風(fēng)險(xiǎn)評(píng)估案例

第118頁(yè)共118頁(yè)珠海中富實(shí)業(yè)股份有限公司信息系統(tǒng)安全評(píng)估方案杭州安恒信息技術(shù)有限公司2013年10月

目錄TOC\o"1-2"\h\z\u1 項(xiàng)目概述 41.1 項(xiàng)目背景 41.2 項(xiàng)目目標(biāo) 41.3 工作范圍 51.4 項(xiàng)目原則 71.5 項(xiàng)目依據(jù) 91.6 項(xiàng)目?jī)?nèi)容 102 風(fēng)險(xiǎn)評(píng)估綜述 122.1風(fēng)險(xiǎn)評(píng)估概要 122.2風(fēng)險(xiǎn)要素及模型 133 風(fēng)險(xiǎn)評(píng)估流程和方法 153.1 信息安全風(fēng)險(xiǎn)評(píng)估流程 153.2 信息安全滲透測(cè)試流程 253.3 評(píng)估方法與工具 273.4 輸出文檔 374 信息系統(tǒng)可能存在安全風(fēng)險(xiǎn)和漏洞 384.1 基礎(chǔ)架構(gòu)環(huán)境可能存在的安全漏洞 384.2 企業(yè)網(wǎng)絡(luò)與網(wǎng)絡(luò)安全可能存在的安全漏洞 404.3 企業(yè)郵件應(yīng)用系統(tǒng)可能存在的安全漏洞 414.4 企業(yè)ERP+BI核心應(yīng)用系統(tǒng)可能存在的安全漏洞 424.5 企業(yè)基礎(chǔ)支撐平臺(tái)可能存在的安全漏洞 445 保密管理 465.1 簽署保密責(zé)任書 465.2 現(xiàn)場(chǎng)安全保密管理 465.3 文檔安全保密管理 465.4 離場(chǎng)安全保密管理 466 項(xiàng)目實(shí)施與方案 476.1 組織結(jié)構(gòu) 476.2 工作配合 476.3 質(zhì)量保證 496.4 實(shí)施過(guò)程風(fēng)險(xiǎn)控制措施 506.5項(xiàng)目成果提交 517 安恒信息簡(jiǎn)介 537.1公司簡(jiǎn)介 537.2WEB應(yīng)用防護(hù)的領(lǐng)導(dǎo)廠商 547.3安全研究 547.4WEB應(yīng)用防火墻核心專利技術(shù) 547.5SQL注入WEB攻擊的實(shí)時(shí)入侵檢測(cè)系統(tǒng)專利 557.6OWASP安全組織的主要成員之一 567.7國(guó)家信息安全漏洞共享平臺(tái)技術(shù)合作組成員之一 577.8安全產(chǎn)品 587.9安全服務(wù) 598 公司服務(wù)相關(guān)資質(zhì)和獎(jiǎng)勵(lì) 618.1 企業(yè)相關(guān)資質(zhì) 618.2 企業(yè)近3年在國(guó)家、部級(jí)、省級(jí)的獲獎(jiǎng)情況 698.3維護(hù)服務(wù)隊(duì)伍的專業(yè)配置 839 部分客戶案例匯總表 9610 附錄信息安全評(píng)估系統(tǒng)檢查點(diǎn) 98項(xiàng)目概述項(xiàng)目背景珠海中富公司為美國(guó)“可口可樂”、“百事可樂”兩大國(guó)際飲料公司在中國(guó)的灌裝廠，以及國(guó)內(nèi)名牌飲料廠家提供食品飲料容器包裝，是目前中國(guó)生產(chǎn)設(shè)備最齊全、技術(shù)最先進(jìn)、規(guī)模最大的PET瓶專業(yè)生產(chǎn)企業(yè)之一。產(chǎn)品符合我國(guó)食品衛(wèi)生標(biāo)準(zhǔn)，并獲“可口可樂”、“百事可樂”公司質(zhì)量認(rèn)可，指定為該兩大公司的飲料提供包裝材料。本公司產(chǎn)品有各種款式的PET汽水，礦泉水，純凈水，蒸餾水瓶和PET熱灌裝（茶、果汁）飲料瓶與PET防爆啤酒瓶及系列瓶胚，PVC熱收縮型與OPP粘貼型彩印標(biāo)簽，PVC、LDPE、LLDPE熱收縮膜（套），HDPE、LDPE、LLDPE薄膜與各種規(guī)格的塑料袋，高級(jí)優(yōu)質(zhì)包裝紙箱等，并提供飲料貼牌加工（OEM）服務(wù)。隨著信息技術(shù)的廣泛應(yīng)用，IT系統(tǒng)成為珠海中富公司日常業(yè)務(wù)高度依賴的基礎(chǔ)，信息系統(tǒng)也逐漸龐大而復(fù)雜，IT成為員工每天工作不可缺少的一部分。然而，無(wú)論我們是否已經(jīng)注意到，不斷披露的漏洞、肆虐的蠕蟲病毒、淡薄的安全意識(shí)、不足的安全技能……這些都實(shí)實(shí)在在的存在著。公司IT系統(tǒng)確實(shí)面臨著各種安全風(fēng)險(xiǎn)和安全威脅，識(shí)別和解決與安全性相關(guān)的問題變得越來(lái)越重要。為了以適當(dāng)方式減緩這些威脅，珠海中富公司必須識(shí)別出IT系統(tǒng)真實(shí)存在的風(fēng)險(xiǎn)，并將其納入安全框架中，然后利用該框架來(lái)確定產(chǎn)品、服務(wù)的安全要求，制定和實(shí)施基線防護(hù)措施。項(xiàng)目目標(biāo)本次項(xiàng)目旨在協(xié)助珠海中富公司做好信息安全規(guī)劃落實(shí)工作、重要措施部署工作及重大工程建議工作，同時(shí)結(jié)合系統(tǒng)建設(shè)的自身特點(diǎn)情況，評(píng)估目標(biāo)系統(tǒng)是否存在可以被攻擊者真實(shí)利用的漏洞以及由此引起的風(fēng)險(xiǎn)大小，為制定相應(yīng)的安全措施與解決方案提供實(shí)際的依據(jù)，積極推進(jìn)雙方在信息安全檢測(cè)技術(shù)、入侵監(jiān)測(cè)技術(shù)、安全評(píng)估等方面的研究和交流。將通過(guò)模擬黑客可能使用的漏洞發(fā)現(xiàn)技術(shù)與攻擊模式，對(duì)珠海中富公司授權(quán)的目標(biāo)系統(tǒng)進(jìn)行深入的探測(cè)與信息發(fā)掘，以發(fā)現(xiàn)系統(tǒng)中最脆弱的環(huán)節(jié)和可能被利用的入侵點(diǎn)，并明確當(dāng)前系統(tǒng)中可能存在的嚴(yán)重問題，必要情況下可能獲得目標(biāo)系統(tǒng)最高權(quán)限并進(jìn)行相關(guān)說(shuō)明，同時(shí)避免導(dǎo)致目標(biāo)系統(tǒng)的不正常行為及影響正常的應(yīng)用。本風(fēng)險(xiǎn)評(píng)估項(xiàng)目的目的在于：識(shí)別與評(píng)估IT系統(tǒng)面臨的安全風(fēng)險(xiǎn)和存在的技術(shù)脆弱性；針對(duì)評(píng)估結(jié)果，提出信息安全技術(shù)解決方案；為相關(guān)管理部門制定安全策略、采取安全措施提供決策支持，同時(shí)為下一步安全規(guī)劃提供基礎(chǔ)；制訂出珠海中富公司的安全基線技術(shù)防護(hù)措施；為珠海中富安全等級(jí)自評(píng)提供相關(guān)依據(jù)。工作范圍根據(jù)《GB/T20984—2007信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》，對(duì)珠海中富公司的重要信息系統(tǒng)物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、數(shù)據(jù)安全和安全管理等進(jìn)行安全評(píng)估。珠海中富公司信息系統(tǒng)的清單如下：描述服務(wù)器HPDL系列服務(wù)器DELLPOWERDGE系列服務(wù)器DELLR系列服務(wù)器IBMP系列服務(wù)器EMC存儲(chǔ)及連接光纖網(wǎng)絡(luò)DELLPOWERVAULT存儲(chǔ)FortiNetMailGatewayMbackU郵件備份系統(tǒng)AG1000網(wǎng)絡(luò)存儲(chǔ)網(wǎng)絡(luò)設(shè)備Linksys無(wú)線路由器D-LINK無(wú)線路由器H3C交換機(jī)H3C核心交換機(jī)O2D及E系列防火墻O2U系列防火墻O2SuccendoVPN服務(wù)器Fortinet400防垃圾郵件平臺(tái)WindowsServer2003WindowsStorageServerWindows2008ServerIBMAIX5.xand6.xRadhatEnterpriseLinuxVMWareESX其它設(shè)備SANTAKUPSIBMLTO磁帶機(jī)移動(dòng)MAS機(jī)PloycomV-ConfVSX系列PolycomV-ConfESX系列PolycomV-ConfMCU應(yīng)用服務(wù)OracleDBServerMicrosoftSQLServerMysqlDBserverIBMWebsphereApacheWebServerWindowsIISServerJBossandTomcatWebserverWindowsTerminalServiceUFIDANC5ERPInformaticapowercenterCognos8MicrosoftExchangeEnterpriseServerAnhLabNetworkSecurityV4MicrosoftSharepoint中國(guó)電信企智通SymentecBackupExecMicrosoftActiveDirectoryWindowsDNSServiceWindowsDHCPServiceWindowsWSUSServiceServ-U8.xFTPServerLogbase日志審計(jì)系統(tǒng)PasswordSafy管理系統(tǒng)SensaphoneIMS-1000機(jī)房環(huán)境監(jiān)控系統(tǒng)山特UPS備用電源應(yīng)用系統(tǒng)ColasoftCapsa網(wǎng)絡(luò)監(jiān)控系統(tǒng)Ios平臺(tái)手機(jī)郵箱、VPN網(wǎng)絡(luò)連接Android平臺(tái)手機(jī)郵箱、VPN網(wǎng)絡(luò)連接項(xiàng)目原則珠海中富風(fēng)險(xiǎn)評(píng)估項(xiàng)目的方案設(shè)計(jì)與實(shí)施應(yīng)滿足以下原則：符合性原則安恒信息在珠海中富的安全服務(wù)項(xiàng)目過(guò)程中將嚴(yán)格遵守國(guó)家的相關(guān)法律法規(guī)，并綜合考慮網(wǎng)絡(luò)與信息系統(tǒng)的重要性、涉密程度和面臨的信息安全風(fēng)險(xiǎn)等因素，進(jìn)行相應(yīng)等級(jí)的安全建設(shè)和管理規(guī)劃。堅(jiān)持積極防御、綜合防范的方針，全面提高信息安全防護(hù)能力，重點(diǎn)保障基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全，創(chuàng)建安全健康的網(wǎng)絡(luò)環(huán)境，保障和促進(jìn)信息化發(fā)展，保護(hù)公眾利益，維護(hù)國(guó)家安全。標(biāo)準(zhǔn)性原則安恒信息在珠海中富的安全服務(wù)項(xiàng)目的方案設(shè)計(jì)、實(shí)施與信息安全體系的構(gòu)建應(yīng)依據(jù)國(guó)內(nèi)、國(guó)際的相關(guān)標(biāo)準(zhǔn)進(jìn)行。規(guī)范性原則安恒信息將從多個(gè)方面配合珠海中富，以便達(dá)到珠海中富對(duì)評(píng)估工作的可控性。這些可控性包括：1） 人員可控性安恒信息項(xiàng)目組人員的資歷都事先通知珠海中富，并經(jīng)過(guò)珠海中富的認(rèn)可。安恒信息將確保項(xiàng)目組成員工作的連續(xù)性。安恒信息將派遣有經(jīng)驗(yàn)的顧問和工程師參加本項(xiàng)目的安全服務(wù)工作，同時(shí)還會(huì)安排有經(jīng)驗(yàn)的項(xiàng)目管理人員、質(zhì)量保證人員、標(biāo)準(zhǔn)化審核人員等支持項(xiàng)目的工作。安恒信息公司的人員安排將在服務(wù)的工作說(shuō)明中明確定義并得到雙方的同意、確認(rèn)和簽署。如果根據(jù)項(xiàng)目的具體情況，后期需要進(jìn)行人員調(diào)整時(shí)，必須經(jīng)過(guò)正規(guī)的項(xiàng)目變更程序，并得到雙方的正式認(rèn)可和簽署。2） 工具可控性安恒信息項(xiàng)目組所使用的所有技術(shù)工具都事先通告珠海中富。