信息安全系統(tǒng)咨詢評估方案設(shè)計建議書

實用文檔實用文檔XX集團信息安全咨詢評估服務(wù)方案建議書目錄TOC\o"1-5"\h\z需求分析 3\o"CurrentDocument"背景分析 3\o"CurrentDocument"項目目標(biāo) 4\o"CurrentDocument"需求內(nèi)容分析 4\o"CurrentDocument"技術(shù)風(fēng)險評估需求分析 4管理風(fēng)險評估需求分析 5\o"CurrentDocument"時間進度需求 6\o"CurrentDocument"考核要求 6\o"CurrentDocument"服務(wù)支撐需求 6\o"CurrentDocument"項目實施方案 6\o"CurrentDocument"技術(shù)安全風(fēng)險評估 6\o"CurrentDocument"資產(chǎn)評估 6操作系統(tǒng)平臺安全評估 8\o"CurrentDocument"網(wǎng)絡(luò)安全評估 1 0\o"CurrentDocument"滲透測試 1 2\o"CurrentDocument"管理風(fēng)險評估 1 6\o"CurrentDocument"安全管理制度審計 1 6\o"CurrentDocument"業(yè)務(wù)流程管控安全評估 1 7\o"CurrentDocument"評估工具 1 8\o"CurrentDocument"形成報告 1 9需求分析背景分析XX的信息化建設(shè)正在朝著集中化和云化的方向發(fā)展，通過云計算技術(shù)的應(yīng)實現(xiàn)基于云平臺的業(yè)務(wù)用把原來分散于各醫(yī)院和分支機構(gòu)的業(yè)務(wù)系統(tǒng)進行整合，實現(xiàn)基于云平臺的業(yè)務(wù)系統(tǒng)和數(shù)據(jù)集中部署，從而解決了長期存在的大量信息孤島問題，降低珍貴醫(yī)療數(shù)據(jù)和商業(yè)數(shù)據(jù)的流失風(fēng)險，也為未來的集團醫(yī)療大數(shù)據(jù)分析和精準(zhǔn)醫(yī)療服務(wù)打系統(tǒng)和數(shù)據(jù)集中部署，從而解決了長期存在的大量信息孤島問題，降低珍貴醫(yī)療數(shù)據(jù)和商業(yè)數(shù)據(jù)的流失風(fēng)險，也為未來的集團醫(yī)療大數(shù)據(jù)分析和精準(zhǔn)醫(yī)療服務(wù)打下扎實的基礎(chǔ)。下扎實的基礎(chǔ)。從原來分散式的信息孤島到現(xiàn)在的云化集中部署，XX從原來分散式的信息孤島到現(xiàn)在的云化集中部署，XX的信息化環(huán)境正在發(fā)生根本性的變化，帶來節(jié)約人力成本、提高工作效率、減少管理漏洞、提高數(shù)據(jù)生根本性的變化，帶來節(jié)約人力成本、提高工作效率、減少管理漏洞、提高數(shù)據(jù)準(zhǔn)確性等諸多的好處。當(dāng)前， 國內(nèi)外數(shù)據(jù)安全事件層出不窮，網(wǎng)絡(luò)信息安全環(huán)境日趨復(fù)雜，信息化環(huán)境的變化也同時帶來了新的信息安全風(fēng)險，總體來說包括以準(zhǔn)確性等諸多的好處。當(dāng)前， 國內(nèi)外數(shù)據(jù)安全事件層出不窮，網(wǎng)絡(luò)信息安全環(huán)境日趨復(fù)雜，信息化環(huán)境的變化也同時帶來了新的信息安全風(fēng)險，總體來說包括以下幾個方面：一、實現(xiàn)系統(tǒng)和數(shù)據(jù)的集中化部署后，等于把原來分散的信息安全風(fēng)險下幾個方面：一、實現(xiàn)系統(tǒng)和數(shù)據(jù)的集中化部署后，等于把原來分散的信息安全風(fēng)險也進行了集中，一旦發(fā)生信息安全事故，其影響將是全局性的。比如在原有的信息化環(huán)境下發(fā)生敏感數(shù)據(jù)泄漏，其泄漏范圍只限于個別的醫(yī)院或分支機構(gòu)。