《某集团风险评估项目技术建议书.docx》由会员分享,可在线阅读,更多相关《某集团风险评估项目技术建议书.docx(51页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、茅台集团风险评估技术建议书_XXXX集团风险评估项目技术建议书_二一四年八月- III -III目 录第1章项目方案设计11.1.设计目标11.2.设计原则11.3.设计依据21.3.1.政策依据21.3.2.标准依据31.4.方法模型31.4.1.风险关系模型31.4.2.风险分析方法模型51.5.工具方法61.5.1.风险评估采用方法61.5.2.风险评估使用工具6第2章项目实施流程72.1.阶段1:项目启动阶段72.1.1.阶段目标82.1.2.阶段步骤82.1.3.阶段输出82.1.阶段2:资产评估阶段92.1.1.阶段目标92.1.2.阶段步骤92.1.3.阶段方法92.1.4.阶段
2、输出102.2.阶段3:威胁评估102.2.1.阶段目标112.2.2.阶段步骤112.2.3.阶段方法112.2.4.阶段输出122.3.阶段4:脆弱性评估122.3.1.阶段目标122.3.2.实施步骤122.3.3.已有安全措施识别282.3.4.阶段输出282.4.阶段5:风险综合分析282.4.1.阶段目标282.4.2.阶段步骤282.4.3.阶段输出312.5.阶段6:风险处置计划312.6.阶段7:项目交付322.6.1.成果交付322.6.2.项目验收33第3章项目管理333.1.组织管理333.2.范围管理343.2.1.范围定义353.2.2.范围变更控制353.3.进度
3、管理363.4.风险管理363.5.质量管理373.5.1.项目实施负责人质量控制373.5.2.项目经理质量控制373.5.3.质量管理质量控制373.6.沟通管理383.6.1.协调沟通机制基本准则383.6.2.沟通计划383.7.会议管理393.8.文档管理393.9.保密管理40第4章人员安排40第5章项目计划445.1.总体计划44第6章客户收益45第7章成果交付一览表46第8章成功案例468.1.重点案例列表468.2.重点案例简介478.2.1.金融案例478.2.2.电信案例488.2.3.能源案例488.2.4.政府案例49第9章公司优势499.1.公司简介499.2.公司
4、资质51编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第47页 共51页第1章 项目方案设计1.1. 设计目标本次风险评估的安全服务项目主要目标是: 通过风险评估,得到XXXX集团的整体安全现状; 通过资产评估,得到XXXX集团的网络信息安全资产状况,并录入资产库,进行资产梳理; 通过威胁评估,得到XXXX集团存在的安全威胁情况; 通过脆弱性评估,得到XXXX集团当前业务系统存在的脆弱性; 对各个业务系统进行综合风险分析,得到风险情况,提出分系统的安全解决方案; 提出各个系统的风险处置解决方案。1.2. 设计原则1.标准性原则遵循国家、行业和组织相关标准开展风险评估工作。2
5、.可控性原则在项目建设与实施过程中,应保证参与实施的人员、使用的技术和工具、过程都是可控的。3.完整性原则项目方案要充分考虑项目所有环节,做到统筹兼顾,细节清楚。4.最小影响原则项目的所有阶段,保证项目实施过程工作对系统正常运行的可能影响降低到最低限度,不会对客户目前的业务系统运行造成明显的影响。5.保密原则项目的所有阶段,将严格遵循保密原则,服务过程中涉及到的任何用户信息均属保密信息,不得泄露给第三方单位或个人,不得利用这些信息损害用户利益。并与XXXX集团签订保密协议,承诺未经允许不向其他任何第三方泄露有关信息系统的信息。1.3. 设计依据本方案设计主要参照以下政策和标准进行设计。1.3.
