过程中,在设备上设置隐藏的后门或者攻击途径、内部攻击威胁与风险:恶意修改数据与安全机制
21、配置参数、恶意建立未授权连接、恶意的物理损坏与破坏、无意的数据损坏与破坏。实现方式令调查交流令工具检测令人工检测工作条件2-3人工作环境,2台笔记本,电源与网络环境,客户人员与资料配合工作结果根据分析结果列出系统所面临的威胁,对威胁赋值并确定威胁级别参加人员启明星辰评估小组,网络管理人员、系统管理人员2.1.8. 阶段输出本阶段完成要紧输出文档如下:/威胁调查表/威胁赋值列表阶段4:脆弱性评估脆弱性是对一个或者多个资产弱点的总称,脆弱性评估是对技术脆弱性与管理脆性进行识别与赋值的过程。2.1.9. 阶段目标技术脆弱性要紧是使用工具扫描、人工检查(checklist).渗透测试、访谈等方式对物理
22、环境、网络结构、系统软件、应用软件、业务流程等进行脆弱性识别并赋值。管理脆弱性要紧是通过管理访谈、文档查阅等方式对安全管理制度、安全管理机构、人员安全管理、安全建设管理、安全运维管理等进行脆弱性识别并赋值。2.1.10. 实施步骤脆弱性识别步骤要紧是通过技术脆弱性与管理脆弱性来进行识别。2.1.10.1. 技术脆弱性物理环境物理安全是一切系统安全的基础。对物理安全的评估将从机房选址、建设;员工、外来访问者进入机房的权限操纵;机房的报警、电子监控与防火、防水、防静电、防雷击、防鼠害、防辐射、防盗窃、火灾报警及消防措施、内部装修、供配电系统等方面进行。表格5物理安全评估项目名称物理安全评估简要描述
23、分析物理安全是否满足有关的安全标准。达成目标准确把握物理安全中的安全隐患,提出安全建议。要紧内容令评估环境安全:机房选址、建设、防火、防水、防静电、防雷击、防鼠害、防辐射、防盗窃、火灾报警及消防措施、内部装修、供配电系统是否满足有关国家标准;内部及外来人员对机房的访问权限操纵;安全审查及管理制度。评估设备安全:门控系统、网络专用设备(路由器,交换机等)与主机设备(终端计算机,打印机、服务器等)。设备安全要紧包含设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护、维修、报废等;设备冗余备份。令评估介质安全:软盘、硬盘、光盘、磁带等媒体的管理,信息媒体的维修将保证所存储的信息
24、不被泄漏,不再需要的媒体,将按规定及时安全地予以销毁。实现方式令问询现场检查Q资料收集工作条件客户人员与资料配合工作结果根据有关的物理安全标准,结合客户的实际需求,协助客户改进安全措施参加人员客户机房、设备管理员、保护人员,启明星辰评估小组网络结构从网络结构设计、边界保护、外部访问操纵策略、内部访问操纵策略、网络设备安全配置等方面进行识别。网络结构分析是风险评估中对业务系统安全性进行全面熟悉的基础,一个业务系统的网络结构是整个业务系统的承载基础,及时发现网络结构存在的安全性、网络负载问题,网络设备存在的安全性,抗攻击的问题是整个业务系统评估的重要环节。对评估对象的物理网络结构,逻辑网络结构及网
25、络的关键设备进行评估(基本信息包含网络带宽、协议、硬件、Intemet接入、地理分布方式与网络管理。),发现存在的安全性,合理性,使用效率等方面的问题。结合业务体系、系统体系等结构的检查逻辑网络,由什么物理网络构成与网络的关键设备的位置所在关于保持网络的安全是非常重要的。另外,鉴定关键网络拓扑,关于成功地一个实施基于网络的风险管理方案是很关键的。网络结构分析能够做到: 改善网络性能与利用率,使之满足业务系统需要 提供有关扩充网络、增加IT投资与提高网络稳固性的信息 帮助用户降低风险,改善网络运行效率,提高网络的稳固性 确保网络系统的安全运行 对网络环境、性能、故障与配置进行检查在本项目安全工程
