日常網(wǎng)絡(luò)安全運維服務(wù)方案

日常網(wǎng)絡(luò)安全運維服務(wù)實施方案目錄（1）資產(chǎn)梳理服務(wù) 2（2）安全全面排查及整改服務(wù) 3（3）基礎(chǔ)設(shè)施巡檢服務(wù) 5（4）日常性技術(shù)支持和維護 6（5）安全整改工作 8（6）其他相關(guān)配合服務(wù) 8（7）安全掃描服務(wù) 9（8）安全通告服務(wù) 9（9）應(yīng)急響應(yīng)服務(wù) 10（10）安全咨詢服務(wù) 12（11）業(yè)務(wù)系統(tǒng)安全評估服務(wù) 13（12）業(yè)務(wù)系統(tǒng)安全評估結(jié)果修復(fù)服務(wù) 18（13）業(yè)務(wù)系統(tǒng)安全基線加固服務(wù) 19（1）資產(chǎn)梳理服務(wù)對采購人全網(wǎng)（業(yè)主指定范圍）信息化資產(chǎn)進行梳理和排查，根據(jù)梳理排查情況及采購人提供的相關(guān)信息，編制信息資產(chǎn)表。包括但不限于網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器、web應(yīng)用、數(shù)據(jù)庫等。明確需要保護的信息資產(chǎn)、保護優(yōu)先級和相應(yīng)的管理人員、責任人。設(shè)備資產(chǎn)表至少包括名稱、型號、數(shù)量、IP地址、位置等信息。有調(diào)整和變動時立即更新。梳理采購人當前（業(yè)主指定范圍）已有的安全監(jiān)測和防御產(chǎn)品，對其實現(xiàn)的功能、效果、防御范圍、安全日志、特征庫更新情況等進行綜合分析。依據(jù)梳理結(jié)果出具調(diào)整、處置建議，經(jīng)采購人授權(quán)后進行調(diào)整和處置。1、服務(wù)流程供應(yīng)商簽訂合同后1周內(nèi)完成第一次資產(chǎn)梳理服務(wù)，并完成《初步信息資產(chǎn)表》的編制；《初步信息資產(chǎn)表》編制完成后，協(xié)同采購人完成對信息資產(chǎn)的保護范圍、保護優(yōu)先級認定，同時落實相應(yīng)的管理人員、責任人；輸出《信息資產(chǎn)表》；對《信息資產(chǎn)表》進行維護，每月完成一次信息資產(chǎn)表的核對工作；有調(diào)整和變動時立即更新。2、服務(wù)方式：現(xiàn)場服務(wù)。3、服務(wù)周期：每月1次信息資產(chǎn)表的核對工作。4、交付文檔：《初步信息資產(chǎn)表》、《信息資產(chǎn)表》、《信息資產(chǎn)表更新維護記錄表》。（2）安全全面排查及整改服務(wù)依據(jù)資產(chǎn)梳理服務(wù)結(jié)果開展安全全面排查工作，通過安全排查手段對目標系統(tǒng)、目標網(wǎng)絡(luò)進行全面排查，結(jié)合標準整改和加固方法出具安全問題整改建議報告，對整改建議報告中采購人認可的整改建議逐一進行協(xié)助整改或直接整改，最終出具安全整改報告。具體排查服務(wù)內(nèi)容如下：網(wǎng)絡(luò)安全檢查a)本地網(wǎng)絡(luò)架構(gòu)檢查:針對目標系統(tǒng)開展網(wǎng)絡(luò)架構(gòu)檢查工作，以評估目標系統(tǒng)在網(wǎng)絡(luò)架構(gòu)方面的合理性，網(wǎng)絡(luò)安全防護方面的健壯性，是否已具備有效的防護措施；b)網(wǎng)絡(luò)安全策略檢查:針對目標系統(tǒng)所涉及的網(wǎng)絡(luò)設(shè)施、安全設(shè)施進行策略檢查，確保目前已有策略均按照“按需開放，最小開放