6、1. 政策依据表格 1 相关策略时间相关政策文件2003年 国家信息化领导小组关于加强信息安全保障工作的意见(中办发27号文),提出“要重视信息安全风险评估工作,对网络与信息系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估”。2004年 为贯彻落实27号文件精神,原国信办组织有关单位和专家编写了信息安全风险评估指南。2005年 国务院信息化工作办公室关于印发的通知(国信办【2005】5号),组织在北京、上海、黑龙江、云南等地方以及银行、税务、电力等重要行业开展信息安全风险评估试点工作。2006年 由国家网络与信息安全协调小组讨论通过的关于开展信息安全风险评估工作的意见(国信办20065号)
7、,文件要求三年内在国家基础信息网络和重要行业信息系统中普遍推行信息安全风险评估工作。 中共中央办公厅国务院办公厅关于印发20062020年国家信息化发展战略的通知(中办200611号文)提出加强信息安全风险评估工作。 2007年 为保障十七大,在国家基础信息网络和重要信息系统范围内,全面展开了自评估工作。(中国移动、电力、税务、证券)2008年 关于加强国家电子政务工程建设项目信息安全风险评估工作的通知(发改高技20082071号),明确“加强和规范国家电子政务工程建设项目信息安全风险评估工作”。1.3.2. 标准依据表格 2 相关标准标准类型参考标准国际标准v ISO15408 信息技术安全
8、评估准则v ISO/IEC TR 13335信息和通信技术安全管理v ISO/TR 13569 银行和相关金融服务信息安全指南v ISO/IEC 27000 信息安全管理体系系列标准v AS/NZS 4360 风险管理v NIST SP 800-30 IT系统风险管理指南国内标准v GB17859计算机信息系统安全保护等级划分准则v GBT 20984信息安全风险评估规范v GBT 22239信息安全技术信息系统安全等级保护基本要求v GBZ 20985信息技术安全技术信息安全事件管理指南v GBZ 20986信息安全技术信息安全事件分类分级指南v GB/T 22239-2008信息安全技术信
9、息系统安全等级保护基本要求v GB/T 22240-2008信息安全技术信息系统安全保护等级定级指南v 各组织或行业内相关要求1.4. 方法模型本方案中提供的风险评估与管理模型参考了多个国际风险评估标准,建立安全风险关系模型和安全风险分析方法模型。1.4.1. 风险关系模型风险关系模型从安全风险的所有要素:资产、影响、威胁、弱点、安全控制、安全需求、安全风险等方面形象地描述的他们各自之间的关系和影响,风险关系模型如下图所示。图 1风险关系模型图在上述关系图中:资产指组织要保护的资产,是构成整个系统的各种元素的组合,它直接的表现了这个系统的业务或任务的重要性,这种重要性进而转化为资产应具有的保护
10、价值。它包括计算机硬件、通信设备、物理线路、数据、软件、服务能力、人员及知识等等。弱点是物理布局、组织、规程、人员、管理、硬件、软件或信息中存在的缺陷与不足,它们不直接对资产造成危害,但弱点可能被环境中的威胁所利用从而危害资产的安全。弱点也称为“脆弱性”或“漏洞”。威胁是引起不期望事件从而对资产造成损害的潜在可能性。威胁可能源于对组织信息直接或间接的攻击,例如非授权的泄露、篡改、删除等,在机密性、完整性或可用性等方面造成损害;威胁也可能源于偶发的、或蓄意的事件。一般来说,威胁总是要利用组织网络中的系统、应用或服务的弱点才可能成功地对资产造成伤害。从宏观上讲,威胁按照产生的来源可以分为非授权蓄意
11、行为、不可抗力、人为错误、以及设施/设备错误等。安全风险是环境中的威胁利用弱点造成资产毁坏或损失的潜在可能性。风险的大小主要表现在两个方面:事故发生的可能性及事故造成影响的大小。资产、威胁、弱点及保护的任何变化都可能带来较大的风险,因此,为了降低安全风险,应对环境或系统的变化进行检测以便及时采取有效措施加以控制或防范。安防措施是阻止威胁、降低风险、控制事故影响、检测事故及实施恢复的一系列实践、程序或机制。安全措施主要体现在检测、阻止、防护、限制、修正、恢复和监视等多方面。完整的安全保护体系应协调建立于物理环境、技术环境、人员和管理等四个领域。通常安防措施只是降低了安全风险而并未完全杜绝风险,而
