网络安全保障应急响应项目纯方案47页.docx
《网络安全保障应急响应项目纯方案47页.docx》由会员分享,可在线阅读,更多相关《网络安全保障应急响应项目纯方案47页.docx(37页珍藏版)》请在冰豆网上搜索。
网络安全保障应急响应项目纯方案47页
目 录
1综述
1.1项目背景
xxx第十九次xx大会(以下简称xxx)是我国今年最重要的zz事件,国家层面基于此事对重点网络基础设施安全提出了更高的要求。
为保护中xxx期间中国移动重点网络基础设施免受攻击和控制,需要借助外部网络与信息安全专家的力量开展系统受控情况专项检查和保障期间应急响应工作。
向xxx提供网络与安全保障工作是中国移动通信有限公司今年安全工作的重中之重,中国移动通信有限公司目标做好xxx网络与安全保障工作,用一个安全、净化的网络迎接xxx胜利召开。
1.2项目目标
近年随着信息技术的高速发展正颠覆性地改变着传统的通讯行业,中国移动业务系统所系统所面临的风险不断的增大,一旦发生安全事故,将严重损害公司利益,破坏公司声誉,更有甚者危害到国家利益。
为做好中国移动xxx网络安全保障应急响应,有效地应对及减少安全事故的发生,本项目拟借助外部网络与信息安全专家的力量,发现集团本部主要公网系统的漏洞及面临的主要风险,形成针对性的安全防护要求,并做好现场保障和后期总结总结工作。
1.3项目范围
1.3.1渗透测试服务
1)总部、各省公司、各专业公司重要系统,主要包括有互联网接口地址或提供web网站的重要系统开展渗透测试工作,发现系统安全漏洞。
2)制定漏洞修补方案,并开展安全加固,提升系统安全防护能力。
1.3.2保障期间应急响应
1)总部维护的重点系统:
Cache、CDN、RCS、国际信息港私有云资源池管理平台、CMNET流控系统,WLAN认证系统、WEB网关系统、国际短信网关系统、中央DSMP和虚拟MISC、骨干DNS系统、分组域国际部分BG及相连的PGW重要设备等7套业务系统,WLAN日志留存系统、网管运维门户系统、运维知识管理系统、支撑网全国网管系统(含总部话务网管、数据网管、国际局网管)、总部综合资源系统、日志查询系统、网络安全管控平台等7套支撑系统;
2)提出建设性保障应急支撑预案,具有完善的安全应急支持体系和针对常见事件的处理措施。
1.4项目内容
1.4.1渗透测试服务
在实际网络环境下,借鉴黑客攻击的手法和技巧,通过漏洞扫描、人工验证、尝试攻击等方式对实际网络系统中数据库、操作系统、网络设备、应用系统及WEB中间件等进行人工渗透,发现系统存在的所有可能的漏洞及潜在的风险,对存在的风险进行判定,给出加固指导意见并验证加固效果。
1.4.2网络安全保障应急响应服务
应急预案:
在保障应急前完成应急预案的处理,应急预案应立足于业务系统现状,可落地可执行;应急预案是在正常的安全事件处理之外提出的应急流程,应清楚说明何时何等情况下启动应急预案;应组织安全应急演练,验证应急预案有效性。
现场应急:
中国移动xxx网络安全保障应急期间能实时发现网络安全攻击;及时响应,并触发应急流程。
1.5项目实施原则
本项目的执行,应遵循以下原则:
1)规范性
根据项目管理方法,在人员、质量和时间进度等方面进行严格管控。
2)标准化
严格遵守国家、行业以及中国移动的相关法规、标准,并借鉴国际标准及最佳实践来实施。
3)完整性
完整性原则包含以下两个层次的内容:
●评测内容的完整性:
评估工作要综合考虑所评测对象的技术措施。
●评测流程的完整性:
作为一个完整有效的信息安全评测过程,应该是科学严谨的。
任何疏忽或遗漏,都可能影响整个过程的结果。
4)保密性
在进行信息安全评估的过程中,将严格遵循保密原则,评估过程中将采取严格的管理措施,确保所涉及到的任何用户保密信息,不会泄露给第三方单位或个人,不得利用这些信息损害用户利益。
5)互动性
在进行信息安全检测评估过程中,将加强省公司、系统厂商等单位之间的沟通,从而保证项目执行的效果并提高人员的安全意识。
