2024企業(yè)網(wǎng)絡信息安全防護技術(shù)標準

企業(yè)網(wǎng)絡信息安全防護技術(shù)標準第第2頁共133頁目錄引言 6編目的 6編原則 6編依據(jù) 6術(shù)、定、符及縮語 6適范圍 6規(guī)性引文件 7安保障 8安保障組 8安保障法 9現(xiàn)７Ｘ２４小值班（相涉密作人名單做公） 9預平臺７Ｘ２４時值（相涉密作人名單做公） 10工時間全保障 10網(wǎng)安全務檢測 12整網(wǎng)絡全服框架 12資調(diào)研梳理 13風評估 135.3.1安掃描 135.3.2.安配置查 15滲測試 38web安加固 50業(yè)系統(tǒng)脅 51業(yè)安全 51業(yè)安全試內(nèi)容 51業(yè)安全測 55安測試果輸出 57網(wǎng)安全構(gòu)分析 58網(wǎng)安全險分析 58主安全險分析 58應安全險分析 59數(shù)安全備份復 59專安全查 60webshell后檢查 60web日分析查 61系登錄志專檢查 62安管理詢 63安管理針和標 64信安全理方法 64信安全理體控制域 68ISMS建過程 69現(xiàn)信息全管制度系分析 75基標準信息全管體系計 76信安全理制文檔系 77信安全略 81流化解的問題 95使全制執(zhí)行實落地 95輔決策 95安運維系建設 96安巡檢 97安巡檢述 97安巡檢容 98防毒安巡檢 99數(shù)備份檢 99物機房檢 99定漏洞描 99安應急練及應 99應響預制定 100應響應施 101應響應劃維與演練 103安應急應實方案 103應響應件總與報歸檔 105防墻策檢查優(yōu)化 1065.10.1策檢查優(yōu)化容 106漏預警通告 107整網(wǎng)絡全防策略 108安防護計 108網(wǎng)安全護 109網(wǎng)防火墻 109DDOS防護 110防毒網(wǎng)關(guān) 1106.2.4VPN 110應及數(shù)安全護 111WEB應防火墻 111網(wǎng)云防系統(tǒng) 111數(shù)庫安防護 111內(nèi)安全護 112運堡壘機 112綜日志計 112態(tài)實時測 112終安全護 112攻應急置技術(shù) 113DDOS攻處置 113攻介紹 113攻防護 114CC攻處置 116攻介紹 116攻防護 116WEB入攻擊置 118攻介紹 118攻防護 118木后門置 119攻介紹 119攻防護 119異日志析處置 126日分析法 126日分析圍 132未威脅置 132攻介紹 132攻防護 133測方法 133引言編寫目的編寫原則有效性以實戰(zhàn)及實際場景為主，確保網(wǎng)絡安全應急防護方案具備應對實際攻擊處理的有效性。完整性安全攻擊處理以優(yōu)先保障網(wǎng)絡平臺的信息完整性，確保不被非法或惡意篡改。機密性安全防護重點落實數(shù)據(jù)的保密性，控制非法或越權(quán)訪問等導致數(shù)據(jù)泄露等行為?？煽啃员M力保障網(wǎng)站系統(tǒng)的可用性及可靠性，在攻擊或異常情況發(fā)生時網(wǎng)站系統(tǒng)的可靠性保障。編寫依據(jù)術(shù)語、定義、符號及縮略語適用范圍規(guī)范性引用文件《全國人大常委會關(guān)于加強網(wǎng)絡信息保護的決定》《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》《中華人民共和國網(wǎng)絡安全法》《個人信息和重要數(shù)據(jù)出境安全評估辦法》《國務院關(guān)于印發(fā)促進大數(shù)據(jù)發(fā)展行動綱要的通知》（國發(fā)〔2015〕50號）《國務院關(guān)于印發(fā)政務信息資源共享管理暫行辦法的通知》（國發(fā)〔2016〕51號）+（201655號）《國務院關(guān)于印發(fā)“十三五”國家信息化規(guī)劃的通知》（國發(fā)〔2016〕73號）《國務院辦公廳關(guān)于印發(fā)“互聯(lián)網(wǎng)+政務服務”技術(shù)體系建設指南的通知》（國辦函〔2016〕108號）《國務院辦公廳關(guān)于印發(fā)政務信息系統(tǒng)整合共享實施方案的通知》（國辦發(fā)〔2017〕39號）（GB/T35274-2017）（GB/T35273-2017）（GB/T31167-2014）《政務信息資源交換體系》（GB/T20162-2007）《WH/T52-2012管理元數(shù)據(jù)規(guī)范》《元數(shù)據(jù)注冊與管理》（GB/T30524-2014）TLS1.2-RFC5246TheSSLProtocolVersion3.0趙澤茂.數(shù)字簽名理論[M].北京:科學出版社,2007現(xiàn)代密碼學理論與實踐[M].北京:電子工業(yè)出版社,2006.HarnL,XuY,PerersenH.DesignofElGamaltypedigitalschemebasedondiscretelogarithm[J].Electronicsletters,1994,31(24):2025-2026.D.Johanson,A.Menezes,S.Vanstone.Theellipticcurvedigitalsignaturealgorithm(ECDSA).InternatinalJournalonInformationSecurity,2001,1:36-63.NybergK,RueppelRA.Messegerecoveryforsignatureschemsbasedonthediscretelogarithm[C].AdvancesinCryptology-Eurocrypt'94,Berlin:Springer-Verlag,1994.175-190安全保障安全保障小組安全保障辦法現(xiàn)場７Ｘ２４小時值班（相關(guān)涉密工作人員名單不做公開）注冊網(wǎng)開放期間，主機房７＊２４小時有人值守，現(xiàn)場值班人員名單分配如下：序號姓名值班時間電話郵箱１ＸＸＸ周一(8:00-20:00)白班ＸＸＸＸＸＸ２ＸＸＸ周一(20:00-8:00)夜班ＸＸＸＸＸＸ３ＸＸＸ周二(8:00-20:00)白班ＸＸＸＸＸＸ４ＸＸＸ周二(20:00-8:00)夜班ＸＸＸＸＸＸ５ＸＸＸ周三(8:00-20:00)白班ＸＸＸＸＸＸ6ＸＸＸ周三(20:00-8:00)夜班ＸＸＸＸＸＸ7ＸＸＸ周四(8:00-20:00)