并且在必要時(shí)可以應(yīng)珠海中富公司的要求，向珠海中富公司介紹主要工具的使用方法，并進(jìn)行一些測(cè)試實(shí)驗(yàn)。3） 項(xiàng)目過(guò)程可控性風(fēng)險(xiǎn)評(píng)估項(xiàng)目的管理將依據(jù)PMI項(xiàng)目管理方法學(xué)、安恒信息公司的DIEM安全工程模型和安恒信息管理規(guī)范等項(xiàng)目管理方法。特別是在項(xiàng)目管理中突出“溝通管理”，達(dá)到項(xiàng)目過(guò)程的可控性。整體性原則安恒信息將按照珠海中富公司提供的項(xiàng)目范圍進(jìn)行全面的規(guī)劃、設(shè)計(jì)、評(píng)估、審計(jì)、咨詢、加固、培訓(xùn)，從范圍、深度上滿足珠海中富公司的要求。項(xiàng)目實(shí)施包括安全涉及的各個(gè)層面，避免由于遺漏造成未來(lái)的安全隱患；保證安全服務(wù)的全面性，既要包括技術(shù)方面的，又要包括管理策略和培訓(xùn)方面的內(nèi)容。最小影響原則安恒信息會(huì)從項(xiàng)目管理和技術(shù)應(yīng)用的層面，將安全服務(wù)對(duì)系統(tǒng)和網(wǎng)絡(luò)的正常運(yùn)行所可能的影響降到最低程度，不對(duì)當(dāng)前運(yùn)行的網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)產(chǎn)生顯著影響（包括系統(tǒng)性能明顯下降、網(wǎng)絡(luò)擁塞、服務(wù)中斷），同時(shí)在實(shí)施安全服務(wù)前做好備份和應(yīng)急措施。保密原則安恒信息所有參與本項(xiàng)目的項(xiàng)目組成員都將與珠海中富公司簽署此項(xiàng)目特定的保密協(xié)議和非侵害協(xié)議，對(duì)工作過(guò)程數(shù)據(jù)和結(jié)果數(shù)據(jù)嚴(yán)格保密，未經(jīng)授權(quán)不得泄露給任何單位和個(gè)人，不會(huì)利用此數(shù)據(jù)進(jìn)行任何侵害珠海中富的行為。安恒信息項(xiàng)目組在進(jìn)行數(shù)據(jù)交換時(shí)，使用PGP高位數(shù)據(jù)加密軟件，防止明文數(shù)據(jù)共享帶來(lái)的安全隱患。安恒信息將根據(jù)珠海中富要求，對(duì)相關(guān)文檔、數(shù)據(jù)資料設(shè)置保管生命周期，在保管生命周期結(jié)束之后，項(xiàng)目組成員將徹底銷毀所有和項(xiàng)目有關(guān)的數(shù)據(jù)和文檔資料，并承諾不做任何恢復(fù)動(dòng)作。2/8原則珠海中富公司的IT系統(tǒng)龐大，如果對(duì)所有的系統(tǒng)都詳細(xì)評(píng)估將花費(fèi)大量的人力和資源，既不可行，也沒必要。根據(jù)業(yè)界經(jīng)驗(yàn)20%的安全問題導(dǎo)致80%的損失，我們將評(píng)估重點(diǎn)花在20％相對(duì)重要的系統(tǒng)上，而對(duì)其它的信息系統(tǒng)如用戶終端或普通服務(wù)器、交換機(jī)則采用抽樣的方式進(jìn)行評(píng)估，既保證了重點(diǎn)，也保證了一定的代表性和全明性。項(xiàng)目依據(jù)依據(jù)《信息安全風(fēng)險(xiǎn)管理指南》、《信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》等在對(duì)信息系統(tǒng)進(jìn)行安全技術(shù)的安全控制測(cè)評(píng)及系統(tǒng)整體測(cè)評(píng)結(jié)果基礎(chǔ)上，針對(duì)相信息系統(tǒng)遵循的標(biāo)準(zhǔn)進(jìn)行綜合系統(tǒng)測(cè)評(píng)，提出相應(yīng)的信息系統(tǒng)安全整改建議。主要參考標(biāo)準(zhǔn)如下：《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》（GB/T20984-2007）《信息安全技術(shù)信息安全風(fēng)險(xiǎn)管理指南》（GB/Z24364-2009）《信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》（GB/T20270-2006）《信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求》（GB/T20272-2006）《信息安全技術(shù)數(shù)據(jù)庫(kù)管理系統(tǒng)安全技術(shù)要求》（GB/T20273-2006）《信息安全技術(shù)服務(wù)器技術(shù)要求》（GB/T21028-2007）《信息安全技術(shù)終端計(jì)算機(jī)系統(tǒng)安全等級(jí)技術(shù)要求》（GA/T671-2006）《OWASPTestingGuide》《信息系統(tǒng)Web安全測(cè)試規(guī)范》ISO13335《IT安全管理方針》項(xiàng)目?jī)?nèi)容根據(jù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范的相關(guān)標(biāo)準(zhǔn)尋找信息系統(tǒng)安全基線差距，加固管信息安全系統(tǒng)中現(xiàn)有的安全風(fēng)險(xiǎn)（僅限于安全配置加固），重點(diǎn)提高應(yīng)用系統(tǒng)安全防護(hù)能力，本次服務(wù)內(nèi)容包括：漏洞掃描使用一些定制工具，對(duì)系統(tǒng)可能存在的漏洞進(jìn)行評(píng)估和量定。通過(guò)對(duì)網(wǎng)絡(luò)的掃描，能了解信息系統(tǒng)的安全設(shè)置和運(yùn)行的應(yīng)用服務(wù)，及時(shí)發(fā)現(xiàn)安全漏洞，客觀評(píng)估網(wǎng)絡(luò)風(fēng)險(xiǎn)等級(jí)。根據(jù)掃描的結(jié)果更正網(wǎng)絡(luò)安全漏洞和系統(tǒng)中的錯(cuò)誤設(shè)置，在黑客攻擊前進(jìn)行防范。如果說(shuō)防火墻和網(wǎng)絡(luò)監(jiān)視系統(tǒng)是被動(dòng)的防御手段，那么安全掃描就是一種主動(dòng)的防范措施，能有效避免黑客攻擊行為，做到防患于未然。安全評(píng)估為了充分了解企業(yè)專用網(wǎng)絡(luò)信息系統(tǒng)的當(dāng)前安全狀況或安全隱患，通過(guò)訓(xùn)練有素的專業(yè)安全分析人員對(duì)系統(tǒng)漏洞進(jìn)行人工測(cè)試和量定，對(duì)系統(tǒng)可能存在的危險(xiǎn)性及其可能產(chǎn)生的后果進(jìn)行綜合評(píng)價(jià)和預(yù)測(cè)，并根據(jù)可能導(dǎo)致的事故風(fēng)險(xiǎn)的大小，提出相應(yīng)的安全對(duì)策措施，以達(dá)到保障信息系統(tǒng)安全的過(guò)程。滲透測(cè)評(píng)滲透測(cè)試（PenetrationTest）是指安全工程師盡可能完整地模擬黑客使用的漏洞發(fā)現(xiàn)技術(shù)和攻擊手段，對(duì)目標(biāo)網(wǎng)絡(luò)/系統(tǒng)/主機(jī)/應(yīng)用的安全性作深入的探測(cè)，發(fā)現(xiàn)系統(tǒng)最脆弱的環(huán)節(jié)的過(guò)程。滲透測(cè)試能夠直觀的讓管理人員知道自己網(wǎng)絡(luò)所面臨的問題。滲透測(cè)試是一種專業(yè)的安全服務(wù)，類似于軍隊(duì)里的“實(shí)戰(zhàn)演習(xí)”或者“沙盤推演”的概念，通過(guò)實(shí)戰(zhàn)和推演，讓用戶清晰了解目前網(wǎng)絡(luò)的脆弱性、可能造成的影響，以便采取必要的防范措施。對(duì)于在運(yùn)行的應(yīng)用系統(tǒng)開展?jié)B透測(cè)試服務(wù)，發(fā)現(xiàn)系統(tǒng)存在的漏洞。滲透測(cè)試是對(duì)在線應(yīng)用系統(tǒng)最好的漏洞發(fā)現(xiàn)機(jī)制，不影響系統(tǒng)的正常運(yùn)行，可發(fā)現(xiàn)系統(tǒng)運(yùn)行中的漏洞。對(duì)于新上線業(yè)務(wù)系統(tǒng)，制定安全上線檢測(cè)基線管理，開展基線檢查、漏洞掃描和代碼審核；將系統(tǒng)運(yùn)行狀態(tài)安全檢測(cè)提前至系統(tǒng)上線前，做好提前防護(hù)，可以規(guī)避大部分安全問題；上線評(píng)測(cè)過(guò)程會(huì)形成應(yīng)用系統(tǒng)安全配置信息，便于系統(tǒng)上線后的維護(hù)管理。風(fēng)險(xiǎn)評(píng)估綜述風(fēng)險(xiǎn)評(píng)估概要風(fēng)險(xiǎn)評(píng)估的目的是全面、準(zhǔn)確的了解組織機(jī)構(gòu)的網(wǎng)絡(luò)安全現(xiàn)狀，發(fā)現(xiàn)系統(tǒng)的安全問題及其可能的危害，為系統(tǒng)最終安全需求的提出提供依據(jù)：分析網(wǎng)絡(luò)信息系統(tǒng)的安全需求，找出目前的安全策略和實(shí)際需求的差距，為保護(hù)信息系統(tǒng)的安全提供科學(xué)依據(jù)；通過(guò)合理步驟制定適合系統(tǒng)具體情況的安全策略及其管理和實(shí)施規(guī)范，為安全體系的設(shè)計(jì)提供參考。風(fēng)險(xiǎn)評(píng)估是一個(gè)組織機(jī)構(gòu)實(shí)現(xiàn)信息系統(tǒng)安全的必要的、重要的步驟，可以使單位的決策者們對(duì)其業(yè)務(wù)信息系統(tǒng)的安全建設(shè)或安全改造思路有更深刻的認(rèn)識(shí)。通過(guò)安全風(fēng)險(xiǎn)評(píng)估，他們將清楚業(yè)務(wù)信息系統(tǒng)包含的重要資產(chǎn)、面臨的主要威脅、本身的弱點(diǎn)；哪些威脅出現(xiàn)的可能性較大，造成的影響也較大，哪些威脅出現(xiàn)的可能性較小，造成的影響可以忽略不計(jì)；通過(guò)保護(hù)哪些資產(chǎn)，防止哪些威脅出現(xiàn)，如何保護(hù)和防止才能保證系統(tǒng)達(dá)到某一安全級(jí)別；所提出的安全方案需要多少技術(shù)和費(fèi)用的消耗；更進(jìn)一步，我們還會(huì)分析出信息系統(tǒng)的風(fēng)險(xiǎn)是如何隨時(shí)間變化的，將來(lái)應(yīng)如何面對(duì)這些風(fēng)險(xiǎn)。風(fēng)險(xiǎn)評(píng)估為后期進(jìn)一步安全防護(hù)技術(shù)的實(shí)施提供了嚴(yán)謹(jǐn)?shù)陌踩碚撘罁?jù)，為決策者制定網(wǎng)絡(luò)安全策略、構(gòu)架安全體系以及確定有效的安全措施、選擇可靠的安全產(chǎn)品、建立全面的安全防護(hù)層次提供了一套完整、規(guī)范的指導(dǎo)模型。一個(gè)完整的安全體系和安全解決方案是根據(jù)網(wǎng)絡(luò)體系結(jié)構(gòu)和網(wǎng)絡(luò)安全形勢(shì)的具體情況來(lái)確定的，沒有一個(gè)“以不變應(yīng)萬(wàn)變”的通用的安全解決方案。信息安全關(guān)心的是保護(hù)信息資產(chǎn)免受威脅。絕對(duì)安全是不可能的，只能通過(guò)一定的措施把風(fēng)險(xiǎn)降低到一個(gè)可接受的程度。對(duì)一個(gè)組織來(lái)說(shuō)，解決信息安全的首要問題就是明白組織的信息與網(wǎng)絡(luò)系統(tǒng)目前與未來(lái)的風(fēng)險(xiǎn)所在，充分評(píng)估這些風(fēng)險(xiǎn)可能帶來(lái)的威脅與影響的程度，做到“對(duì)癥下藥”，這就是網(wǎng)絡(luò)信息系統(tǒng)的安全風(fēng)險(xiǎn)評(píng)估。作為信息安全工程學(xué)重要組成部分的風(fēng)險(xiǎn)評(píng)估是有效保證信息安全的前提條件，也是建立在網(wǎng)絡(luò)入侵防護(hù)系統(tǒng)、實(shí)施風(fēng)險(xiǎn)管理程序所開展的一項(xiàng)基礎(chǔ)性工作。其原理是對(duì)采用的安全策略和規(guī)章制度進(jìn)行評(píng)審，發(fā)現(xiàn)不合理的地方，采用模擬攻擊的形式對(duì)目標(biāo)可能存在的已知安全漏洞進(jìn)行逐項(xiàng)檢查，確定存在的安全隱患和風(fēng)險(xiǎn)級(jí)別。