26、中,网络体系既起着支撑正常业务的作用,本身也作为提供给用户使用的信息基础设施的一部分。在评估过程中,要紧针对网络拓扑、访问操纵策略与措施、网络设备配置、安全设备配置、网络性能与业务负载几个方面进行调查与分析。系统软件系统软件指对操作系统、数据库系统等使用访谈、checklist、漏洞扫描工具等方式对用户帐号、口令策略、资源共享、访问操纵、新系统配置(初始化)、网络安全等脆弱性方面进行识别,并赋值。应用软件应用软件是指应用系统本身或者者中间平台,进行脆弱性分析要紧包含身份签别、访问操纵策略、通信、鉴别机制、密码保护等方面进行。业务流程根据业务过程的数据流程评估客户的业务流程,从信息产生到信息消亡
27、整个过程所涉及的业务系统。目的是熟悉客户业务流程的安全隐患,协助客户进行业务流程的安全防护。表格6业务流程评估项目名称业务流程评估(数据流程)简要描述根据业务过程的数据流程评估客户的业务流程达成目标熟悉客户业务流程的安全隐患,协助河北移动管理信息系统进行业务流程的优化要紧内容令业务数据流向,输入、传输、存储、输出 策略:业务要求、使用范围、安全等级 业务实现方式 业务安全要求令各时段业务负载量 业务流程优化建议 授权与认证、审计、加密、完整性、不可否认性等实现方式调查检查工作结果数据流图、业务关系图、报告参加人员启明星辰评估人员,客户有关主管与业务人员2.1.10.2.管理脆弱性安全管理制度项
28、目中的安全管理制度要从安全管理制度的安全要求、安全管理制度的制定与公布、安全管理制度的评审与修订三部分根据等级保护的具体内容来进行管理部分的脆弱性识别。安全管理机构安全管理机构的脆弱性识别要从岗位设置、人员配备、授权与审批、沟通与合作、审核与检查五个方面,根据等级保护的安全要求的具体内容来进行安全管理机构的脆弱性发现。人员安全管理人员安全管理的脆弱性识别是按照人员录用、人员离岗、人员考核、人员的安全意识教育与培训、外部人员的管理这五个部分内容,根据等级保护级别与各个类别的安全要求来进行脆弱性发现。安全建设管理安全建设管理要紧是从安全边界与定级、安全方案设计、安全产品采购与使用、自主研发环境安全
29、、外包软件研发环境安全、工程实施安全、测试验收、交付、安全服务商的选择、安全网络定级备案安全10个方面来进行安全建设的脆弱性发现识别。安全运维管理安全运维管理是从环境管理、资产管理、介质管理、设备管理、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理等12个方面发现在日常安全运维中存在的安全脆弱性。2.1.11. 已有安全措施识别在脆弱性识别中,发现已经实施的安全脆弱性防护手段,进行整理。2.1.12. 阶段输出本阶段完成后要紧输出文档如下:/脆弱性赋值列表,已有安全措施列表阶段5:渗透测试方案通过各类安全扫描工具、手工检查、网络架构
30、分析、渗透性测试等技术手段识别信息系统的各项脆弱点,分析可能存在的系统漏洞,评估系统防入侵、拒绝恶意攻击、抗风险的能力。2.1.13. 渗透测试方法渗透测试完全模拟黑客的入侵思路与技术手段,黑客的攻击入侵需要利用目标网络的安全弱点,渗透测试也是同样的道理。以人工渗透为主,辅助以攻击工具的使用,这样保证了整个渗透测试过程都在能够操纵与调整的范围之内。针对各应用系统的渗透测试方法包含下列方法但不局限于下列方法:测试类型测试描述信息收集信息收集是渗透攻击的前提,通过信息收集能够有针对性地制定模拟攻击测试计划,提高模拟攻击的成功率,同时能够有效的降低攻击测试对系统正常运行造成的不利影响。信息收集的方法