白班ＸＸＸＸＸＸ8ＸＸＸ周四(20:00-8:00)夜班ＸＸＸＸＸＸ9ＸＸＸ周五(8:00-20:00)白班ＸＸＸＸＸＸ10ＸＸＸ周五(20:00-8:00)夜班ＸＸＸＸＸＸ11ＸＸＸ周六(8:00-20:00)白班ＸＸＸＸＸＸ12ＸＸＸ周六(20:00-8:00)夜班ＸＸＸＸＸＸ13ＸＸＸ周日(8:00-20:00)白班ＸＸＸＸＸＸ14ＸＸＸ周日(20:00-8:00)夜班ＸＸＸＸＸＸ第第17頁共133頁預防平臺７Ｘ２４小時值守（相關(guān)涉密工作人員名單不做公開）序號姓名值班時間電話郵箱１ＸＸＸ星期一ＸＸＸ２ＸＸＸ星期二ＸＸＸ３ＸＸＸ星期三ＸＸＸ４ＸＸＸ星期四ＸＸＸ５ＸＸＸ星期五ＸＸＸ6ＸＸＸ星期六ＸＸＸ7ＸＸＸ星期日ＸＸＸ工作時間安全保障正常工作日時間，由安全保障小組駐守市民中心，提供安全保障服務，安全保障小組人員及工作職責如下：序號姓名電話職責郵箱１ＸＸＸＸＸＸ組長ＸＸＸ２ＸＸＸＸＸＸ組員ＸＸＸ３ＸＸＸＸＸＸ組員ＸＸＸ４ＸＸＸＸＸＸ組員ＸＸＸ５ＸＸＸＸＸＸ組員ＸＸＸ組長：ＸＸＸ組員：ＸＸＸ，ＸＸＸ，ＸＸＸ及其他需協(xié)調(diào)人員小組職責安全配置檢查。安全漏洞掃描。安全滲透測試。安全應急響應及演練。突然安全事件處置。安全攻擊行為處置。安全攻擊行為調(diào)查取證。協(xié)助安全加固整改。安全事件分析。安全保障值守反制攻擊行為執(zhí)行(需網(wǎng)警配合)。工作要求：上線前，全面安全配置核查及掃描。上線前，全面滲透測試及協(xié)助漏洞加固。正式開放前，執(zhí)行攻防演練及應急演練。保障期間，至少每周執(zhí)行一次安全配置檢查。保障期間，至少每周執(zhí)行一次安全掃描。每周提取一次日志，并對日志進行全面分析，提供日志給國安部門。保障期間，每發(fā)生一次系統(tǒng)變更時，至少執(zhí)行一次安全配置檢查和掃描。保障期間，每日均需執(zhí)行可控滲透測試及系統(tǒng)安全情況分析。系統(tǒng)試用運行期間，嚴禁惡意或帶有破壞性的滲透測試及其他行為。保障期間，工作時間，安排人員現(xiàn)場值守。7*24保障期間，應急響應，確保至多一小時內(nèi)到達現(xiàn)場。遵守安全工作制度及峰網(wǎng)絡安全服務檢測整體網(wǎng)絡安全服務框架IT基礎架構(gòu)的安全建設，優(yōu)化、調(diào)整和挖掘潛力，提升整體信息安全的保資產(chǎn)調(diào)研與梳理對主機、網(wǎng)絡設備、數(shù)據(jù)庫、應用系統(tǒng)資產(chǎn)進行調(diào)研梳理，可分為：資產(chǎn)管理：權(quán)限梳理：信息系統(tǒng)中資產(chǎn)權(quán)限梳理、權(quán)限變化梳理、有效賬戶與冗余賬戶梳理。敏感數(shù)據(jù)梳理：資產(chǎn)使用梳理：風險評估安全掃描掃描目標掃描目標目標類型掃描方式掃描策略http://www.掃描目標.com/門戶網(wǎng)站內(nèi)網(wǎng)掃描主機漏洞掃描、Web漏洞掃描、弱密碼漏洞掃描http://web.掃描目標.com/應用系統(tǒng)內(nèi)網(wǎng)掃描主機漏洞掃描、Web漏洞掃描、弱密碼漏洞掃描http://web2.掃描目標.com/應用系統(tǒng)內(nèi)網(wǎng)掃描主機漏洞掃描、Web漏洞掃描、弱密碼漏洞掃描http://web3.掃描目標.com/應用系統(tǒng)內(nèi)網(wǎng)掃描測試主機漏洞掃描、Web漏洞掃描、弱密碼漏洞掃描安全掃描實施內(nèi)容項目經(jīng)理與委托單位就漏洞掃描項目進行前期溝通，接收被測單位提交的網(wǎng)絡狀況資IP實施過程中需要評估的項目包括但不限于：主機環(huán)境漏洞掃描。Web弱密碼漏洞掃描。掃描方案確定，開始執(zhí)行掃描任務，按照客戶的掃描要求配置漏洞掃描策略進行掃描。端口掃描階段，本階段主要是對目標對外開放的端口和服務進行掃描，從而收集相關(guān)的信息。主機漏洞掃描階段，本階段主要是對目標的主機環(huán)境進行安全掃描。WebWebFTP、SQLServer、RDP清除總結(jié)階段，清除在客戶系統(tǒng)中產(chǎn)生的痕跡和中間數(shù)據(jù)，然后根據(jù)以上階段內(nèi)容總結(jié)編寫《安全掃描服務報告》。安全掃描風險規(guī)避人員值守配合掃描時段選擇一般會選擇在夜間或安排在業(yè)務量不大的時段進行漏洞掃描。掃描策略集選擇掃描前應進行備份，根據(jù)系統(tǒng)的具體情況配置合理的掃描策略。安全掃描成果交付《漏洞掃描服務報告》漏洞掃描結(jié)果漏洞解決方案安全配置檢查checklist配置檢測支持包含如下：操作系統(tǒng)：AIX、Linux、Soalris、Windows、HP-UX數(shù)據(jù)庫：Mysql、SQLSERVER、Oracle、SYBASE、DB2網(wǎng)絡設備：CISCO、H3C防火墻、Hillstone防火墻、Huawei防火墻、中興交換機應用程序：APACHE、IIS、Nginx、Resin、Tomcat、Weblogic網(wǎng)絡配置檢查例：cisco路由器編號：安全要求-設備-通用-配置-3-可選要求內(nèi)容限制具備管理員權(quán)限的用戶遠程登錄。遠程執(zhí)行管理員權(quán)限操作，操作指南1．參考配置操作Router#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#servicepassword-encryptionRouter(config)#usernamenormaluserpassword3d-zirc0niaRouter(config)#usernamenormaluserprivilege1Router(config)#linevty04Router(config-line)#loginlocalRouter(config-line)#exec-timeout50Router(config-line)#end2．補充操作說明設定賬號密碼加密保存normaluser1；設定遠程登錄啟用路由器賬號驗證；設定超時時間為5分鐘；檢測方法1.判定條件I.VTY使用用戶名和密碼的方式進行連接驗證II.2、賬號權(quán)限級別較低，例如：I2.