風(fēng)險(xiǎn)分析針對(duì)包括系統(tǒng)的體系結(jié)構(gòu)、安全策略、人員狀況以及各類設(shè)備如服務(wù)器、交換機(jī)、工作站等各種對(duì)象。根據(jù)檢查結(jié)果向系統(tǒng)管理員提供周密可靠的安全性分析報(bào)告，為提高網(wǎng)絡(luò)安全整體水平提供重要依據(jù)。信息技術(shù)使用面的迅速擴(kuò)大和相關(guān)安全風(fēng)險(xiǎn)知識(shí)的增長(zhǎng)，使得所有風(fēng)險(xiǎn)被準(zhǔn)確識(shí)別、評(píng)估和管理變得相當(dāng)重要。安恒公司根據(jù)信息安全管理標(biāo)準(zhǔn)BS7799和ISO13335等的信息安全管理標(biāo)準(zhǔn)的風(fēng)險(xiǎn)管理思想及其安全風(fēng)險(xiǎn)模型，制定了一系列的信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估方案。在這些方案中，安恒公司還結(jié)合了大量的國(guó)際國(guó)內(nèi)標(biāo)準(zhǔn)的指導(dǎo)，保證了整個(gè)評(píng)估的有效性和全面性。經(jīng)過(guò)多年的積累和經(jīng)驗(yàn)證明，這些評(píng)估方法適合于我國(guó)眾多組織和機(jī)構(gòu)。它們既適用于大型網(wǎng)絡(luò)信息系統(tǒng)的評(píng)估，也可以有針對(duì)性的對(duì)局部某一應(yīng)用系統(tǒng)進(jìn)行評(píng)估。通過(guò)不同方式的安全評(píng)估，可以客觀地、有重點(diǎn)地反映出信息系統(tǒng)某些方面的安全狀況。風(fēng)險(xiǎn)要素及模型風(fēng)險(xiǎn)的三個(gè)要素為“資產(chǎn)”、“威脅”和“脆弱性”。安全風(fēng)險(xiǎn)模型是整個(gè)安全風(fēng)險(xiǎn)評(píng)估過(guò)程的主導(dǎo)。“資產(chǎn)”由于自身的“脆弱性”，使得各種“威脅”的發(fā)生成為可能，從而形成風(fēng)險(xiǎn)，這種可能一旦成為現(xiàn)實(shí)，則會(huì)造成“影響”。換句話說(shuō)，風(fēng)險(xiǎn)分析的過(guò)程實(shí)際上就是對(duì)“影響”、“威脅”和“脆弱性”分析的過(guò)程，但它們都緊緊圍繞著“資產(chǎn)”。“威脅”是指可能對(duì)資產(chǎn)或組織造成損害事故的潛在原因。作為風(fēng)險(xiǎn)評(píng)估的重要因素，“威脅”是一個(gè)客觀存在的事物，無(wú)論對(duì)于多么安全的信息系統(tǒng)，它都存在?！按嗳跣浴笔侵纲Y產(chǎn)或資產(chǎn)組中能被“威脅”所利用的漏洞，它包括物理環(huán)境、組織機(jī)構(gòu)、業(yè)務(wù)流程、人員、管理、硬件、軟件及通訊設(shè)施等各個(gè)方面，這些都可能被各種安全威脅利用來(lái)侵害一個(gè)組織機(jī)構(gòu)內(nèi)的有關(guān)資產(chǎn)及這些資產(chǎn)所支持的業(yè)務(wù)系統(tǒng)。這些表現(xiàn)出來(lái)的各種安全薄弱環(huán)節(jié)自身并不會(huì)造成什么影響，它們只有在被各種安全威脅利用后才可能造成相應(yīng)的危害。在風(fēng)險(xiǎn)評(píng)估階段，資產(chǎn)的價(jià)值、資產(chǎn)破壞后造成的影響、威脅的嚴(yán)重程度、威脅發(fā)生的可能性、資產(chǎn)的脆弱程度都成為風(fēng)險(xiǎn)評(píng)估的關(guān)鍵因素，參見下圖。風(fēng)險(xiǎn)分析結(jié)束后，可以客觀的根據(jù)所有資產(chǎn)面臨的風(fēng)險(xiǎn)狀況提出安全需求，并通過(guò)針對(duì)性的選擇和實(shí)施某些安全控制措施來(lái)滿足安全需求，從而達(dá)到降低風(fēng)險(xiǎn)的目的。安全措施安全措施抗擊業(yè)務(wù)戰(zhàn)略脆弱性安全需求威脅風(fēng)險(xiǎn)殘余風(fēng)險(xiǎn)安全事件依賴擁有被滿足利用暴露降低增加加依賴增加導(dǎo)出演變未被滿足未控制可能誘發(fā)殘留成本資產(chǎn)資產(chǎn)價(jià)值風(fēng)險(xiǎn)要素之間的關(guān)系根據(jù)安全風(fēng)險(xiǎn)評(píng)估模型，風(fēng)險(xiǎn)評(píng)估就是對(duì)資產(chǎn)、威脅、脆弱性及風(fēng)險(xiǎn)的評(píng)估。資產(chǎn)的評(píng)估主要是對(duì)資產(chǎn)進(jìn)行相對(duì)估價(jià)，而其估價(jià)準(zhǔn)則就是依賴于對(duì)其影響的分析。威脅評(píng)估就是對(duì)資產(chǎn)所受威脅發(fā)生可能性及威脅嚴(yán)重程度的評(píng)估。脆弱性的評(píng)估是對(duì)資產(chǎn)脆弱程度的評(píng)估，也即是對(duì)資產(chǎn)被威脅利用成功的可能性的評(píng)估。安全風(fēng)險(xiǎn)評(píng)估就是通過(guò)綜合分析評(píng)估后的資產(chǎn)信息、威脅信息和脆弱性信息，最終生成風(fēng)險(xiǎn)信息。風(fēng)險(xiǎn)評(píng)估流程和方法信息安全風(fēng)險(xiǎn)評(píng)估流程評(píng)估準(zhǔn)備階段評(píng)估對(duì)象確定：根據(jù)已經(jīng)了解到的被評(píng)估系統(tǒng)信息，分析整個(gè)被評(píng)估系統(tǒng)及其涉及的業(yè)務(wù)應(yīng)用系統(tǒng)，確定出本次評(píng)估的對(duì)象。評(píng)估指標(biāo)確定：根據(jù)已經(jīng)了解到的被評(píng)估系統(tǒng)定級(jí)結(jié)果，確定出被評(píng)估系統(tǒng)的評(píng)估指標(biāo)。評(píng)估工具接入點(diǎn)確定：確定需要進(jìn)行工具評(píng)估的對(duì)象，選擇評(píng)估路徑，根據(jù)評(píng)估路徑確定評(píng)估工具的接入點(diǎn)。評(píng)估內(nèi)容確定：確定現(xiàn)場(chǎng)評(píng)估的具體實(shí)施內(nèi)容，即單元評(píng)估內(nèi)容。評(píng)估實(shí)施手冊(cè)開發(fā)：編制評(píng)估實(shí)施手冊(cè)，詳細(xì)描述現(xiàn)場(chǎng)評(píng)估的工具、方法和操作步驟等，具體指導(dǎo)評(píng)估人員如何進(jìn)行評(píng)估活動(dòng)。工具和表單準(zhǔn)備：根據(jù)系統(tǒng)的實(shí)際情況，準(zhǔn)備評(píng)估工具和各類評(píng)估表單。資產(chǎn)識(shí)別與賦值資產(chǎn)識(shí)別與賦值包括采集資產(chǎn)信息，確定系統(tǒng)劃分原則和等級(jí)評(píng)估原則，并與被評(píng)估單位共同確認(rèn)系統(tǒng)和CIA等級(jí)劃分。資產(chǎn)識(shí)別資產(chǎn)是構(gòu)成整個(gè)系統(tǒng)的各種元素的組合，它直接的表現(xiàn)了這個(gè)系統(tǒng)的業(yè)務(wù)或任務(wù)的重要性，這種重要性進(jìn)而轉(zhuǎn)化為資產(chǎn)應(yīng)具有的保護(hù)價(jià)值。在劃定的評(píng)估范圍內(nèi)，按照網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖的業(yè)務(wù)系統(tǒng)為主線，列出所有資產(chǎn)。資產(chǎn)賦值在識(shí)別出所有信息資產(chǎn)后，接著是為每項(xiàng)資產(chǎn)賦予價(jià)值。資產(chǎn)估價(jià)是一個(gè)主觀的過(guò)程，資產(chǎn)價(jià)值是指其相對(duì)價(jià)值。在對(duì)資產(chǎn)進(jìn)行估價(jià)時(shí)，不僅要考慮資產(chǎn)的成本價(jià)格，更重要的是考慮資產(chǎn)對(duì)于組織的運(yùn)作的重要性，即根據(jù)資產(chǎn)損失所引發(fā)的潛在的影響來(lái)決定。為確保資產(chǎn)估價(jià)時(shí)的一致性和準(zhǔn)確性，將建立一個(gè)資產(chǎn)價(jià)值尺度（資產(chǎn)評(píng)估標(biāo)準(zhǔn)），以明確如何對(duì)資產(chǎn)進(jìn)行賦值。在本次項(xiàng)目中，依據(jù)信息資產(chǎn)的保密性、可用性和完整性來(lái)劃分資產(chǎn)等級(jí)，進(jìn)行科學(xué)有效的賦值。資產(chǎn)的賦值將首先根據(jù)前面資產(chǎn)的調(diào)查結(jié)果對(duì)資產(chǎn)屬性進(jìn)行權(quán)值定義，然后對(duì)資產(chǎn)進(jìn)行影響分析。影響就是由人為或突發(fā)性因素引起的安全事件對(duì)資產(chǎn)破壞的后果。這一后果可能毀滅某些資產(chǎn)，危及并使其喪失機(jī)密性、完整性、可用性。按照CIA模型，資產(chǎn)的價(jià)值可以分為保密性（C）、完整性（I）和可用性（A），可參考下表的資產(chǎn)賦值方法。級(jí)別定義保密性(C)完整性(I)可用性(A)5屬于絕密信息，完全不允許泄漏，只有組織高層可以接觸完全不允許出現(xiàn)變更，必須采用實(shí)時(shí)檢測(cè)機(jī)制基本不允許中斷，可靠性達(dá)到99.9999%4屬于機(jī)密信息，不允許泄漏，組織中層以上可以接觸不允許出現(xiàn)變更，應(yīng)采用實(shí)時(shí)檢測(cè)機(jī)制可短時(shí)間中斷，可靠性達(dá)到99.99%3屬于秘密信息，不允許泄漏，業(yè)務(wù)相關(guān)人員可以接觸不允許出現(xiàn)變更，應(yīng)采用檢測(cè)機(jī)制中斷時(shí)間小于1天，可靠性達(dá)到99.9%2屬于內(nèi)部信息，組織內(nèi)部人員可以接觸，可小范圍公開允許出現(xiàn)小范圍的不一致，并在短時(shí)間內(nèi)更正中斷時(shí)間小于1天，可靠性達(dá)到99%1屬于公開信息基本沒有要求，不一致時(shí)可在一定時(shí)間內(nèi)更正對(duì)故障時(shí)間基本沒有要求資產(chǎn)價(jià)值VA可采用以下計(jì)算公式：在此階段輸出成果為：《珠海中富公司網(wǎng)絡(luò)與信息系統(tǒng)資產(chǎn)識(shí)別表》威脅評(píng)估威脅是對(duì)系統(tǒng)的資產(chǎn)引起不期望事件而造成的損害的潛在可能性。威脅可能源于對(duì)資產(chǎn)直接或間接的攻擊，例如非授權(quán)的泄露、篡改、刪除等在機(jī)密性、完整性或可用性等方面造成損害。威脅也可能源于偶發(fā)的、或蓄意的事件。一般來(lái)說(shuō)，威脅總是要利用網(wǎng)絡(luò)中的系統(tǒng)、應(yīng)用或服務(wù)的脆弱性才可能成功地對(duì)資產(chǎn)造成傷害。威脅具有兩個(gè)屬性：可能性、影響?？赡苄院陀绊懣梢员毁x予一個(gè)數(shù)值，來(lái)表示該屬性。在這一過(guò)程中，首先要對(duì)組織需要保護(hù)的每一項(xiàng)關(guān)鍵資產(chǎn)進(jìn)行威脅識(shí)別。在威脅識(shí)別過(guò)程中，應(yīng)根據(jù)資產(chǎn)所處的環(huán)境條件和資產(chǎn)以前遭受威脅損害的情況來(lái)判斷，一項(xiàng)資產(chǎn)可能面臨著多個(gè)威脅，同樣一個(gè)威脅可能對(duì)不同的資產(chǎn)造成影響。識(shí)別出威脅由誰(shuí)或什么因素引發(fā)以及威脅影響的資產(chǎn)是什么，即確認(rèn)威脅的主體和客體。威脅可能源于意外的或有預(yù)謀的事件。用于威脅評(píng)估的信息能夠從信息安全管理的有關(guān)人員以及相關(guān)的過(guò)程中獲得。接著要做的是對(duì)每種威脅的嚴(yán)重性和發(fā)生的可能性進(jìn)行分析，最終為其賦一個(gè)相對(duì)等級(jí)值。