第三方安全測評服務評估方案（技術方案）

第三方安全測評服務評估技術方案（技術方案）投標方案投標人名稱：****有限責任公司地址：****號二樓聯(lián)系人：****報告說明聲明：本文內容信息來源于公開渠道，對文中內容的準確性、完整性、及時性或可靠性不作任何保證。本文內容僅供參考與學習交流使用，不構成相關領域的建議和依據(jù)。目錄1技術建議書 1 1 1 2 21.1.3.1.1滲透測試概述 21.1.3.1.2滲透測試意義 31.1.3.1.3滲透測試步驟 1.1.3.1.4滲透測試流程 71.1.3.1.5滲透測試報告 1.1.3.2三同步工作 1.1.3.2.2新業(yè)務上線安全檢查范圍 1.1.3.2.3新業(yè)務上線安全檢查內容 1.1.3.3安全運維 1.1.3.3.1執(zhí)行運維作業(yè)計劃 21.1.3.3.4應急響應演練 251.1.3.4系統(tǒng)運維 1.1.3.4.1系統(tǒng)運維概述 1.1.3.4.3系統(tǒng)運維的內容 1.1.3.4.5系統(tǒng)運維注意事項 1.1.3.5重大節(jié)日安全保障 1.1.3.5.2重大節(jié)日安全保障范圍 1.1.3.5.3重大節(jié)日安全保障內容 1.1.3.6安全加固服務 1.1.3.6.1加固方法確定 1.1.3.6.2安全加固流程 411.1.3.6.4實施驗證 411.1.3.6.5加固驗證 411.1.3.6.6補丁管理 42 43 4 45 45 461.2.2.1人員角色 1.2.2.2項目辦公環(huán)境 1.2.2.3審計顧問訪談 1.2.2.4資料文檔 481.2.2.4.1信息資產(chǎn)清單 48 481.2.2.5網(wǎng)絡系統(tǒng)信息 1.2.2.6現(xiàn)有安全文檔 1.2.2.7項目設備 1.3.1.2.2功能模塊 1.3.1.2.3功能列表 1.3.1.2.4功能描述 1.3.1.2.5軟件和安裝所在硬件設備對照表 1.3.1.3軟件的體系結構 1.3.1.4關鍵技術 1.3.1.5工具特點 1.3.1.5.1操作系統(tǒng)獨立 51.3.1.5.2編譯器獨立、實施環(huán)境獨立，搭建測試環(huán)境簡單快速且 1.3.1.5.3工具學習、培訓和使用的成本少，最小化影響實施 51.3.1.5.4低誤報 1.3.1.5.5安全漏洞覆蓋面廣且全面(低漏報) 1.3.1.5.6安全查詢規(guī)則清晰且完全公開實現(xiàn) 1.3.1.5.7安全規(guī)則自定義簡單高效 1.3.1.5.9安全規(guī)則自定義簡單高效 1.3.1.5.10業(yè)務邏輯和架構風險調查 1.3.1.5.11攻擊路徑的可視化，并以3D形式展現(xiàn) 1.3.1.5.12代碼實踐的加強 581.3.1.5.13該產(chǎn)品目前支持主流語言 1.3.1.5.14支持的主流框架() 1.3.1.5.17支持多任務 59 1.3.2.2.2功能模塊 1.3.2.2.3功能列表 1.3.2.2.5軟件和安裝所在硬件設備對照表 1.3.2.3軟件的體系結構 1.3.2.4關鍵技術 1.3.2.5工具特點 61.3.3.1信息收集工具 1.3.3.1.2運行環(huán)境 1.3.3.1.3資源要求 1.3.3.2網(wǎng)絡掃描工具 1.3.3.2.1工具介紹 1.3.3.2.2運行環(huán)境 1.3.3.2.3資源要求 1.3.3.3漏洞掃描系統(tǒng) 1.3.3.3.2運行環(huán)境 1.3.3.4應用掃描系統(tǒng) 1.3.3.4.2運行環(huán)境 1.3.3.4.3資源要求 1.3.3.5安全配置核查系統(tǒng) 1.3.3.5.2運行環(huán)境 1.3.3.6集成滲透測試系統(tǒng) 1.3.3.6.1系統(tǒng)介紹 1.3.3.6.2運行環(huán)境 1.3.3.7注入工具 1.3.3.7.1工具介紹 1.3.3.7.2運行環(huán)境 1.3.3.8應用代理 1.3.3.8.2運行環(huán)境 1.3.3.8.3資源要求 1.3.3.9協(xié)議分析工具 1.3.3.9.1工具介紹 1.3.3.9.2運行環(huán)境 1.3.3.9.3資源要求 1.4.2安全策略文檔 1.4.3測試工具文檔 1.5服務內容 1.6實施計劃 1.6.1.1項目啟動計劃 1.6.1.2項目進度時表 1.6.1.3項目進度保障 1.6.1.3.1項目進度質量保證 1.6.1.3.2項目進度控制方法 1.6.1.3.3項目執(zhí)行跟蹤監(jiān)控 1.6.1.3.4項目管理會議措施 1.6.2項目質量管理 1.6.2.1質量控制 1.6.2.2質量記錄 1.6.2.3標識可追溯 1.6.2.4審核與評審 1.6.2.5誤差控制 1.6.2.6加固質量保障 1.6.2.7評估質量保證 1.6.3應急安全保障 87 1.6.3.2應急流程 1.6.3.3事件處理 1.7成果驗收 1.7.1項目成果交付 911.7.1.1安全評估交付物 1.7.1.2測試整改交付物 1.7.1.3其他項目交付物 1.7.2.1項目驗收標準 1.7.2.2項目內容驗收 1.7.2.3項目質量驗收 1.8.2安全培訓服務范圍 961.8.3安全培訓服務內容 961.8.4培訓計劃 971.8.5培訓原則 981.8.6培訓流程 98 981.8.6.2培訓實施階段 91.8.6.3培訓評估階段 91.8.6.4培訓流程示圖 1001.8.7培訓質量管理 1001.8.8培訓相關文檔 1012安全整改建議 101 101 1012.3安全整改措施 1022.3.1關于與組織管理的整改 1022.3.2關于網(wǎng)絡與系統(tǒng)安全的整改 1022.3.3關于網(wǎng)絡服務與應用系統(tǒng)的整改 1032.3.4關于安全技術管理與設備運行狀況的整改 1032.3.5關于存儲備份系統(tǒng)的整改 1032.3.6關于介質安全的整改 1043項目進度安排 1051.1服務方案常態(tài)化漏洞掃描，弱口令檢查，業(yè)務系統(tǒng)滲透測試及相關文檔、總結撰寫●全網(wǎng)掃描(范圍)?！窀鶕?jù)目標主機數(shù)量制定掃描計劃，每個月能保證至少完成一次對全部維護對象●出具安全掃描結果并和維護人員進行面對面溝通確認，督促維護人員進行整改和加固，加固結束后進行再次復查并出具復查報告對于新的業(yè)務系統(tǒng)上線前，值守人員配合完成上線設備的●通過使用現(xiàn)有遠程安全評估系統(tǒng)對上線設備進行掃描，確保沒有高、中等級的安全問題，對于低等級的安全問題，應確保該問題不會泄露設備敏感信息●配合安全加固的對上線設備進行檢查，以確保上線設備已進行了必要的安全設置●注：若已制定相關的安全準入規(guī)范，將使用提供的替代的●對復雜的應用系統(tǒng)，如：系統(tǒng)，根據(jù)需求進遠程滲透測試滲透測試()是指是從一個攻擊者的角度來檢查和審核一個網(wǎng)絡系統(tǒng)的安全性的過程。通常由安全工程師盡可能完整地模擬黑客使用的漏洞發(fā)現(xiàn)技