12、且风险降低得越多,所需的成本就越高。因此,在系统中就总是有残余风险(RR)的存在,这样,系统安全需求的确定实际上也是对余留风险及其接受程度的确定。1.4.2. 风险分析方法模型在安全风险分析方法模型中提供了风险计算的方法,通过两个因素:威胁级别、威胁发生的概率,通过风险评估矩阵得出安全风险。图 2风险分析原理图风险分析中要涉及资产、威胁、脆弱性三个基本要素。每个要素有各自的属性,资产的属性是资产价值;威胁的属性可以是威胁主体、影响对象、出现频率、动机等;脆弱性的属性是资产弱点的严重程度。风险分析的主要内容为:a) 对资产进行识别,并对资产的价值进行赋值;b) 对威胁进行识别,描述威胁的属性,并
13、对威胁出现的频率赋值;c) 对脆弱性进行识别,并对具体资产的脆弱性的严重程度赋值;d) 根据威胁及威胁利用脆弱性的难易程度判断安全事件发生的可能性;e) 根据脆弱性的严重程度及安全事件所作用的资产的价值计算安全事件造成的损失;f) 根据安全事件发生的可能性以及安全事件出现后的损失,计算安全事件一旦发生对组织的影响,即风险值。1.5. 工具方法1.5.1. 风险评估采用方法风险评估常用方法如下: 调查访谈物理安全访谈表、人员安全访谈表、网络安全访谈表、系统安全访谈表等等; 工具扫描网络安全扫描、应用安全扫描、系统安全扫描等等; 人工检查操作系统checklist、数据库checklist、网络设
14、备checklist等等; 渗透测试由专业渗透测试工程师模拟黑客攻击方式对网络与信息系统进行非破坏性漏泀验证性测试; 文档查阅管理制度查阅、管理策略查阅、安全指导方针查阅等等。1.5.2. 风险评估使用工具风险评估常用工具主要有以下几大类: 资产发现类工具 端口服务检测类 漏洞扫描检测类 网络嗅探分析类 安全审计分析类 系统验证测试类 合规遵循检查类 各种定制脚本类 各种专项检测类第2章 项目实施流程我们将整个项目的实施内容分为7个阶段。从项目启动阶段到项目验收整个项目实施过程,我们用WBS图中完整地描述了整个项目实施过程的重要工作任务。图 3项目实施流程图2.1. 阶段1:项目启动阶段此阶段
15、是项目的启动和计划阶段,是项目实施阶段的开始,对项目整个过程的实施工作与项目管理工作都非常重要。2.1.1. 阶段目标在此阶段的主要工作目标是召开评估项目启动会议,并就项目组的工作方式、日常流程、工作计划、交付件蓝图进行沟通和确认。2.1.2. 阶段步骤评估项目启动阶段,是整个项目过程中,对项目的有效性的一种保证。实施风险评估是一种战略性的考虑,其结果将受到组织的业务战略、业务流程、安全需求、系统规模和结构等方面的影响。步骤一:项目组织,确定双项目组织结构及人员分工。步骤二:召开项目启动会,包括项目中需要落实内容:a) 获得支持和配合;b) 确定项目的目标;c) 确定项目的内容;d) 组建项目
16、服务团队;e) 对项目的对象、范围进行调研并确认;f) 宣贯风险评估方法和评估思想;g) 建立项目组的工作场所和环境;h) 确定项目组的工作流程,包括文档交付流程、项目更改流程等;i) 确定项目组的工作方式,包括指定接口人,保密方式,资料保管和备份方式等。步骤三:确定各个细节后,项目启动完成,进入项目实施阶段。2.1.3. 阶段输出本阶段完成后输出如下文件: 项目实施计划 项目启动会议纪要 项目蓝图 保密协议书 项目组织结构和人员职责 项目范围确认书 培训计划(针对风险评估知识宣贯实施方法)2.1. 阶段2:资产评估阶段保护资产免受安全威胁是本项目实施的根本目标。要做好这项工作,首先需要详细了
