安全技术服务技术整体解决方案.docx

资源描述

安全技术服务技术整体解决方案.docx

《安全技术服务技术整体解决方案.docx》由会员分享，可在线阅读，更多相关《安全技术服务技术整体解决方案.docx（72页珍藏版）》请在冰豆网上搜索。

安全技术服务技术整体解决方案.docx

安全技术服务技术整体解决方案

年安全技术服务技术建议书

二○一五年十二月

1.项目概况简述

11.1项目原则

安全服务的方案设计与具体实施满足以下原则：

（2）标准性原则：

服务方案的设计与实施依据国内或国际的相关标准进行；

（3）规范性原则：

服务提供商的工作中的过程和文档，具有严格的规范性，可以便于项目的跟踪和控制；

（5）整体性原则：

服务的范围和内容当整体全面，包括安全涉及的各个层面，避免由于遗漏造成未来的安全隐患；

针对上述各项，在技术方案中落实诸原则各方面，并予以详细解释。

2.项目解决方案

具体服务内容详见以下正文。

12.1渗透测试解决方案

12.1.1渗透测试简介

12.1.1.1渗透测试概念

12.1.1.2渗透测试原理

12.1.1.3渗透测试目标

12.1.1.4渗透测试特点

12.1.2渗透测试的安全意义

从渗透测试中，客户能够得到的收益有：

（1）协助用户发现组织中的安全最短木板

（2）作为网络安全状况方面的具体证据和真实案例

（3）发现系统或组织里逻辑性更强、更深层次的弱点

（4）发现渗透测试和信息安全风险评估未暴露的其它安全问题

（5）从整体上把握组织或企业的信息安全现状

12.1.3渗透测试流程和授权

12.1.3.1渗透测试流程

12.1.3.2渗透测试授权

12.1.4渗透测试方法及步骤

凭借着在众多项目中的实施经验，形成了一套具有自身特色且行之有效的渗透测试方法。

预攻击阶段（寻找渗透突破口）

攻击阶段（获取目标权限）

后攻击阶段（扩大攻击渗透成果）

如下图：

12.1.4.1预攻击阶段

服务器信息，如OS信息、端口及服务信息、应用系统情况等

漏洞信息，如跟踪最新漏洞发布、漏洞的利用方法等

12.1.4.1.1信息收集

信息收集的方法包括主机网络扫描、操作类型判别、应用判别、账号扫描、配置判别等等。

端口扫描

12.1.4.1.2后门程序检查

系统开发过程中遗留的后门和安全服务选项可能被入侵者所利用，导致入侵者轻易地从捷径实施攻击。

12.1.4.2攻击阶段

账号口令猜解

缓冲区溢出攻击

针对具体的溢出漏洞，可以采用各种公开及私有的缓冲区溢出程序代码进行攻击，

12.1.4.2.1代码审查

Ø审查代码中的XSS脚本漏洞；

Ø审查代码中的SQL注入漏洞；

Ø审查代码中的潜在缓冲区溢出；

Ø审查识别允许恶意用户启动攻击的不良代码技术；

Ø其他软件编写错误及漏洞的寻找及审查。

12.1.4.2.2不同网段间的渗透

12.1.4.2.3溢出测试

12.1.4.2.4SQL注入攻击

12.1.4.2.5检测页面隐藏字段

12.1.4.2.6跨站攻击

入侵者可以借助网站来攻击访问此网站的终端用户，来获得用户口令或使用站点挂马来控制客户端。

12.1.4.2.7WEB应用测试

Ø检查应用系统架构,防止用户绕过系统直接修改数据库；

Ø检查身份认证模块，用以防止非法用户绕过身份认证；

Ø检查数据库接口模块，用以防止用户获取系统权限；

Ø检查文件接口模块，防止用户获取系统文件；

Ø检查其他安全威胁；

12.1.4.2.8第三方软件误配置

第三方软件的错误设置可能导致入侵者利用该漏洞构造不同类型的入侵攻击。

12.1.4.2.9Cookie利用

12.1.4.2.10DDoS攻击

12.1.4.2.11其他测试

在渗透测试中还要借助暴力破解、网络嗅探等其他方法，目的也是为获取用户名及密码。

12.1.4.3后攻击阶段

12.1.4.3.1权限提升

12.1.5风险规避措施

渗透测试过程中可能对业务产生影响，可以采取以下措施来减小风险：

12.1.5.1时间选择

选择在系统最不繁忙业务量最小的时候进行，如凌晨12点之后。

12.1.5.2攻击策略集选择

在渗透测试中不使用含有拒绝服务的测试策略。

12.1.5.3保守策略选择

对于不能接受任何可能风险的主机系统，如可选择如下保守策略：

1）复制一份目标环境，包括硬件平台，操作系统，数据库管理系统，应用软件等。

2）对目标的副本进行渗透测试。

12.1.5.4系统备份和恢复

12.1.5.4.1系统备份

12.1.5.4.2系统恢复

12.1.5.5项目中合理沟通

12.1.5.6系统监测

在评估过程中，由于渗透测试的特殊性，用户可以对整体测试流程进行监控（可能提高渗透测试的成本）。

12.1.5.7测试方自控

用户监控可以有三种形式

1）全程监控：

优点是全过程都能完整记录。

缺点是数据量太大，不易分析；要大容量存储设备。

2）择要监控：

对扫描过程不进行录制，仅仅在安全项目师分析数据后，准备发起渗透前。

3）主机监控：

仅监控受测主机的存活状态，避免意外情况发生。

目前国内应用比较多的是这种监控手段.