預攻擊階段(尋找滲透突破口)

攻擊階段(獲取目標權限)

后攻擊階段(擴大攻擊滲透成果)●網(wǎng)絡配置、狀態(tài)，服務器信息

●其它相關信息(如服務器信息，服務器管理員信息等)

●常規(guī)掃描及漏洞發(fā)現(xiàn)確認

端口掃描及指紋識別

利用各種掃描工具進行漏洞掃描(、等)

采用、3等工具進行防火墻規(guī)則探測

采用對網(wǎng)絡設備等進行發(fā)現(xiàn)

采用、等軟件對常見漏洞進行掃描

采用如之類的商用軟件對數(shù)據(jù)庫進行掃描分析●應用分析(及數(shù)據(jù)庫應用)

采用、、、等工具進行分析對服務進行分析檢測

某些特定應用或程序的漏洞的手工驗證檢測(如注入、某些論壇網(wǎng)站的上傳漏

采用類似的工具對數(shù)據(jù)庫進行分析Aichitocturo…Y基于、數(shù)據(jù)庫或特定的或結構的網(wǎng)絡應用程序存在的弱點進行攻擊，常見的如注重要文件暴露等均屬于這一類型，特定的對象及其漏洞有其后攻擊階段主要是在達到一定的攻擊效果后，隱藏和清除自己的入侵痕跡，并利用1)植入后門木或者鍵盤記錄工具等，獲得對對象的再一次的控制權在真實的黑客入侵事件中，這一步往往還要進行入侵行為的2)獲得對象的完全權限這一步主要以破解系統(tǒng)的管理員權限賬號為主，有許多著名的口令破解軟件，如通通過滲透實施修改未通過修改末通過合法性即客戶書面授權委托并同意實施方案，這是進行測試首先必須將實施方法、實施時間、實施人員、實施工具

項目基本情況及目標介紹

滲透測試實施方案及計劃

滲透測試成果的審核確認信息收集是每一步滲透攻擊的前提，通過信息收集尋找滲

域名及分布

網(wǎng)絡拓補、設備及操作系統(tǒng)

端口及服務情況

應用系統(tǒng)情況

最新漏洞情況

其它信息(如服務器管理員的相關信息等)根據(jù)預攻擊階段信息收集的結果，對滲透測試方案進行細及針對這些漏洞的可能采用的測試手段，詳細時間安排，以及可戶配合或關注的地方等。方案細化后再次知會客戶并取得客