31、包含端口扫描、操作系统指纹判别、应用判别、账号扫描、配置判别等。端口扫描通过对目标地址的TCP/UDP端口扫描,确定其所开放的服务的数量与类型,这是所有渗透测试的基础。通过端口扫描,能够基本确定一个系统的基本信息,结合安全工程师的经验能够确定其可能存在与被利用的安全弱点,为进行深层次的渗透提供根据。口令猜测本阶段将对暴露在公网的所有登陆口进行口令猜解的测试,找出各个系统可能存在的弱口令或者易被猜解的口令。猜解成功后将继续对系统进行渗透测试,挖掘嵌套在登录口背后的漏洞、寻找新的突破口与可能泄漏的敏感信息,并评估相应的危害性。猜解的对象包含:WEB登录口、FTP端口、数据库端口、远程管理端口等。远
32、程溢出这是当前出现的频率最高、威胁最严重,同时又是最容易实现的一种渗透方法,一个具有通常网络知识的入侵者就能够在很短的时间内利用现成的工具实现远程溢出攻击。关于在防火墙内的系统存在同样的风险,只要对跨接防火墙内外的一台主机攻击成功,那么通过这台主机对防火墙内的主机进行攻击就易如反掌。本地溢出本地溢出是指在拥有了一个普通用户的账号之后,通过一段特殊的指令代码获得管理员权限的方法。使用本地溢出的前提是首先要获得一个普通用户的密码。也就是说由于导致本地溢出的一个关键条件是设置不当的密码策略。多年的实践证明,在通过前期的口令猜测阶段获取的普通账号登录系统之后,对系统实施本地溢出攻击,就能获取不进行主动
33、安全防御的系统的操纵管理权限。脚本测试脚本测试专门针对Web服务器进行。根据最新的技术统计,脚本安全弱点为当前Web系统特别存在动态内容的Web系统存在的要紧比较严重的安全弱点之一。利用脚本有关弱点轻则能够获取系统其他目录的访问权限,重则将有可能取得系统的操纵权限。因此关于含有动态页面的Web系统,脚本测试将是必不可少的一个环节。权限获取通过初步信息收集分析,存在两种可能性,一种是目标系统存在重大的安全弱点,测试能够直接操纵目标系统;另一种是目标系统没有远程重大的安全弱点,但是能够获得普通用户权限,这时能够通过该普通用户权限进一步收集目标系统信息。接下来尽最大努力取得超级用户权限、收集目标主机
34、资料信息,寻求本地权限提升的机会。这样不停的进行信息收集分析、权限提升的结果形成了整个的渗透测试过程。2.1.14. 渗透测试流程渗透测试流程严格依照下图执行,使用可操纵的、非破坏性质的渗透测试,并在执行过程中把握好每一个步骤的信息输入/输出,操纵好风险,确保对网络不造成破坏性的损害,保证渗透测试前后信息系统的可用性、可靠性保持一致。图1渗透测试流程2.1.15. 渗透测试工具工具类型测试工具名称搜索引擎:Googles百度、Bing等工具信息收集DNS工具:Nslookup.DIG、DNSmaP等信息探索工具:matigoo在线网络数据库:APNICsRipe、SUCUri、NetCraft
35、等漏洞扫描工具天镜6.0、NmapSuperScanNessus等口令猜测工具Hydra溢出测试工具MetaSpIoit工具集脚本测试工具天镜6.0、JbrOFUZZ等网银客户端安全测试工具1、钩子工具,有RING3钩子、RlNGO钩子;2、客户端修改程序工具:LCCrypto.zip3、内存读取测试工具:WinHex;4、屏幕截图与屏幕录像工具;5、截取发包测试工具:WinsockExpert6、逆向测试工具:C)Ilydbg2.1.16. 渗透测试内容通过可控的安全测试技术对限定范围内的应用系统进行渗透测试,同时结合业界著名的OSSTMM与OWASP测试框架组合成最佳实践进行操作。本次渗透
