安全技术服务技术整体解决方案.docx
《安全技术服务技术整体解决方案.docx》由会员分享,可在线阅读,更多相关《安全技术服务技术整体解决方案.docx(72页珍藏版)》请在冰豆网上搜索。
安全技术服务技术整体解决方案
安全技术服务技术整体解决方案
年安全技术服务技术建议书
二○一五年十二月
1.项目概况简述
1
11.1项目原则
安全服务的方案设计与具体实施满足以下原则:
(2)标准性原则:
服务方案的设计与实施依据国内或国际的相关标准进行;
(3)规范性原则:
服务提供商的工作中的过程和文档,具有严格的规范性,可以便于项目的跟踪和控制;
(5)整体性原则:
服务的范围和内容当整体全面,包括安全涉及的各个层面,避免由于遗漏造成未来的安全隐患;
针对上述各项,在技术方案中落实诸原则各方面,并予以详细解释。
2.项目解决方案
具体服务内容详见以下正文。
2
12.1渗透测试解决方案
12.1.1渗透测试简介
12.1.1.1渗透测试概念
12.1.1.2渗透测试原理
12.1.1.3渗透测试目标
12.1.1.4渗透测试特点
12.1.2渗透测试的安全意义
从渗透测试中,客户能够得到的收益有:
(1)协助用户发现组织中的安全最短木板
(2)作为网络安全状况方面的具体证据和真实案例
(3)发现系统或组织里逻辑性更强、更深层次的弱点
(4)发现渗透测试和信息安全风险评估未暴露的其它安全问题
(5)从整体上把握组织或企业的信息安全现状
12.1.3渗透测试流程和授权
12.1.3.1渗透测试流程
12.1.3.2渗透测试授权
12.1.4渗透测试方法及步骤
凭借着在众多项目中的实施经验,形成了一套具有自身特色且行之有效的渗透测试方法。
预攻击阶段(寻找渗透突破口)
攻击阶段(获取目标权限)
后攻击阶段(扩大攻击渗透成果)
如下图:
12.1.4.1预攻击阶段
服务器信息,如OS信息、端口及服务信息、应用系统情况等
漏洞信息,如跟踪最新漏洞发布、漏洞的利用方法等
12.1.4.1.1信息收集
信息收集的方法包括主机网络扫描、操作类型判别、应用判别、账号扫描、配置判别等等。
端口扫描
12.1.4.1.2后门程序检查
系统开发过程中遗留的后门和安全服务选项可能被入侵者所利用,导致入侵者轻易地从捷径实施攻击。
12.1.4.2攻击阶段
账号口令猜解
缓冲区溢出攻击
针对具体的溢出漏洞,可以采用各种公开及私有的缓冲区溢出程序代码进行攻击,
12.1.4.2.1代码审查
Ø审查代码中的XSS脚本漏洞;
Ø审查代码中的SQL注入漏洞;
Ø审查代码中的潜在缓冲区溢出;
Ø审查识别允许恶意用户启动攻击的不良代码技术;
Ø其他软件编写错误及漏洞的寻找及审查。
12.1.4.2.2不同网段间的渗透
12.1.4.2.3溢出测试
12.1.4.2.4SQL注入攻击
12.1.4.2.5检测页面隐藏字段
12.1.4.2.6跨站攻击
入侵者可以借助网站来攻击访问此网站的终端用户,来获得用户口令或使用站点挂马来控制客户端。
12.1.4.2.7WEB应用测试
Ø检查应用系统架构,防止用户绕过系统直接修改数据库;
Ø检查身份认证模块,用以防止非法用户绕过身份认证;
Ø检查数据库接口模块,用以防止用户获取系统权限;
Ø检查文件接口模块,防止用户获取系统文件;
Ø检查其他安全威胁;
12.1.4.2.8第三方软件误配置
第三方软件的错误设置可能导致入侵者利用该漏洞构造不同类型的入侵攻击。
12.1.4.2.9Cookie利用
12.1.4.2.10DDoS攻击
12.1.4.2.11其他测试
在渗透测试中还要借助暴力破解、网络嗅探等其他方法,目的也是为获取用户名及密码。