威脅的嚴(yán)重性是威脅本身的一個(gè)重要因素，因?yàn)樵陲L(fēng)險(xiǎn)的分析時(shí)這個(gè)因素由資產(chǎn)的相對(duì)價(jià)值體現(xiàn)出來(lái)，所以在這一階段并不對(duì)威脅的嚴(yán)重性進(jìn)行詳細(xì)評(píng)估。評(píng)估確定威脅發(fā)生的可能性是這一階段的重要工作，將根據(jù)經(jīng)驗(yàn)和有關(guān)的統(tǒng)計(jì)數(shù)據(jù)來(lái)判斷威脅發(fā)生的頻率或者發(fā)生的概率。一個(gè)潛在脆弱性被一個(gè)給定威脅源攻擊的可能性可以用不同的級(jí)別來(lái)表示。下表描述了威脅可能性VL的級(jí)別。可能性賦值簡(jiǎn)稱說(shuō)明5VH幾乎肯定4H很可能3M可能2L不太可能1N罕見威脅影響分析可以使得組織清晰理解各業(yè)務(wù)系統(tǒng)對(duì)他們的重要性，以及如果發(fā)生安全事件，將會(huì)對(duì)組織有什么樣的影響，從而確定相應(yīng)的安全需求。影響分析時(shí)，現(xiàn)有控制措施的存在和有效性也是應(yīng)該考慮的重要因素。影響可以被賦予一個(gè)數(shù)值，來(lái)表示該屬性。級(jí)別定義經(jīng)濟(jì)影響(F)時(shí)間敏感性(T)對(duì)客戶影響(C)社會(huì)影響(S)法律影響（L）導(dǎo)致直接經(jīng)濟(jì)損失（￥）可接受的中斷時(shí)間不滿意的客戶數(shù)量會(huì)引起如下機(jī)構(gòu)的注意將涉及不同程度的法律問題510,000,000以上1小時(shí)以下50,000以上國(guó)際的媒體、機(jī)構(gòu)被迫面對(duì)復(fù)雜的法律訴訟，案情由級(jí)別相當(dāng)高的法院審理，控方提出的賠付數(shù)額巨大41,000,001-10,000,0001-24小時(shí)10,001-50,000國(guó)家級(jí)媒體、機(jī)構(gòu)提交更高級(jí)別法院立案，訴訟過(guò)程漫長(zhǎng)3100,001-1,000,0001-3天1,001-10,000公司正式提交法院立案250,001-100,0003-10天101-1,000公司部門會(huì)有人就法律問題提出交涉150，000以下10天以上100以下幾人或工作組幾乎沒有法律問題影響值VI可采用以下計(jì)算公式：在本項(xiàng)目中，將通過(guò)人員訪談（含問卷調(diào)查）、IDS抽樣分析等手段，結(jié)合收集的歷史安全事件等記錄，對(duì)面臨的非法用戶、合法用戶、系統(tǒng)組件、物理環(huán)境等各方面威脅進(jìn)行評(píng)估。在此階段輸出成果為：《珠海中富公司網(wǎng)絡(luò)與信息系統(tǒng)威脅識(shí)別表》脆弱性評(píng)估脆弱性和資產(chǎn)緊密相連，它可能被威脅利用、引起資產(chǎn)損失或傷害。值得注意的是，脆弱性本身不會(huì)造成損失，它只是一種條件或環(huán)境、可能導(dǎo)致被威脅利用而造成資產(chǎn)損失。存在于系統(tǒng)安全措施、設(shè)計(jì)、實(shí)現(xiàn)、內(nèi)部管理等方面的脆弱性（漏洞），能夠被使用（偶然觸發(fā)或有意利用）并危害系統(tǒng)安全策略。脆弱性包括技術(shù)性漏洞和非技術(shù)漏洞兩種。技術(shù)性漏洞主要是指操作系統(tǒng)和業(yè)務(wù)應(yīng)用系統(tǒng)等方面存在的設(shè)計(jì)和實(shí)現(xiàn)缺陷。技術(shù)漏洞的標(biāo)號(hào)以CVE漏洞列表的編號(hào)為標(biāo)準(zhǔn)；如果存在某些CVE沒有標(biāo)號(hào)的漏洞，則以國(guó)際通用的BUGTRAQID號(hào)為標(biāo)號(hào)；如果以上兩種編號(hào)都無(wú)法滿足標(biāo)號(hào)要求，則以本次統(tǒng)一的漏洞入庫(kù)編號(hào)中關(guān)于無(wú)法準(zhǔn)確定義的漏洞編號(hào)為準(zhǔn)。技術(shù)性漏洞評(píng)估主要針對(duì)操作系統(tǒng)和業(yè)務(wù)應(yīng)用系統(tǒng)等方面存在的設(shè)計(jì)和實(shí)現(xiàn)缺陷進(jìn)行統(tǒng)計(jì)和歸納。非技術(shù)性漏洞主要是指系統(tǒng)的安全策略、物理和環(huán)境安全、人事安全、訪問控制、組織安全、運(yùn)行安全、系統(tǒng)開發(fā)和維護(hù)、業(yè)務(wù)連續(xù)性管理、遵循性等方面存在的不足或者缺陷。非技術(shù)性漏洞評(píng)估主要針對(duì)以上方面存在的不足或者缺陷進(jìn)行統(tǒng)計(jì)和歸納。按照一般的技術(shù)漏洞和非技術(shù)漏洞的分級(jí)方法，可參考以下脆弱性級(jí)別定義方法：脆弱性級(jí)別定義說(shuō)明4VH可以直接導(dǎo)致系統(tǒng)被非法取得權(quán)限進(jìn)行控制，甚至破壞整個(gè)系統(tǒng)3H可以直接導(dǎo)致系統(tǒng)被非法取得本地用戶權(quán)限，或者用來(lái)執(zhí)行拒絕服務(wù)、遠(yuǎn)程非授權(quán)訪問等入侵行為2M可以被用來(lái)獲取系統(tǒng)信息，非授權(quán)文件讀取等入侵行為1L可以通過(guò)正常業(yè)務(wù)應(yīng)用服務(wù)獲取一般系統(tǒng)信息，不存在被利用獲取更高權(quán)限的威脅0N正常業(yè)務(wù)信息或者掃描執(zhí)行過(guò)程信息在這一過(guò)程，將針對(duì)每一項(xiàng)需要保護(hù)的信息資產(chǎn)，找出每一種威脅所能利用的脆弱性，并對(duì)脆弱性的嚴(yán)重程度進(jìn)行評(píng)估即對(duì)脆弱性被威脅利用的可能性進(jìn)行評(píng)估，最終為其賦相對(duì)的等級(jí)值。在本項(xiàng)目中，將從技術(shù)、管理和策略三個(gè)方面進(jìn)行脆弱性評(píng)估。技術(shù)方面：依據(jù)風(fēng)險(xiǎn)評(píng)估技術(shù)規(guī)范和等級(jí)保護(hù)基本要求，通過(guò)遠(yuǎn)程和本地兩種方式進(jìn)行漏洞掃描、對(duì)網(wǎng)絡(luò)設(shè)備和主機(jī)等進(jìn)行適當(dāng)?shù)娜斯ぐ踩珯z查、對(duì)關(guān)鍵外網(wǎng)服務(wù)主機(jī)進(jìn)行遠(yuǎn)程滲透測(cè)試，以保證技術(shù)脆弱性評(píng)估的全面性和有效性。管理方面：主按照ISO/IEC27001的安全管理要求和等級(jí)保護(hù)基本要求，對(duì)現(xiàn)有的安全管理制度及其執(zhí)行情況進(jìn)行檢查，發(fā)現(xiàn)其中的管理漏洞和不足。策略方面：依據(jù)風(fēng)險(xiǎn)評(píng)估原理和等級(jí)保護(hù)基本要求，從整體網(wǎng)絡(luò)安全的角度對(duì)現(xiàn)有的網(wǎng)絡(luò)安全策略進(jìn)行全局性的評(píng)估，它也包含了技術(shù)和管理方面的內(nèi)容。脆弱性現(xiàn)場(chǎng)評(píng)估將針對(duì)單項(xiàng)進(jìn)行，分別從技術(shù)上的物理安全、網(wǎng)絡(luò)安全、主機(jī)系統(tǒng)安全、應(yīng)用安全和數(shù)據(jù)安全五個(gè)層面和管理上的安全管理機(jī)構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理五個(gè)方面分別進(jìn)行。物理安全：通過(guò)人員訪談、文檔審查和實(shí)地察看的方式評(píng)估信息系統(tǒng)的物理安全保障情況。主要涉及對(duì)象為物理基礎(chǔ)設(shè)施。在內(nèi)容上，物理安全層面評(píng)估實(shí)施過(guò)程涉及10個(gè)評(píng)估單元，包括：物理位置的選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應(yīng)、電磁防護(hù)。網(wǎng)絡(luò)安全：通過(guò)訪人員訪談、配置檢查和工具測(cè)試的方式評(píng)估信息系統(tǒng)的網(wǎng)絡(luò)安全保障情況。主要涉及對(duì)象為網(wǎng)絡(luò)互聯(lián)設(shè)備、網(wǎng)絡(luò)安全設(shè)備和網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。在內(nèi)容上，網(wǎng)絡(luò)安全層面評(píng)估實(shí)施過(guò)程涉及7個(gè)評(píng)估單元，包括：結(jié)構(gòu)安全、訪問控制、安全審計(jì)、邊界完整性檢查、入侵防范、網(wǎng)絡(luò)設(shè)備防護(hù)、惡意代碼防范（針對(duì)三級(jí)系統(tǒng)）。主機(jī)安全：通過(guò)人員訪談、配置檢查和工具測(cè)試的方式評(píng)估信息系統(tǒng)的主機(jī)安全保障情況。主要涉及對(duì)象為各類服務(wù)器的操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)。在內(nèi)容上，主機(jī)系統(tǒng)安全層面評(píng)估實(shí)施過(guò)程涉及7個(gè)評(píng)估單元，包括：身份鑒別、訪問控制、安全審計(jì)、入侵防范、惡意代碼防范、資源控制、剩余信息保護(hù)（針對(duì)三級(jí)系統(tǒng)）。應(yīng)用安全：通過(guò)人員訪談、配置檢查和工具測(cè)試的方式評(píng)估信息系統(tǒng)的應(yīng)用安全保障情況，主要涉及對(duì)象為各類應(yīng)用系統(tǒng)。在內(nèi)容上，應(yīng)用安全層面評(píng)估實(shí)施過(guò)程涉及9個(gè)評(píng)估單元，包括：身份鑒別、訪問控制、安全審計(jì)、通信完整性、通信保密性、軟件容錯(cuò)、資源控制、剩余信息保護(hù)（針對(duì)三級(jí)系統(tǒng)）、抗抵賴（針對(duì)三級(jí)系統(tǒng)）。數(shù)據(jù)安全：通過(guò)人員訪談、配置檢查的方式評(píng)估信息系統(tǒng)的數(shù)據(jù)安全保障情況，主要涉及對(duì)象為信息系統(tǒng)的管理數(shù)據(jù)及業(yè)務(wù)數(shù)據(jù)等。在內(nèi)容上，數(shù)據(jù)安全層面評(píng)估實(shí)施過(guò)程涉及3個(gè)評(píng)估單元，包括：數(shù)據(jù)完整性、數(shù)據(jù)保密性、備份和恢復(fù)。安全管理制度：通過(guò)人員訪談、文檔審查和實(shí)地察看的方式評(píng)估信息系統(tǒng)的安全管理制度情況。在內(nèi)容上，安全管理制度方面評(píng)估實(shí)施過(guò)程涉及3個(gè)評(píng)估單元，包括：管理制度、制定和發(fā)布、評(píng)審和修訂。安全管理機(jī)構(gòu)：通過(guò)人員訪談、文檔審查的方式評(píng)估信息系統(tǒng)的安全管理機(jī)構(gòu)情況。在內(nèi)容上，安全管理機(jī)構(gòu)方面評(píng)估實(shí)施過(guò)程涉及5個(gè)評(píng)估單元，包括：崗位設(shè)置、人員配備、授權(quán)和審批、溝通和合作、審核和檢查。人員安全管理：通過(guò)人員訪談、文檔審查的方式評(píng)估信息系統(tǒng)的人員安全管理情況。在內(nèi)容上，人員安全管理方面評(píng)估實(shí)施過(guò)程涉及5個(gè)評(píng)估單元，包括：人員錄用、人員離崗、人員考核、安全意識(shí)教育和培訓(xùn)、外部人員訪問管理。系統(tǒng)建設(shè)管理：通過(guò)人員訪談、文檔審查的方式評(píng)估信息系統(tǒng)的系統(tǒng)建設(shè)管理情況。在內(nèi)容上，系統(tǒng)建設(shè)管理方面評(píng)估實(shí)施過(guò)程涉及11個(gè)評(píng)估單元，包括：系統(tǒng)定級(jí)、安全方案設(shè)計(jì)、產(chǎn)品采購(gòu)和使用、自行軟件開發(fā)、外包軟件開發(fā)、工程實(shí)施、測(cè)試驗(yàn)收、系統(tǒng)交付、安全服務(wù)商選擇、系統(tǒng)備案（針對(duì)三級(jí)系統(tǒng)）、系統(tǒng)評(píng)估（針對(duì)三級(jí)系統(tǒng)）。