檢測操作showrunning-configrunning-configBuildingconfiguration...Currentconfiguration:!servicepassword-encryptionusernamenormaluserpassword3d-zirc0niausernamenormaluserprivilege1linevty04loginlocal安全要求-設備-通用-配置-4要求內(nèi)容6字、小寫字母、大寫字母和特殊符號4類中至少2類。操作指南參考配置操作Router#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#aaanew-modelRouter(config)#aaaauthenticationlogindefaultgrouptacacs+Router(config)#aaaauthenticationenabledefaultgrouptacacs+Router(config)#tacacs-serverhost8Router(config)#tacacs-serverkeyIr3@1yh8n#w9@swDRouter(config)#endRouter#補充操作說明與外部TACACSserver8TACACS+serveryaTACACSserver檢測方法此項無法通過配置實現(xiàn)，建議通過管理實現(xiàn)2.檢測操作此項無法通過配置實現(xiàn)，建議通過管理實現(xiàn)編號：安全要求-設備-通用-配置-9要求內(nèi)容操作指南1．參考配置操作Router#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#servicepassword-encryptionRouter(config)#usernamenormaluserpassword3d-zirc0niaRouter(config)#usernamenormaluserprivilege1Router(config)#privilegeexeclevel15connectRouter(config)#privilegeexeclevel15telnetRouter(config)#privilegeexeclevel15rloginRouter(config)#privilegeexeclevel15showipaccess-listsRouter(config)#privilegeexeclevel15showaccess-listsRouter(config)#privilegeexeclevel15showloggingRouter(config)#!ifSSHissupported..Router(config)#privilegeexeclevel15sshRouter(config)#privilegeexeclevel1showip2．補充操作說明基本思想是創(chuàng)建賬號并賦予不同的權(quán)限級別，并將各命令綁定在不同的權(quán)限級別上；上例操作過程如下：設定賬號密碼加密保存創(chuàng)建normaluser賬號并指定權(quán)限級別為1；connect、telnet、rlogin、showipaccess-lists、showaccess-listsshowloggingssh15將showip指定為僅當賬號權(quán)限級別大于1時才可使用；檢測方法1.判定條件用戶名綁定權(quán)限級別2.檢測操作showrunning-configrunning-configBuildingconfiguration...Currentconfiguration:!usernamenormaluserpassword3d-zirc0niausernamenormaluserprivilege1privilegeexeclevel15connectprivilegeexeclevel15telnetprivilegeexeclevel15rloginprivilegeexeclevel15showipaccess-listsprivilegeexeclevel15showaccess-listsprivilegeexeclevel15showloggingprivilegeexeclevel15sshprivilegeexeclevel1showip編號：安全要求-設備-通用-配置-14-可選要求內(nèi)容設備應支持遠程日志功能。所有設備日志均能通過遠程日志功能傳輸?shù)饺罩痉掌?。設備應支持至少一種通用的遠程標準日志接口，如SYSLOG、FTP等。操作指南參考配置操作路由器側(cè)配置：Router#configEnterconfigurationcommands,oneperline.EndwithCNTL/ZRouter(config)#loggingonRouter(config)#loggingtrapinformationRouter(config)#logging00Router(config)#loggingfacilitylocal6Router(config)#loggingsource-interfaceloopback0Router(config)#exitRouter#showloggingSysloglogging:enabled(0messagesdropped,11flushes,0overruns)Consolelogging:levelnotifications,35messagesloggedMonitorlogging:leveldebugging,35messagesloggedBufferlogging:levelinformational,31messagesloggedLoggingto00,28messagelineslogged..Router#補充操作說明Irouter00syslog啟用日志記錄日志級別設定“information”記錄日志類型設定“l(fā)ocal6”日志發(fā)送到00日志發(fā)送源是loopback0配置完成可以使用“showlogging”驗證服務器側(cè)配置參考如下：SyslogSyslog.conf#Saveroutermessagestorouters.loglocal6.debug/var/log/routers.log創(chuàng)建日志文件#touch/var/log/routers.logII. snmptEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#loggingtrapinformationRouter(config)#snmp-serverhost00trapspublicRouter(config)#snmp-servertrap-sourceloopback0Router(config)#snmp-serverenabletrapssyslogRouter(config)#exitRouter#檢測方法1.