而現(xiàn)在一旦發(fā)生數(shù)據(jù)泄漏，泄漏范圍會是全集團所也進行了集中，一旦發(fā)生信息安全事故，其影響將是全局性的。比如在原有的信息化環(huán)境下發(fā)生敏感數(shù)據(jù)泄漏，其泄漏范圍只限于個別的醫(yī)院或分支機構(gòu)。而現(xiàn)在一旦發(fā)生數(shù)據(jù)泄漏，泄漏范圍會是全集團所有醫(yī)院和分支機構(gòu)，直接和間接的損失不可同日而語。有醫(yī)院和分支機構(gòu)，直接和間接的損失不可同日而語。二、云計算是一種顛覆傳統(tǒng)IT□□□□□□□,□□□□□□□,□□敏捷性、可擴展性以及可用性。還可以通過優(yōu)化資源分配、提高計算二、云計算是一種顛覆傳統(tǒng)IT□□□□□□□,□□□□□□□,□□敏捷性、可擴展性以及可用性。還可以通過優(yōu)化資源分配、提高計算三、效率來降低成本。這也意味著基于傳統(tǒng)IT架構(gòu)的信息安全技術(shù)和產(chǎn)品往往不能再為云端系統(tǒng)和數(shù)據(jù)提供足夠的防護能力。三、效率來降低成本。這也意味著基于傳統(tǒng)IT架構(gòu)的信息安全技術(shù)和產(chǎn)品往往不能再為云端系統(tǒng)和數(shù)據(jù)提供足夠的防護能力。系統(tǒng)和數(shù)據(jù)的集中部署、云計算技術(shù)應(yīng)用都要求建立可靠的信息安全管理機制，改變原有的離散管理模型，從管理規(guī)范和工作流程上實全管理機制，改變原有的離散管理模型，從管理規(guī)范和工作流程上實現(xiàn)與現(xiàn)有集中模式的對接，降低因管理不當(dāng)導(dǎo)致的信息安全風(fēng)險。項目目標(biāo)對XX□□□□□□□□□□□□□□□□□□□□□□□□□□□□,并依據(jù)風(fēng)險評估結(jié)果制訂相應(yīng)的風(fēng)險管控方案。具體建設(shè)內(nèi)容包括：技術(shù)風(fēng)險評估：1）對現(xiàn)有的信息系統(tǒng)、機房及基礎(chǔ)網(wǎng)絡(luò)資產(chǎn)和網(wǎng)絡(luò)拓?fù)?、?shù)據(jù)資產(chǎn)、特權(quán)賬號資產(chǎn)等進行安全風(fēng)險評估；2）對核心業(yè)務(wù)系統(tǒng)進行 WEB□□□□□□□□□□□□□□□□□□；3）對正在建設(shè)的云計算基礎(chǔ)平臺架構(gòu)及承載的操作系統(tǒng)進行安全風(fēng)險評估；4）滲透模擬黑客可能使用的攻擊技術(shù)和漏洞發(fā)現(xiàn)技術(shù)，對業(yè)務(wù)系統(tǒng)進行授權(quán)滲透測試，對目標(biāo)系統(tǒng)進行深入的探測， 以發(fā)現(xiàn)系統(tǒng)最脆弱的環(huán)節(jié)、 可能被利用的入侵點以及現(xiàn)網(wǎng)存在的安全隱患。管理風(fēng)險評估1）采用調(diào)查訪談并結(jié)合實地考察的形式，對數(shù)據(jù)中心和核心系統(tǒng)的安全管理制度進行疏理和安全風(fēng)險評估；2）對業(yè)務(wù)管控制度和流程進行安全風(fēng)險評估，采用閱讀流程資料和相關(guān)人員訪談的形式了解業(yè)務(wù)和系統(tǒng)內(nèi)控制度和實現(xiàn)的業(yè)務(wù)流程， 試用流程中涉及的軟件，察看各個業(yè)務(wù)控制點是否都得到有效的實施， 各個接口的處理是否妥當(dāng)，督檢查辦法是否健全；信息安全風(fēng)險管控方案其于上述風(fēng)險評估結(jié)果， 針對具體的安全漏洞和風(fēng)險設(shè)計管控方案， 包括但不限于安全漏洞加固方案、 信息安全管理規(guī)范優(yōu)化提升方案、 信息安全防護技術(shù)解決方案等。