17、解资产分类与管理的详细情况。2.1.1. 阶段目标资产识别的目的就是要系统的相关资产做潜在价值分析,了解其资产利用、维护和管理现状。明确各类资产具备的保护价值和需要的保护层次,从而使企业能够更合理的利用现有资产,更有效地进行资产管理,更有针对性的进行资产保护,最具策略性的进行新的资产投入。2.1.2. 阶段步骤阶段一:根据项目范围进行资产分类与识别,包括主机设备、网络设备、数据库系统、应用系统、文档资产、人员资产等等。阶段二:进行资产识别,分类并赋值。2.1.3. 阶段方法表格 3资产评估方法项目名称资产分类调查简要描述采集资产信息,进行资产分类,划分资产重要级别及赋值;达成目标采集资产信息,
18、进行资产分类,划分资产重要级别及赋值;进一步明确评估的范围和重点。主要内容 采集资产信息,获取资产清单; 进行资产分类划分; 确定资产的重要级别,对资产进行赋值。实现方式 调查。 填表式调查。 资产调查表,包含计算机设备、通讯设备、存储及保障设备、信息、软件等。 交流。 审阅已有的针对资产的安全管理规章、制度。 与高级主管、业务人员、网络管理员(系统管理员)等进行交流。工作条件2-3人工作环境,2台笔记本,电源和网络环境,客户人员和资料配合。工作结果资产类别、资产重要级别。参加人员依据现场状况,启明星辰全体评估人员在业务系统相关技术和管理人员的配合下进行资产分类调查。2.1.4. 阶段输出本阶
19、段完成后输出文档如下: 资产详细清单 资产赋值列表2.2. 阶段3:威胁评估威胁是指可能对资产或组织造成损害事故的潜在原因。作为风险评估的重要因素,威胁是一个客观存在的事物,无论对于多么安全的信息系统,它都存在。为全面、准确地了解系统所面临的各种威胁,需采用威胁分析方法。 2.2.1. 阶段目标通过威胁分析,找出系统目前存在的潜在风险因素,并进行统计,赋值,以便于列出风险。2.2.2. 阶段步骤威胁识别采用人工审计、安全策略文档审阅、人员面谈、入侵检测系统收集的信息和人工分析。步骤一:把已经发现的威胁进行分类;步骤二:把发现的威胁事件进行分析。2.2.3. 阶段方法表格 4威胁调查评估项目名称
20、威胁调查评估简要描述使用技术手段分析信息系统可能面临的所有安全威胁和风险。达成目标全面了解掌握信息系统可能面临的所有安全威胁和风险。对威胁进行赋值并确定威胁等级。主要内容 被动攻击威胁与风险:网络通信数据被监听、口令等敏感信息被截获等。 主动攻击威胁与风险:扫描目标主机、拒绝服务攻击、利用协议、软件、系统故障、漏洞插入或执行恶意代码(如:特洛依木马、病毒、后门等)、越权访问、篡改数据、伪装、重放所截获的数据等。 邻近攻击威胁与风险:毁坏设备和线路、窃取存储介质、偷窥口令等。 分发攻击威胁与风险:在设备制造、安装、维护过程中,在设备上设置隐藏的后门或攻击途径、 内部攻击威胁与风险:恶意修改数据和
21、安全机制配置参数、恶意建立未授权连接、恶意的物理损坏和破坏、无意的数据损坏和破坏。实现方式 调查交流 工具检测 人工检测工作条件2-3人工作环境,2台笔记本,电源和网络环境,客户人员和资料配合工作结果根据分析结果列出系统所面临的威胁,对威胁赋值并确定威胁级别参加人员启明星辰评估小组,网络管理人员、系统管理人员2.2.4. 阶段输出本阶段完成主要输出文档如下: 威胁调查表 威胁赋值列表2.3. 阶段4:脆弱性评估脆弱性是对一个或多个资产弱点的总称,脆弱性评估是对技术脆弱性和管理脆性进行识别和赋值的过程。2.3.1. 阶段目标技术脆弱性主要是采用工具扫描、人工检查(checklist)、渗透测试、
22、访谈等方式对物理环境、网络结构、系统软件、应用软件、业务流程等进行脆弱性识别并赋值。管理脆弱性主要是通过管理访谈、文档查阅等方式对安全管理制度、安全管理机构、人员安全管理、安全建设管理、安全运维管理等进行脆弱性识别并赋值。2.3.2. 实施步骤脆弱性识别步骤主要是通过技术脆弱性和管理脆弱性来进行识别。2.3.2.1. 技术脆弱性物理环境物理安全是一切系统安全的基础。对物理安全的评估将从机房选址、建设;员工、外来访问者进入机房的权限控制;机房的报警、电子监控以及防火、防水、防静电、防雷击、防鼠害、防辐射、防盗窃、火灾报警及消防措施、内部装修、供配电系统等方面进行。表格 5 物理安全评估项目名称物