獲得目標系統(tǒng)權限

后門木馬植入，保持控制權

跳板滲透，進一步擴展攻擊成果

獲取敏感信息數(shù)據(jù)或資源在實施過程中，特別提請注意的是采取的滲透測試技術及手業(yè)務中斷和工作異常，必須對對象的狀態(tài)進行實時監(jiān)控，必要的情況下可以要求客戶協(xié)滲透測試之后，針對每個系統(tǒng)需要向客戶提供一份滲透滲透結論包括目標系統(tǒng)的安全狀況、存在的問題、滲透測試的結果等滲透測試項目的介紹包括項目情況、時間、參與人員、操作地點等滲透測試過程包括滲透測試的各個實施階段中的方法、工具、技術及其操作細節(jié)等滲透測試的證據(jù)滲透測試的一些過程及證明文件解決方案針對滲透測試中發(fā)現(xiàn)的問題給出對應的解決辦法和建議附錄部分滲透測試中的一些其它相關內容，如異常事件的記錄和處理等定期巡檢結合故障現(xiàn)場運行運維服務的基本操作流程如下圖所示：從網(wǎng)絡的連通性、網(wǎng)絡的性能、網(wǎng)絡的監(jiān)控管理三個1現(xiàn)場備件安裝配合進行，按備件到達現(xiàn)場時間工程師到達現(xiàn)場2現(xiàn)場軟件升級首先分析軟件升級的必要性和風險，配合進行軟件升級3現(xiàn)場故障診斷按服務級別：7×24小時5×8小時電話遠程技術支持7×24小時問題管理系統(tǒng)對遇到的問題進行匯總和發(fā)布(1)現(xiàn)場技術人員值守根據(jù)的需求提供長期的現(xiàn)場技術人員值守服務，保證網(wǎng)絡接入交換機、匯聚交換機和核心交換機的正常運轉?，F(xiàn)場值守的對重點事件進行記錄，對安全事件的產(chǎn)生原因進行判斷和解決，同時能夠對設備的運行數(shù)據(jù)進行記錄，形成報表進行統(tǒng)計分析，便于進行網(wǎng)絡系統(tǒng)配置數(shù)據(jù)性能數(shù)據(jù)故障數(shù)據(jù)(2)現(xiàn)場巡檢服務現(xiàn)場巡檢服務是對客戶的設備及網(wǎng)絡進行全面檢查的1硬件運行狀態(tài)檢查項目單板狀態(tài)檢查電源模塊狀態(tài)檢查設備地線檢查2軟件運行情況檢查項目設備運行情況檢查網(wǎng)絡報文分析設備對接運行狀況檢查路由運行情況檢查3網(wǎng)絡運行問題調查網(wǎng)絡變更情況調查網(wǎng)絡歷史故障調查網(wǎng)絡運行分析與管理服務是指技術服務工程師通過對網(wǎng)絡運行狀況、網(wǎng)絡問題進行服務優(yōu)點網(wǎng)絡專家組每周與客戶進行不少于2小時的電話技術交流以最小成本保證及時解答客戶關心的技術問題，并就某一領域技術問題展開深層次溝通。每月向客戶提交匯總分析報告，并可擴展到每年17次(月度、季度、年度)防建議，最大程度減少網(wǎng)絡故障隱患，更高效的保證重要時刻設備穩(wěn)定運行對客戶成功尤為關鍵，因此專人現(xiàn)場值守支持，包括政府客戶的重大會議期間、金融客如需專人值守，客戶需至少提前3周與授權服務商客戶服務經(jīng)理聯(lián)系。對每位合約客戶，授權服務商均需按事先合同約定提供專人值守服務?？蛻羧缧璩龊贤s定范圍提供的主機、存儲系統(tǒng)的運維服務包括：主機、存儲設1配合進行。按備件到達現(xiàn)場時間工程師到達現(xiàn)場2消除軟件漏洞給系統(tǒng)帶來的安全隱患，并對安裝補345×8小時5電話遠程技術支持7×24小時6問題管理系統(tǒng)7系統(tǒng)優(yōu)化>內存使用情況管理；>監(jiān)控主機運行狀況；監(jiān)控備份服務進程、備份情況(起止時間、是否成功、出錯告警);提供的數(shù)據(jù)庫運行運維服務是包括主動數(shù)據(jù)庫性能管理，數(shù)據(jù)庫的主動性能管理對系統(tǒng)運維非常重要。通過主動式性能管理可了解數(shù)性能問題發(fā)生在什么地方，有針對性地進行性能優(yōu)化。同的數(shù)據(jù)庫運行運維服務，主要工作是使用技術手段來達到管理的目標，以系統(tǒng)最終1務產(chǎn)品技術專家直接同客戶對話，幫助解決客戶提出23數(shù)據(jù)庫產(chǎn)品系統(tǒng)健康檢查對系統(tǒng)的配置及運作框架提出建議，以幫助您得到一個更堅強可靠的運作環(huán)境降低系統(tǒng)潛在的風險，包括數(shù)據(jù)丟失、安全漏洞、系統(tǒng)崩潰、性能降低及資源緊張檢查并分析系統(tǒng)日志及跟蹤文件，發(fā)現(xiàn)并排除數(shù)據(jù)庫系統(tǒng)錯誤隱患明確您系統(tǒng)的能力及不足時間4分析的應用類型和行為■檢查日志文件是否有異常報錯1.1.3.3.2.7運維服務管理制度故障級別響應時間故障解決時間30分鐘，30小時內提交故障處理方案1小時以內30分鐘，30小時內提交故障處理方案2小時以內系統(tǒng)報錯或警告，但業(yè)務系統(tǒng)能繼續(xù)運行且性能30分鐘，30小時內提交故障處理方案12小時以內30分鐘，30小時內提交故障處理方案24天內(3)問題確認、解決。服務的技術人員和業(yè)務人員收到系對提交的問題進行歸類匯總和分析、確認。可以解決的，明確問(4)問題上報。服務人員收到經(jīng)業(yè)務或技術人員確認的系同時做好變更記錄。將解決方案匯總后及時向問題提交單位或問題交辦客戶作出回復，現(xiàn)場值守人員在接收到安全通告后，對通告內容進行必要的關注，同時，結合資產(chǎn)信息表來確認哪些業(yè)務相關的系統(tǒng)可能面臨安全威脅，對于此類業(yè)務系統(tǒng)，將通知其管基于關鍵業(yè)務點面向業(yè)務系統(tǒng)可用性和業(yè)務連續(xù)性進行績效指標指導和考核信息系統(tǒng)運行質量和運維管理工作的實施和執(zhí)行，使用全面覆蓋信息系統(tǒng)的監(jiān)測中心，并對各類事件做出快速、準確的定位和展現(xiàn)。