1.3需求內(nèi)容分析技術(shù)風(fēng)險評估需求分析本項目對技術(shù)風(fēng)險評估的內(nèi)容要求主要是：1、資產(chǎn)評估資產(chǎn)評估對象不僅包括設(shè)備設(shè)施等物理資產(chǎn)，同時也包括敏感數(shù)據(jù)、特權(quán)賬號等信息資產(chǎn)，其評估步驟如下：第一步：通過資產(chǎn)識別，對重要資產(chǎn)做潛在價值分析，了解其資產(chǎn)利用、維護和管理現(xiàn)狀，并提交資產(chǎn)清單；第二步：通過對資產(chǎn)的安全屬性分析和風(fēng)險評估，明確各類資產(chǎn)具備的保護價值和需要的保護層次，從而使企業(yè)能夠更合理的利用現(xiàn)有資產(chǎn)，更有效地進行資產(chǎn)管理，更有針對性的進行資產(chǎn)保護，最具策略性的進行新的資產(chǎn)投入。2、操作系統(tǒng)平臺安全評估針對資產(chǎn)清單中重要和核心的操作系統(tǒng)平臺進行安全評估，完整、全面地發(fā)現(xiàn)系統(tǒng)主機的漏洞和安全隱患。3、網(wǎng)絡(luò)拓?fù)?、網(wǎng)絡(luò)設(shè)備安全評估針對資產(chǎn)清單中邊界網(wǎng)絡(luò)設(shè)備和部分核心網(wǎng)絡(luò)設(shè)備，結(jié)合網(wǎng)絡(luò)拓?fù)浼軜?gòu)，析存在的網(wǎng)絡(luò)安全隱患。4、應(yīng)用系統(tǒng)安全評估（滲透測試）：通過模擬黑客可能使用的攻擊技術(shù)和漏洞發(fā)現(xiàn)技術(shù)，對XX□□□□□□□試的目標(biāo)系統(tǒng)進行深入的探測，以發(fā)現(xiàn)系統(tǒng)最脆弱的環(huán)節(jié)、可能被利用的入侵點以及現(xiàn)網(wǎng)存在的安全隱患，并指導(dǎo)進行安全加固。1.3.2管理風(fēng)險評估需求分析1、安全管理制度審計：通過調(diào)研重要和核心資產(chǎn)管理、關(guān)鍵業(yè)務(wù)及數(shù)據(jù)、相關(guān)系統(tǒng)的基本信息、有的安全措施等情況，并了解目前XX□□□□□□□□□□□□□制度和策略，分析目前XX□□□□□□□□□□□□□□□□□□□□2、業(yè)務(wù)管控安全評估：通過調(diào)研業(yè)務(wù)系統(tǒng)內(nèi)控制度和實現(xiàn)的業(yè)務(wù)流程，試用流程中涉及的軟件，看各個業(yè)務(wù)控制點是否都得到有效的實施，各個接口的處理是否妥當(dāng)，監(jiān)督檢查辦法是否健全，從而改進內(nèi)控制度和業(yè)務(wù)流程的合理性和數(shù)據(jù)流的安全性。1.4時間進度需求項目的時間需按照整體時間要求完成全部工作，并且需提交階段性工作成果。1.5考核要求XX集團將對項目的交付成果和執(zhí)行過程中的質(zhì)量進行考核，考核結(jié)果將作為最終結(jié)算的依據(jù)?？己宿k法將由XX為最終結(jié)算的依據(jù)?？己宿k法將由XX□□□□□□□□□□□□□□□□□1.6服務(wù)支撐需求本項目的服務(wù)供應(yīng)方需與XX本項目的服務(wù)供應(yīng)方需與XX□□□□□□□□□□□□□,□□□□□□該項目所有工作。項目團隊采取緊密溝通的方式，分為每周例會定期溝通和重大問題共同討論項目團隊采取緊密溝通的方式，分為每周例會定期溝通和重大問題共同討論的溝通方式。該項目的辦公時間為5天*8小時/周；值班電話須7天*24小時/周保持通話該項目的辦公時間為5天*8小時/周；值班電話須7天*24小時/周保持通話暢通。交付成果需求本項目在開展過程中需進行日報、周報、月報等相關(guān)工作計劃與總結(jié)的提交，本項目在開展過程中需進行日報、周報、月報等相關(guān)工作計劃與總結(jié)的提交，并根據(jù)實際工作內(nèi)容及時提交相應(yīng)工作成果及報告。項目實施方案2.1技術(shù)安全風(fēng)險評估2.1.1資產(chǎn)評估保護資產(chǎn)免受安全威脅是安全工程實施的根本目標(biāo)。要做好這項工作，首先保護資產(chǎn)免受安全威脅是安全工程實施的根本目標(biāo)。要做好這項工作，首先需要詳細(xì)了解資產(chǎn)分類與管理的詳細(xì)情況。項目名稱資產(chǎn)識別簡要描述□□□□□□,□□□□□□,□□□□□□□□;