判定條件SyslogloggingSNMPloggingenabled”LoggingtoIPIII. 2.檢測操作showloggingRouter#showloggingSysloglogging:enabledConsolelogging:disabledMonitorlogging:leveldebugging,266messageslogged.Traplogging:levelinformational,266messageslogged.Loggingto38SNMPlogging:disabled,retransmissionafter30seconds0messagesloggedRouter#編號：安全要求-設備-通用-配置-16-可選要求內(nèi)容TCP/UDPIPTCPUDPIP操作指南1．參考配置操作DNSaccess-list140permitudpanyhosteq53Router(config)#access-list140denyudpanyanylog/16DNSRouter(config)#access-list140permittcpany55Router(config)#access-list140denyipanyanylog2．補充操作說明訪問控制列表命令格式：標準訪問控制列表access-listlist-number{deny|permit}source[source-wildcard][log]擴展訪問控制列表access-listlist-number{deny|permit}protocolsourcesource-wildcardsource-qualifiersdestinationdestination-wildcarddestination-qualifiers[log|log-input]檢測方法1.判定條件acl；IPIPany2.檢測操作showipaccess-list[access-list-number|name如下例：Router#showipaccess-listExtendedIPaccesslist101denyudpanyanyeqntppermittcpanyanypermitudpanyanyeqtftppermiticmpanyanypermitudpanyanyeqdomain編號：安全要求-設備-通用-配置-17-可選要求內(nèi)容IPSSH操作指南1．參考配置操作router#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.router(config)#hostnameRouterRouter(config)#ipdomain-nameRouter.domain-name配置訪問控制列表Router(config)#noaccess-listRouter(config)#access-list12permithost00Router(config)#linevty04Router(config-line)#access-class12inRouter(config-line)#exit配置賬號和連接超時Router(config)#servicepassword-encryptionRouter(config)#usernamenormaluserpassword3d-zirc0niaRouter(config)#usernamenormaluserprivilege1Router(config)#linevty04Router(config-line)#loginlocalRouter(config-line)#exec-timeout50rsaRouter(config)#cryptokeygeneratersaThenameforthekeyswillbe:Router.domain-nameChoosethesizeofthekeymodulusintherangeof360to2048foryourGeneralPurposeKeys.Choosingakeymodulusgreaterthan512maytakeafewminutes.Howmanybitsinthemodulus[512]:2048GeneratingRSAKeys...[OK]sshsshRouter(config-line)#exitRouter(config)#2．補充操作說明配置描述：ssh00ssh配置遠程訪問里連接超時rsarsasshdrsasshdssh操作系統(tǒng)配置檢查例：HP-UX系統(tǒng)編號：安全要求-設備-HP-UX-配置-1要求內(nèi)容應按照不同的用戶分配不同的賬號，避免不同用戶間共享賬號，避免用戶賬號和設備間通信使用的賬號共享。操作指南1、參考配置操作為用戶創(chuàng)建賬號：#useraddusername#創(chuàng)建賬號#passwdusername#設置密碼修改權(quán)限：#chmod750directory#其中755為設置的權(quán)限，可根據(jù)實際情況設置相應的權(quán)限，directory是要更改權(quán)限的目錄)使用該命令為不同的用戶分配不同的賬號，設置不同的口令及權(quán)限信息等。2、補充操作說明檢測方法1、判定條件能夠登錄成功并且可以進行常用操作；2、檢測操作使用不同的賬號進行登錄并進行一些常用操作；3、補充說明編號：安全要求-設備-HP-UX-配置-2要求內(nèi)容應刪除或鎖定與設備運行、維護等工作無關(guān)的賬號。系統(tǒng)內(nèi)存在不可刪除的內(nèi)置賬號，包括root,bin等。操作指南1、參考配置操作刪除用戶：#userdelusername;鎖定用戶：修改/etc/shadowNP將/etc/passwdshell/bin/noshell3)#passwd-lusername只有具備超級用戶權(quán)限的使用者方可使用，#passwdlusername#passwddusername2、補充操作說明需要鎖定的用戶：lp,nuucp,hpdb,www,demon。檢測方法1、判定條件被刪除或鎖定的賬號無法登錄成功；2、檢測操作使用刪除或鎖定的與工作無關(guān)的賬號登錄系統(tǒng)；3、補充說明需要鎖定的用戶：lp,nuucp,hpdb,www,demon。