23、理安全评估简要描述分析物理安全是否满足相关的安全标准。达成目标准确把握物理安全中的安全隐患,提出安全建议。主要内容 评估环境安全:机房选址、建设、防火、防水、防静电、防雷击、防鼠害、防辐射、防盗窃、火灾报警及消防措施、内部装修、供配电系统是否满足相关国家标准;内部及外来人员对机房的访问权限控制;安全审查及管理制度。 评估设备安全:门控系统、网络专用设备(路由器,交换机等)和主机设备(终端计算机,打印机、服务器等)。设备安全主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护、维修、报废等;设备冗余备份。 评估介质安全:软盘、硬盘、光盘、磁带等媒体的管理,信息媒体的维
24、修将保证所存储的信息不被泄漏,不再需要的媒体,将按规定及时安全地予以销毁。实现方式 问询 现场检查 资料收集工作条件客户人员和资料配合工作结果依据相关的物理安全标准,结合客户的实际需求,协助客户改进安全措施参加人员客户机房、设备管理员、维护人员,启明星辰评估小组网络结构从网络结构设计、边界保护、外部访问控制策略、内部访问控制策略、网络设备安全配置等方面进行识别。网络结构分析是风险评估中对业务系统安全性进行全面了解的基础,一个业务系统的网络结构是整个业务系统的承载基础,及时发现网络结构存在的安全性、网络负载问题,网络设备存在的安全性,抗攻击的问题是整个业务系统评估的重要环节。对评估对象的物理网络
25、结构,逻辑网络结构及网络的关键设备进行评估(基本信息包括网络带宽、协议、硬件、Internet接入、地理分布方式和网络管理。),发现存在的安全性,合理性,使用效率等方面的问题。结合业务体系、系统体系等结构的检查逻辑网络,由什么物理网络组成以及网络的关键设备的位置所在对于保持网络的安全是非常重要的。另外,鉴定关键网络拓扑,对于成功地一个实施基于网络的风险管理方案是很关键的。网络结构分析能够做到:l 改善网络性能和利用率,使之满足业务系统需要l 提供有关扩充网络、增加IT投资和提高网络稳定性的信息l 帮助用户降低风险,改善网络运行效率,提高网络的稳定性l 确保网络系统的安全运行l 对网络环境、性能
26、、故障和配置进行检查在本项目安全工程中,网络体系既起着支撑正常业务的作用,本身也作为提供给用户使用的信息基础设施的一部分。在评估过程中,主要针对网络拓扑、访问控制策略与措施、网络设备配置、安全设备配置、网络性能与业务负载几个方面进行调查与分析。系统软件系统软件指对操作系统、数据库系统等采用访谈、checklist、漏洞扫描工具等方式对用户帐号、口令策略、资源共享、访问控制、新系统配置(初始化)、网络安全等脆弱性方面进行识别,并赋值。应用软件应用软件是指应用系统本身或者中间平台,进行脆弱性分析主要包括身份签别、访问控制策略、通信、鉴别机制、密码保护等方面进行。业务流程依据业务过程的数据流程评估客
27、户的业务流程,从信息产生到信息消亡整个过程所涉及的业务系统。目的是了解客户业务流程的安全隐患,协助客户进行业务流程的安全防护。表格 6业务流程评估项目名称业务流程评估(数据流程)简要描述依据业务过程的数据流程评估客户的业务流程达成目标了解客户业务流程的安全隐患,协助河北移动管理信息系统进行业务流程的优化主要内容 业务数据流向,输入、传输、存储、输出 策略:业务要求、使用范围、安全等级 业务实现方式 业务安全要求 各时段业务负载量 业务流程优化建议 授权和认证、审计、加密、完整性、不可否认性等实现方式 调查 检查工作结果数据流图、业务关系图、报告参加人员启明星辰评估人员,客户相关主管和业务人员2
28、.3.2.2. 管理脆弱性安全管理制度项目中的安全管理制度要从安全管理制度的安全要求、安全管理制度的制定和发布、安全管理制度的评审和修订三部分根据等级保护的具体内容来进行管理部分的脆弱性识别。安全管理机构安全管理机构的脆弱性识别要从岗位设置、人员配备、授权和审批、沟通和合作、审核和检查五个方面,根据等级保护的安全要求的具体内容来进行安全管理机构的脆弱性发现。人员安全管理人员安全管理的脆弱性识别是按照人员录用、人员离岗、人员考核、人员的安全意识教育和培训、外部人员的管理这五个部分内容,根据等级保护级别和各个类别的安全要求来进行脆弱性发现。安全建设管理安全建设管理主要是从安全边界和定级、安全方案设