系統(tǒng)運(yùn)維管理：通過(guò)人員訪談、文檔審查的方式評(píng)估信息系統(tǒng)的系統(tǒng)運(yùn)維管理情況。在內(nèi)容上，系統(tǒng)運(yùn)維管理方面評(píng)估實(shí)施過(guò)程涉及13個(gè)評(píng)估單元，包括：環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設(shè)備管理、網(wǎng)絡(luò)安全管理、系統(tǒng)安全管理、惡意代碼防范管理、密碼管理、變更管理、備份與恢復(fù)管理、安全事件處置、應(yīng)急預(yù)案管理、監(jiān)控管理和安全管理中心（針對(duì)三級(jí)系統(tǒng)）。在此階段輸出成果為：《珠海中富公司網(wǎng)絡(luò)與信息系統(tǒng)弱點(diǎn)識(shí)別表》風(fēng)險(xiǎn)評(píng)估分析計(jì)算風(fēng)險(xiǎn)是一種潛在可能性，是指某個(gè)威脅利用脆弱性引起某項(xiàng)資產(chǎn)或一組資產(chǎn)的損害，從而直接地或間接地引起的損害。因此，風(fēng)險(xiǎn)和具體的資產(chǎn)、其價(jià)值、威脅等級(jí)以及相關(guān)的脆弱性直接相關(guān)。風(fēng)險(xiǎn)評(píng)估的策略是首先選定某項(xiàng)資產(chǎn)、評(píng)估資產(chǎn)價(jià)值、挖掘并評(píng)估資產(chǎn)面臨的威脅、挖掘并評(píng)估資產(chǎn)存在的脆弱性、評(píng)估該資產(chǎn)的風(fēng)險(xiǎn)、進(jìn)而得出整個(gè)評(píng)估目標(biāo)的風(fēng)險(xiǎn)。風(fēng)險(xiǎn)存在兩個(gè)屬性：后果（Consequence）和可能性（Likelihood）。最終風(fēng)險(xiǎn)的影響，也就是對(duì)風(fēng)險(xiǎn)的評(píng)估賦值是對(duì)上述兩個(gè)屬性權(quán)衡作用的結(jié)果。不同的資產(chǎn)面臨的主要威脅各不相同。而隨著威脅可以利用的、資產(chǎn)存在的脆弱性數(shù)量的增加會(huì)增加風(fēng)險(xiǎn)的可能性，隨著脆弱性類別的提高會(huì)增加該資產(chǎn)面臨風(fēng)險(xiǎn)的后果。在這個(gè)過(guò)程中，將根據(jù)上面評(píng)估的結(jié)果，選擇適當(dāng)?shù)娘L(fēng)險(xiǎn)測(cè)量方法或工具確定風(fēng)險(xiǎn)的大小與風(fēng)險(xiǎn)等級(jí)，即對(duì)安全管理范圍內(nèi)的每一信息資產(chǎn)因遭受泄露、修改、不可用和破壞所帶來(lái)的任何影響做出一個(gè)風(fēng)險(xiǎn)控制的列表，以便識(shí)別與選擇適當(dāng)和正確的安全控制方式，這也將是策劃信息安全管理體系的重要步驟。目前的風(fēng)險(xiǎn)計(jì)算方法，國(guó)際上一直還在不斷的研究中，也有相當(dāng)多的定量或者定性的風(fēng)險(xiǎn)計(jì)算方法被提出，但是并沒有被公認(rèn)接受的風(fēng)險(xiǎn)計(jì)算方法，因?yàn)榘踩L(fēng)險(xiǎn)要素的各個(gè)環(huán)節(jié)存在太多的不確定因素和無(wú)法定量的特性。在本項(xiàng)目中，將以國(guó)際相關(guān)標(biāo)準(zhǔn)推薦的風(fēng)險(xiǎn)評(píng)估規(guī)范方法為主，結(jié)合多年的研究和實(shí)踐經(jīng)驗(yàn)進(jìn)行風(fēng)險(xiǎn)計(jì)算。在能夠得到充足的資產(chǎn)信息的情況下，某資產(chǎn)風(fēng)險(xiǎn)的可能性是面臨的威脅的可能性和資產(chǎn)存在的脆弱性的函數(shù)，而風(fēng)險(xiǎn)的后果是資產(chǎn)的價(jià)值和威脅的影響的函數(shù)。本項(xiàng)目采用的簡(jiǎn)化算式如下：風(fēng)險(xiǎn)值=風(fēng)險(xiǎn)影響值X風(fēng)險(xiǎn)可能性值=（資產(chǎn)價(jià)值X威脅影響）X（威脅可能性X脆弱性）風(fēng)險(xiǎn)評(píng)估報(bào)告前幾個(gè)階段工程實(shí)施基本結(jié)束，最后將對(duì)整個(gè)評(píng)估過(guò)程和結(jié)果進(jìn)行總結(jié)，生成完整的風(fēng)險(xiǎn)評(píng)估報(bào)告，并根據(jù)評(píng)估結(jié)果和需求進(jìn)一步完成相關(guān)的安全技術(shù)建議書等相關(guān)報(bào)告。從報(bào)告中可以看出，評(píng)估范圍內(nèi)業(yè)務(wù)系統(tǒng)包含的重要資產(chǎn)、面臨的主要威脅、本身的脆弱性；哪些威脅出現(xiàn)的可能性較大，造成的影響也較大；通過(guò)保護(hù)哪些資產(chǎn)，防止哪些威脅出現(xiàn)，如何保護(hù)和防止才能保證系統(tǒng)達(dá)到某一安全級(jí)別。為了便于對(duì)風(fēng)險(xiǎn)評(píng)估結(jié)果的評(píng)審，結(jié)果能夠量化的盡可能地量化，不能量化的做出形式化描述。如某個(gè)設(shè)備存在漏洞缺陷的數(shù)量等可以量化的，那么必須給出量化后的結(jié)果；而像某些系統(tǒng)應(yīng)用的安全級(jí)別不好量化，那么應(yīng)根據(jù)有關(guān)的評(píng)估標(biāo)準(zhǔn)來(lái)確定它的安全級(jí)別（如A級(jí)、B級(jí)或C級(jí)）。這樣得出的分析結(jié)果將是大量的表格數(shù)據(jù)，這些數(shù)據(jù)就是以后各項(xiàng)工作的依據(jù)，應(yīng)妥善地保存。另外，可以根據(jù)分析的數(shù)據(jù)結(jié)果得出更進(jìn)一步的評(píng)估結(jié)論。對(duì)結(jié)果進(jìn)行分析時(shí)將所得到的結(jié)果與以前的結(jié)果進(jìn)行比較，或者與其他的評(píng)估結(jié)果進(jìn)行比較，與有關(guān)的標(biāo)準(zhǔn)進(jìn)行比較。嚴(yán)格的比較有助于安全性定級(jí)，因此參照物的選擇很關(guān)鍵。在比較之后，通過(guò)總體的權(quán)衡，給出整個(gè)系統(tǒng)安全性的概述說(shuō)明，并將結(jié)論與評(píng)估結(jié)果生成書面報(bào)告。在此階段輸出成果為：《珠海中富公司網(wǎng)絡(luò)與信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估匯總表》《珠海中富公司網(wǎng)絡(luò)與信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估報(bào)告》《珠海中富公司信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估報(bào)告》（總體報(bào)告）信息安全滲透測(cè)試流程圖1安恒公司信息安全評(píng)估工作流程參見上面的工作流程圖，信息的收集和分析伴隨著每一個(gè)滲透測(cè)試步驟，每一個(gè)步驟又由三個(gè)部分組成：操作、響應(yīng)和結(jié)果分析。實(shí)施方案制定、客戶書面同意客戶書面授權(quán)委托，并同意實(shí)施方案是進(jìn)行安全評(píng)估的必要條件。安全評(píng)估首先必須將實(shí)施方法、實(shí)施時(shí)間、實(shí)施人員，實(shí)施工具等具體的實(shí)施方案提交給客戶，并得到客戶的相應(yīng)書面委托和授權(quán)。應(yīng)該做到客戶對(duì)安全評(píng)估所有細(xì)節(jié)和風(fēng)險(xiǎn)的知曉、所有過(guò)程都在客戶的控制下進(jìn)行。這也是安恒公司的專業(yè)滲透測(cè)試服務(wù)與黑客攻擊入侵的本質(zhì)不同。信息收集分析信息收集是每一步安全評(píng)估的前提，通過(guò)信息收集可以有針對(duì)性地制定模擬攻擊測(cè)試計(jì)劃，提高模擬攻擊的成功率，同時(shí)可以有效的降低攻擊測(cè)試對(duì)系統(tǒng)正常運(yùn)行造成的不利影響。信息收集的方法包括PingSweep、DNSSweep、DNSzonetransfer、操作系統(tǒng)指紋判別、應(yīng)用判別、賬號(hào)掃描、配置判別等。信息收集常用的工具包括商業(yè)網(wǎng)絡(luò)安全漏洞掃描軟件（如，天鏡等），免費(fèi)安全檢測(cè)工具（如，NMAP、NESSUS等）。操作系統(tǒng)內(nèi)置的許多功能（如,TELNET、NSLOOKUP、IE等）也可以作為信息收集的有效工具。內(nèi)部計(jì)劃制定根據(jù)客戶推托范圍和時(shí)間，并結(jié)合前一步初步的信息收集得到的設(shè)備存活情況、網(wǎng)絡(luò)拓?fù)淝闆r以及掃描得到的服務(wù)開放情況、漏洞情況制定內(nèi)部的詳細(xì)實(shí)施計(jì)劃。具體包括每個(gè)地址下一步可能采用的測(cè)試手段，詳細(xì)時(shí)間安排。并將以下一步工作的計(jì)劃和時(shí)間安排與客戶進(jìn)行確認(rèn)。實(shí)施現(xiàn)場(chǎng)評(píng)估通過(guò)初步的信息收集分析，存在兩種可能性，一種是目標(biāo)系統(tǒng)存在重大的安全弱點(diǎn)，測(cè)試可以直接控制目標(biāo)系統(tǒng)；另一種是目標(biāo)系統(tǒng)沒有遠(yuǎn)程重大的安全弱點(diǎn)，但是可以獲得普通用戶權(quán)限，這時(shí)可以通過(guò)該普通用戶權(quán)限進(jìn)一步收集目標(biāo)系統(tǒng)信息。接下來(lái)盡最大努力取得超級(jí)用戶權(quán)限、收集目標(biāo)主機(jī)資料信息，尋求本地權(quán)限提升的機(jī)會(huì)。這樣不停的進(jìn)行信息收集分析、權(quán)限提升的結(jié)果形成了整個(gè)的漏洞掃描、滲透測(cè)試和安全評(píng)估的過(guò)程。生成評(píng)估報(bào)告安全評(píng)估之后，安恒公司將會(huì)提供一份安全評(píng)估報(bào)告。安全評(píng)估報(bào)告將會(huì)十分詳細(xì)的說(shuō)明安全評(píng)估過(guò)程中的得到的數(shù)據(jù)和信息、并且將會(huì)詳細(xì)的紀(jì)錄整個(gè)安全評(píng)估的全部操作。評(píng)估方法與工具安全評(píng)估方法概述在本項(xiàng)目中將采用以下規(guī)范化的評(píng)估方法：工具測(cè)試?yán)眉夹g(shù)工具（漏洞掃描工具、滲透測(cè)試工具、性能測(cè)試工具等）對(duì)系統(tǒng)進(jìn)行測(cè)試，包括基于網(wǎng)絡(luò)探測(cè)和基于主機(jī)審計(jì)的漏洞掃描、滲透測(cè)試、性能測(cè)試等。測(cè)評(píng)方法工具測(cè)試簡(jiǎn)要描述利用技術(shù)工具，從網(wǎng)絡(luò)的不同接入點(diǎn)對(duì)網(wǎng)絡(luò)內(nèi)的主機(jī)、服務(wù)器、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等進(jìn)行脆弱性檢查和分析達(dá)成目標(biāo)發(fā)掘系統(tǒng)的安全漏洞工作條件1-2人工作環(huán)境，電源和網(wǎng)絡(luò)接入環(huán)境，人員、網(wǎng)絡(luò)、系統(tǒng)配合工作結(jié)果工具測(cè)試結(jié)果記錄配置檢查利用上機(jī)驗(yàn)證的方式檢查主機(jī)、服務(wù)器、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)的配置是否正確，是否與文檔、相關(guān)設(shè)備和部件保持一致，對(duì)文檔審核的內(nèi)容進(jìn)行核實(shí)（包括日志審計(jì)等），測(cè)評(píng)其實(shí)施的正確性和有效性，檢查配置的完整性，測(cè)試網(wǎng)絡(luò)連接規(guī)則的一致性，從而測(cè)試系統(tǒng)是否達(dá)到可用性和可靠性的要求。