編號：安全要求-設備-HP-UX-配置-3要求內(nèi)容限制具備超級管理員權(quán)限的用戶遠程登錄。遠程執(zhí)行管理員權(quán)限操作，應先以普通權(quán)限用戶遠程登錄后，再切換到超級管理員權(quán)限賬號后執(zhí)行相應操作。操作指南1、 參考配置操作編輯/etc/securetty，加上：console保存后退出，并限制其他用戶對此文本的所有權(quán)限：chownroot:sys/etc/securettychmod600/etc/securettyroottelnetssh2、補充操作說明rootssh/etc/ssh/sshd_configPermitRootLoginyesPermitRootLoginno，重啟sshd檢測方法1、判定條件root遠程登錄不成功，提示“Notonsystemconsole”；普通用戶可以登錄成功，而且可以切換到root用戶；2、檢測操作root從遠程使用telnet登錄；telnetrootssh普通用戶從遠程使用ssh登錄；3、補充說明限制rootssh/etc/ssh/sshd_configPermitRootLoginyesPermitRootLoginnosshd服務。編號：安全要求-設備-HP-UX-配置-4-可選要求內(nèi)容根據(jù)系統(tǒng)要求及用戶的業(yè)務需求，建立多帳戶組，將用戶賬號分配到相應的帳戶組。操作指南1、參考配置操作創(chuàng)建帳戶組：#groupaddgGIDgroupnameGIDGIDGID#usermod–ggroupusername#將用戶username分配到group組中。GID：#idusername可以根據(jù)實際需求使用如上命令進行設置。2、補充操作說明gGID0499binmail499。GID當grop_nmegropaddnewgrp命令進行更改，如#newgrpsyssys檢測方法1、判定條件可以查看到用戶賬號分配到相應的帳戶組中；或都通過命令檢查賬號是否屬于應有的組：#idusername2、檢測操作查看組文件：cat/etc/group3、補充說明文件中的格式說明：group_name::GID:user_list編號：安全要求-設備-HP-UX-配置-5-可選要求內(nèi)容對系統(tǒng)賬號進行登錄限制，確保系統(tǒng)賬號僅被守護進程和服務使用，不應直接由該賬號登錄系統(tǒng)。如果系統(tǒng)沒有應用這些守護進程或服務，應刪除這些賬號。操作指南1、參考配置操作禁止賬號交互式登錄：foruserinwwwsyssmbnulliwwwowwwsshd\hpsmhnameduucpnuucpadmdaemonbinlp\nobodynoaccesshpdbuseradm;dopasswd–l"$user"/usr/sbin/usermod-s/bin/false"$user"if[["$(uname-r)"=B.10*]];then/usr/lbin/modprpw-w"*""$user"else/usr/lbin/modprpw-w"$user"fidone刪除賬號：#userdelusername;2、補充操作說明wwwsyssmbnulliwwwowwwsshdhpsmhnameduucpnuucpadmdaemonbinlpnobodynoaccesshpdbuseradm.檢測方法1、判定條件被禁止賬號交互式登錄的帳戶遠程登錄不成功；2、檢測操作rootloginincorrectroot3、補充說明數(shù)據(jù)庫配置檢查例：oracle數(shù)據(jù)庫ORACLE要求內(nèi)容應按照用戶分配賬號，避免不同用戶間共享賬號。操作指南1、 參考配置操作createuserabc1identifiedbypassword1;createuserabc2identifiedbypassword2;建立role，并給role授權(quán)，把role賦給不同的用戶2、 補充操作說明1abc1abc2檢測方法3、 判定條件不同名稱的用戶可以連接數(shù)據(jù)庫4、 檢測操作connectabc1/password1連接數(shù)據(jù)庫成功5、補充說明編號：安全要求-設備-ORACLE-配置-2-可選要求內(nèi)容應刪除或鎖定與數(shù)據(jù)庫運行、維護等工作無關(guān)的賬號。操作指南1、 參考配置操作alteruserusernamelock;dropuserusernamecascade;2、 補充操作說明檢測方法3、 判定條件首先鎖定不需要的用戶在經(jīng)過一段時間后，確認該用戶對業(yè)務確無影響的情況下，可以刪除4、檢測操作5、補充說明編號：安全要求-設備-ORACLE-配置-3要求內(nèi)容限制具備數(shù)據(jù)庫超級管理員（SYSDBA）權(quán)限的用戶遠程登錄。（導致數(shù)據(jù)庫重起后，無法打開數(shù)據(jù)庫）操作指南1、參考配置操作spfileREMOTE_LOGIN_PASSWORDFILE=NONEsqlnet.oraSQLNET.AUTHENTICATION_SERVICES=NONESYSDBA2、補充操作說明檢測方法3、判定條件Sql*NetSYSDBAsqlplus/assysdba’連接到數(shù)據(jù)庫需要輸入口令。4、檢測操作Oraclesqlplus/assysdbasqlplusshowparameterNONE。ShowparameterREMOTE_LOGIN_PASSWORDFILE檢查在$ORACLE_HOME/network/admin/sqlnet.oraNONE。5、補充說明編號：安全要求-設備-ORACLE-配置-8要求內(nèi)容在數(shù)據(jù)庫權(quán)限配置能力內(nèi)，根據(jù)用戶的業(yè)務需要，配置其所需的最小權(quán)限。操作指南1、參考配置操作grant權(quán)限tousername;revoke權(quán)限fromusername;2、補充操作說明用第一條命令給用戶賦相應的最小權(quán)限用第二條命令收回用戶多余的權(quán)限檢測方法3、判定條件4、檢測操作5、補充說明編號：安全要求-設備-ORACLE-配置-9要求內(nèi)容使用數(shù)據(jù)庫角色（ROLE）來管理對象的權(quán)限。