達成目標(biāo)?□□□□□□,□□□□□□,□□□□□□□□;?□□□□□□□□□□□□□;主要內(nèi)容?□□□□□□,□□□□□□;□□□□□□□□;□□□□□□□□□;實現(xiàn)方式?□□□□□□□□□□□□ ,□□□□□□□□□□□□□□□□□□□□□□□□□□□□?交流/□□□□□□□□□□□□□□□□□□□;/□□□□□□□□□□□□□□□□□□□□□□□□□行交流。工作條件1-2□□□□□, 2臺Win2000PC,電源和網(wǎng)絡(luò)環(huán)境，客戶人員和資料配合工作結(jié)果□□□□□□□□□□□；參加人員□□□□□□,□ XX□□□□□□□□□□,□□□□□□□□在XX□□□□□□□□□□□□下□□□□□□□□□項目名稱風(fēng)險評估簡要描述□□□□□□□□□□□□□□□□□□□□達成目標(biāo)?□□□□□□□□□；?□□□□□□□□□□□□□□；主要內(nèi)容?□□□□□□□□□；?□□□□□□□□□□□；?□□□□□□□□□□□□□；實現(xiàn)方式?□□□□□：□□□□□□□ ,□□□□□□□□□□□□□□□□□□□□□□□□□□□□?交流

/□□□□□□□□□□□□□□□□□□□;/□□□□□□□□□□□□□□□□□□□□□□□□□行交流。工作條件2-3人工作環(huán)境， 3臺Win2000PC,電源和網(wǎng)絡(luò)環(huán)境，客戶人員和資料配合工作結(jié)果?□□□□□□；?□□□□□□□□□□□□；?□□□□□□□□參加人員□□□□□□, □□□□□□□□ XX□□□□□□□□□□□□□□□□□□2.1.2操作系統(tǒng)平臺安全評估工具掃描使用業(yè)界專業(yè)漏洞掃描軟件， 根據(jù)已有的安全漏洞知識庫， 模擬黑客的攻擊方法，檢測主機操作系統(tǒng)存在的安全隱患和漏洞。、主要檢測內(nèi)容：□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□ /□□□□□□□□□□□服務(wù)器主機后門檢測服務(wù)器主機漏洞檢測服務(wù)器主機安全配置審計服務(wù)器主機用戶權(quán)限審計服務(wù)器主機口令審計服務(wù)器主機文件系統(tǒng)安全性審計操作系統(tǒng)內(nèi)核的安全性文件傳輸服務(wù)安全性2、掃描策略提供可定制掃描策略的策略編輯器。按照掃描強度，默認(rèn)的掃描策略模板包提供可定制掃描策略的策略編輯器。按照掃描強度，默認(rèn)的掃描策略模板包括：高強度掃描中強度掃描低強度掃描按照掃描的漏洞類別，默認(rèn)的掃描策略模板包括：NetBIOS漏洞掃描Web&CGI漏洞掃描主機信息掃描帳戶掃描端口掃描數(shù)據(jù)庫掃描在遠(yuǎn)程掃描過程中， 將對遠(yuǎn)程掃描的目標(biāo)按照操作系統(tǒng)類型和業(yè)務(wù)應(yīng)用情況進行分類，采用定制的安全的掃描策略。2.1.2.2人工分析對于主要的操作系統(tǒng)， 安全專家將主要從下面幾個方面來獲取系統(tǒng)的運行信息：賬號；資源；系統(tǒng)；網(wǎng)絡(luò)；審核、日志和監(jiān)控；這些信息主要包括：網(wǎng)絡(luò)狀況、網(wǎng)絡(luò)配置情況、用戶賬號、服務(wù)配置情況、安全策略配置情況、文件系統(tǒng)情況、日志配置和紀(jì)錄情況等。在技術(shù)審計過程中， 安全服務(wù)專家將采用多種技術(shù)來進行信息收集， 這些技術(shù)包括：審計評估工具：開發(fā)了自己的審計評估腳本工具，通過執(zhí)行該工具，就可以獲取系統(tǒng)的運行信息。?常見后門分析工具：通過使用專業(yè)工具，檢查系統(tǒng)是否存在木馬后門