”的原則進行開放；確保目標系統(tǒng)所涉及的網(wǎng)絡(luò)設(shè)施、安全設(shè)施中無多余、過期的策略；c)網(wǎng)絡(luò)安全基線檢查:針對目標系統(tǒng)所涉及的網(wǎng)絡(luò)設(shè)施進行安全基線檢查，重點檢查多余服務(wù)、多余賬號、口令策略，禁止存在默認口令和弱口令等配置情況；d)安全設(shè)備/軟件基線檢查：針對目標系統(tǒng)所涉及的安全設(shè)備進行安全基線檢查，重點檢查多余賬號、口令策略、策略啟用情況、應(yīng)用規(guī)則、特征庫升級情況、系統(tǒng)版本情況，禁止存在默認口令、弱口令、系統(tǒng)版本具有漏洞的情況；主機（服務(wù)器）安全檢查a)主機安全基線檢查:針對目標系統(tǒng)（本地及政務(wù)云）所涉及的主機進行安全檢查，重點檢查多余賬號、口令策略、賬號策略、遠程管理等情況；b)數(shù)據(jù)庫安全基線檢查：針對目標系統(tǒng)（本地及政務(wù)云）所涉及的數(shù)據(jù)庫進行安全檢查，重點檢查多余賬號、口令策略、賬號策略、遠程管理等情況；c)中間件安全基線檢查：針對目標系統(tǒng)（本地及政務(wù)云）所涉及的中間件進行安全檢查，重點檢查中間件管理后臺、口令策略、賬號策略、安全配置等情況；d)中間件安全基線檢查：針對目標系統(tǒng)（本地及政務(wù)云）所涉及的中間件進行安全檢查，重點檢查中間件管理后臺、口令策略、賬號策略、安全配置等情況；e)主機漏洞掃描：針對目標系統(tǒng)所涉及的主機、數(shù)據(jù)庫以及中間件進行安全漏洞掃描；備份有效性性檢查a)備份有效性檢查：針對本次目標系統(tǒng)中的所涉及的備份策略、備份系統(tǒng)有效性與相關(guān)執(zhí)行系統(tǒng)維護廠商進行核查。經(jīng)核查后對無效的備份策略、無效的備份系統(tǒng)進行標記，提出相關(guān)整改建議。1、服務(wù)方式：現(xiàn)場服務(wù)。2、服務(wù)周期：1次。3、交付文檔：《安全問題整改建議報告》、《安全問題整改報告》（3）基礎(chǔ)設(shè)施巡檢服務(wù)1、安全設(shè)備巡檢定期對指定安全設(shè)施（含采購人政務(wù)云上部署的安全設(shè)施）病毒庫和特征庫更新情況檢查；對安全設(shè)備工作異常、安全告警等進行審核分析；對安全設(shè)備主機控制面板狀態(tài)指示燈檢查、CPU利用率、內(nèi)存利用率、磁盤使用率、電源情況巡檢；對異常情況進行排查，并針對異常情況提出解決方案和建議。2、服務(wù)器巡檢利用數(shù)據(jù)中心現(xiàn)有監(jiān)控設(shè)備或工具，定期對指定服務(wù)器進行健康巡檢；對發(fā)現(xiàn)的異常情況進行排查，并針對異常情況提出解決方案和建議。3、核心網(wǎng)絡(luò)設(shè)備巡檢定期對指定核心網(wǎng)絡(luò)設(shè)備CPU利用率、內(nèi)存利用率、電源狀態(tài)、風扇狀態(tài)巡檢，對錯誤事件日志和異常情況進行分析和維護；對異常情況進行排查，并針對異常情況提出解決方案和建議。4、UPS、精密空調(diào)巡檢定期檢查UPS主機、精密空調(diào)工作狀態(tài)及各板件上指示燈的狀態(tài)；對發(fā)現(xiàn)的異常情況進行排查，并針對異常情況提出解決方案和建議。5、服務(wù)方式：現(xiàn)場服務(wù)，按次輸出巡檢記錄表。6、服務(wù)周期：每周1次。7、交付文檔：《巡檢記錄表》。