操作指南1、參考配置操作CreateRoleGrantRole2、補充操作說明檢測方法3、判定條件DBARoleDBAsqlplusdba_role_privs、dba_sys_privsdba_tab_privsROLE5、補充說明編號：安全要求-設備-ORACLE-配置-10-可選要求內(nèi)容對用戶的屬性進行控制，包括密碼策略、資源限制等。操作指南1、參考配置操作可通過下面類似命令來創(chuàng)建profile，并把它賦予一個用戶CREATEPROFILEapp_user2LIMITFAILED_LOGIN_ATTEMPTS6PASSWORD_LIFE_TIME60PASSWORD_REUSE_TIME60PASSWORD_REUSE_MAX5PASSWORD_VERIFY_FUNCTIONverify_functionPASSWORD_LOCK_TIME1/24PASSWORD_GRACE_TIME90;ALTERUSERjdPROFILEapp_user2;2、補充操作說明檢測方法3、判定條件profileprofileCPUDBAsqlplus查詢視圖dba_profilesdba_usresprofile編號：安全要求-設備-ORACLE-配置-13要求內(nèi)容啟用數(shù)據(jù)字典保護，只有SYSDBA用戶才能訪問數(shù)據(jù)字典基礎表。操作指南1、參考配置操作SYSDBAO7_DICTIONARY_ACCESSIBILITY=FALSE2、補充操作說明檢測方法3、判定條件以普通dba用戶登陸到數(shù)據(jù)庫，不能查看X$開頭的表，比如：select*fromsys.x$ksppi;4、檢測操作Oraclesqlplus/assysdbasqlplusshowparameterFALSE。ShowparameterO7_DICTIONARY_ACCESSIBILITY5、補充說明滲透測試（滲透測試報告的價值直接依賴于測試者的專業(yè)技能滲透測試目標掃描目標目標類型掃描方式掃描策略http://www.滲透目標.com/門戶網(wǎng)站內(nèi)網(wǎng)掃描主機漏洞掃描、Web漏洞掃描、弱密碼漏洞掃描http://web.滲透目標.com/應用系統(tǒng)內(nèi)網(wǎng)掃描主機漏洞掃描、Web漏洞掃描、弱密碼漏洞掃描http://web2.應用系統(tǒng)內(nèi)網(wǎng)掃描主機漏洞掃描、Web漏洞掃滲透目標.com/描、弱密碼漏洞掃描http://web3.滲透目標.com/應用系統(tǒng)內(nèi)網(wǎng)掃描測試主機漏洞掃描、Web漏洞掃描、弱密碼漏洞掃描滲透測試工作標準依據(jù)如下標準實施滲透測試服務：GB/T18336-2001信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準則。OSSTMM-Open-SourceSecurityTestingMethodologyManualISSAF-InformationSystemsSecurityAssessmentFrameworkOWASP-OpenWebApplicationSecurityProjectWASC-WebApplicationSecurityConsortium滲透測試前期準備客戶書面同意確定滲透目標范圍滲透測試時間范圍此外客戶可根據(jù)其對自身系統(tǒng)安全狀態(tài)的了解情況為滲透測試者規(guī)定一個測試時間窗，要求滲透測試者在此時間窗內(nèi)完成其滲透測試工作。IP確定滲透測試的人員風險規(guī)避措施滲透測試實施流程滲透測試流程：信息收集信息收集是指滲透實施前盡可能多地獲取目標信息系統(tǒng)相關(guān)信息，例如網(wǎng)站注冊信息、弱點分析獲取權(quán)限對目標信息系統(tǒng)滲透成功，獲取目標信息系統(tǒng)普通權(quán)限。權(quán)限提升采用的技術(shù)手段主要是通過網(wǎng)絡層、系統(tǒng)層、應用層三個方面進行滲透測試。網(wǎng)絡層安全針對該系統(tǒng)所在網(wǎng)絡層進行網(wǎng)絡拓撲的探測、路由測試、防火墻規(guī)則試探、規(guī)避測試、Vlan由于服務器系統(tǒng)和網(wǎng)絡設備研發(fā)生產(chǎn)過程中所固有的安全隱患及系統(tǒng)管理員或網(wǎng)絡管理員的疏忽，一般網(wǎng)絡層安全漏洞包括以下安全威脅：明文保存密碼由于管理員的疏忽，設備配置密碼以明文的方式保存，這帶來了一定的安全威脅。未配置登錄超時AAA系統(tǒng)沒有配置統(tǒng)一的AAA認證，這不便于權(quán)限的管理。ACL交換機沒有配置管理IP的ACL，可導致任意地址訪問設備，應該增加ACL進行限制。其他配置問題系統(tǒng)層安全版本過低（Apache版本過底，可能存在大量溢出漏洞）。遠程溢出漏洞（使用者輸入?yún)?shù)對所接收數(shù)據(jù)本地提權(quán)漏洞本地提權(quán)漏洞是指低權(quán)限、受限制的用戶，可以提升到系統(tǒng)最高權(quán)限或比較大的權(quán)限，從而取得對網(wǎng)站服務器的控制權(quán)。弱口令權(quán)限過大權(quán)限過大是指某用戶操作權(quán)限超出他本身安全操作權(quán)限范圍之外，這存在一定的安全風險。高危服務/端口開放系統(tǒng)很多高危服務和端口會被默認開放，例如，80，443，843，80018010，其中8001~8010TCPUDPSSH、Telnet、X-windows、Rlogin、ms-rpc、SNMP、FTP、TFTPIPC$連接允許匿名IPC$連接，是一個遠程登錄功能，同時所有的邏輯盤(c$,d$,e$……)和系統(tǒng)目錄winnt或windows(admin$)資源可共享，存在一定的安全風險。其他配置問題應用層安全SQLCSRFSQLSQLSQLSQL跨站腳本XSSCSS(CrossSiteScriptExecution)，是指服務器端的CGIHTMLWEBHTML表單繞過SQL上傳漏洞上傳漏洞是指網(wǎng)站開發(fā)者在開發(fā)時在上傳頁面中針對文件格式（asp、php）和文webshell文件包含已知木馬PCPC敏感信息泄露WEBSQLSQL以下幾個是比較典型的敏感信息泄露漏洞：源碼信息泄露；……惡意代碼解析漏洞遠程代碼執(zhí)行漏洞（有時我們在用戶認證只顯示給用戶認證過的任意文件讀取系統(tǒng)開發(fā)過程中沒有重視安全問題或使用不安全的第三方組件等，導致任意文件可讀取，可導致入侵者獲得數(shù)據(jù)庫權(quán)限，并利用數(shù)據(jù)庫提權(quán)進一步獲得系統(tǒng)權(quán)限。