36、测试将参考OSSTMM测试框架中的下列技术方法: 信息收集与状态评估 网络节点枚举与探测 系统服务与端口扫描验证 应用层测试 漏洞挖掘与验证本次渗透测试将参考OWASP2013最新公布的十大Web应用漏洞排名,并使用测试框架中相应的技术方法: SQLft 跨站脚本(XSS) 恶意文件执行 不安全的直接对象引用 跨站请求伪造(CSRF) 信息泄漏与错误处理不当 认证与会话管理失效 不安全的加密存储 不安全的通讯 URL访问失效2.1.17. 渗透测试试用例库为保证渗透测试内容的全面性与测试漏洞的深入挖掘,启明星辰总结了多年的渗透测试经验与丰富的渗透测试用例,下列是启明星辰用于Web应用层渗透测试
37、的用例库,测试条目涵盖了全面/最新的Web应用层漏洞与测试方法,将根据不一致应用系统的特性进行有针对性的匹配测试。测试类型测试条目测试描述信息收集目录爬行遍历这个阶段将通过浏览、目录爬行的方式捕获/收集应用的资源。搜索引擎侦测搜索引擎,比如GOogle,能够用来发现公开公布的网页应用结构或者者错误页面等有关问题。应用程序入口探测枚举应用入口与攻击途径是入侵发生之前的预警。这部分枚举完成后,将帮助测试人员找出在应用里面应该重点关注的领域。Web应用程序指纹探测应用指纹是信息收集的第一步。获取运行网页服务器的版本,让测试人员明白什么是已知弱点及在测试时使用何种方法恰当。应用程序发现本项测试发现以w
38、eb服务器的网页应用作为目标。本项测试关于发现细节/寻找突破尤为有效,比如发现用于管理的应用脚本,或者旧版本的文件/控件,在测试、开发或者保护过程中产生的已不用的脚本。分析错误代码-信息泄漏在渗透性测试过程中,网页应用可能泄露原本不想被用户看见的信息。错误码等信息能让测试者熟悉应用程序使用的有关技术与产品。很多情况下,由于特殊处理与程序代码的不合理,甚至不需要任何特殊技术或者工具,都很容易触发产生错误代码的条件从而产生错误代码导致被攻击者利用。配置管理测试SSL/T1.S测试SSL与TLS是两个以加密的方式为传输的信息提供安全隧道的协议,具有保护、加密与身份认证的功能。这些安全组件在应用中非常
39、关键,因此确保高强度的加密算法与正确的执行非常重要。本项测试的模块为:SSL版本、算法、密钥长度、数字证书、有效期。数据库监听器(DBListener)测试许多数据库管理员在配置数据库服务器时,没有充分考虑到数据库侦听器组件的安全。假如没有进行安全的配置而使用手动或者自动的技术进行侦听,侦听器就可能泄露敏感数据与配置信息或者正在运行的数据库实例信息。泄露的信息对测试者来说通常是有用的,他能将此应用到后续更深入的测试中去。基础配置信息测试Web应用基础架构由于其内在的复杂性与关联性,一个微小的漏洞就可能对同一服务器上的另一个应用程序产生严重的威胁,甚至破坏整个架构的安全。为熟悉决这些问题,对配置
40、的管理与已知安全问题进行深入审查尤为重要。应用程序配置信息测试通常在应用程序开发与配置中会产生一些没有考虑到的信息,而这些信息暂时被公布后的Web应用程序所隐藏。这些信息可能从源代码、日志文件或者Web服务器的默认错误代码中泄露。文件扩展名处理测试通过Web服务器或者Web应用程序上的文件扩展名能够识别出目标应用程序使用的技术,比如扩展名JSP与ASPo文件扩展名也可能暴露与该应用程序相连接的其它系统。10文件、备份文件、未引用文件测试Web服务器上存在多余的、可读、可下载的文件,同时用于备份的文件,是信息泄漏的一大源头。由于它们可能包含应用程序与或者数据库的部分源代码,安装路径与密码等敏感信