12.1.6渗透测试报告

渗透测试报告应包含如下内容：

渗透结论

包括目标系统的安全状况、存在的问题、渗透测试的结果等

渗透测试项目的介绍

包括项目情况、时间、参与人员、操作地点等

渗透测试过程

包括渗透测试的各个实施阶段中的方法、工具、技术及其操作细节等

渗透测试的证据

渗透测试的一些过程及证明文件

解决方案

针对渗透测试中发现的问题给出对应的解决办法和建议

附录部分

渗透测试中的一些其它相关内容，如异常事件的记录和处理等

12.2代码审计服务解决方案

12.2.1代码审计概述

12.2.2代码审计原理

在静态源代码审计技术上，现在被普遍应用的是第一代和第二代技术。

12.2.3现有代码审计的不足

–Falsepositive（误报）

–Falsenegative（漏报）

出现上述问题的原因是：

12.2.4代码审计产品简介

12.2.5代码审计工具功能及特性

12.2.5.1操作系统独立

12.2.5.2编译器独立、开发环境独立，搭建测试环境简单快速且统一

12.2.5.3工具学习、培训和使用的成本少，最小化影响开发进度

12.2.5.4低误报

12.2.5.5安全漏洞覆盖面广且全面（低漏报）

12.2.5.6安全查询规则清晰且完全公开实现

12.2.5.7安全规则自定义简单高效

12.2.5.8审计性能

10万行代码审计时间在10~30分钟不等，视代码复杂度和硬件配置而不同。

12.2.5.9安全规则自定义简单高效

12.2.5.10业务逻辑和架构风险调查

12.2.5.11攻击路径的可视化，并以3D形式展现

每一个安全漏洞的攻击模式和路径完全呈现出来，以3D图形的方式显示，便于安全问题调查和分析。

12.2.5.12代码实践的加强

内置软件代码质量问题检测，同时也提供自定义规则去验证编程策略和最佳实践。

12.2.5.13该产品目前支持主流语言

12.2.5.14支持的主流框架（Framework）

12.2.5.15服务独立，全面的团队审计支持

12.2.5.16高度自动化审计任务

12.2.5.17支持多任务

排队审计、并发审计、循环审计、按时间调度审计。

提高团队审计效率。

12.2.5.18云服务实现

支持跨Internet实现源代码安全审计“云服务”。

12.3基础设备安全评估解决方案

12.3.1安全风险评估方法论

12.3.1.1概述

12.3.1.2安全模型

在国际标准ISO13335中，安全模型如下图所示，特点是以风险为核心。

在国际标准ISO15408中，安全模型如下图所示，其特点是强调了模型的对抗性和动态性。

12.3.2安全风险评估方案

12.3.2.1资产调查与赋值

12.3.2.1.1求调查

12.3.2.1.2调查对象

●管理人员

●机房管理人员

●网络管理员

●应用系统管理员

●备份管理员

●其他工作人员

12.3.2.1.3调查方式

采用非现场问卷调查方式和现场勘查相结合的方式进行。

12.3.2.1.4调查内容