（4）日常性技術(shù)支持和維護日常技術(shù)支持服務(wù)1、服務(wù)內(nèi)容對在建或新建的信息化系統(tǒng)利用采購人現(xiàn)有設(shè)備設(shè)施，提供網(wǎng)絡(luò)、安全防護等基礎(chǔ)IT環(huán)境的配合服務(wù)；對于采購人日常發(fā)生的網(wǎng)絡(luò)設(shè)備調(diào)試、安全設(shè)備調(diào)試等提供技術(shù)支持服務(wù)。2、服務(wù)方式：現(xiàn)場服務(wù)，按次輸出工單記錄表。3、服務(wù)次數(shù)：按需提供，不限次數(shù)。4、常規(guī)服務(wù)時間：5×8，應(yīng)急服務(wù)時間：7×8。5、交付文檔：《技術(shù)支持記錄文檔》。日常技術(shù)維護1、服務(wù)內(nèi)容策略調(diào)優(yōu)及優(yōu)化：依據(jù)資產(chǎn)情況、業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)流向、日常安全監(jiān)測情況、近期風險通報結(jié)果及安全設(shè)備實際策略配置情況，對安全設(shè)施協(xié)助開展策略配置調(diào)優(yōu)，以持續(xù)提升安全運行和防護能力。（安全設(shè)備包含但不限于防火墻、入侵防御、WAF、防病毒系統(tǒng)、安全網(wǎng)關(guān)等。）服務(wù)期內(nèi)按需提供,不限定次數(shù)。配置備份：定期對核心交換機、匯聚交換機、網(wǎng)絡(luò)出口防火墻等關(guān)鍵節(jié)點設(shè)備的系統(tǒng)配置和策略配置進行完整備份；在設(shè)備發(fā)生故障后提供配置快速導(dǎo)入等恢復(fù)措施。服務(wù)期內(nèi)按需提供,策略配置及系統(tǒng)配置備份每月一次。安全設(shè)施特征庫更新升級：每周依據(jù)巡檢結(jié)果，定期對可以進行特征庫、病毒庫、威脅情報庫和漏洞庫等特征庫升級的安全設(shè)施進行更新升級。（更新升級原則為同步產(chǎn)品廠商官網(wǎng)更新情況），針對已過授權(quán)許可時間的安全設(shè)備，提供處置建議。服務(wù)期內(nèi)按需提供、不限定次數(shù)。（安全設(shè)施包含但不限于防火墻、入侵防御、WAF、防病毒系統(tǒng)、安全網(wǎng)關(guān)等，含政務(wù)云上采購人部署的安全設(shè)施。）2、服務(wù)方式：現(xiàn)場服務(wù)。3、交付文檔：《策略調(diào)優(yōu)及優(yōu)化記錄文檔》、《配置備份記錄文檔》、《安全設(shè)備特征庫更新升級記錄文檔》。故障處置支持1、服務(wù)內(nèi)容對于采購人出現(xiàn)的各類故障情況，提供技術(shù)支持服務(wù)；包括安全設(shè)備、網(wǎng)絡(luò)設(shè)備、UPS、精密空調(diào)系統(tǒng)故障等；針對未過保的設(shè)備，故障處置由供應(yīng)商協(xié)調(diào)設(shè)備所屬維護商進行維護，并跟進維修進度和效果，及時向采購人匯報情況。針對已過保設(shè)備的故障處置由供應(yīng)商進行協(xié)助維護，故障發(fā)生時供應(yīng)商應(yīng)優(yōu)先進行故障應(yīng)急處理和恢復(fù)；如供應(yīng)商自身無法進行有效的故障處置，供應(yīng)商應(yīng)出具實際可行的解決方案和建議，形成整體故障處置報告匯報給采購人。2、服務(wù)次數(shù)：按需提供，不限次數(shù)。3、常規(guī)服務(wù)時間：5×8，應(yīng)急服務(wù)時間：7×8。4、交付文檔：《故障處置記錄文檔》。