12.1.4.3后攻击阶段
12.1.4.3.1权限提升
12.1.5风险规避措施
渗透测试过程中可能对业务产生影响,可以采取以下措施来减小风险:
12.1.5.1时间选择
选择在系统最不繁忙业务量最小的时候进行,如凌晨12点之后。
12.1.5.2攻击策略集选择
在渗透测试中不使用含有拒绝服务的测试策略。
12.1.5.3保守策略选择
对于不能接受任何可能风险的主机系统,如可选择如下保守策略:
1) 复制一份目标环境,包括硬件平台,操作系统,数据库管理系统,应用 软件等。
2) 对目标的副本进行渗透测试。
12.1.5.4系统备份和恢复
12.1.5.4.1系统备份
12.1.5.4.2系统恢复
12.1.5.5项目中合理沟通
12.1.5.6系统监测
在评估过程中,由于渗透测试的特殊性,用户可以对整体测试流程进行 监控(可能提高渗透测试的成本)。
12.1.5.7测试方自控
用户监控 可以有三种形式
1) 全程监控:
优点是全过程都能完整记录。
缺点是数据量太大,不易分析; 要大容量存储设备。
2) 择要监控:
对扫描过程不进行录制,仅仅在安全项目师分析数据后,准 备发起渗透前。
3) 主机监控:
仅监控受测主机的存活状态,避免意外情况发生。
目前国内 应用比较多的是这种监控手段.
12.1.6渗透测试报告
渗透测试报告应包含如下内容:
渗透结论
包括目标系统的安全状况、存在的问题、渗透测试的结果等
渗透测试项目的介绍
包括项目情况、时间、参与人员、操作地点等
渗透测试过程
包括渗透测试的各个实施阶段中的方法、工具、技术及其操作细节等
渗透测试的证据
渗透测试的一些过程及证明文件
解决方案
针对渗透测试中发现的问题给出对应的解决办法和建议
附录部分
渗透测试中的一些其它相关内容,如异常事件的记录和处理等
12.2代码审计服务解决方案
12.2.1代码审计概述
12.2.2代码审计原理
在静态源代码审计技术上,现在被普遍应用的是第一代和第二代技术。
12.2.3现有代码审计的不足
–Falsepositive(误报)
–Falsenegative(漏报)
出现上述问题的原因是:
12.2.4代码审计产品简介
12.2.5代码审计工具功能及特性
12.2.5.1操作系统独立
12.2.5.2编译器独立、开发环境独立,搭建测试环境简单快速且统一
12.2.5.3工具学习、培训和使用的成本少,最小化影响开发进度
12.2.5.4低误报
12.2.5.5安全漏洞覆盖面广且全面(低漏报)
12.2.5.6安全查询规则清晰且完全公开实现
12.2.5.7安全规则自定义简单高效
12.2.5.8审计性能
10万行代码审计时间在10~30分钟不等,视代码复杂度和硬件配置而不同。
12.2.5.9安全规则自定义简单高效
12.2.5.10业务逻辑和架构风险调查
12.2.5.11攻击路径的可视化,并以3D形式展现
每一个安全漏洞的攻击模式和路径完全呈现出来,以3D图形的方式显示,便于安全问题调查和分析。
12.2.5.12代码实践的加强
内置软件代码质量问题检测,同时也提供自定义规则去验证编程策略和最佳实践。
12.2.5.13该产品目前支持主流语言
12.2.5.14支持的主流框架(Framework)
12.2.5.15服务独立,全面的团队审计支持
12.2.5.16高度自动化审计任务
12.2.5.17支持多任务
排队审计、并发审计、循环审计、按时间调度审计。
提高团队审计效率。
12.2.5.18云服务实现
支持跨Internet实现源代码安全审计“云服务”。