實現(xiàn)對信息系統(tǒng)運行動態(tài)的快速掌握，以及運行運維管理過程中的事前預警、事發(fā)時快速定位。其主1.集中監(jiān)控：采用開放的、遵循國際標準的、可擴展的架構，整合各類監(jiān)控管理工具的監(jiān)控信息，實現(xiàn)對信息資產(chǎn)的集中監(jiān)視、控系統(tǒng)。監(jiān)控的主要內容包括：基礎環(huán)境、網(wǎng)絡、通信、安全、主機、中間件、數(shù)據(jù)借鑒并融合了(信息系統(tǒng)基礎設施庫)(服務管理)的先進管理規(guī)范和最佳實踐審計：是以跨平臺多數(shù)據(jù)源信息安全審計為框架，以電子數(shù)據(jù)處理審計為基礎的信息審計系統(tǒng)。主要包括：系統(tǒng)流程和輸入輸出數(shù)據(jù)以及資產(chǎn)管理是全面實現(xiàn)信息系統(tǒng)運行運維管理的基礎，提供的豐富的資產(chǎn)信息屬性基于關鍵業(yè)務點配置關鍵業(yè)務的基礎設施關聯(lián)，通過資應用系統(tǒng)的運行運維內容，實現(xiàn)各類基礎設施與關鍵業(yè)務的綜合運行態(tài)勢：是全面整合現(xiàn)有各類設備和系統(tǒng)的各類異構信息，包括網(wǎng)絡設備、安全設備、應用系統(tǒng)和終端管理中各種事件，經(jīng)過采集相關異構監(jiān)控系統(tǒng)的信息，通過對不同來源的信息數(shù)據(jù)的系統(tǒng)配置管理：從系統(tǒng)容錯、數(shù)據(jù)備份與恢行運維體系，采用平臺監(jiān)測器實時監(jiān)測、運行檢測安全事件分類與定級安全事件發(fā)生后，建議由中國公司負責人對信針對最常見的主流攻擊手段，通過網(wǎng)絡或其他技術手段●拒絕服務攻擊●非授權訪問攻擊●不當應用根據(jù)安全事件的性質和嚴重程度劃分等級，分別指定問表1.1安全事件定級事件級別I網(wǎng)絡或業(yè)務系統(tǒng)出現(xiàn)故障，但暫時不影響業(yè)務系統(tǒng)的運行。網(wǎng)絡或業(yè)務系統(tǒng)出現(xiàn)異常，運行效率降低或出現(xiàn)嚴重網(wǎng)絡或業(yè)務系統(tǒng)無法正常工作。緊急網(wǎng)絡或業(yè)務系統(tǒng)中斷或癱瘓。安全事件檢測和分析介紹進行初步判斷和分析，如現(xiàn)象和以下描述吻合應立即啟動應急●拒絕服務攻擊●非授權訪問攻擊●不當應用應急啟動形成7×24小時應急響應機制(包括現(xiàn)場值守人員和遠程后臺支持團隊),在接●一般需求響應，響應時限為24小時內；●一般安全事件響應，響應時限為12小時內；●重大安全事件響應，響應時限為2小時內；●應急響應團隊，從本地(包括駐場人員)、分支、總部三級，都有實現(xiàn)技術人客戶到電話是否●客戶事件檔案●與客戶就故障級別進行定義●準備安全事件緊急響服務相關資源●為一個突發(fā)事件的處理取得管理方面支持●組建事件處理隊伍●制定一個緊急后備方案●隨時與管理員保持聯(lián)系●初步評估，確定事件來源●注意保護可追查的線索，諸如立即對日志、數(shù)據(jù)進行備份(該保存在磁帶上或其它不聯(lián)機存儲設備)●聯(lián)系客戶系統(tǒng)的相關服務商廠商●根據(jù)求制定相的急措施●事件的起因分析●事后取證追查●后門檢查●漏洞分析●生成緊急響報告響應時間接到服務請求后5分鐘內給予答復，15分鐘內到達現(xiàn)場；20分鐘內修復公司對所提供的安全應急響應服務制定了完善的應急流程，如果在系統(tǒng)運行過程中出現(xiàn)任何不可預知的安全事件，都要嚴格按照以下流程進行應急響應：通知系統(tǒng)管理員人復如果在安全服務過程中出現(xiàn)一些不可預知的安全事件，則在事件處理完畢后出具相針對信息系統(tǒng)提供最少4次/年的應急響應服務，在信息系統(tǒng)運行工作期間，若出現(xiàn)突發(fā)緊急事件(病毒爆發(fā)、嚴重攻擊、信息外泄、網(wǎng)絡入侵),安全應急人員迅速響應并系統(tǒng)運維工作在整個系統(tǒng)生命周期中常常被作量將越來越大。系統(tǒng)運維的費用往往占整個系統(tǒng)生命周期總費用的60%以上，因此有遠比露出水面的部分大得多，但由于不易被人看到而常被忽對具有“開創(chuàng)性”的項目實施來講，系統(tǒng)運維工作屬于“繼強，成績不顯著,使很多技術人員不安心于系統(tǒng)運維工作，這也是造成人們重視實施而輕視運維的原因。但系統(tǒng)運維是信息系統(tǒng)可靠運行的重是是是否否否性運維，報告中必須完整描述出現(xiàn)錯誤的環(huán)境，包括統(tǒng)狀態(tài)信息；對于適應性和完善性運維，應在報告中提出簡要的需求規(guī)格說明書。運維管理員根據(jù)提交的申請，召集相關的系統(tǒng)管理員評價。對于情況屬實并合理的運維要求，應根據(jù)運維的性質、急程序或優(yōu)先級以及修改所響系統(tǒng)的運行，是很嚴重，可與其他運維項目結合起來從運維實施善性運維要求，高優(yōu)先級的安排在運維計劃中，優(yōu)先級維費用、維修以及驗收標準產(chǎn)生的變化結果等，編批。運維控制部門從整個系統(tǒng)出發(fā)，從業(yè)務功能合理性和技術要求進行分析和審查，并對修改所產(chǎn)生的影響做充分的估與協(xié)商的條件下予以修改或撤銷。