測(cè)評(píng)方法配置檢查簡(jiǎn)要描述通過(guò)登陸系統(tǒng)控制臺(tái)的方式，人工核查和分析主機(jī)、服務(wù)器、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)的安全配置情況達(dá)成目標(biāo)發(fā)現(xiàn)配置的安全隱患工作條件1-2人工作環(huán)境，人員、網(wǎng)絡(luò)、系統(tǒng)配合工作結(jié)果配置檢查結(jié)果記錄人員訪談與被測(cè)系統(tǒng)有關(guān)人員（個(gè)人/群體）進(jìn)行交流、討論等活動(dòng)，獲取相關(guān)證據(jù)，了解有關(guān)信息。在訪談范圍上，不同等級(jí)信息系統(tǒng)在測(cè)評(píng)時(shí)有不同的要求，一般應(yīng)基本覆蓋所有的安全相關(guān)人員類型，在數(shù)量上可以抽樣。測(cè)評(píng)方法人員訪談簡(jiǎn)要描述通過(guò)交流、討論的方式，對(duì)技術(shù)和管理方面進(jìn)行脆弱性檢查和分析達(dá)成目標(biāo)發(fā)掘技術(shù)和管理方面存在的安全問題工作條件1-2人工作環(huán)境，人員配合工作結(jié)果人員訪談結(jié)果記錄文檔審查檢查制度、策略、操作規(guī)程、制度執(zhí)行情況記錄等文檔（包括安全方針文件、安全管理制度、安全管理的執(zhí)行過(guò)程文檔、系統(tǒng)設(shè)計(jì)方案、網(wǎng)絡(luò)設(shè)備的技術(shù)資料、系統(tǒng)和產(chǎn)品的實(shí)際配置說(shuō)明、系統(tǒng)的各種運(yùn)行記錄文檔、機(jī)房建設(shè)相關(guān)資料、機(jī)房出入記錄等過(guò)程記錄文檔）的完整性，以及這些文件之間的內(nèi)部一致性。測(cè)評(píng)方法文檔審查簡(jiǎn)要描述通過(guò)文檔審核與分析，檢查制度、策略、操作規(guī)程、制度執(zhí)行情況記錄的完整性和內(nèi)部一致性達(dá)成目標(biāo)發(fā)掘技術(shù)和管理方面存在的安全問題工作條件1-2人工作環(huán)境，人員、各類文檔資料配合工作結(jié)果文檔審查結(jié)果記錄實(shí)地查看通過(guò)實(shí)地的觀察人員行為、技術(shù)設(shè)施和物理環(huán)境狀況判斷人員的安全意識(shí)、業(yè)務(wù)操作、管理程序和系統(tǒng)物理環(huán)境等方面的安全情況，測(cè)評(píng)其是否達(dá)到了相應(yīng)等級(jí)的安全要求。項(xiàng)目名稱實(shí)地查看簡(jiǎn)要描述通過(guò)現(xiàn)場(chǎng)查看人員行為、技術(shù)設(shè)施和物理環(huán)境狀況，檢查人員的安全意識(shí)、業(yè)務(wù)操作、管理程序和系統(tǒng)物理環(huán)境等方面的安全情況。達(dá)成目標(biāo)發(fā)掘技術(shù)和管理方面存在的安全問題工作條件1-2人工作環(huán)境，人員配合工作結(jié)果實(shí)地查看結(jié)果記錄漏洞掃描技術(shù)方法系統(tǒng)端口掃描通過(guò)對(duì)中富公司網(wǎng)絡(luò)目標(biāo)地址的TCP/UDP端口掃描，確定其所開放的服務(wù)的數(shù)量和類型，這是所有滲透測(cè)試的基礎(chǔ)。通過(guò)端口掃描，可以基本確定一個(gè)系統(tǒng)的基本信息，結(jié)合我公司安全測(cè)試工程師的經(jīng)驗(yàn)可以確定其可能存在，以及被利用的安全弱點(diǎn)，為進(jìn)行深層次的滲透提供依據(jù)。掃描的基本原理是枚舉目標(biāo)網(wǎng)絡(luò)中存在漏洞與弱點(diǎn)，比如：目標(biāo)網(wǎng)絡(luò)內(nèi)主機(jī)生成的ICMP響應(yīng)消息類型目標(biāo)網(wǎng)絡(luò)中運(yùn)行的、可訪問的TCP及UDP網(wǎng)絡(luò)服務(wù)目標(biāo)主機(jī)的操作平臺(tái)及其配置目標(biāo)主機(jī)IP協(xié)議棧實(shí)現(xiàn)中的漏洞（比如序列號(hào)可預(yù)測(cè)性，可用于TCP欺騙以及會(huì)話劫持等攻擊）過(guò)濾機(jī)制與安全系統(tǒng)的配置（包括防火墻、邊界路由器、交換機(jī)以及IDS/IPS機(jī)制）Web應(yīng)用漏洞掃描自動(dòng)化掃描工具只能檢測(cè)到部分常見的漏洞（如SQL注入漏洞、XSS跨站點(diǎn)腳本攻擊漏洞、敏感信息泄露漏洞、后臺(tái)弱口令和目錄遍歷漏洞等），不是針對(duì)用戶代碼的，也就是說(shuō)不能理解業(yè)務(wù)邏輯，無(wú)法對(duì)這些漏洞做進(jìn)一步業(yè)務(wù)上的判斷。往往最嚴(yán)重的安全問題并不是常見的漏洞，而是通過(guò)這些漏洞針對(duì)業(yè)務(wù)邏輯和應(yīng)用的攻擊。針對(duì)Web應(yīng)用漏洞，我們將采用MatriXayWebscan工具進(jìn)行掃描，以發(fā)現(xiàn)Web應(yīng)用中存在的常見漏洞。網(wǎng)絡(luò)協(xié)議漏洞掃描通過(guò)對(duì)網(wǎng)絡(luò)目標(biāo)地址的協(xié)議漏洞掃描，確定其所開放的服務(wù)的數(shù)量和類型，這是所有滲透測(cè)試的基礎(chǔ)。通過(guò)協(xié)議漏洞掃描，可以基本確定一個(gè)系統(tǒng)的基本信息，結(jié)合我公司安全測(cè)試工程師的經(jīng)驗(yàn)可以確定其可能存在，以及被利用的安全弱點(diǎn)，為進(jìn)行深層次的滲透提供依據(jù)。網(wǎng)絡(luò)協(xié)議漏洞掃描的是發(fā)現(xiàn)目標(biāo)網(wǎng)絡(luò)中存在如下漏洞與弱點(diǎn)，包括但不限于：TCP服務(wù)標(biāo)志截取路由器、交換機(jī)和安全設(shè)備中存在的與Telnet、HTTP、SNMP以及TFTP存取和配置機(jī)制相關(guān)可執(zhí)行權(quán)限的常見缺陷某些路由器、交換機(jī)和安全設(shè)備中存在的默認(rèn)SNMP的cable-docsis與ILMI等高權(quán)限默認(rèn)團(tuán)體名或賬號(hào)，且這些默認(rèn)用戶賬號(hào)不會(huì)出現(xiàn)在conifg文件中。（public、private）HSRP、VRRP、GLBP、OSPF、IGRP、BGP、IS-IS、RIPv2等路由協(xié)議沒有加密，防止Dos攻擊、中間人攻擊等沒有PortSecurity防止MACFlooding洪水攻擊ARPSTPDHCPPoECoPPCDPVTPLAP協(xié)議漏洞測(cè)評(píng)pop3、smtp和smtp等郵件服務(wù)中的漏洞Finger、auth、ldap、rwho、rpcrusers進(jìn)程操縱漏洞遠(yuǎn)程過(guò)程調(diào)用（RPC）服務(wù)漏洞測(cè)評(píng)ntp、rsh、rlogin、ftp、等服務(wù)中的漏洞RDP、VNC等遠(yuǎn)程管理中間人攻擊Sendmail信息泄露、進(jìn)程操縱漏洞Samba服務(wù)等高風(fēng)險(xiǎn)遠(yuǎn)程漏洞，可繞過(guò)安全機(jī)制并執(zhí)行任意代碼TNSListener枚舉與信息潺潺攻擊OracleNetManager遠(yuǎn)程管理漏洞TNSListener進(jìn)程操作漏洞可遠(yuǎn)程控制的TNSListener漏洞XDS服務(wù)，可執(zhí)行任意命令操作漏洞PL/SQL注入Delete、Insert和Update語(yǔ)句其他高風(fēng)險(xiǎn)0day漏洞滲透測(cè)試技術(shù)方法信息收集信息收集分析幾乎是所有入侵攻擊的前提/前奏/基礎(chǔ)?！爸褐?，百戰(zhàn)不殆”，信息收集分析就是完成的這個(gè)任務(wù)。安恒公司通過(guò)對(duì)珠海中富公司網(wǎng)絡(luò)信息收集分析，可以相應(yīng)地、有針對(duì)性地制定模擬黑客入侵攻擊的計(jì)劃，以提高入侵（or測(cè)試）的成功率、減小暴露或被發(fā)現(xiàn)的幾率。安恒公司信息收集的方法包括主機(jī)網(wǎng)絡(luò)掃描、操作類型判別、應(yīng)用判別、賬號(hào)掃描、配置判別等等。模擬入侵攻擊常用的工具包括Nmap、Nessus、X-Scan等，操作系統(tǒng)中內(nèi)置的許多工具（例如telnet）也可以成為非常有效的模擬攻擊入侵武器。權(quán)限提升安恒公司通過(guò)收集信息和分析，存在兩種可能性，其一是珠海中富公司客戶目標(biāo)系統(tǒng)存在重大弱點(diǎn)：安恒公司測(cè)試工程師可以直接控制目標(biāo)系統(tǒng)，然后直接調(diào)查目標(biāo)系統(tǒng)中的弱點(diǎn)分布、原因，形成最終的測(cè)試報(bào)告；其二是目標(biāo)系統(tǒng)沒有遠(yuǎn)程重大弱點(diǎn)，但是可以獲得遠(yuǎn)程普通權(quán)限，這時(shí)安恒公司測(cè)試工程師可以通過(guò)該普通權(quán)限進(jìn)一步收集目標(biāo)系統(tǒng)信息。接下來(lái)，盡最大努力獲取本地權(quán)限，收集本地資料信息，尋求本地權(quán)限升級(jí)的機(jī)會(huì)。這些不停的信息收集分析、權(quán)限升級(jí)的結(jié)果將構(gòu)成此次項(xiàng)目整個(gè)滲透測(cè)試過(guò)程的輸出。代碼審查對(duì)站點(diǎn)進(jìn)行安全代碼審查的目的是要識(shí)別出會(huì)導(dǎo)致安全問題和事故的不安全編碼技術(shù)和漏洞。這項(xiàng)工作雖然可能很耗時(shí)，但是必須進(jìn)行，安恒公司代碼審查測(cè)試工作包括如下工作但不僅限于此：審查代碼中的XSS腳本漏洞；審查代碼中的SQL注入漏洞；審查代碼中的潛在緩沖區(qū)溢出；審查識(shí)別允許惡意用戶啟動(dòng)攻擊的不良代碼技術(shù)；其他軟件編寫錯(cuò)誤及漏洞的尋找及審查。不同網(wǎng)段/Vlan之間的滲透這種滲透方式是安恒公司從某內(nèi)/外部網(wǎng)段，嘗試對(duì)珠海中富公司客戶另一網(wǎng)段/Vlan進(jìn)行滲透。這類測(cè)試通常可能用到的技術(shù)包括：對(duì)網(wǎng)絡(luò)設(shè)備和無(wú)線設(shè)備的遠(yuǎn)程攻擊；對(duì)防火墻的遠(yuǎn)程攻擊或規(guī)則探測(cè)、規(guī)避嘗試。信息的收集和分析伴隨著每一個(gè)滲透測(cè)試步驟，每一個(gè)步驟又有三個(gè)組成部分：操作、響應(yīng)和結(jié)果分析。SQL注入攻擊SQL注入常見于應(yīng)用了SQL數(shù)據(jù)庫(kù)后端的網(wǎng)站服務(wù)器，入侵者通過(guò)提交某些特殊SQL語(yǔ)句，最終可能獲取、篡改、控制網(wǎng)站服務(wù)器端數(shù)據(jù)庫(kù)中的內(nèi)容。此類漏洞是入侵者最常用的入侵方式之一。安恒公司測(cè)試工程師在測(cè)試中會(huì)進(jìn)行此項(xiàng)的測(cè)試。檢測(cè)頁(yè)面隱藏字段網(wǎng)站應(yīng)用系統(tǒng)常采用隱藏字段存儲(chǔ)信息。許多基于網(wǎng)站的電子商務(wù)應(yīng)用程序用隱藏字段來(lái)存儲(chǔ)商品價(jià)格、用戶名、密碼等敏感內(nèi)容。惡意用戶通過(guò)操作隱藏字段內(nèi)容達(dá)到惡意交易和竊取信息等行為，是一種非常危險(xiǎn)的漏洞。我公司測(cè)試工程師將在測(cè)試中進(jìn)行此項(xiàng)的測(cè)試.跨站攻擊入侵者可以借助網(wǎng)站來(lái)攻擊訪問此網(wǎng)站的終端用戶，來(lái)獲得用戶口令或使用站點(diǎn)掛馬來(lái)控制客戶端。安恒公司測(cè)試工程師將在測(cè)試中對(duì)客戶的網(wǎng)站系統(tǒng)進(jìn)行此項(xiàng)的測(cè)試.