?□□□□□□:□□□□□□□□□□□,□□□□□□□□□□Rootkit等很難被發(fā)現(xiàn)的后門程序收集了系統(tǒng)信息之后， 安全專家將對這些信息進行技術(shù)分析， 審計的結(jié)果按照評估對象和目標(biāo)對結(jié)果從補丁管理、 最小服務(wù)原則、最大安全性原則、用戶管理、口令管理、日志安全管理以及入侵管理七個方面進行歸類處理并評分。評估目標(biāo)評估內(nèi)容補丁管理□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□,□□□□□□□□服務(wù)原則□□□□□□則□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□,□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□,□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□,□□□□□□□□□□□□□□□□□□入侵管理□□□□□□□□□□□,□□□□□□□□□這7個方面將能夠充分體現(xiàn)系統(tǒng)目前的運行和安全現(xiàn)狀。 通過數(shù)字分?jǐn)?shù)的形式，并結(jié)合資產(chǎn)的重要性， 將能夠很直觀地表現(xiàn)出系統(tǒng)的情況。 并且可以根據(jù)其中存在的缺陷，制定相應(yīng)的解決辦法。2.1.3網(wǎng)絡(luò)安全評估網(wǎng)絡(luò)拓?fù)浞治鰧X集□□□□□□□□□□□□,□□□□□□□□□□□和安全□□以及對提供相應(yīng)的調(diào)整建議。項目名稱□□□□□□

簡要描述□□□□□□□□□□□□□□□□□□□□□□□,□□□□□□□□□□□□□□□□□□□,□□□□□□□□□□□□的建議。達成目標(biāo)□□□□□□□□□□□,□□□□□□□□□□□□□□□□?□□□□□□?□□□□□□主要內(nèi)容??□□□□□□□□□□□□□□□□□□□□□?□□□□□□□□□□□□?□□□□□□□□□?信息收集實現(xiàn)方式??調(diào)查分析交流?現(xiàn)場查看工作條件1-2人工作環(huán)境， 2臺WindowsPC,電源和網(wǎng)絡(luò)環(huán)境，客戶人□□□□□□工作結(jié)果□□□□□□□□參加人員評估小組， XX□□□□□□□□□□□□□□□□□□□□理人員網(wǎng)絡(luò)設(shè)備安全評估對網(wǎng)絡(luò)設(shè)備（路由、交換、防火墻等）的安全評估，是對網(wǎng)絡(luò)設(shè)備的功能、設(shè)置、管理、環(huán)境、弱點、漏洞等進行全面的評估。1、評估條件評估前需要明確以下內(nèi)容：□□□□□□;□□□□□□□□□□□□□□□□□ IP地址；□□□□□□□□□□□□□□□□□□□□□□ IP和鄰近設(shè)備）;2、評估內(nèi)容

查看網(wǎng)絡(luò)設(shè)備的配置、環(huán)境、和運行情況。至少包括以下幾個方面：□□□□□□□□□□□□;□□□□□□□□□□□;對網(wǎng)絡(luò)設(shè)備實施攻擊測驗，以測驗網(wǎng)絡(luò)設(shè)備的真實安全性。這需要最謹(jǐn)慎從事；3、評估結(jié)果提供策略變更建議提供日志管理建議提供審計服務(wù)2.1.4滲透測試2.1.4.1測試流程XX□□□□□□□□□□XX□□□□□□□□□□行滲透性測試：制定實施方案客戶確認(rèn)信息收集分析內(nèi)部計劃制定客戶確認(rèn)客戶確認(rèn)取得權(quán)限、提升權(quán)限取得權(quán)限、提升權(quán)限生成報告生成報告滲透性測試步驟與流程圖1、內(nèi)部計劃制定、二次確認(rèn)根據(jù)XX□□□□□□□□□,□□□□□□□□□□□□□□□□□□□活情況、網(wǎng)絡(luò)拓?fù)淝闆r以及掃描得到的服務(wù)開放情況、 漏洞情況制定內(nèi)部的詳細(xì)實施計劃。