调查内容将覆盖信息系统的管理、物理、技术、操作等多方面的内容，这些内容主要有以下几大类别：

Ø安全策略

Ø组织的安全

Ø资产分类和管理

Ø人员安全

Ø物理的和环境的安全

Ø通信和运营管理

Ø访问控制

Ø系统的开发与维护

Ø业务连续性管理

Ø符合性

Ø硬件和网络系统调查

Ø操作系统调查

Ø应用系统调查

Ø防火墙系统调查

Ø数据库存系统调查

Ø用户其他安全求等等

涉及到的安全信息调查表有：

Ø《安全管理调查表》

Ø《人员调查表》

Ø《设备调查表》

Ø《网络结构调查表》

Ø《物理环境调查表》

Ø《业务应用调查表》

12.3.2.1.5资产赋值

12.3.2.1.6基本概念

12.3.2.1.7资产分类

参照BS7799对信息资产的描述和定义，将信息相关资产按照下面的分类方法：

类别

简称

解释/示例

服务

Service

WWW、SMTP、POP3、FTP、MRPII、DNS、呼叫中心、内部文件服务、内部BBS、网络连接等

数据（电子媒介）

Data

源代码、各种数据资料、运行管理规程、计划、报告、用户手册等

软件

Software

应用软件、系统软件、开发工具和资源库等

硬件

Hardware

计算机硬件、路由器、交换机、程控交换机、布线等

文档（纸质）

Document

文件、传真、电报、财务报告、发展计划

设备

Facility

电源、空调、食品柜、文件柜等

人员

各级雇员和雇主、合同方雇员

其它

Other

企业形象，客户关系等

下面重点描述服务、数据和软件等三种与网络安全最为直接相关的信息资产类别。

●服务

服务分为以下几个子类：

简称

解释/举例

NT操作系统

微软的操作系统各个版本，提供公众计算环境和应用运行平台。

Unix操作系统

Unix

包括各种Unix版本，例如Solaris，AIX，HP-UX，Linux，FreeBSD等，提供公众计算环境和应用运行平台。

数据库

包括各种商业数据库产品，例如Oracle，Sybase，SQLServer等，为其它应用提供开发和运行平台。

Domino服务

Domino

LotusDominoNotes系统是一种群件应用，它综合了数据库、各种应用于一身，专门分类，包括Domino邮件服务、DominoWWW服务、Domino名字服务、以及在Domino之上开发的其它安全服务。

通用服务

GEN

包括DNS、WWW、FTP、SMTP、POP3、打印、文件服务等，它们一般使用通用软件产品（off-the-shelf）实现

MIS

企业为提高效率而开发的管理信息系统（MIS），它包括各种内部配置管理、文件流转管理等服务。

如果该系统建立在Domino基础之上，则将其归为Domino服务子类。

网络服务

NET

各种网络设备、设施提供的网络连接服务

安全服务

SEC

为保护自身和其它信息资产而建立的保护措施，例如防火墙访问控制服务、入侵检测服务、认证、审计、顾问等。

展开阅读全文