12.3基础设备安全评估解决方案
12.3.1安全风险评估方法论
12.3.1.1概述
12.3.1.2安全模型
在国际标准ISO13335中,安全模型如下图所示,特点是以风险为核心。
在国际标准ISO15408中,安全模型如下图所示,其特点是强调了模型的对抗性和动态性。
12.3.2安全风险评估方案
12.3.2.1资产调查与赋值
12.3.2.1.1求调查
12.3.2.1.2调查对象
●管理人员
●机房管理人员
●网络管理员
●应用系统管理员
●备份管理员
●其他工作人员
12.3.2.1.3调查方式
采用非现场问卷调查方式和现场勘查相结合的方式进行。
12.3.2.1.4调查内容
调查内容将覆盖信息系统的管理、物理、技术、操作等多方面的内容,这些内容主要有以下几大类别:
Ø安全策略
Ø组织的安全
Ø资产分类和管理
Ø人员安全
Ø物理的和环境的安全
Ø通信和运营管理
Ø访问控制
Ø系统的开发与维护
Ø业务连续性管理
Ø符合性
Ø硬件和网络系统调查
Ø操作系统调查
Ø应用系统调查
Ø防火墙系统调查
Ø数据库存系统调查
Ø用户其他安全求等等
涉及到的安全信息调查表有:
Ø《安全管理调查表》
Ø《人员调查表》
Ø《设备调查表》
Ø《网络结构调查表》
Ø《物理环境调查表》
Ø《业务应用调查表》
12.3.2.1.5资产赋值
12.3.2.1.6基本概念
12.3.2.1.7资产分类
参照BS7799对信息资产的描述和定义,将信息相关资产按照下面的分类方法:
类别
简称
解释/示例
服务
Service
WWW、SMTP、POP3、FTP、MRPII、DNS、呼叫中心、内部文件服务、内部BBS、网络连接等
数据(电子媒介)
Data
源代码、各种数据资料、运行管理规程、计划、报告、用户手册等
软件
Software
应用软件、系统软件、开发工具和资源库等
硬件
Hardware
计算机硬件、路由器、交换机、程控交换机、布线等
文档(纸质)
Document
文件、传真、电报、财务报告、发展计划
设备
Facility
电源、空调、食品柜、文件柜等
人员
HR
各级雇员和雇主、合同方雇员
其它
Other
企业形象,客户关系等
下面重点描述服务、数据和软件等三种与网络安全最为直接相关的信息资产类别。
●服务
服务分为以下几个子类:
简称
解释/举例
NT操作系统
NT
微软的操作系统各个版本,提供公众计算环境和应用运行平台。
Unix操作系统
Unix
包括各种Unix版本,例如Solaris,AIX,HP-UX,Linux,FreeBSD等,提供公众计算环境和应用运行平台。
数据库
DB
包括各种商业数据库产品,例如Oracle,Sybase,SQLServer等,为其它应用提供开发和运行平台。
Domino服务
Domino
LotusDominoNotes系统是一种群件应用,它综合了数据库、各种应用于一身,专门分类,包括Domino邮件服务、DominoWWW服务、Domino名字服务、以及在Domino之上开发的其它安全服务。
通用服务
GEN
包括DNS、WWW、FTP、SMTP、POP3、打印、文件服务等,它们一般使用通用软件产品(off-the-shelf)实现
MIS
MIS
企业为提高效率而开发的管理信息系统(MIS),它包括各种内部配置管理、文件流转管理等服务。
如果该系统建立在Domino基础之上,则将其归为Domino服务子类。
网络服务
NET
各种网络设备、设施提供的网络连接服务
安全服务
SEC
为保护自身和其它信息资产而建立的保护措施,例如防火墙访问控制服务、入侵检测服务、认证、审计、顾问等。