（5）安全整改工作1、服務(wù)內(nèi)容運維服務(wù)期間，如上級部門、公安部門、信息化主管部門等單位對數(shù)據(jù)中心（不含信息系統(tǒng)軟件本身）進行安全掃描,根據(jù)各方安全評估結(jié)果和通知文件，協(xié)助進行安全漏洞修復(fù)、系統(tǒng)平臺加固，防止系統(tǒng)破壞、數(shù)據(jù)泄露。如安全整改經(jīng)評估會對業(yè)務(wù)系統(tǒng)產(chǎn)生影響時，供應(yīng)商需提出整改建議方案（方案中需注明風險）。及時響應(yīng)相關(guān)單位發(fā)出的安全漏洞通報。針對風險等級為嚴重的漏洞，在收到報告后的三個工作日內(nèi)修復(fù)解決或提出整改建議方案；針對風險等級為中、低的漏洞，須在收到報告后的兩周內(nèi)修復(fù)解決或提出整改建議方案。針對緊急漏洞（比如勒索病毒），需依據(jù)相關(guān)單位發(fā)出的安全漏洞通報中的解決方案立即解決。修復(fù)解決后提交安全整改報告（如遇到系統(tǒng)較大版本升級改動等特殊情況需要延期解決，須在安全整改報告中說明）2、服務(wù)次數(shù)：按需提供，不限次數(shù)。3、常規(guī)服務(wù)時間：5×8，應(yīng)急服務(wù)時間：7×8。4、交付文檔：《安全整改記錄文檔》。（6）其他相關(guān)配合服務(wù)1、服務(wù)內(nèi)容按照采購人及上級主管單位要求，做好正版化檢查、網(wǎng)絡(luò)安全檢查、保密檢查、業(yè)務(wù)對接、下級單位技術(shù)支撐、采購人交辦的其他相關(guān)事宜等配合服務(wù)。2、服務(wù)次數(shù)：按需提供，不限次數(shù)；3、常規(guī)服務(wù)時間：5×8，應(yīng)急服務(wù)時間：7×8。4、交付文檔：《服務(wù)記錄文檔》。（7）安全掃描服務(wù)1、服務(wù)內(nèi)容周期開展安全掃描服務(wù)，使用漏洞掃描系統(tǒng)，進行安全掃描，掃描范圍為本地局域網(wǎng)及采購人指定的政務(wù)云主機；對識別出的能被入侵者用來非法進入網(wǎng)絡(luò)或者非法獲取信息資產(chǎn)的漏洞，提醒安全管理員，及時完善安全策略，降低安全風險；及時發(fā)現(xiàn)最新的安全漏洞及安全風險，并出具安全掃描報告。2、服務(wù)次數(shù)：每季度1次。3、交付成果：《安全掃描報告》。（8）安全通告服務(wù)1、服務(wù)內(nèi)容專業(yè)的安全服務(wù)隊伍，對最新安全技術(shù)及安全信息的發(fā)現(xiàn)和追蹤，并通過服務(wù)的平臺與單位及時交流，幫助單位保持領(lǐng)先的安全理念。為單位提供定期的安全信息通告服務(wù)。安全信息中會包括最新的安全事件，病毒信息，漏洞信息，安全政策等內(nèi)容。安全通告以郵件、電話、走訪等方式，將安全技術(shù)和安全信息及時傳遞給單位。安全通告內(nèi)容：業(yè)界動態(tài)；國家最新安全政策及法律法規(guī)；安全攻擊事件；單位的操作系統(tǒng)、應(yīng)用、設(shè)備等的最新安全漏洞和相應(yīng)的解決措施；最新病毒信息；相關(guān)處理解決方案。2、服務(wù)方式一般信息將以郵件方式通告單位，重要信息以在線方式通告本單位負責人員，單位的敏感信息或單位指定要求現(xiàn)場告知的信息以走訪的方式通告。3、服務(wù)周期：安全通告每月一次；重大行業(yè)安全事件和互聯(lián)網(wǎng)安全事件實時通告預(yù)警。4、交付文檔：《安全事件通告文檔》。（9）應(yīng)急響應(yīng)服務(wù)1、服務(wù)內(nèi)容提供網(wǎng)絡(luò)安全應(yīng)急響應(yīng)服務(wù)，在發(fā)生安全事件時提供現(xiàn)場/遠程技術(shù)支持，面向已發(fā)生安全事件的事中、事后的取證、分析及提供處置、解決方案、建議等工作。