通過審批的運運維管理員將運維計劃下達給系統(tǒng)管理員，有系統(tǒng)管理員作。修改后應經(jīng)過嚴格的測試，以驗證運維工作的質量。門對其進行審核確認，不能完全滿足運維要求的應返工修改。因為無論是直接找程序人還是程序人員自行修改程序，都將引起系及時更新文檔造成程序與文檔不一致，多個人修改的結果不一的局部修改等。當然運維審批過程的環(huán)節(jié)多也可能帶來反應速惡性或緊急故障時，也即出現(xiàn)所謂“救火”的運維要求為了評價運維的有效性，確定系統(tǒng)的質量，記載系運維工作的全部內容以文檔的規(guī)范化形式記錄下來，主要運維舊意味著對系統(tǒng)進行修改，修改對于系統(tǒng)來講有一1.1.3.4.4系統(tǒng)運維的類型占21%,適應性運維工作占25%,完善性運維達到50%,而預防性運維以及其他類型的(1)系統(tǒng)的當前情況(2)運維對象。(3)運維所需的工作人員●在重大節(jié)日前和重要活動前進行一次系統(tǒng)的安全檢查(漏洞、弱口令、安全加固流程圖新加固方案新加固方案修改方案二次評估確一切正常一切正常繼續(xù)加固放棄加固加固報告放棄加固安裝安全補丁單等形式下發(fā)給相關管理員，用于告知補丁升級情況，安全通告符合甲方規(guī)范和管理問題整改問題整改蹤高層管理人員具有對商務、技術及所有相關部門進行協(xié)調和最終決策的人員項目經(jīng)理協(xié)調實施方和客戶之間工作進程和人員之間協(xié)調的工作商務負責人對所有商務人員具有管理權限的人員.技術負責人對所有信息技術人員具有管理權限的人員日常事務聯(lián)系人協(xié)助實施方顧問人員提供各種幫助和服務的人員，如辦公用具、食宿安排等。安全顧問客戶方聘請的其他項目安全顧問采購人員硬件采購人員，軟件采購人員，服務采購人員律師和實施方公司的律師一起，確保項目各方面的法律符合性實施人員公司應用項目實施人員硬件運維人員對公司計算機及相關設備的運維人員網(wǎng)絡運維人員對公司的內部網(wǎng)及廣域網(wǎng)進行配置及運維的人員系統(tǒng)運維人員第三方應用項目實施人員為客戶方提供應用項目實施的第三方人員第三方信息系統(tǒng)運維人員為客戶方提供信息系統(tǒng)運維的第三方人員安全管理人員對客戶方的信息系統(tǒng)進行安全管理的人員安全文檔運維人員對所有相關的文檔進行整理和管理的人員在項目實施過程中，提出書面的問題調查清單，由顧問進行關人員共同回答，并詢問相關背景和相關證據(jù)，詳細了解了其職責范圍內的安全現(xiàn)狀。針對不同部門和人員的職責，需要安排不同部門和不同人員回回答人員1安全策略管理層2安全組織管理層3人員安全管理層或人力資源部人員4資產(chǎn)管理負責資產(chǎn)管理管理人員資金資產(chǎn)處負責資產(chǎn)人員5日常運行管理運維人員或運行運維處負責6物理和環(huán)境安全負責機房管理人員7軟件實施部門或外包軟件實施負責人員8訪問控制技術人員9審計和跟蹤技術人員響應和恢復技術人員內容安全技術人員業(yè)務連續(xù)性規(guī)劃管理層信息資產(chǎn)清單中主要包括服務器，安全設備，網(wǎng)絡設備、策略文檔的搜集范圍包括信息安全相關的策略、規(guī)定、流程、指南、通知、條例、處理辦法等等任何正式成文的內容。這些文檔可以是已經(jīng)正式發(fā)布的，也可以是正在編1故障處理管理辦法2軟件版本管理辦法3割接入網(wǎng)審批制度4外來人員進入機房注意事項5值班與交接班制度6安全保密規(guī)定78運維規(guī)則9請示報告制度申告管理系統(tǒng)運維流程系列文件崗位職責定義系列文件策略綱要技術規(guī)范體系框架通信要害安全管理規(guī)定職工違紀懲處實施細則主要包括網(wǎng)絡拓撲結構、業(yè)務系統(tǒng)拓撲結構文件、業(yè)務本次安全服務項目實施過程中將會使用漏洞評估系統(tǒng)、評估系統(tǒng)及滲透測試系統(tǒng)等由提供，施工時將由實施人員帶入現(xiàn)1.3工具詳細說明1.3.1代碼審計工具查詢查詢順序棧詳盡流掃5瀏覽器、和:客戶端，用于公司局域網(wǎng)或者外部網(wǎng)絡采用或者實施插件使用5瀏覽器、和:客戶端，用于公司局域網(wǎng)或者外部網(wǎng)絡采用或者實施插件使用1.管理應用：接受客戶端掃描和查詢請求，規(guī)則自定義，集中式提供企業(yè)級的、角色和團隊管理、權限管理、掃描結果管理、掃描調度和自2.掃描引擎：執(zhí)行具體掃描(分布式掃描和并行掃描),接受管理應用的掃描任務，3.客戶端：管理應用的瘦客戶端，可以允許多個客戶端在局域網(wǎng)內按照所賦予4客戶端：用于公司局域網(wǎng)或者外部網(wǎng)絡采用或者實施插件使用掃描服務。5瀏覽器、和:客戶端，用于公司局域網(wǎng)或者外部網(wǎng)絡采用或者實施插件使用掃描團隊和權限管理掃描自動化及任務調度管理操作系統(tǒng)瀏覽器7896支持的版本內存[1]版本：512所有其他版本：1版本：1所有其他版本：至少4并且應該隨著數(shù)據(jù)庫大小的增加而增處理器速度·x86處理器：1.0·x64處理器：1.4處理器類型第二代的靜態(tài)源代碼掃描技術。掃描和分析的輸入數(shù)據(jù)是軟件源代碼，不是二進制代碼，因此不需要進行代碼構建或者編譯，也不需要提供任何代碼依賴的庫。只需要上傳源代碼，或設定自動掃描時間，就可以定期收到掃描分析結果。代碼甚至不需要被正確編譯或鏈接。因此，可以在軟件項目的實施生命周期中任何一個給定時間點運行掃描并生成安全報告。