目錄遍歷目錄遍歷是指由于程序中沒有過濾用戶輸入的../和./之類的目錄跳轉(zhuǎn)符,導致攻擊者通過提交目錄跳轉(zhuǎn)來遍歷服務器上的任意文件。目錄列出URL（URL跨站請求偽造（Cross-siterequestforgeryoneclickattacksessionridingCSRFXSRFXSSXSSCSRFXSS攻擊相比，CSRF攻擊往往不大流行（因此對其進行防范的資源也相當稀少）和難以防范，所以被認為比XSS更具危險性。弱口令不安全對象引用安全配置錯誤HTTP鏈接地址重定向（而某些程序在重定向的跳轉(zhuǎn)過程中，對重定向的地址未進行必要的有效性和安全性檢URL，而導致用戶信息受損。跳轉(zhuǎn)漏洞URLXSS后臺管理會話管理會話管理主要是針對需授權(quán)的登錄過程的一種管理方式，以用戶密碼驗證為常見方式，通過對敏感用戶登錄區(qū)域的驗證，可有效校驗系統(tǒng)授權(quán)的安全性，測試包含以下部分：用戶口令易猜解通過對表單認證、HTTP是否存在驗證碼防護是否存在易暴露的管理登錄地址某些管理地址雖無外部鏈接可介入，但由于采用了容易猜解的地址（如：admin）而導致登錄入口暴露，從而給外部惡意用戶提供了可乘之機。是否提供了不恰當?shù)尿炞C錯誤信息HTTPFuzzingSession是否隨機SessionSessionSession校驗前后Session是否變更SessionSession會話存儲是存儲于客戶端本地（cookie）還是存儲于服務端（Session無效驗證碼目標系統(tǒng)管理入口（或數(shù)據(jù)庫外部連接）存在缺少驗證碼，攻擊者可利用弱口令漏洞，漏洞分級根據(jù)漏洞危害程度將漏洞等級分為高危、中危、低危三個級別：高危：漏洞很明顯，容易被利用，黑客通過該漏洞可獲取完全驗證權(quán)限，執(zhí)行管理中危該漏洞需通過深入挖掘發(fā)現(xiàn)，攻擊者利用該漏洞可獲得敏感信息，影響到部分用戶，同時攻擊者在一定時間內(nèi)可重復攻擊。低危：該漏洞發(fā)現(xiàn)困難，利用難度大，重復攻擊難，危害影響小。系統(tǒng)備份與恢復措施網(wǎng)絡應用系統(tǒng)類：對網(wǎng)絡應用服務系統(tǒng)及其配置、用戶信息、數(shù)據(jù)庫等進行備份。網(wǎng)絡設備類：對網(wǎng)絡設備的配置文件進行備份。桌面系統(tǒng)類：備份用戶信息，用戶文檔，電子郵件等信息資料。滲透測試風險交付交付成果報告列表：《滲透測試報告》滲透測試結(jié)果安全加固方案web安全專家針對源代碼、頁面以及網(wǎng)站中存在的安全漏洞，進行點對點安全修復與加固。安全加固風險與控制措施安全加固和優(yōu)化服務存在以下安全風險：安全加固過程中的誤操作；安全加固后造成業(yè)務服務性能下降、服務中斷；廠家提供的加固補丁和工具可能存在新的漏洞，帶來新的風險；我們將采取以下措施，控制和避免上述風險：嚴格審核安全加固的流程和規(guī)范；嚴格審核安全加固的各子項內(nèi)容和加固操作方法、步驟，實施前進行統(tǒng)一的培訓；嚴格員工工作紀律和操作規(guī)范，實施前進行統(tǒng)一的培訓；制訂意外事件的緊急處理和恢復流程；收集系統(tǒng)信息做好備份工作webweb復查配置對加固后的系統(tǒng)，全部復查一次所作加固內(nèi)容，確保正確無誤。應急恢復業(yè)務系統(tǒng)威脅業(yè)務安全業(yè)務安全測試內(nèi)容身份認證安全sessioncookie暴力破解burpsuitesessioncookiesessionsessionIDIDsessionidCookiecooikiecookiecookie加密測試https業(yè)務一致性安全用戶信息篡改訂單/用戶/IDIDID（加減一）能夠查看其它用戶的訂單信息、或者IDID業(yè)務數(shù)據(jù)篡改測試業(yè)務數(shù)據(jù)的篡改常見于在商品的數(shù)量價格方面進行繞過篡改，造成經(jīng)濟損失。金額數(shù)據(jù)修改商品數(shù)量修改jsJavascriptJavascript用戶輸入合規(guī)性XSSFUZZ密碼找回測試密碼是用戶的重要身份憑證之一，在測試用戶密碼時一般流程：首先嘗試正常密碼找回流程，選擇不同找回方式，記錄所有數(shù)據(jù)包；分析數(shù)據(jù)包，找到敏感部分；分析后臺找回機制所采用的驗證手段；修改數(shù)據(jù)包驗證推測。驗證碼繞過測試驗證碼不單單在登錄、找密碼應用，提交敏感數(shù)據(jù)的地方也有類似應用，故單獨分類，并進一步詳情說明。burpsuite驗證碼時間、次數(shù)測試：抓取攜帶驗證碼的數(shù)據(jù)包不斷重復提交，例如：在投訴建驗證碼客戶端回顯測試：當客戶端有需要和服務器進行交互，發(fā)送驗證碼時，即可使用瀏覽器調(diào)試功能就可看到客戶端與服務器進行交互的詳細信息；驗證碼繞過測試：當?shù)谝徊较虻诙教D(zhuǎn)時，抓取數(shù)據(jù)包，對驗證碼進行篡改清空測試，驗證該步驟驗證碼是否可以繞過；jsjs未授權(quán)訪問非授權(quán)訪問是指用戶在沒有通過認證授權(quán)的情況下能夠直接訪問需要通過認證才能訪越權(quán)訪問垂直越權(quán)：垂直越權(quán)是指使用權(quán)限低的用戶可以訪問權(quán)限較高的用戶；水平越權(quán)：水平越權(quán)是指相同權(quán)限的不同用戶可以互相訪問。業(yè)務流程安全ABCDBDCCC重放攻擊（（重放（重放后被多次生成有效的業(yè)務或數(shù)據(jù)結(jié)果，可以造成惡意注冊、短信炸彈等漏洞。業(yè)務安全檢測業(yè)務安全檢測準備2burpsuiteFiddlerFirefox+hackbarcookiemanagerpython等安全工具。業(yè)務安全檢測方案惡意注冊驗證碼繞過6burpsuite密碼找回重置短信驗證碼越權(quán)訪問常見于任意修改用戶用戶名密碼資料、用戶銀行賬號信息、用戶購買商品信息等。任意修改用戶資料BBABBAURLAB任意查詢修改用戶數(shù)據(jù)uid輸入數(shù)據(jù)合規(guī)性SQLSQLXSS業(yè)務流程繞過服務接口測試通過測試服務接口的功能來驗證是否存在用戶可控的信息。