6)最小影响
将从技术应用的层面,考虑评测对目标系统的正常运行可能产生的不利影响,将风险降到最低,保证目标系统业务正常运行,同时在工作实施前做好备份和应急方案。
xx将针对上述各项原则,在随后的项目实施中落实各项原则的各方面要求,并予以详细解释。
本次xxx网络安全保障应急响应项目服务的实施必须遵守中国移动通信有限公司的各项流程与安全管理制度。
进驻现场以及对系统进行的各类远程或现场操作须征得中国移动通信有限公司的许可、授权后,按中国移动通信有限公司的规定进行登记、实施、检查和记录。
2方案建议
2.1渗透测试服务
从某种程度来看,渗透测试是一种远程信息安全的“艺术”。
对于渗透性方法,并没有一个统一的标准和规范。
本次安全渗透测将将遵循OISSG,OWASP的测试框架。
2.1.1渗透测试范围
●网络方面
针对该系统所在网络层进行网络拓扑的探测、路由测试、防火墙规则试探、规避测试、入侵检测规则试探、规避测试、不同网段Vlan之间的渗透、端口扫描等存在漏洞的发现和通过漏洞利用来验证此种威胁可能带来的损失或后果,并提供避免或防范此类威胁、风险或漏洞的具体改进或加固措施。
●系统方面
通过采用适当的测试手段,发现测试目标在系统识别、服务识别、身份认证、数据库接口模块、系统漏洞检测以及验证等方面存在的安全隐患,并给出该种隐患可能带来的损失或后果,并提供避免或防范此类威胁、风险或漏洞的具体改进或加固措施。
●应用方面
通过采用适当测试手段,发现测试目标在系统认证及授权、文件接口模块等方面存在的安全漏洞,并再现利用该漏洞可能造成的客户资金损失,并提供避免或防范此类威胁、风险或漏洞的具体改进或加固措施。
2.1.2渗透测试方式
●公网测试
渗透工程师测试人员对于提供了Web站点的公共应用,直接从任意节点的互联网入口访问并做渗透测试(此渗透测试前需与甲方签订涉密协议),主要用于检查外部威胁源和重大漏洞。
●黑盒测试
渗透工程师测试人员模拟黑客,除了知晓IP地址和域名以外的信息,进行渗透测试,可以测试互联网恶意访问的威胁。
●白盒测试
渗透测试工程师通过甲方授权了部分权限,模拟内部用户环境下的威胁测试。
2.1.3测试计划
渗透测试服务人员采用手工及自动化工具相结合的方式,完成渗透测试服务工作,服务工作完整过程包括:
检查、协助整改、复查。
同时按照中国移动通信有限公司日常安全管理工作要求,提交完整的渗透测试评估报告。
2.1.4渗透测试流程
渗透测试流程分为:
制定方案、客户授权、信息搜集与分析、渗透测试、生成报告等五个阶段。
渗透测试流程图如图所示:
❑制定渗透测试方案
渗透测试方案是对渗透测试工作的说明,即向用户展示渗透测试范围、渗透可能会采取的测试手段、渗透测试风险以及规避措施、渗透测试工具等。
在进行渗透测试之前,首先必须明确渗透的范围,xx将与中国移动通信有限公司进行深入的沟通,由双方共同确定渗透测试范围和渗透测试对象,既可选取重点、有代表性的主机或应用进行渗透测试,也可以对整个网络进行渗透测试。
渗透测试方案应当由xx与中国移动通信有限公司进行深入沟通协商,书写实施方案并提交,由客户进行审核,制定渗透测试方案应考虑如下因素:
✧系统规模
✧业务组成
✧网络分布
✧系统组成
✧其他因素
渗透方案应包括但不限于以下内容:
渗透测试目标、渗透测试范围、测试时间与人员、渗透测试计划、风险规避、测试过程管理等。
✧测试目标:
阐述本次渗透测试的目标,即通过渗透测试能帮助用户发现问题类型,预期达到的目标等。
✧测试范围:
说明渗透测试的范围,渗透测试都会有范围的限定,可能是一个应用系统或者一个IP地址甚至整个内网。
渗透测试原则上是不允许对授权范围外的主机和网络设备进行渗透。
✧测试时间与人员:
说明渗透测试的具体时间,以及参加渗透测试的具体人员。
防止人员或时间变动给项目带来额外的风险。
✧工作计划:
说明渗透测试拟采用的技术路线,渗透测试的流程和采取的技术手段,以及可能采用的工具等。