從而保證代碼安全漏洞和質量缺陷一產(chǎn)生就可以被識別，盡早修復，降低軟件安全和質量缺陷修復的成代碼審計不依賴于特定操作系統(tǒng)，只在在企業(yè)范圍內部署一臺審計服務器，就可以由于采用了獨特的虛擬編譯器技術，代碼審計不需要依賴編譯每種實施語言的代碼安裝編譯器和測試環(huán)境，只要通過客戶端插件登錄到管理應用服務器，提供本地代碼審計代碼的目錄、遠理代碼目錄(、,即可，審計代碼無通過編譯過程。搭建靜態(tài)分析工具，在相應的操作系統(tǒng)上安裝相應的工具軟件包，安裝眾多實施工具和代碼依賴的第三方庫及軟件包、安全服務代碼通過編譯，方可計代碼、代碼、代碼、、、.、、、、6、、、、、、、和()…等各種語言代碼，并且由于編譯器、操作系統(tǒng)和實施環(huán)境獨立，使用者無去學習每種碼，安全服務代碼、如何審計測試代碼，無去看每種平臺下繁瑣該產(chǎn)品企業(yè)服務在審計過程中全面分析應用的所有路徑和變量。準確的分析結果，驗證可能的風險是否真正導致安全問題，自動排除噪音信息，審分析結果，其誤報率()幾乎為零。極大的減少了審計分析的人工勞動成本，極大的節(jié)mthedn.hnjtetkece("3nericgdn.Tis;r2rlscei"ncatthod.ns;st+tkese(3tnreDatatae.txesutEQ\*jc3\*hps13\o\al(\s\up3(4),o)EQ\*jc3\*hps13\o\al(\s\up3(*),e)EQ\*jc3\*hps13\o\al(\s\up3(b),c)EQ\*jc3\*hps13\o\al(\s\up3(ataset”),aaset)"0luntat·rtho4.Tindesterkgesn(4g28app.ontarce;+t+_fusacua(361)Dteon.a(110uca(42910040400.0(01_tEQ\*jc3\*hps13\o\al(\s\up7(0),0r)EQ\*jc3\*hps13\o\al(\s\up7(nc),D)EQ\*jc3\*hps13\o\al(\s\up7(00M),N_0t)EQ\*jc3\*hps20\o\al(\s\up0(L),at)tbadn.tis?ttkac(“l(fā)patastum.botacatatonn”EQ\*jc3\*hps13\o\al(\s\up3(e),t)EQ\*jc3\*hps13\o\al(\s\up3(d),t)EQ\*jc3\*hps13\o\al(\s\up3(u),o)EQ\*jc3\*hps13\o\al(\s\up3(t),:)EQ\*jc3\*hps13\o\al(\s\up3(k),s)EQ\*jc3\*hps13\o\al(\s\up3(ec),c)EQ\*jc3\*hps13\o\al(\s\up3(Destt),estu)EQ\*jc3\*hps16\o\al(\s\up4(is),s)EQ\*jc3\*hps16\o\al(\s\up4(st),n)EQ\*jc3\*hps16\o\al(\s\up4(e),t)EQ\*jc3\*hps16\o\al(\s\up4(k),e)EQ\*jc3\*hps16\o\al(\s\up4("),s)EQ\*jc3\*hps16\o\al(\s\up4(D),p)EQ\*jc3\*hps16\o\al(\s\up4(tat),at)EQ\*jc3\*hps16\o\al(\s\up4(ate8ong),taeste)EQ\*jc3\*hps16\o\al(\s\up4(r"),a)10萬行代碼審計時間在10~30分鐘不等，視代碼復雜度和硬件配置而不同。由于公開了所有規(guī)則實現(xiàn)的細節(jié)和語法，可以快速修改規(guī)則或者參考已有的規(guī)則語句自定義自己需要規(guī)則，規(guī)則學習，定義簡單高效。能快速實現(xiàn)組織軟件安全策略。frarhnangAs該產(chǎn)品服務可以對所有審計代碼的任意一個代碼元素(詞匯)做動態(tài)的數(shù)據(jù)影響、控制影響和業(yè)務邏輯研究和調查。分析代碼邏輯和架構特有的安全風險，并最后定義規(guī)則精確查找這些風險。這是目前唯一能動態(tài)分析業(yè)務邏輯和軟件架構的靜態(tài)技術。內置軟件代碼質量問題檢測，同時也提供自定義規(guī)則去驗證編程策略和最佳實1.3.2滲透測試工具滲透測試主要依據(jù)(&公共漏洞和暴露)已經(jīng)發(fā)現(xiàn)的安全漏洞，以及隱患漏洞。輔助模塊()、滲透攻擊模塊()、后滲透攻擊模塊()、攻擊載荷模塊()、空指令模塊()和編碼器模塊()。的攻擊載荷模塊，從最簡單的增加賬號、提供命令行，到基于的圖形化界面控制，以及最復雜、具有大量后滲透攻擊階段功能特性的，這使得滲透測試者可以在選定滲透攻擊代碼之后，從很多適用的攻擊載荷中選取他所中意的模塊進行靈后獲得他所選擇的控制會話類型，這種模塊化設計與靈活組空指令()是一些對程序運行狀態(tài)不會造成任何實質影響的空操作或無關操作指令，最典型的空指令就是空操作，在x86體系架構平臺上的操作碼是0x90。隨機化、返回地址計算偏差等原因造成的執(zhí)行失敗，提高滲透攻擊的可靠性。本軟件框攻擊載荷模塊與空指令模塊組裝完成一個指令序列后，加入邪惡數(shù)據(jù)緩沖區(qū)交由目標系統(tǒng)運行之前，本軟件框架還需要完成一道非常重要的工序——編碼()。