29、计、安全产品采购和使用、自主研发环境安全、外包软件研发环境安全、工程实施安全、测试验收、交付、安全服务商的选择、安全网络定级备案安全10个方面来进行安全建设的脆弱性发现识别。安全运维管理安全运维管理是从环境管理、资产管理、介质管理、设备管理、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理等12个方面发现在日常安全运维中存在的安全脆弱性。2.3.3. 已有安全措施识别在脆弱性识别中,发现已经实施的安全脆弱性防护手段,进行整理。2.3.4. 阶段输出本阶段完成后主要输出文档如下: 脆弱性赋值列表 已有安全措施列表2.4. 阶段5:渗透测
30、试方案通过各种安全扫描工具、手工检查、网络架构分析、渗透性测试等技术手段识别信息系统的各项脆弱点,分析可能存在的系统漏洞,评估系统防入侵、拒绝恶意攻击、抗风险的能力。2.4.1. 渗透测试方法渗透测试完全模拟黑客的入侵思路与技术手段,黑客的攻击入侵需要利用目标网络的安全弱点,渗透测试也是同样的道理。以人工渗透为主,辅助以攻击工具的使用,这样保证了整个渗透测试过程都在可以控制和调整的范围之内。针对各应用系统的渗透测试方法包括以下方法但不局限于以下方法:测试类型测试描述信息收集信息收集是渗透攻击的前提,通过信息收集可以有针对性地制定模拟攻击测试计划,提高模拟攻击的成功率,同时可以有效的降低攻击测试
31、对系统正常运行造成的不利影响。信息收集的方法包括端口扫描、操作系统指纹判别、应用判别、账号扫描、配置判别等。端口扫描通过对目标地址的TCP/UDP端口扫描,确定其所开放的服务的数量和类型,这是所有渗透测试的基础。通过端口扫描,可以基本确定一个系统的基本信息,结合安全工程师的经验可以确定其可能存在以及被利用的安全弱点,为进行深层次的渗透提供依据。口令猜测本阶段将对暴露在公网的所有登陆口进行口令猜解的测试,找出各个系统可能存在的弱口令或易被猜解的口令。猜解成功后将继续对系统进行渗透测试,挖掘嵌套在登录口背后的漏洞、寻找新的突破口以及可能泄漏的敏感信息,并评估相应的危害性。猜解的对象包括:WEB登录
32、口、FTP端口、数据库端口、远程管理端口等。远程溢出这是当前出现的频率最高、威胁最严重,同时又是最容易实现的一种渗透方法,一个具有一般网络知识的入侵者就可以在很短的时间内利用现成的工具实现远程溢出攻击。对于在防火墙内的系统存在同样的风险,只要对跨接防火墙内外的一台主机攻击成功,那么通过这台主机对防火墙内的主机进行攻击就易如反掌。本地溢出本地溢出是指在拥有了一个普通用户的账号之后,通过一段特殊的指令代码获得管理员权限的方法。使用本地溢出的前提是首先要获得一个普通用户的密码。也就是说由于导致本地溢出的一个关键条件是设置不当的密码策略。多年的实践证明,在经过前期的口令猜测阶段获取的普通账号登录系统之
33、后,对系统实施本地溢出攻击,就能获取不进行主动安全防御的系统的控制管理权限。脚本测试脚本测试专门针对Web服务器进行。根据最新的技术统计,脚本安全弱点为当前Web系统尤其存在动态内容的Web系统存在的主要比较严重的安全弱点之一。利用脚本相关弱点轻则可以获取系统其他目录的访问权限,重则将有可能取得系统的控制权限。因此对于含有动态页面的Web系统,脚本测试将是必不可少的一个环节。权限获取通过初步信息收集分析,存在两种可能性,一种是目标系统存在重大的安全弱点,测试可以直接控制目标系统;另一种是目标系统没有远程重大的安全弱点,但是可以获得普通用户权限,这时可以通过该普通用户权限进一步收集目标系统信息。
34、接下来尽最大努力取得超级用户权限、收集目标主机资料信息,寻求本地权限提升的机会。这样不停的进行信息收集分析、权限提升的结果形成了整个的渗透测试过程。2.4.2. 渗透测试流程渗透测试流程严格依照下图执行,采用可控制的、非破坏性质的渗透测试,并在执行过程中把握好每一个步骤的信息输入/输出,控制好风险,确保对网络不造成破坏性的损害,保证渗透测试前后信息系统的可用性、可靠性保持一致。图 1渗透测试流程2.4.3. 渗透测试工具工具类型测试工具名称信息收集工具搜索引擎:Google、百度、Bing等DNS工具:Nslookup、DIG、DNSmap等信息探索工具:matigoo在线网络数据库:APNI