WEB應(yīng)用測(cè)試Web腳本及應(yīng)用測(cè)試專門針對(duì)Web及數(shù)據(jù)庫(kù)服務(wù)器進(jìn)行。根據(jù)最新的統(tǒng)計(jì)，腳本安全弱點(diǎn)為當(dāng)前Web系統(tǒng)，尤其是存在動(dòng)態(tài)內(nèi)容的Web系統(tǒng)比較嚴(yán)重的安全弱點(diǎn)之一。利用腳本相關(guān)弱點(diǎn)輕則可以獲取系統(tǒng)其他目錄的訪問權(quán)限，重則將有可能取得系統(tǒng)的控制權(quán)限。因此對(duì)于含有動(dòng)態(tài)頁(yè)面的Web、數(shù)據(jù)庫(kù)等系統(tǒng)，Web腳本及應(yīng)用測(cè)試將是必不可少的一個(gè)環(huán)節(jié)。安恒公司在Web腳本及應(yīng)用測(cè)試中，可能需要檢查的部份包括：檢查應(yīng)用系統(tǒng)架構(gòu),防止用戶繞過(guò)系統(tǒng)直接修改數(shù)據(jù)庫(kù)；檢查身份認(rèn)證模塊，用以防止非法用戶繞過(guò)身份認(rèn)證；檢查數(shù)據(jù)庫(kù)接口模塊，用以防止用戶獲取系統(tǒng)權(quán)限；檢查文件接口模塊，防止用戶獲取系統(tǒng)文件；檢查其他安全威脅；第三方軟件誤配置第三方軟件的錯(cuò)誤設(shè)置可能導(dǎo)致入侵者利用該漏洞構(gòu)造不同類型的入侵攻擊。安恒公司測(cè)試工程師將在測(cè)試中要求登陸主機(jī)或者掃描目標(biāo)主機(jī)進(jìn)行此項(xiàng)的測(cè)試。Cookie利用網(wǎng)站應(yīng)用系統(tǒng)常使用cookies機(jī)制在客戶端主機(jī)上保存某些信息，例如用戶ID、口令、時(shí)戳等。入侵者可能通過(guò)篡改cookies內(nèi)容，獲取用戶的賬號(hào)，導(dǎo)致嚴(yán)重的后果。安恒公司測(cè)試工程師將在測(cè)試中進(jìn)行此項(xiàng)的測(cè)試。后門程序檢查系統(tǒng)開發(fā)過(guò)程中遺留的后門和調(diào)試選項(xiàng)可能被入侵者所利用，導(dǎo)致入侵者輕易地從捷徑實(shí)施攻擊。安恒公司測(cè)試工程師將在測(cè)試中進(jìn)行此項(xiàng)的測(cè)試。遠(yuǎn)程溢出這是當(dāng)前出現(xiàn)的頻率最高、威脅最嚴(yán)重，同時(shí)又是最容易實(shí)現(xiàn)的一種滲透方法，一個(gè)具有一般網(wǎng)絡(luò)知識(shí)的入侵者就可以在很短的時(shí)間內(nèi)利用現(xiàn)成的工具實(shí)現(xiàn)遠(yuǎn)程溢出攻擊。對(duì)于在防火墻內(nèi)的系統(tǒng)存在同樣的風(fēng)險(xiǎn)，只要對(duì)跨接防火墻內(nèi)外的一臺(tái)主機(jī)攻擊成功，那么通過(guò)這臺(tái)主機(jī)對(duì)防火墻內(nèi)的主機(jī)進(jìn)行攻擊就易如反掌。口令猜測(cè)口令猜測(cè)也是一種出現(xiàn)概率很高的風(fēng)險(xiǎn)，幾乎不需要任何攻擊工具，利用一個(gè)簡(jiǎn)單的暴力攻擊程序和一個(gè)比較完善的字典，就可以猜測(cè)口令。對(duì)一個(gè)系統(tǒng)賬號(hào)的猜測(cè)通常包括兩個(gè)方面：首先是對(duì)用戶名的猜測(cè)，其次是對(duì)密碼的猜測(cè)。本地溢出所謂本地溢出是指在擁有了一個(gè)普通用戶的賬號(hào)之后，通過(guò)一段特殊的指令代碼獲得管理員權(quán)限的方法。使用本地溢出的前提是首先要獲得一個(gè)普通用戶的密碼。也就是說(shuō)由于導(dǎo)致本地溢出的一個(gè)關(guān)鍵條件是設(shè)置不當(dāng)?shù)拿艽a策略。多年的實(shí)踐證明，在經(jīng)過(guò)前期的口令猜測(cè)階段獲取的普通賬號(hào)登錄系統(tǒng)之后，對(duì)系統(tǒng)實(shí)施本地溢出攻擊，就能獲取不進(jìn)行主動(dòng)安全防御的系統(tǒng)的控制管理權(quán)限。腳本測(cè)試腳本測(cè)試專門針對(duì)Web服務(wù)器進(jìn)行。根據(jù)最新的技術(shù)統(tǒng)計(jì)，腳本安全弱點(diǎn)為當(dāng)前Web系統(tǒng)尤其存在動(dòng)態(tài)內(nèi)容的Web系統(tǒng)存在的主要比較嚴(yán)重的安全弱點(diǎn)之一。利用腳本相關(guān)弱點(diǎn)輕則可以獲取系統(tǒng)其他目錄的訪問權(quán)限，重則將有可能取得系統(tǒng)的控制權(quán)限。因此對(duì)于含有動(dòng)態(tài)頁(yè)面的Web系統(tǒng)，腳本測(cè)試將是必不可少的一個(gè)環(huán)節(jié)。其他測(cè)試在滲透測(cè)試中還需要借助暴力破解、網(wǎng)絡(luò)嗅探等其他方法，目的也是為獲取用戶名及密碼。安恒公司測(cè)試工程師在測(cè)試中也將進(jìn)行這些選項(xiàng)的測(cè)試，以全面檢測(cè)珠海中富公司網(wǎng)絡(luò)的安全性。測(cè)評(píng)工具安恒公司在安全評(píng)估過(guò)程中使用的測(cè)評(píng)工具嚴(yán)格遵循可控性原則，即所有使用的測(cè)評(píng)工具將事先提交給珠海中富公司檢查確認(rèn)，確保在雙方認(rèn)可的范圍之內(nèi)，而且測(cè)評(píng)過(guò)程中采用的技術(shù)手段確保已經(jīng)過(guò)可靠的實(shí)際應(yīng)用。在本項(xiàng)目中，我們將采用以下測(cè)評(píng)工具：工具類別工具名稱型號(hào)工具介紹備注漏洞掃描工具遠(yuǎn)程安全評(píng)估系統(tǒng)安恒公司生產(chǎn)的商業(yè)漏洞掃描系統(tǒng)Web應(yīng)用掃描工具WEB應(yīng)用弱點(diǎn)掃描器安恒公司生產(chǎn)的商業(yè)Web應(yīng)用弱點(diǎn)掃描系統(tǒng)數(shù)據(jù)庫(kù)掃描數(shù)據(jù)庫(kù)弱點(diǎn)掃描器安恒公司生產(chǎn)的商業(yè)數(shù)據(jù)庫(kù)弱點(diǎn)掃描系統(tǒng)安全配置核查工具網(wǎng)絡(luò)設(shè)備配置檢查工具安恒公司生產(chǎn)的網(wǎng)絡(luò)設(shè)備配置檢查工具主要對(duì)主流網(wǎng)絡(luò)設(shè)備進(jìn)行安全分析檢查L(zhǎng)inux主機(jī)配置檢查工具安恒公司生產(chǎn)的網(wǎng)絡(luò)設(shè)備配置檢查工具主要對(duì)Linux主機(jī)進(jìn)行安全分析檢查Windows配置檢查工具安恒公司生產(chǎn)的網(wǎng)絡(luò)設(shè)備配置檢查工具主要對(duì)Windows主機(jī)進(jìn)行安全分析檢查計(jì)算機(jī)終端審查工具安恒公司生產(chǎn)的計(jì)算機(jī)終端審計(jì)工具主要針對(duì)核心用戶的電腦終端、管理員操作終端進(jìn)行安全檢查滲透測(cè)試工具半自動(dòng)化滲透測(cè)試工具安恒公司生產(chǎn)的專門針對(duì)滲透測(cè)試的工具M(jìn)etasploitframeworkV3.0廣泛使用的滲透測(cè)試工具軟件集合包輸出文檔安全評(píng)估報(bào)告項(xiàng)目名稱信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告、信息安全加固完善建議簡(jiǎn)要描述分析測(cè)評(píng)結(jié)果，判斷信息系統(tǒng)是否存在導(dǎo)致信息系統(tǒng)面臨較高的安全風(fēng)險(xiǎn)的弱點(diǎn)或漏洞達(dá)成目標(biāo)列出每項(xiàng)測(cè)評(píng)指標(biāo)和分析過(guò)程、分析結(jié)果，獲得符合性分析結(jié)論主要內(nèi)容技術(shù)指標(biāo)檢測(cè)和分析實(shí)現(xiàn)方式匯總分析、報(bào)告編寫工作結(jié)果安全評(píng)估報(bào)告參加人員乙方項(xiàng)目組信息系統(tǒng)可能存在安全風(fēng)險(xiǎn)和漏洞信息系統(tǒng)的漏洞掃描、安全評(píng)估和滲透測(cè)試有利于，發(fā)現(xiàn)信息系統(tǒng)眾多安全風(fēng)險(xiǎn)、弱點(diǎn)和漏洞。包括但不限于以下內(nèi)容：基礎(chǔ)架構(gòu)環(huán)境可能存在的安全漏洞通過(guò)對(duì)信息系統(tǒng)運(yùn)行所必須依賴的基礎(chǔ)架構(gòu)環(huán)境進(jìn)行分析，可發(fā)現(xiàn)其可能存在的安全漏洞。包括但不限于以下內(nèi)容：機(jī)房沒有配置電子門禁系統(tǒng)；沒有登記記錄機(jī)房進(jìn)出人員；沒有利用光、電等技術(shù)設(shè)置機(jī)房防盜報(bào)警系統(tǒng)；機(jī)房配電箱沒有防雷保護(hù)器；沒有對(duì)關(guān)鍵設(shè)備和磁介質(zhì)實(shí)施電磁屏蔽；沒有雙路冗余電力供應(yīng)；沒有冗余通信線路防止單點(diǎn)故障；服務(wù)器沒有雙機(jī)或群集部署無(wú)法保證高可用性；木馬、后門、漏洞；RDP、VNC等遠(yuǎn)程管理中間人攻擊；LinuxSamba服務(wù)等高風(fēng)險(xiǎn)遠(yuǎn)程漏洞，可繞過(guò)安全機(jī)制并執(zhí)行任意代碼；LinuxSendmail信息泄露、進(jìn)程操縱漏洞；TNSListener枚舉與信息潺潺攻擊；OracleNetManager遠(yuǎn)程管理漏洞；TNSListener進(jìn)程操作漏洞；可遠(yuǎn)程控制的TNSListener漏洞；XDS服務(wù)，可執(zhí)行任意命令操作漏洞；其他高風(fēng)險(xiǎn)0day漏洞；PL/SQL注入Delete、Insert和Update語(yǔ)句；多余或默認(rèn)賬戶；數(shù)據(jù)庫(kù)字典攻擊；SQL解析服務(wù)溢出漏洞；Cmd_shell等多余高風(fēng)險(xiǎn)存儲(chǔ)過(guò)程漏洞；SQL進(jìn)程操縱漏洞；MySQL進(jìn)程操縱漏洞；SQL注入漏洞；XSS跨站點(diǎn)腳本攻擊漏洞；敏感信息泄露漏洞；后臺(tái)弱口令；目錄遍歷漏洞；木馬、病毒、后門；沒有強(qiáng)制限制主機(jī)系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)口令的復(fù)雜度和限制口令的最小長(zhǎng)度，只是管理上有要求；主機(jī)系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)都沒有開啟登錄失敗處理功能；主機(jī)系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)都沒有采取兩種或以上的身份鑒別方法對(duì)登錄用戶進(jìn)行認(rèn)證；沒有重命名系統(tǒng)的默認(rèn)管理員賬戶administrator，沒有命名數(shù)據(jù)庫(kù)系統(tǒng)中默認(rèn)的管理員賬戶SA；沒有禁用默認(rèn)共享路徑,ipc$c$d$；沒有配置主機(jī)特權(quán)用戶的權(quán)限沒有分離；主機(jī)系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)都沒有對(duì)重要的信息資源做敏感標(biāo)記；主機(jī)系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)都沒有對(duì)重要的信息資源做敏感標(biāo)記；沒有對(duì)日志記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表；審計(jì)日志沒有進(jìn)行備份到日志服務(wù)器或采取其他技術(shù)手段避免受到未預(yù)期的刪除、修改或覆蓋等；沒有定期更新操作系統(tǒng)安全補(bǔ)丁；沒有保證操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)用戶的鑒別信息所在的存儲(chǔ)空間，被釋放或再分配給其他用戶前得到完全清除，沒有配置對(duì)剩余信息保護(hù)；沒有確保系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫(kù)記錄等資源所在的存儲(chǔ)空間，被釋放或重新分配給其他用戶前得到完全清除；沒有根據(jù)安全策略設(shè)置登錄終端的操作超時(shí)鎖定；沒有對(duì)重要服務(wù)器進(jìn)行監(jiān)視、包括監(jiān)視服務(wù)器的CPU、硬盤、內(nèi)存、網(wǎng)絡(luò)等資源的使用情況；沒有限制單個(gè)用戶對(duì)系統(tǒng)資源的最大或最小使用限度；沒有對(duì)系統(tǒng)的服務(wù)水平降低到預(yù)先規(guī)定的最小值進(jìn)行檢測(cè)和報(bào)警；企業(yè)網(wǎng)絡(luò)與網(wǎng)絡(luò)安全可能存在的安全漏洞通過(guò)對(duì)信息系統(tǒng)運(yùn)行所必須依賴的基礎(chǔ)網(wǎng)絡(luò)環(huán)境進(jìn)行分析，可發(fā)現(xiàn)其可能存在的安全漏洞。