如果沒有這道工序，滲透攻擊可能完全不會奏效，或者中途就被檢測到編碼器模塊的第一個使命是確保攻擊載荷中不會出現(xiàn)滲透攻擊過程中應加以避免標完全輸入到存有漏洞的軟件例程中，從而使得滲透攻擊觸發(fā)漏洞之后無法正確執(zhí)行攻后滲透攻擊模塊()主要支持在滲透攻擊取得目標系統(tǒng)遠程控制權之后，在受控系統(tǒng)中進行各式各樣的后滲透攻擊動作，比如獲取敏感信息、進一步拓展、實施跳板攻擊本軟件為滲透測試的信息搜集環(huán)節(jié)提供了大量的輔助模服務的掃描與查點、構建虛假服務收集登錄密碼、口令猜測破敏感信息泄露、本軟件測試發(fā)掘漏洞、實施網(wǎng)絡協(xié)議欺騙等透測試者在進行滲透攻擊之前得到目標系統(tǒng)豐富的情報信息，從和運行攻擊載荷，從而獲得對遠程目標系統(tǒng)訪問權的代碼組實現(xiàn)的單一功能，比如在遠程系統(tǒng)中添加新、啟動一個命令行并綁定到網(wǎng)絡端口上等。能出現(xiàn)運行不正常的情況，因此實施人員不僅需要有匯編語言知識和編寫技能，還需要本軟件框架中引入的模塊化攻擊載荷完全消除了安全研究人員在滲透代碼實施時進行編寫、修改與調試的工作代價，而可以將精力集中在安全漏洞的攻擊載荷模塊，從最簡單的增加賬號、提供命令行，到基于的圖形化界面控制，以及最復雜、具有大量后滲透攻擊階段功能特性的，這使得滲透測試者可以在選定滲透攻擊代碼之后，從很多適用的攻擊載荷中選取他所中意的模塊進行靈后獲得他所選擇的控制會話類型，這種模塊化設計與靈活組空指令()是一些對程序運行狀態(tài)不會造成任何實質影響的空操作或無關操作指令，最典型的空指令就是空操作，在x86體系架構平臺上的操作碼是0x90。這樣當觸發(fā)滲透攻擊后跳轉執(zhí)行時，有一個較大的安全著陸區(qū)，隨機化、返回地址計算偏差等原因造成的執(zhí)行失敗，提高滲透攻擊的可靠性。本軟件框攻擊載荷模塊與空指令模塊組裝完成一個指令序列后，加入邪惡數(shù)據(jù)緩沖區(qū)交由目標系統(tǒng)運行之前，本軟件框架還需要完成一道非常重要的工序——編碼()。如果沒有這道工序，滲透攻擊可能完全不會奏效，或者中途就被檢測到編碼器模塊的第一個使命是確保攻擊載荷中不會出現(xiàn)滲透攻擊過程中應加以避免標完全輸入到存有漏洞的軟件例程中，從而使得滲透攻擊觸發(fā)漏洞之后無法正確執(zhí)行攻后滲透攻擊模塊()主要支持在滲透攻擊取得目標系統(tǒng)遠程控制權之后，在受控系統(tǒng)中進行各式各樣的后滲透攻擊動作，比如獲取敏感信息、進一步拓展、實施跳板攻擊本軟件是一款安全漏洞檢測工具，可以幫助安全和專業(yè)漏洞的緩解措施，并管理專家驅動的安全性進行評估，提供真操作系統(tǒng)32/64位系列32/64位32/64位32/64位732/64位832/64位10內存[1]最小值：版本：512所有其他版本：1建議：版本：1所有其他版本：至少4并且應該隨著數(shù)據(jù)庫大小的增加而增處理器速度最小值：·x86處理器：2.0·x64處理器：2.4處理器類型Nops本軟件設計盡可能采用模塊化的理念，以提升代碼復用效率。在基礎庫文件()中提供了核心框架和一些基礎功能的支持；而實現(xiàn)滲透測試功能的主體代碼則以模塊化方式組織，并按照不同用途分為6種類型的模塊();為了擴充框架對滲透測試全過程的支持功能特性，本軟件還引入了插件()機制，支持將外部的安全工具集成到框架中；本軟件框架對集成模塊與插件的滲透測試功能，通過接口()與功能程序()提供給滲透測試者和安全研究人員進行使用。此外，本軟件在v3版本中還支持擴展腳本()來擴展攻擊載荷模塊的能力，而這部分腳本在v4版本中將作為后滲透攻擊模塊(),以統(tǒng)一化的組織方式融入到模塊代碼中，而這些擴展腳本也將被逐步移植和裁剪。測試器來輔助的漏洞挖掘過程；在發(fā)現(xiàn)漏洞之后，使用調試型的攻擊載荷來讓漏洞機理分析與利用過程變得更加簡單。此外，本軟件中集成的一系列功能程序可以充分剖析目標程序，并精確定位出利用過程可能依賴的關鍵指令與地址；在編寫滲透代碼時，1.3.3安全工具說明:獲取網(wǎng)絡連接狀態(tài)信息():跟蹤一個消息從一臺計算機到另一臺計算機所走的路徑(路由信息):域名解析信息:提供了在上一臺主機或某個域的所有者的信息:獲取遠程服務器上的信息(名、服務器名、當前是否在線、登錄時間、的任務等信息):可以收集到一些對方計算機中的信息上述工具安裝部署于項目組安全評估/滲透測試工程師測試專用電腦上，測試專用提供項目組測試專用電腦接入業(yè)務網(wǎng)的網(wǎng)絡接口，確保本項目中網(wǎng)絡掃描工具采用，是一個知名的用來實現(xiàn)網(wǎng)序。采用一種新穎的方式利用原始包來決定網(wǎng)絡上是什么樣的主樣的服務(應用程序名和版本),它們運行著什么樣的操作系統(tǒng)(操作系統(tǒng)版本)它們使是安全掃描工具的一個官方的圖形界面，是一個跨平臺的開源應用，不僅初學者容提供項目組測試專用電腦接入業(yè)務網(wǎng)的網(wǎng)絡接口，確保測試專用電腦能夠訪問被檢:是一個知名的網(wǎng)絡安全評估軟件，功能強大且更新極快。該系統(tǒng)被設計為客戶機漏洞掃描系統(tǒng)可以部署應用在小規(guī)模網(wǎng)絡安全運維環(huán)境中，使對于中小企業(yè)，網(wǎng)絡規(guī)模不大，但一般會劃分為多個業(yè)務子網(wǎng)，每個子網(wǎng)都分別部署漏洞管理系統(tǒng)成本過高，而要求子網(wǎng)防火墻開放漏洞管理設全風險?？梢愿膾呙杈W(wǎng)段來掃描不同子網(wǎng)，無需防火墻單獨提供漏洞掃描系統(tǒng)接入業(yè)務網(wǎng)的網(wǎng)絡接口，確保漏洞掃跨站腳本，緩沖區(qū)溢出和應用程序和2.0的漏洞掃描。(簡稱)是一款知名的網(wǎng)絡漏洞掃描工具，它通過網(wǎng)絡爬蟲測試網(wǎng)站安全，檢測適用于各種網(wǎng)站，部署靈活簡單，只需要對目標站點“網(wǎng)絡可達”即可進行漏洞、掛馬等檢測。