《信息安全服务方案(标准版).docx》由会员分享,可在线阅读,更多相关《信息安全服务方案(标准版).docx(13页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、信息安全服务方案(标准版) 信息 平安服务方案 2022 年 第 2 页 共 38 页目录 1项目概述 . 42平安服务方案 . 52.1 渗透测试服务 . 5 2.1.1 渗透测试目的 . 5 2.1.2 渗透测试流程 . 6 2.1.3 渗透测试操作安排 . 6 2.2 信息平安审计服务 . 8 2.2.1 平安配置审计 . 8 2.2.2 平安设备配置审计 . 9 2.2.3 网络设备平安审计 . 10 2.2.4 服务器平安审计 . 10 2.3 漏洞扫描服务 . 11 2.3.1 漏洞扫描目的 . 11 2.3.2 漏洞扫描工具 . 12 2.3.3 漏洞扫描流程 . 13 2.3.
2、4 漏洞扫描评估操作安排 . 13 2.4 日志分析服务 . 14 2.4.1 平安日志分析 . 14 2.4.2 防火墙设备日志分析 . 14 2.4.3 IDS/IPS 告警日志分析 . 15 2.4.4 服务器日志分析 . 16 2.5 平安管理体系评估及建议 . 16 2.5.1 等级爱护平安管理评估 . 16 2.5.2 管理体系建设 . 21 2.6 平安加固服务 . 21 2.6.1 平安加固的目的 . 21 2.6.2 平安加固的流程 . 22 2.6.3 平安加固的内容 . 23 2.6.4 平安加固服务操作安排 . 24 2.7 应急预案制定服务 . 26 2.7.1 应急
3、预案编写方法论 . 26 2.7.2 平安预案编写思路 . 28 2.7.3 应急响应预案的测试、培训和演练 . 31 2.7.4 应急预案编制成果 . 32 2.8 应急响应服务 . 32 2.8.1 应急响应服务目标和范围 . 32 2.8.2 应急响应事务分类 . 33 2.8.3 应急响应服务机制 . 33 2.8.4 应急响应服务流程 . 34 第 3 页 共 38 页 2.8.5 应急响应服务原则 . 36 2.8.6 应急响应成果报告 . 36 3平安服务内容报价 . 38 第 4 页 共 38 页 1 项目概述 在信息科技发展的同时,各种黑客手段、病毒技术、木马技术也在飞速发展
4、,信息平安问题在信息化的过程中也日益突出,信息系统建设必需面对日益严峻的信息平安问题。同时,随着 XXXX 相关政务系统的发展,所面临的平安挑战也随着增大。因此,须要定期对 XX 系统进行渗透测试、平安审计、漏洞扫描、日志分析和平安管理体系评估、平安加固等工作,对网络现状进行评估和供应平安运维服务,对现有的网络系统和应用平安系统进行优化加固,根据确保系统的保密性、完整性、可用性的原则,做好物理层平安、网络层平安、操作系统平安、应用层平安、平安管理体系的建设,实现信息平安保障。 第 5 页 共 38 页2 平安 服务方案 信息平安是长期的攻防战,通过信息平安审计、漏洞扫描、渗透测试、源代码审核、
5、日志分析、平安加固等服务实施,刚好发觉 XXX 业务系统现状中存在的主机层面、业务系统层面的平安隐患,刚好提出平安建议和解决方案,增加XXX 业务系统平安性。除此之外,还应当通过平安管理体系评估、应急响应服务加强信息系统平安保障建设,完善系统平安管理体系、应急响应体系来提高整个信息系统的平安保障实力,实现信息系统长期稳定、平安的运营。2.1 渗透测试服务 2.1.1 渗透测试目的 渗透测试(Penetration Test)是完全模拟黑客可能运用的攻击技术和漏洞发觉技术,对目标系统的平安作深化的探测,发觉系统最脆弱的环节。渗透测试能够直观的让管理人员知道自己网络所面临的问题。渗透测试是一种专业
6、的平安服务。渗透测试主要依据我司平安专家已经驾驭的平安漏洞和平安检测工具,模拟黑客的攻击方法在客户的授权和监督下对客户的系统和网络进行非破坏性质的攻击性测试。渗透测试利用网络平安扫描器、专用平安测试工具和富有阅历的平安工程师的人工阅历对网络中的核心服务器及重要的网络设备,包括服务器、网络设备、防火墙等进行非破坏性质的模拟黑客攻击,目的是侵入系统并获得机密信息并将入侵的过程和细微环节产生报告给用户。渗透测试和工具扫描可以很好的相互补充。工具扫描具有很好的效率和速度,但是存在肯定的误报率和漏报率,并且不能发觉高层次、困难、并且相互关联的平安问题;渗透测试须要投入的人力资源较大、对测试者的专业技能要