41、息。本项测试验证这些文件是否存在于公布的Web应用系统上。应用程序管理接口测试许多应用程序的管理接口通常使用一个公用路径,路径获取后可能面临猜测或者暴力破解管理密码的风险。此项测试目的是找到管理接口,并检测是否能够利用它来获取管理员权限。认证测试证书加密通道传输安全性测试本项测试试图分析用户输入Web表单中的数据,如为了登录网站而输入的登录凭据是否使用了安全的传输协议,以免受到攻击。用户枚举测试本项测试为了验证是否可能通过与应用程序的认证机制交互(提示信息),收集有效的用户。这项测试好于暴力破解,一旦获取有效的用户名后,就可针对性的进行密码攻击。字典猜解测试本项测试鉴定应用系统是否存在默认的用
42、户帐户或者可猜测的用户名/密码组合(遍历测试)。口令暴力猜解测试当遍历攻击失败,测试者可尝试使用暴力破解的方式进行验证。暴力破解测试肯能可能碰到锁定用户或者IP等限制。验证绕过测试本项测试尝试以非常规的方式企图绕过身份认证机制,使得应用程序资源失去正常的保护,从而能够在没有认证的情况下访问这些受保护的资源。密码重置/找回漏洞测试本项测试鉴定应用程序的“不记得密码”功能是否起到足够的保护,检查应用程序是否同意用户在浏览器中存储密码。用户注销缓存漏洞测试检查注销与缓存功能能否得到正确实现。多因素认证漏洞测试多因素身份验证将测试下列认证方式的安全性:一次性密码(OTP)所生成的验证码,USB加密设备
43、基于X.509证书的智能卡通过SMS发送的随机一次性密码只有合法用户明白的个人信息会话管理测试会话管理测试本项测试分析会话管理模式与机制,鉴定发送给客户端浏览器的会话验证码的安全性,鉴定是否能够打破这一机制从而绕过用户会话。如:对Cookie实行反向工程,通过篡改Cookies来劫持会话。Cookie属性测试Cookies通常是恶意用户攻击合法用户的关键途径。本项测试将分析应用程序在分派Cookie时如何采取必要的防护措施,与这些已正确配置的Cookie属性。会话固定测试本项测试鉴定当应用程序在成功验证用户后不再更新Cookie时,能否找到会话固定漏洞并迫使用户使用攻击者已知的Cookie。会
44、话变量泄漏测试由于会话验证码连系了用户身份与用户会话,它所代表的是保密信息。本项测试鉴定会话验证码是否暴露在漏洞中,并试着追溯会话攻击。CSRF跨站请求伪造测试跨站伪造请求指在Web应用中,迫使已通过验证的未知用户执行非法请求的方法。本项测试鉴定应用程序是否存在这种漏洞。授权测试路径遍历测试本项测试鉴定是否能够找到一种方法来执行路径遍历攻击并获成功得服务器返回的信息。授权绕过测试本项测试核实如何对某个角色或者特权实施授权模式以便获得保留的功能与资源。权限提升测试本项测试确认用户是否可能使用特权提升攻击的方式修改自己在应用程序内部的特权或者角色。数据验证测试跨站脚本反射测试反射式跨站脚本攻击(X
45、SS)是非持久性跨站脚本攻击的另一个名称。该攻击不可能使用存在漏洞的Web应用程序加载,而使用受害者载入的违规的URI0本项测试将确认应用程序对来自用户提交的恶意代码是否进行了存储或者反射处理,对各类非法字符进行了严格过滤。存储跨站脚本测试储存式跨站脚本(XSS)是一种最危险的跨站脚本。同意用户存储数据的Web应用程序都有可能遭受这种类型的攻击。SQL注入测试(OracleMysqlMsSQLSQL注入测试检测是否有可能将数据注入到应用程序中,以便在后端数据库中执行用户定制的SQL查询。假如应用程序在没有合理验证数据的情况下使用用户输入创建SQL查询,那幺说明该应用程序存在SQL注入漏洞。成功利用这一类别的漏洞会导致Access)未授权用户访问或者操作数据库中的数据。Code注入测试代码注入测试检测是否有