同時系統(tǒng)支持多路掃描技術，可對不同應用環(huán)提供應用漏洞掃描系統(tǒng)接入業(yè)務網(wǎng)的網(wǎng)絡接口，確保應用漏洞掃描系統(tǒng)能夠訪問到安全配置核查系統(tǒng)具備符合多個行業(yè)安全配置家推薦的安全配置知識庫，全面的指導信息系統(tǒng)的安全配并滿足行業(yè)規(guī)劃要求。同時也根據(jù)等級保護定級、安全配置核查系統(tǒng)通過自動化的進行安全配置配置檢查的時間，并避免傳統(tǒng)人工檢查方式所帶來的失誤風險測報告。它可以大大提高您檢查結果的準確性和合規(guī)性，節(jié)省您的時間成本，讓檢查工并且優(yōu)先應用輕量級部署方案，最大程度降低安全建設成本。安機單網(wǎng)絡、單機多網(wǎng)絡、安全平臺分布式管理、跳板機跳轉等多安全配置核查系統(tǒng)可以部署應用在小規(guī)模網(wǎng)絡安全運維環(huán)境中，使用，通過簡單部署即對于中小企業(yè)，網(wǎng)絡規(guī)模不大，但一般會劃分為多個業(yè)務子網(wǎng)，每個子網(wǎng)都分別部署安全配置核查系統(tǒng)成本過高，而要求子網(wǎng)防火墻開放安全配置核查設備的訪問權限，又帶來安全風險。提供多條鏈路檢查方式，系統(tǒng)提供多個檢查網(wǎng)口，每個網(wǎng)口可以通過提供安全配置核查系統(tǒng)接入業(yè)務網(wǎng)的網(wǎng)絡接口，確保安本項目中集成滲透測試系統(tǒng)采用，是一款開源的安全漏百個已知軟件漏洞的專業(yè)級漏洞攻擊工具，可以幫助安全和專業(yè)人士識別安全性問題，提供項目組測試專用電腦接入業(yè)務網(wǎng)的網(wǎng)絡接口，確保本項目中注入工具采用，是一個開放源碼的滲透測試工具，它可以自動探測和利用注入漏洞來接管數(shù)據(jù)庫服務器。它配備了一個強大的探測引擎供很多強大的功能，可以拖庫、可以訪問底層的文件系統(tǒng)、還提供項目組測試專用電腦接入業(yè)務網(wǎng)的網(wǎng)絡接口，確保本項目中應用代理采用，是用于攻擊應用程序的集成平臺。它包含了許多工具，并為這些工具設計了許多接口，以促進加快攻擊應用程序的過程。所有的工具都安裝部署于項目組安全評估/滲透測試工程師測提供項目組測試專用電腦接入業(yè)務網(wǎng)的網(wǎng)絡接口，確保網(wǎng)絡抓包及協(xié)議分析采用，(前稱)是一個網(wǎng)絡封包分析軟件。網(wǎng)絡封包分析功能是擷取網(wǎng)絡封包，并盡可能顯示出最為詳細的網(wǎng)絡提供項目組測試專用電腦接入業(yè)務網(wǎng)的網(wǎng)絡接口，確保1.4技術資料詳細清單信息資產(chǎn)清單中主要包括服務器，安全設備，網(wǎng)絡設備、策略文檔的搜集范圍包括信息安全相關的策略、規(guī)定、流程、指南、通知、條例、處理辦法等等任何正式成文的內容。這些文檔可以是已經(jīng)正式發(fā)布的，也可以是正在編1網(wǎng)絡安全分析報告2故障處理管理辦法3軟件版本管理辦法5割接入網(wǎng)審批制度6外來人員進入機房注意事項7值班與交接班制度8安全保密規(guī)定9運維規(guī)則請示報告制度申告管理系統(tǒng)運維流程系列文件崗位職責定義系列文件策略綱要技術規(guī)范體系框架通信要害安全管理規(guī)定20職工違紀懲處實施細則安全值守服務是公司將本組織的部分或全部安全安全值守的核心工作包括系統(tǒng)運維、預警、日常安全監(jiān)控與分析、安全事件管理與響應，主要提供安全預警、安全檢測和發(fā)現(xiàn)、安全應對能力；另外，還包括了日常安全運維(防護)工作，提供安全防護和保障能力。擴展服務是常見安全值守服務的一種擴安全整合平臺為安全值守準備、實施、管理工作的展開和進行提供了基礎；信息系統(tǒng)調研和分析提供了信息系統(tǒng)安全現(xiàn)狀方面的信息另外，從整體上看，安全值守工作還包括了安駐場安全值守交付文檔結合已有安全設備監(jiān)控日志信息輸出安全分析報告，包括周安全分析報告輸出、月安全分析報告輸出等工作。按照每周輸出報告方式，輸份月安全分析報告。輸出報告將體現(xiàn)出本階段安全狀況的總結每季度(前四個月按照一個季度計算，后文同此)進行例行的安全掃描檢查工作；對新上線的設備嚴格按照三同步規(guī)范進行安全檢查，并出具整改針對駐場服務，提供7×24小時應急響應服務。工作包括協(xié)助業(yè)務優(yōu)先恢復，主導節(jié)假日值守期間：每天統(tǒng)計和分析前一天的日志，發(fā)送日的對外的業(yè)務系統(tǒng)平臺，利用測試號進行業(yè)務功能測試。交付物：輸出檢查報告配合招標方進行例行安全檢查工作(工信部/1.6實施計劃1.6.1實施方案里程碑1:完成需求分析里程碑2:威脅評估與賦值里程碑3:工具評估、人工評估及滲透測試里程碑4:安全整改加固成果歸檔里程碑5:項目匯報、提交項目成果里程碑6:項目驗收客戶代表(適用時)等對項目執(zhí)行進展作出評價，對變更請求作出決定。 項目結束時(初驗/終驗),項目經(jīng)理需編制《項目總結報告》,同時項進度管理《項目進度報表》:項目經(jīng)理需每周收集項目進展數(shù)據(jù)，修訂項目風險管理《項目風險日志》:項目經(jīng)理需隨時識別項目中的風險，并定期跟>問題管理通過問題上報平臺進行監(jiān)控管理；變更管理《項目變更日志》:項目中發(fā)生的各項變更，都需記錄在變更日志項目匯報《項目周報》:根據(jù)