7、求很高(渗透测试报告的价值干脆依靠于测试者的专业机能),但是特别精确,可以 第 6 页 共 38 页 发觉逻辑性更强、更深层次的弱点。2.1.2 渗透测试流程 制定实施方案信息收集分析内部安排制定生成报告取得权限、提升权限客户确认客户确认 图:渗透测试流程图 2.1.3 渗透测试操作安排 渗透测试实施内容简要描述由平安工程师模拟黑客的行为模式,采纳黑客最可能采纳的漏洞发觉技术和尽可能多的攻击方法,对业务应用系统平安性进行深化分析 第 7 页 共 38 页 实现机理 上图呈现了渗透测试的三个阶段(预攻击阶段、攻击阶段、后攻击阶段)。在预攻击阶段,其目的是进行信息收集工作。一般可通过基本网络信息的
8、获得、常规漏洞扫描和采纳软件进行检测、对 Web 和数据库进行分析、应用分析等方式来获得信息。攻击阶段,是以对目标进行攻击,获得系统的肯定权限为目的的。可通过基于通用设备、数据库、操作系统和应用的攻击,口令猜解技术等方式来完成。后攻击阶段是对渗透过程产生的痕迹进行消退,长期维持肯定的权限。一般来说,可以通过口令嗅探与键盘记录、口令破解或者其他的手法来达到目的。工作方式每个季度一次渗透测试。在渗透测试过程中,为了保证应用系统的正常运行,我们只采纳下列方式进行漏洞的查找和发觉:1、 工具测试:如 appscan、pangolin、WSockExpert、NBSI 等; 2、 手工检查:依据测试人员
9、的阅历,对可疑点进行检查及验证。实现方式1. 信息收集过程 2. 漏洞扫描 3. 漏洞利用 4. 权限提升 5. 密码破解 6. 日志清除 7. 进一步渗透 8. 生成报告 主要内容 网络信息收集 端口扫描 远程缓冲区溢出 弱口令发掘 本地缓冲区溢出 脚本测试 网页挂马检查 Iframe 框架挂马 第 8 页 共 38 页 JS 文件挂马 JS 变形挂马 body 挂马 css 挂马 Javascript 挂马 WebShell 网页漏洞检查 跨站脚本 SQL 注入 代码执行 书目遍历 文件包含 脚本源码泄露 CRLF 注入 物理路径泄漏 环境变量泄漏 Cookie 篡改 URL 重定向 应用
10、错误信息 备份文件 可能的敏感文件 可能的敏感书目 书目权限 CVS 信息泄漏 测试页面 Bash 信息泄漏 敏感信息测试 应用脆弱性发掘 (全部测试以发觉问题为目标,不进行任何形式的攻击或破坏,也不包括DOS、DDOS 等影响业务正常运行的方式)工作结果 渗透测试报告 参与人员 我司评估小组,客户网络管理人员、系统管理人员2.2 信息平安审计 服务 2.2.1 平安 配置 审计 人工平安审计评估对实施人员的平安学问、平安技术和平安阅历要求很高,因为他们必需了解最新的平安漏洞、驾驭多种先进的平安技术和积累丰富的评估阅历,这样才能对本地平安评估中位于物理层、网络层、主机层、数据层和用户 第 9
11、页 共 38 页 层的全部平安对象目标进行最有效和最完整的平安评估,并供应最合理和最刚好的平安建议。对于各种不同的平安设备、网络设备和服务器,须要有且能够结合多年的平安评估和服务阅历,建立了具体有效的本地限制台审计 CheckList,可以保证对客户的本地限制台审计能够有效有序地进行。我方将每半年进行一次平安配置审计工作,并依据审计结果提出平安加固建议。2.2.2 平安设备 配置 审计 2.2.2.1 平安设备 配置 审计描述 针对 XXX 平安设备的平安配置进行平安审计。通过平安审计,明确平安设备的运维配置,防止因平安配置不充分导致系统存在平安隐患,确保平安设备的平安性和完整性。2.2.2.2 平安.本文来源:网络收集与整理,如有侵权,请联系作者删除,谢谢!第13页 共13页第 13 页 共 13 页第 13 页 共 13 页第 13 页 共 13 页第 13 页 共 13 页第 13 页 共 13 页第 13 页 共 13 页第 13 页 共 13 页第 13 页 共 13 页第 13 页 共 13 页第 13 页 共 13 页