具體服務(wù)內(nèi)容如下：①針對問題進行入侵原因分析，找到攻擊路徑。入侵影響抑制：通過事件檢測分析，提供抑制手段，降低入侵影響，協(xié)助快速恢復(fù)業(yè)務(wù)。入侵威脅清除：排查攻擊路徑，惡意文件清除。入侵原因分析：還原攻擊路徑，分析入侵事件原因等包括但不限于以下內(nèi)容：判定安全事件類型從網(wǎng)絡(luò)流量、系統(tǒng)和IDS日志記錄、桌面日志中判斷安全事件類型。查明安全事件原因，確定安全事件的威脅和破壞的嚴重程度。查明安全事件原因，確定安全事件的威脅和破壞的嚴重程度。抑制事態(tài)發(fā)展抑制事態(tài)發(fā)展是為了將事故的損害降低到最小化。在這一步中，通常會將受影響系統(tǒng)和服務(wù)隔離。這一點對保持系統(tǒng)的可用性是非常重要的。排除系統(tǒng)故障針對發(fā)現(xiàn)的安全事件來源，排除潛在的隱患，消除安全威脅，徹底解決安全問題?；謴?fù)信息系統(tǒng)正常操作在根除問題后，將已經(jīng)被攻擊設(shè)備或由于事故造成的系統(tǒng)損壞做恢復(fù)性工作，使網(wǎng)絡(luò)系統(tǒng)能在盡可能短的時間內(nèi)恢復(fù)正常的網(wǎng)絡(luò)服務(wù)?？蛻粜畔⑾到y(tǒng)安全加固對系統(tǒng)中發(fā)現(xiàn)的漏洞進行安全加固，消除安全隱患。重新評估客戶信息系統(tǒng)的安全性能重新評價客戶系統(tǒng)的安全特性，確保在一定的時間范圍內(nèi)，不發(fā)生同類的安全事件。②應(yīng)急響應(yīng)的流程包含以下內(nèi)容：故障診斷、故障修復(fù)、系統(tǒng)清理和系統(tǒng)防護，服務(wù)完成后，提交完整的《應(yīng)急事件分析報告》，詳細說明事件原因、經(jīng)過和處理方式等，而且對以后整改的方向提供適當?shù)慕鉀Q方案。安全事件發(fā)生時15分鐘內(nèi)做出響應(yīng)并立即提供在線技術(shù)支持，無法通過遠程支持解決的問題，提供現(xiàn)場服務(wù)，1小時內(nèi)抵達用戶現(xiàn)場解決問題。2、服務(wù)頻率：服務(wù)期內(nèi)按需提供，不限制次數(shù)。3、交付成果：《應(yīng)急事件處置報告》。（10）安全咨詢服務(wù)1、服務(wù)內(nèi)容日常安全問題咨詢服務(wù)結(jié)合本單位的實際需求，參考國內(nèi)外安全標準，提供日常安全咨詢服務(wù)，主要包括大的網(wǎng)絡(luò)安全規(guī)劃、安全決策、安全事件處理等。提供完整全面的處理方案，要求方案具有可操作性、能夠指導(dǎo)采購人進行事件處理和應(yīng)對。網(wǎng)絡(luò)安全規(guī)劃服務(wù)結(jié)合采購人的實際需求，參考國內(nèi)外安全標準和國內(nèi)新技術(shù)研究（如等保2.0、關(guān)鍵信息基礎(chǔ)設(shè)施保護條例、商用密碼體系、云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動安全），對采購人網(wǎng)絡(luò)安全方案設(shè)計，網(wǎng)絡(luò)安全建設(shè)，包括網(wǎng)絡(luò)安全結(jié)構(gòu)設(shè)計、系統(tǒng)安全設(shè)計、其他網(wǎng)絡(luò)安全方案設(shè)計，提供網(wǎng)絡(luò)安全遠景規(guī)劃設(shè)計，為未來網(wǎng)絡(luò)信息安全工作開展提供有力指導(dǎo)與支撐。