35、C、Ripe、Sucuri、Netcraft等漏洞扫描工具天镜6.0、Nmap、SuperScan、Nessus等口令猜测工具Hydra溢出测试工具MetaSploit工具集脚本测试工具天镜6.0、JbroFuzz等网银客户端安全测试工具1、钩子工具,有RING3钩子、RING0钩子;2、客户端修改程序工具:LCCrypto.zip3、内存读取测试工具:WinHex;4、屏幕截图和屏幕录像工具;5、截取发包测试工具:WinsockExpert6、逆向测试工具:Ollydbg2.4.4. 渗透测试内容通过可控的安全测试技术对限定范围内的应用系统进行渗透测试,同时结合业界著名的OSSTMM与OWA
36、SP测试框架组合成最佳实践进行操作。本次渗透测试将参考OSSTMM测试框架中的以下技术方法:l 信息收集和状态评估l 网络节点枚举和探测l 系统服务和端口扫描验证l 应用层测试l 漏洞挖掘与验证本次渗透测试将参考OWASP 2013最新发布的十大Web应用漏洞排名,并使用测试框架中相应的技术方法:l SQL注入l 跨站脚本(XSS)l 恶意文件执行l 不安全的直接对象引用l 跨站请求伪造(CSRF)l 信息泄漏和错误处理不当l 认证和会话管理失效l 不安全的加密存储l 不安全的通讯l URL访问失效2.4.5. 渗透测试试用例库为保证渗透测试内容的全面性以及测试漏洞的深入挖掘,启明星辰总结了多
37、年的渗透测试经验与丰富的渗透测试用例,以下是启明星辰用于Web应用层渗透测试的用例库,测试条目涵盖了全面/最新的Web应用层漏洞与测试方法,将根据不同应用系统的特性进行有针对性的匹配测试。测试类型 测试条目测试描述信息收集目录爬行 遍历 这个阶段将通过浏览、目录爬行的方式捕获/收集应用的资源。搜索引擎侦测搜索引擎,比如Google,能够用来发现公开发布的网页应用结构或者错误页面等相关问题。应用程序入口探测枚举应用入口和攻击途径是入侵发生之前的预警。这部分枚举完成后,将帮助测试人员找出在应用里面应该重点关注的领域。Web应用程序指纹探测应用指纹是信息收集的第一步。获取运行网页服务器的版本,让测试
38、人员知道哪些是已知弱点及在测试时使用何种方法恰当。应用程序发现本项测试发现以web服务器的网页应用作为目标。本项测试对于发现细节/寻找突破尤为有效,比如发现用于管理的应用脚本,或旧版本的文件/控件,在测试、开发或维护过程中产生的已不用的脚本。分析错误代码-信息泄漏在渗透性测试过程中,网页应用可能泄露原本不想被用户看见的信息。错误码等信息能让测试者了解应用程序使用的有关技术和产品。很多情况下,由于异常处理和程序代码的不合理,甚至不需要任何特殊技术或工具,都很容易触发产生错误代码的条件从而产生错误代码导致被攻击者利用。配置管理测试SSL/TLS测试SSL和TLS是两个以加密的方式为传输的信息提供安
39、全隧道的协议,具有保护、加密和身份认证的功能。这些安全组件在应用中非常关键,因此确保高强度的加密算法和正确的执行非常重要。本项测试的模块为:SSL版本、算法、密钥长度、数字证书、有效期。数据库监听器(DB Listener)测试许多数据库管理员在配置数据库服务器时,没有充分考虑到数据库侦听器组件的安全。如果没有进行安全的配置而使用手动或自动的技术进行侦听,侦听器就可能泄露敏感数据以及配置信息或正在运行的数据库实例信息。泄露的信息对测试者来说通常是有用的,他能将此应用到后续更深入的测试中去。基础配置信息测试Web应用基础架构由于其内在的复杂性和关联性,一个微小的漏洞就可能对同一服务器上的另一个应