包括但不限于以下內(nèi)容：大多數(shù)網(wǎng)絡(luò)設(shè)備和安全可能存在cable-docsis與ILMI等默認(rèn)團(tuán)體名或賬號(hào)，且不會(huì)出現(xiàn)在conifg文件中。（另public、private待默認(rèn)團(tuán)體名）；沒有PortSecurity防止Flooding洪水攻擊；VRRP和OSPF沒有配置強(qiáng)壯認(rèn)證來(lái)確保路由選擇更新和路由選擇信息沒有被篡改，阻止網(wǎng)絡(luò)設(shè)備接收和處理未授權(quán)的或惡意的路由選擇更新；重要網(wǎng)段沒采取技術(shù)手段防止地址欺騙；沒有對(duì)網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行日志記錄；沒有在網(wǎng)絡(luò)邊界處對(duì)惡意代碼進(jìn)行檢測(cè)和清除；沒有維護(hù)網(wǎng)絡(luò)層惡意代碼防范設(shè)備的惡意代碼庫(kù)的升級(jí)和檢測(cè)系統(tǒng)的更新；沒有對(duì)網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限制；沒有對(duì)主要網(wǎng)絡(luò)設(shè)備同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來(lái)進(jìn)行身份鑒別；網(wǎng)絡(luò)設(shè)備身份鑒別信息密碼沒有復(fù)雜度限制；沒有登錄失敗處理功能；對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理時(shí)，使用HTTP，TELNET等非安全管理協(xié)議；網(wǎng)絡(luò)設(shè)備、通信線路、等沒有雙機(jī)冗余，保證系統(tǒng)的高可用性；企業(yè)郵件應(yīng)用系統(tǒng)可能存在的安全漏洞通過(guò)對(duì)珠海中富公司人員溝通和協(xié)作所必須依賴的郵件應(yīng)用系統(tǒng)進(jìn)行分析，可發(fā)現(xiàn)其可能存在的安全漏洞。包括但不限于以下內(nèi)容：郵件內(nèi)容檢查機(jī)制欺騙（利用漏洞繞過(guò)郵件病毒檢測(cè)機(jī)制轉(zhuǎn)發(fā)病毒）；利用后門賬號(hào)偽造郵件、竊取郵件機(jī)密；郵件備份使用非安全協(xié)議，或POP協(xié)議將郵件備份到某到賬戶，而使用該賬戶可以查看所有用戶，導(dǎo)致泄密的風(fēng)險(xiǎn)；郵件系統(tǒng)多余賬戶；郵件系統(tǒng)后門賬戶；應(yīng)用系統(tǒng)沒有對(duì)同一用戶采用兩種或兩種以上組合的鑒別技術(shù)實(shí)現(xiàn)用戶身份鑒別；沒有配置登錄失敗處理功能；沒有授予不同帳戶為完成各自承擔(dān)任務(wù)所需的最小權(quán)限，并在它們之間形成相互制約的關(guān)系；沒有登出失敗安全審計(jì)日志記錄；審計(jì)日志沒有記錄事件類型等；沒有授權(quán)用戶瀏覽和分析審計(jì)數(shù)據(jù)提供專門的審計(jì)分析功能；沒有保護(hù)通信完整性；傳輸過(guò)程沒有敏感字段加密；沒有具有在請(qǐng)求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)原發(fā)證據(jù)的功能；沒有雙機(jī)熱備，不能在故障發(fā)生時(shí)，應(yīng)用系統(tǒng)應(yīng)能夠繼續(xù)提供一部分功能，確保能夠?qū)嵤┍匾拇胧粵]有對(duì)系統(tǒng)最大并發(fā)會(huì)話連接數(shù)進(jìn)行限制；沒有對(duì)系統(tǒng)單個(gè)賬號(hào)的多重并發(fā)會(huì)話進(jìn)行限制；沒有對(duì)一個(gè)時(shí)間段內(nèi)可能的并發(fā)會(huì)話連接數(shù)進(jìn)行限制；沒有對(duì)一個(gè)訪問帳戶或一個(gè)請(qǐng)求進(jìn)程占用的資源分配最大限額和最小限額；沒有能夠?qū)ο到y(tǒng)服務(wù)水平降低到預(yù)先規(guī)定的最小值進(jìn)行檢測(cè)和報(bào)警；沒有提供服務(wù)優(yōu)先級(jí)設(shè)定功能，并在安裝后根據(jù)安全策略設(shè)定訪問帳戶或請(qǐng)求進(jìn)程的優(yōu)先級(jí)，根據(jù)優(yōu)先級(jí)分配系統(tǒng)資源；應(yīng)用系統(tǒng)沒有采用校驗(yàn)碼技術(shù)保證通信過(guò)程中數(shù)據(jù)的完整性；沒有對(duì)關(guān)鍵應(yīng)用系統(tǒng)鑒別信息進(jìn)行加密傳輸和存儲(chǔ)；比如用戶口令采用明文傳輸；企業(yè)ERP+BI核心應(yīng)用系統(tǒng)可能存在的安全漏洞通過(guò)對(duì)珠海中富公司人員溝通和協(xié)作所必須依賴的企業(yè)ERP+BI核心應(yīng)用系統(tǒng)進(jìn)行分析，可發(fā)現(xiàn)其可能存在的安全漏洞。包括但不限于以下內(nèi)容：操作系統(tǒng)和后臺(tái)數(shù)據(jù)庫(kù)的漏洞，配置不當(dāng)，如弱口令等等，導(dǎo)致黑客、病毒可以利用這些缺陷對(duì)網(wǎng)站進(jìn)行攻擊。Web業(yè)務(wù)常用的發(fā)布系統(tǒng)(即Web服務(wù)器)，如IIS、Apache等，這些系統(tǒng)存在的安全漏洞，會(huì)給入侵者可乘之機(jī)。Web應(yīng)用程序的編寫人員，在編程的過(guò)程中沒有考慮到安全的因素，使得黑客能夠利用這些漏洞發(fā)起對(duì)網(wǎng)站的攻擊，比如SQL注入、跨站腳本攻擊等等。Oracle/SQLServer賬號(hào)混淆，權(quán)限不明確，存在用戶越權(quán)使用的可能。Oracle/SQLServer沒有加密客戶端與數(shù)據(jù)庫(kù)之間或中間件與數(shù)據(jù)庫(kù)之間的網(wǎng)絡(luò)傳輸數(shù)據(jù)數(shù)據(jù)庫(kù)空閑遠(yuǎn)程連接無(wú)法斷開應(yīng)用系統(tǒng)沒有對(duì)同一用戶采用兩種或兩種以上組合的鑒別技術(shù)實(shí)現(xiàn)用戶身份鑒別；沒有配置登錄失敗處理功能；沒有授予不同帳戶為完成各自承擔(dān)任務(wù)所需的最小權(quán)限，并在它們之間形成相互制約的關(guān)系；沒有登出失敗安全審計(jì)日志記錄；審計(jì)日志沒有記錄事件類型等；沒有授權(quán)用戶瀏覽和分析審計(jì)數(shù)據(jù)提供專門的審計(jì)分析功能；沒有保護(hù)通信完整性；傳輸過(guò)程沒有敏感字段加密；沒有具有在請(qǐng)求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)原發(fā)證據(jù)的功能；沒有雙機(jī)熱備，不能在故障發(fā)生時(shí)，應(yīng)用系統(tǒng)應(yīng)能夠繼續(xù)提供一部分功能，確保能夠?qū)嵤┍匾拇胧?；沒有對(duì)系統(tǒng)最大并發(fā)會(huì)話連接數(shù)進(jìn)行限制；沒有對(duì)系統(tǒng)單個(gè)賬號(hào)的多重并發(fā)會(huì)話進(jìn)行限制；沒有對(duì)一個(gè)時(shí)間段內(nèi)可能的并發(fā)會(huì)話連接數(shù)進(jìn)行限制；沒有對(duì)一個(gè)訪問帳戶或一個(gè)請(qǐng)求進(jìn)程占用的資源分配最大限額和最小限額；沒有能夠?qū)ο到y(tǒng)服務(wù)水平降低到預(yù)先規(guī)定的最小值進(jìn)行檢測(cè)和報(bào)警；沒有提供服務(wù)優(yōu)先級(jí)設(shè)定功能，并在安裝后根據(jù)安全策略設(shè)定訪問帳戶或請(qǐng)求進(jìn)程的優(yōu)先級(jí)，根據(jù)優(yōu)先級(jí)分配系統(tǒng)資源；應(yīng)用系統(tǒng)沒有采用校驗(yàn)碼技術(shù)保證通信過(guò)程中數(shù)據(jù)的完整性；沒有對(duì)關(guān)鍵應(yīng)用系統(tǒng)鑒別信息進(jìn)行加密傳輸和存儲(chǔ)；比如用戶口令采用明文傳輸；企業(yè)基礎(chǔ)支撐平臺(tái)可能存在的安全漏洞通過(guò)對(duì)珠海中富公司人員溝通和協(xié)作所必須依賴的企業(yè)基礎(chǔ)支撐平臺(tái)進(jìn)行分析，可發(fā)現(xiàn)其可能存在的安全漏洞。包括但不限于以下內(nèi)容：應(yīng)用系統(tǒng)沒有對(duì)同一用戶采用兩種或兩種以上組合的鑒別技術(shù)實(shí)現(xiàn)用戶身份鑒別；沒有配置登錄失敗處理功能；沒有授予不同帳戶為完成各自承擔(dān)任務(wù)所需的最小權(quán)限，并在它們之間形成相互制約的關(guān)系；沒有登出失敗安全審計(jì)日志記錄；審計(jì)日志沒有記錄事件類型等；沒有授權(quán)用戶瀏覽和分析審計(jì)數(shù)據(jù)提供專門的審計(jì)分析功能；沒有保護(hù)通信完整性；傳輸過(guò)程沒有敏感字段加密；沒有具有在請(qǐng)求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)原發(fā)證據(jù)的功能；沒有雙機(jī)熱備，不能在故障發(fā)生時(shí)，應(yīng)用系統(tǒng)應(yīng)能夠繼續(xù)提供一部分功能，確保能夠?qū)嵤┍匾拇胧?；沒有對(duì)系統(tǒng)最大并發(fā)會(huì)話連接數(shù)進(jìn)行限制；沒有對(duì)系統(tǒng)單個(gè)賬號(hào)的多重并發(fā)會(huì)話進(jìn)行限制；沒有對(duì)一個(gè)時(shí)間段內(nèi)可能的并發(fā)會(huì)話連接數(shù)進(jìn)行限制；沒有對(duì)一個(gè)訪問帳戶或一個(gè)請(qǐng)求進(jìn)程占用的資源分配最大限額和最小限額；沒有能夠?qū)ο到y(tǒng)服務(wù)水平降低到預(yù)先規(guī)定的最小值進(jìn)行檢測(cè)和報(bào)警；沒有提供服務(wù)優(yōu)先級(jí)設(shè)定功能，并在安裝后根據(jù)安全策略設(shè)定訪問帳戶或請(qǐng)求進(jìn)程的優(yōu)先級(jí)，根據(jù)優(yōu)先級(jí)分配系統(tǒng)資源；應(yīng)用系統(tǒng)沒有采用校驗(yàn)碼技術(shù)保證通信過(guò)程中數(shù)據(jù)的完整性；沒有對(duì)關(guān)鍵應(yīng)用系統(tǒng)鑒別信息進(jìn)行加密傳輸和存儲(chǔ)；比如用戶口令采用明文傳輸；保密管理為了保障甲方的信息安全，通過(guò)如下控制措施，加強(qiáng)安全保密工作。簽署保密責(zé)任書甲乙雙方簽訂《保密責(zé)任書》，同時(shí)乙方保證所有參與項(xiàng)目的人員均與乙方已簽訂《保密責(zé)任書》。現(xiàn)場(chǎng)安全保密管理測(cè)評(píng)過(guò)程中，如有安全保密確有需要，項(xiàng)目中乙方使用的筆記本可由甲方提供，并且僅限于在甲方的工作環(huán)境內(nèi)使用和保管，未經(jīng)甲方允許嚴(yán)禁私自帶出。在甲方辦公環(huán)境中，除甲方提供或允許的U盤外，嚴(yán)禁出現(xiàn)其他存儲(chǔ)介質(zhì)。文檔安全保密管理對(duì)需要甲方提供的文檔資料，乙方提交《文檔調(diào)用單》給甲方，《文檔調(diào)用單》上的“借出部分”須明確文檔類別、文檔內(nèi)容、文檔申請(qǐng)人員、文檔使用人員、調(diào)用時(shí)間。文檔資料未經(jīng)甲方允許嚴(yán)禁帶出現(xiàn)場(chǎng)，統(tǒng)一保管在甲方指定的文件柜里，使用完后乙方返還給甲方，并填寫《文檔調(diào)用單》上“交回部分”的交回人員、交回時(shí)間。對(duì)于電子文檔，所有傳