等級保護咨詢服務(wù)深化網(wǎng)絡(luò)安全等級保護工作，基于對網(wǎng)絡(luò)安全的深刻理解，在等級保護的框架下構(gòu)建一個安全、可靠、靈活、可持續(xù)改進的網(wǎng)絡(luò)安全體系，對等級保護各個階段的工作重點為客戶提供全方位的支持和服務(wù)，協(xié)助完成定級備案、差距分析、安全整改或安全建議和協(xié)助對接等保測評工作。2、服務(wù)次數(shù)：按需提供，不限次數(shù)。3、交付成果《安全咨詢服務(wù)記錄》（11）業(yè)務(wù)系統(tǒng)安全評估服務(wù)1、服務(wù)內(nèi)容針對安全評估服務(wù)范圍，結(jié)合等級保護合規(guī)性測評等各項檢查工作的成果，采用外部滲透方式及內(nèi)部滲透方式對應(yīng)用系統(tǒng)進行非破壞性質(zhì)的模擬入侵者攻擊的測試，檢測外部威脅源和路徑，以便掌握系統(tǒng)的安全狀況，尋找系統(tǒng)存在的漏洞和風險；并出具安全評估報告：測試方法滲透測試完全模擬黑客的入侵思路與技術(shù)手段，黑客的攻擊入侵需要利用目標網(wǎng)絡(luò)的安全弱點，滲透測試也是同樣的道理。以人工滲透為主，輔助以攻擊工具的使用，這樣保證了整個滲透測試過程都在可以控制和調(diào)整的范圍之內(nèi)。針對各應(yīng)用系統(tǒng)的滲透測試方法包括以下方法但不局限于以下方法：測試方法描述信息收集信息收集是滲透攻擊的前提，通過信息收集可以有針對性地制定模擬攻擊測試計劃，提高模擬攻擊的成功率，同時可以有效的降低攻擊測試對系統(tǒng)正常運行造成的不利影響。信息收集的方法包括端口掃描、操作系統(tǒng)指紋判別、應(yīng)用判別、賬號掃描、配置判別等。端口掃描通過對目標地址的TCP/UDP端口掃描，確定其所開放的服務(wù)的數(shù)量和類型，這是所有滲透測試的基礎(chǔ)。通過端口掃描，可以基本確定一個系統(tǒng)的基本信息，結(jié)合安全工程師的經(jīng)驗可以確定其可能存在以及被利用的安全弱點，為進行深層次的滲透提供依據(jù)?？诹畈聹y本階段將對暴露在公網(wǎng)的所有登陸口進行口令猜解的測試，找出各個系統(tǒng)可能存在的弱口令或易被猜解的口令。猜解成功后將繼續(xù)對系統(tǒng)進行滲透測試，挖掘嵌套在登錄口背后的漏洞、尋找新的突破口以及可能泄漏的敏感信息，并評估相應(yīng)的危害性。猜解的對象包括：WEB登錄口、FTP端口、數(shù)據(jù)庫端口、遠程管理端口等。遠程溢出這是當前出現(xiàn)的頻率最高、威脅最嚴重，同時又是最容易實現(xiàn)的一種滲透方法，一個具有一般網(wǎng)絡(luò)知識的入侵者就可以在很短的時間內(nèi)利用現(xiàn)成的工具實現(xiàn)遠程溢出攻擊。對于在防火墻內(nèi)的系統(tǒng)存在同樣的風險，只要對跨接防火墻內(nèi)外的一臺主機攻擊成功，那么通過這臺主機對防火墻內(nèi)的主機進行攻擊就易如反掌。本地溢出本地溢出是指在擁有了一個普通用戶的賬號之后，通過一段特殊的指令代碼獲得管理員權(quán)限的方法。使用本地溢出的前提是首先要獲得一個普通用戶的密碼。也就是說由于導(dǎo)致本地溢出的一個關(guān)鍵條件是設(shè)置不當?shù)拿艽a策略。多年的實踐證明，在經(jīng)過前期的口令猜測階段獲取的普通賬號登錄系統(tǒng)之后，對系統(tǒng)實施本地溢出攻擊，就能獲取不進行主動安全防御的系統(tǒng)的控制管理權(quán)限。腳本測試腳本測試專門針對Web服務(wù)器進行。根據(jù)最新的技術(shù)統(tǒng)計，腳本安全弱點為當前Web系統(tǒng)尤其存在動態(tài)內(nèi)容的Web系統(tǒng)存在的主要比較嚴重的安全弱點之一。