具體包括每個地址下一步可能采用的測試手段， 詳細(xì)時間安排。并將□□□□□□□□□□□□□□□ XX□□□□□□□2、取得權(quán)限、提升權(quán)限通過初步的信息收集分析， 存在兩種可能性， 一種是目標(biāo)系統(tǒng)存在重大的安全弱點，測試可以直接控制目標(biāo)系統(tǒng)；另一種是目標(biāo)系統(tǒng)沒有重大的安全弱點，但是可以獲得普通用戶權(quán)限， 這時可以通過該普通用戶權(quán)限進一步收集目標(biāo)系統(tǒng)信息。 接下來盡最大努力取得超級用戶權(quán)限、 收集目標(biāo)主機資料信息， 尋求本地權(quán)限提升的機會。 這樣不停地進行信息收集分析、 權(quán)限提升的結(jié)果形成了整個的滲透性測試過程。2.1.4.2測試內(nèi)容和方法1、測試內(nèi)容通過采用適當(dāng)測試手段， 發(fā)現(xiàn)測試目標(biāo)在系統(tǒng)認(rèn)證及授權(quán)、 代碼審查、 被信任系統(tǒng)的測試、文件接口模塊、應(yīng)急流程測試、信息安全、報警響應(yīng)等方面存在的安全漏洞， 并現(xiàn)場演示再現(xiàn)利用該漏洞可能造成的損失， 并提供避免或防范此類威脅、風(fēng)險或漏洞的具體改進或加固措施。2、測試方法滲透測試的方法比較多，主要包括端口掃描，漏洞掃描，拓?fù)浒l(fā)現(xiàn)，口令破解，本地或遠(yuǎn)程溢出以及腳本測試等方法。 這些方法有的有工具， 有的需要手工操作，和具體的操作人員習(xí)慣管理比較大。□□□,□□□□□□□□□□□□□□□□□□□ XX集團同意后，具體的滲透性測試過程將按照以下滲透性測試技術(shù)流程圖進行。實施計劃確認(rèn)信息收集、分析T是.—.一二:存在遠(yuǎn)程控制弱點一是去也制系統(tǒng).否否 2 :存在遠(yuǎn)程普通弱點』j是信息收集、分析""否—否—:二獲取本地普通權(quán)限，j是本地信息收集、分析亍否…本地權(quán)限提升「控.一■■■■■----制系統(tǒng).j是 、信息收集、分析卜 j二生成報告滲透性測試技術(shù)流程圖信息的收集和分析伴隨著每一個滲透性測試步驟， 每一個步驟又有三個組成部分：操作、響應(yīng)和結(jié)果分析。（1）網(wǎng)絡(luò)信息搜集信息收集是每一步滲透攻擊的前提， 通過信息收集可以有針對性地制定模擬攻擊測試計劃，提高模擬攻擊的成功率， 同時可以有效地降低攻擊測試對系統(tǒng)正常運行造成地不利影響。□□□□□□□□ PingSweep、DNSSweep、DNSzonetransfer、操作系統(tǒng)指紋判別、應(yīng)用判別、賬號掃描、配置判別等。信息收集常用的工具包括商業(yè)網(wǎng)絡(luò)安全漏洞掃描軟件 （如，天鏡等），免費安全檢測工具（如，NMAP、NESSUS等）。操作系統(tǒng)內(nèi)置的許多功能（如 ,TELNET、NSLOOKUP、IE等）也可以作為信

息收集的有效工具。（2）端口掃描□□□□□□□ TCP/UDP□□□□,□□□□□□□□□□□□□□□,這是所有滲透性測試的基礎(chǔ)。 通過端口掃描，可以基本確定一個系統(tǒng)的基本信息，結(jié)合安全工程師的經(jīng)驗可以確定其可能存在以及被利用的安全弱點， 為進行深層次的滲透提供依據(jù)。（3）遠(yuǎn)程溢出這是當(dāng)前出現(xiàn)的頻率最高、 威脅最嚴(yán)重，同時又是最容易實現(xiàn)的一種滲透方法，一個具有一般網(wǎng)絡(luò)知識的入侵者就可以在很短的時間內(nèi)利用現(xiàn)成的工具實現(xiàn)遠(yuǎn)程溢出攻擊。對于在防火墻內(nèi)的系統(tǒng)存在同樣的風(fēng)險， 只要對跨接防火墻內(nèi)外的一臺主機攻擊成功，那么通過這臺主機對防火墻內(nèi)的主機進行攻擊就易如反掌。（4）口令猜測口令猜測也是一種出現(xiàn)概率很高的風(fēng)險， 幾乎不需要任何攻擊工具， 利用一個簡單的暴力攻擊程序和一個比較完善的字典，就可以猜測口令。