(客户对评估小组提供工具进行审核并在测试环境中对工具进行严格测试。
)
✧风险规避措施:
说明渗透测试面临的风险,以及拟准备的风险控制措施,如系统备份、系统恢复等。
✧过程管理:
说明如何对渗透测试的进程和测试结果进行质量、过程控制,人员协调以及必要的保密措施等。
❑客户授权
在对《渗透测试方案》审核完成后,xx向客户提交《渗透测试实施申请报告》文档。
客户则应该对xx提交的《渗透测试实施申请报告》文档进行书面委托授权。
同意实施方案是进行渗透测试的必要条件,是渗透测试人员进行合法渗透测试的基础,是合同双方遵从法规并受法律保护的前提。
正式签署渗透测试授权书后,渗透测试工作方可正式开始。
xx将使客户对渗透测试所有细节和风险的知晓、所有过程都在客户的控制下进行。
这也是xx的专业渗透测试服务与黑客攻击入侵的本质不同。
客户对渗透小组提供的扫描工具进行审核。
❑信息搜集与分析
根据客户委托范围和时间,对目标系统进行信息搜集与分析,信息搜集是每一步渗透攻击的前提,通过信息搜集可以有针对性地制定模拟攻击测试计划,提高模拟攻击的成功率,同时可以有效的降低攻击测试对系统正常运行造成的不利影响。
信息搜集的目标是得到主机存活情况、DNS名、IP地址、网络链路,网络拓扑信息、操作系统指纹、应用类型、账号情况、系统配置等有价值的信息,为更深层次的渗透测试提供资料。
同时通过对目标地址进行漏洞扫描,鉴定其操作系统,确定其所开放的TCP/UDP端口及服务的数量和类型,这是所有渗透测试的基础。
通过漏洞扫描,可以基本确定系统的基本信息和目前系统可能存在的安全漏洞,结合安全专家的经验可以确定其可能存在以及被利用的安全弱点,为进行深层次的渗透提供依据。
信息搜集的方法包括PingSweep、DNSSweep、DNSzonetransfer、SNMPSweep、Tracert等。
信息搜集常用的工具包括商业网络安全漏洞扫描软件(如,天镜、安星、SolarWinds等),免费安全检测工具(如,NMAP、NESSUS、XPROB等)。
此外操作系统内置的许多功能(如,TELNET、NSLOOKUP、TRACERT、NETSTAT、IE等)也可以作为信息搜集的有效工具。
❑渗透测试
根据信息搜集与分析的结果,初步拟定渗透测试方法、测试项以及攻击路径,使用模拟黑客攻击的手段,对被评估系统进行渗透。
通过初步的信息搜集与分析,一般存在两种可能性,一种是目标系统存在重大的安全弱点,测试可以直接控制目标系统;另一种是目标系统没有远程重大的安全弱点,但是可以获得普通用户权限,这时可以通过该普通用户权限进一步收集目标系统信息,收集目标主机资料信息,寻求本地权限提升的机会。
不断地信息搜集与分析、权限提升的结果形成了整个的渗透测试过程,而信息的搜集与分析伴随着每一个渗透测试步骤,每一个步骤又有三个组成部分:
操作、响应和结果分析。
在内网渗透中,最大的安全隐患是弱口令问题。
在渗透内网时,xx会在渗透过程中,根据用户的特点定制字典文件。
另外xx会根据需要对系统进行截图,对每一个重要的测试点进行截图来记录渗透结果。
在渗透测试中xx会采取严格的风险控制措施,如果发现被评估系统发生服务停止或者服务器宕机的现象,应立即停止测试,并联系客户的管理人员进行原因分析,在查明原因并更改策略后方可继续进行测试。
❑生成报告
在渗透测试的后期,xx会开始整理渗透测试的过程文档,制作渗透测试报告。
渗透测试报告是对整个渗透工作的总结,渗透测试报告将会十分详细的说明渗透测试过程中的得到的数据和信息,分析系统目前的安全状况,并给出安全建议,并且将会详细的纪录整个渗透测试的全部操作。
渗透测试报告作为提交给用户的最终成果,渗透测试报告包含渗透过程中采用的方法、手段、测试项目、发现的问题、以及相关漏洞的加固建议和系统的安全建议。
2.1.5渗透测试内容
2.1.5.1缓冲区溢出测试
●远程溢出
这是当前系统层面出现的频率最高、威胁最严重,同时又是最容易实现的一种渗透方法,一个具有一般网
升级会员 