40、用程序产生严重的威胁,甚至破坏整个架构的安全。为了解决这些问题,对配置的管理和已知安全问题进行深入审查尤为重要。应用程序配置信息测试通常在应用程序开发和配置中会产生一些没有考虑到的信息,而这些信息暂时被发布后的Web应用程序所隐藏。这些信息可能从源代码、日志文件或Web服务器的默认错误代码中泄露。文件扩展名处理测试通过Web服务器或Web应用程序上的文件扩展名能够识别出目标应用程序使用的技术,例如扩展名JSP与ASP。文件扩展名也可能暴露与该应用程序相连接的其它系统。旧文件、备份文件、未引用文件测试Web 服务器上存在多余的、可读、可下载的文件,并且用于备份的文件,是信息泄漏的一大源头。因为它
41、们可能包含应用程序和或数据库的部分源代码,安装路径以及密码等敏感信息。本项测试验证这些文件是否存在于发布的Web应用系统上。应用程序管理接口测试许多应用程序的管理接口通常使用一个公用路径,路径获取后可能面临猜测或暴力破解管理密码的风险。此项测试目的是找到管理接口,并检测是否可以利用它来获取管理员权限。HTTP请求方法与XST测试Web服务器可以配置为多种请求方式,如Get、Post、Put、Delete等,此项测试将鉴定Web服务器是否允许具有潜在危险性的HTTP请求方法,同时鉴定是否存在跨网站追踪攻击(XST)。认证测试证书加密通道传输安全性测试本项测试试图分析用户输入Web表单中的数据,如
42、为了登录网站而输入的登录凭据是否使用了安全的传输协议,以免受到攻击。用户枚举测试本项测试为了验证是否可能通过与应用程序的认证机制交互(提示信息),收集有效的用户。这项测试好于暴力破解,一旦获取有效的用户名后,就可针对性的进行密码攻击。字典猜解测试本项测试鉴定应用系统是否存在默认的用户帐户或可猜测的用户名/密码组合(遍历测试)。口令暴力猜解测试当遍历攻击失败,测试者可尝试使用暴力破解的方式进行验证。暴力破解测试肯能可能碰到锁定用户或IP等限制。验证绕过测试本项测试尝试以非常规的方式企图绕过身份认证机制,使得应用程序资源失去正常的保护,从而能够在没有认证的情况下访问这些受保护的资源。密码重置/找回
43、漏洞测试本项测试鉴定应用程序的“忘记密码”功能是否起到足够的保护,检查应用程序是否允许用户在浏览器中存储密码。用户注销缓存漏洞测试检查注销和缓存功能能否得到正确实现。多因素认证漏洞测试多因素身份验证将测试以下认证方式的安全性:一次性密码(OTP)所生成的验证码,USB加密设备基于X.509证书的智能卡通过SMS发送的随机一次性密码只有合法用户知道的个人信息会话管理测试会话管理测试本项测试分析会话管理模式和机制,鉴定发送给客户端浏览器的会话验证码的安全性,鉴定是否能够打破这一机制从而绕过用户会话。如:对Cookie实行反向工程,通过篡改Cookies来劫持会话。Cookie属性测试Cookies
44、通常是恶意用户攻击合法用户的关键途径。本项测试将分析应用程序在分派Cookie时如何采取必要的防护措施,以及这些已正确配置的Cookie属性。会话固定测试本项测试鉴定当应用程序在成功验证用户后不再更新Cookie 时,能否找到会话固定漏洞并迫使用户使用攻击者已知的Cookie 。会话变量泄漏测试由于会话验证码连系了用户身份和用户会话,它所代表的是保密信息。本项测试鉴定会话验证码是否暴露在漏洞中,并试着追溯会话攻击。CSRF跨站请求伪造测试跨站伪造请求指在Web应用中,迫使已通过验证的未知用户执行非法请求的方法。本项测试鉴定应用程序是否存在这种漏洞。授权测试路径遍历测试本项测试鉴定是否能够找到一
45、种方法来执行路径遍历攻击并获成功得服务器返回的信息。授权绕过测试本项测试核实如何对某个角色或特权实施授权模式以便获得保留的功能和资源。权限提升测试本项测试确认用户是否可能采用特权提升攻击的方式修改自己在应用程序内部的特权或角色。数据验证测试跨站脚本反射测试反射式跨站脚本攻击 (XSS) 是非持久性跨站脚本攻击的另一个名称。该攻击不会使用存在漏洞的Web应用程序加载,而使用受害者载入的违规的URI 。本项测试将确认应用程序对来自用户提交的恶意代码是否进行了存储或反射处理,对各类非法字符进行了严格过滤。存储跨站脚本测试储存式跨站脚本(XSS)是一种最危险的跨站脚本。允许用户存储数据的Web应用程序都有可能遭受这种类型的攻击。SQL 注入