對一個系統(tǒng)賬號的猜測通常包括兩個方面： 首先是對用戶名的猜測， 其次是對密碼的猜測。（5）本地溢出所謂本地溢出是指在擁有了一個普通用戶的賬號之后， 通過一段特殊的指令代碼獲得管理員權(quán)限的方法。 使用本地溢出的前提是首先要獲得一個普通用戶的密碼。也就是說由于導(dǎo)致本地溢出的一個關(guān)鍵條件是設(shè)置不當(dāng)?shù)拿艽a策略。多年的實踐證明，在經(jīng)過前期的口令猜測階段獲取的普通賬號登錄系統(tǒng)之后，對系統(tǒng)實施本地溢出攻擊， 就能獲取不進行主動安全防御的系統(tǒng)的控制管理權(quán)限。（6）腳本測試□□□□□□□ Web□□□□□□ □□□□□□□□□, □□□□□□□當(dāng)前Web系統(tǒng)尤其存在動態(tài)內(nèi)容的 Web系統(tǒng)存在的主要比較嚴(yán)重的安全弱點之一。利用腳本相關(guān)弱點輕則可以獲取系統(tǒng)其他目錄的訪問權(quán)限， 重則將有可能取得系統(tǒng)的控制權(quán)限。因此對于含有動態(tài)頁面的Web得系統(tǒng)的控制權(quán)限。因此對于含有動態(tài)頁面的Web系統(tǒng)，□□□□□□□□□□的一個環(huán)節(jié)。的一個環(huán)節(jié)。2.1.4.3風(fēng)險控制措施本次項目，為了保證滲透性測試不對XX集團AGIS□□□□□□□□□□□本次項目，為了保證滲透性測試不對XX集團AGIS□□□□□□□□□□□影響，建議本次滲透性測試采取以下方式進行風(fēng)險控制。1、工具選擇為防止造成真正的攻擊，本次滲透性測試項目，會嚴(yán)格選擇測試工具，杜絕為防止造成真正的攻擊，本次滲透性測試項目，會嚴(yán)格選擇測試工具，杜絕因工具選擇不當(dāng)造成的將病毒和木馬植入的情況發(fā)生。2、時間選擇為減輕滲透性測試對XX□□□□□□□□□□,□□□□□□□□□,建為減輕滲透性測試對議在晚上業(yè)務(wù)不繁忙時進行。3、策略選擇為防止?jié)B透性測試造成XX為防止?jié)B透性測試造成XX□□□□□□□□□□□□,□□□□□□□□中不使用含有拒絕服務(wù)的測試策略。4、有效溝通本次項目，建議：在工程實施過程中，確定不同階段的測試人員以及客戶方本次項目，建議：在工程實施過程中，確定不同階段的測試人員以及客戶方的配合人員，建立直接溝通的渠道，并在工程出現(xiàn)難題的過程中保持合理溝通。評估團隊的高級安全專家在客戶可控的范圍內(nèi)，完成對目標(biāo)系統(tǒng)的滲透測試工作，并做出詳細(xì)的記錄，最終形成《滲透測試報告》。報告對滲透測試過程中發(fā)現(xiàn)的脆弱性進行細(xì)致的分析、描述脆弱性對整個系統(tǒng)造成的潛在危害以及基本評估團隊的高級安全專家在客戶可控的范圍內(nèi)，完成對目標(biāo)系統(tǒng)的滲透測試工作，并做出詳細(xì)的記錄，最終形成《滲透測試報告》。報告對滲透測試過程中發(fā)現(xiàn)的脆弱性進行細(xì)致的分析、描述脆弱性對整個系統(tǒng)造成的潛在危害以及基本的修補建議等等。2.2管理風(fēng)險評估安全管理制度審計項目名稱□□□□□□□□簡要描述□□□□□□□□□□□□□□,□□□□□□□

達成目標(biāo)?□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□,□□□□□□□□□□□□□□□□□□□□□□□□□□□□□;?□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□;主要內(nèi)容?□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□,□□□□□□□□;□□□□□□□□,□□□□□□□□;□□□□□□□□□□;□□□□□□□□□□;實現(xiàn)方式?收集/□□□□□□□□□□□□□□□□□□□□□□□□□□?評審/□□□□□