利用腳本相關(guān)弱點輕則可以獲取系統(tǒng)其他目錄的訪問權(quán)限，重則將有可能取得系統(tǒng)的控制權(quán)限。因此對于含有動態(tài)頁面的Web系統(tǒng)，腳本測試將是必不可少的一個環(huán)節(jié)。權(quán)限獲取通過初步信息收集分析，存在兩種可能性，一種是目標系統(tǒng)存在重大的安全弱點，測試可以直接控制目標系統(tǒng)；另一種是目標系統(tǒng)沒有遠程重大的安全弱點，但是可以獲得普通用戶權(quán)限，這時可以通過該普通用戶權(quán)限進一步收集目標系統(tǒng)信息。接下來盡最大努力取得超級用戶權(quán)限、收集目標主機資料信息，尋求本地權(quán)限提升的機會。這樣不停的進行信息收集分析、權(quán)限提升的結(jié)果形成了整個的滲透測試過程。測試內(nèi)容本項目安全評估包括但不限于以下內(nèi)容：測試大類測試項測試目的身份驗證類用戶注冊檢查用戶注冊功能可能涉及的安全問題用戶登錄檢查用戶登錄功能可能涉及的安全問題修改密碼檢查用戶修改密碼功能可能涉及的安全問題密碼重置檢查忘記密碼、找回密碼、密碼重置功能可能涉及的安全問題驗證碼繞過檢測驗證碼機制是否合理，是否可以被繞過用戶鎖定功能測試用戶鎖定功能相關(guān)的安全問題會話管理類Cookie重放攻擊檢測目標系統(tǒng)是否僅依靠cookie來確認會話身份，從而易受到cookie回放攻擊會話令牌分析Cookie具有明顯含義，或可被預(yù)測、可逆向，可被攻擊者分析出cookie結(jié)構(gòu)會話令牌泄露測試會話令牌是否存在泄露的可能會話固定攻擊測試目標系統(tǒng)是否存在固定會話的缺陷跨站請求偽造檢測目標系統(tǒng)是否存在CSRF漏洞訪問控制類功能濫用測試目標系統(tǒng)是否由于設(shè)計不當，導(dǎo)致合法功能非法利用垂直權(quán)限提升測試可能出現(xiàn)垂直權(quán)限提升的情況水平權(quán)限提升測試可能出現(xiàn)水平權(quán)限提升的情況輸入處理類SQL注入檢測目標系統(tǒng)是否存在SQL注入漏洞文件上傳檢測目標系統(tǒng)的文件上傳功能是否存在缺陷，導(dǎo)致可以上傳非預(yù)期類型和內(nèi)容的文件任意文件下載檢測目標系統(tǒng)加載/下載文件功能是否可以造成任意文件下載問題XML注入測試目標系統(tǒng)-是否存在XML注入漏洞目錄穿越測試目標系統(tǒng)是否存在目錄穿越漏洞SSRF檢測目標系統(tǒng)是否存在服務(wù)端跨站請求偽造漏洞本地文件包含測試目標站點是否存在LFI漏洞遠程文件包含測試目標站點是否存在RFI漏洞遠程命令/代碼執(zhí)行測試目標系統(tǒng)是否存在命令/代碼注入漏洞反射型跨站腳本檢測目標系統(tǒng)是否存在反射型跨站腳本漏洞存儲型跨站腳本檢測目標系統(tǒng)是否存在存儲型跨站腳本漏洞DOM-based跨站腳本檢測目標系統(tǒng)是否存在DOM-based跨站腳本漏洞服務(wù)端URL重定向檢查目標系統(tǒng)是否存在服務(wù)端URL重定向漏洞信息泄露類errorcode測試目標系統(tǒng)的錯誤處理能力，是否會輸出詳盡的錯誤信息StackTraces測試目標系統(tǒng)是否開啟了StackTraces調(diào)試信息敏感信息盡量收集目標系統(tǒng)的敏感信息第三方應(yīng)用類中間件測試目標系統(tǒng)是否存在jboss、weblogic、tomcat等中間件CMS測試目標系統(tǒng)是否存在dedecms、phpcms等CMS測試方式安全評估服務(wù)根據(jù)測試的位置不同可以分為現(xiàn)場測試和遠程測試；根據(jù)測試的方法不同分為黑盒測試