安全測試結(jié)果輸出通過以上一系列的針對業(yè)務的檢測手段，可以快速發(fā)掘定位業(yè)務系統(tǒng)中存在的安全漏網(wǎng)絡安全架構(gòu)分析網(wǎng)絡安全風險分析網(wǎng)絡結(jié)構(gòu)存在單點故障，設備性能不足以支撐業(yè)務系統(tǒng)需求等原因造成網(wǎng)絡堵塞，業(yè)務丟包率較高。由于網(wǎng)絡互連引起越權(quán)訪問、惡意攻擊、病毒入侵等原因，使得網(wǎng)絡邊界存在安全隱患。缺乏必要的身份鑒別、安全防范、安全審計等技術(shù)手段，容易造成設備的無權(quán)限訪問和惡意更改設備參數(shù)。缺乏必要的網(wǎng)絡安全檢測、主動防御設備，使得惡意攻擊、非法訪問、網(wǎng)絡病毒、DOS（拒絕服務）/DDOS主機安全風險分析WindowsLinux都可能存在安全漏洞，影響主機運行安全的風險主要有：缺乏必要的身份鑒別、安全審計等手段，容易造成設備的無權(quán)限訪問和惡意更改設備參數(shù)。系統(tǒng)中殘存有未及時刪除的過期賬號、測試賬號、共享賬號、默認用戶等可非法入侵的賬戶信息。病毒入侵導致信息泄漏、文件丟失、機器死機等不安全因素。應用安全風險分析用戶賬號被非法使用，冒用他人身份非法訪問信息系統(tǒng)，導致數(shù)據(jù)被非法竊取、非授權(quán)訪問、惡意篡改等非法操作。應用軟件存在漏洞或在開發(fā)過程中存在后門，為黑客留下入侵的可操作性；同時軟數(shù)據(jù)安全及備份恢復在數(shù)據(jù)傳輸過程中無法檢測用戶數(shù)據(jù)和重要業(yè)務數(shù)據(jù)等在傳輸過程中是否受到破壞或因關(guān)鍵數(shù)據(jù)未及時備份，在主節(jié)點遭到破壞后無法及時進行數(shù)據(jù)恢復。5）管理安全風險分析責權(quán)不明、管理混亂、沒有相應的安全管理組織，缺少安全管理人員編制，安全管理組織不健全會造成上下級管理混亂，遇到突發(fā)情況時無法及時有效地進行應急響應。人員安全意識淡薄，在日常工作中無意泄露系統(tǒng)口令、隨意放置操作員卡、私接外網(wǎng)、非法拷貝系統(tǒng)信息、私自安裝/卸載程序、違規(guī)操作、擅離崗位等均會造成安全隱患。人員分工和職責不明，缺乏必要的監(jiān)督、約束、獎罰制度等造成的潛在管理風險。專項安全檢查webshellwebwebshellWebshellwebwebwebshell（webshellwebphp、asp、aspx、jspwebshellwebshellPHPwebshellASP/ASPXwebshell:JSP/JSPXwebshell:webWebwebIP，useragentApache日志格式:IIS日志格式例：日志匯總wvs掃描特征：系統(tǒng)登錄日志專項檢查通過對系統(tǒng)日志進行分析，可以對登錄時間、登錄IP進行判定，查找出可疑的登錄行為。LINUX日志示例：Windows登錄檢測：安全管理咨詢3-5制定安全策略，并根據(jù)策略完善相關(guān)制度體系；建立信息安全管理體系（ISMS），提升總體安全管理水平；IS27000ISMS建立安全運維管理體系；結(jié)合信息安全整體規(guī)劃進行實施；結(jié)合安全域劃分進行實施；結(jié)合等級保護相關(guān)內(nèi)容進行實施。安全管理方針和目標信息安全管理方法ISO/IEC27001:2005PDCA建立健全信息安全管理體系的過程模式如下圖所示。信息安全管理體系的建立、實施、運作、監(jiān)視、評審、保持和改進的策劃活動包括：1、信息安全管理體系的策劃與準備。策劃與準備階段主要是做好建立信息安全管理體系的各種前期工作。內(nèi)容包括教育培訓、擬定計劃、信息安全管理現(xiàn)狀調(diào)查與風險評估，及信息安全管理體系設計。2、信息安全管理體系文件的編制。為實現(xiàn)風險控制、評價和改進信息安全管理體系、實現(xiàn)持續(xù)改進提供不可或缺的依據(jù)。3、信息安全管理體系運行。信息安全管理體系文件編制完成以后，按照文件的控制要求進行審核與批準并發(fā)布實4、信息安全管理體系審核與評審。ISMS根據(jù)ISO/IEC27001:2005的要求，按以下步驟建立ISMS：ISMSISMS定義適用于行業(yè)的風險評估方法；識別信息系統(tǒng)涉及的資產(chǎn)面臨的各種風險；對各種風險加以評估，判斷風險是否可以接受或需要進行必要的處置；選擇風險處置的控制目標和控制方式；根據(jù)行業(yè)的信息安全方針，處置不可接受的風險。管理層批準可接受的殘留風險；ISMS；ISMS在信息安全管理體系文件編制完成以后，分成兩個階段來實施并運作ISMS：公布風險處置計劃；實施風險處置計劃以達到確定的控制目標；評估控制措施的有效性；對員工進行培訓。PDCAISMSISMS實施程序及其他控制以及時檢測、響應安全事故。ISMS執(zhí)行監(jiān)視程序和其它控制；及時檢測過程、結(jié)果中的錯誤；及時識別失敗的或成功的安全違規(guī)和事故；決定反映業(yè)務優(yōu)先級的安全違規(guī)的解決措施。ISMS評審殘留風險和可接受風險的等級考慮以下方面的變化：組織結(jié)構(gòu)變化技術(shù)變革更新業(yè)務目標和過程已識別的威脅外部事件如法律法規(guī)環(huán)境的變化、社會風氣的變化ISMSISMSISMSISMSISMS訓；溝通結(jié)果和措施并與所有相關(guān)方達成一致；確保改進活動達到了預期的目的。信息安全管理體系控制域ISO/IEC27001:2005《信息安全管理體系》，和行業(yè)管1111安全策略為信息安全提供管理指導和支持，并與業(yè)務要求和相關(guān)的法律法規(guī)保持一致。安全組織資產(chǎn)管理通過及時更新的信息資產(chǎn)目錄對信息資產(chǎn)進行適當?shù)谋Ｗo。人力資源安全物理環(huán)境安全防止對工作場所和信息的非法訪問、破壞和干擾。通訊操作安全確保信息處理設施的正確和安全操作。訪問控制控制對行業(yè)內(nèi)所有信息的訪問行為。信息系統(tǒng)的獲取、開發(fā)和維護確保安全始終成為信息系統(tǒng)在不同生命周期之中的一部分。信息安全事件管理確保與信息系統(tǒng)有關(guān)的安全事件和弱點的報告，以便及時采取糾正措施。業(yè)務連續(xù)性管理符合性管理避免違反法律、法規(guī)、規(guī)章、合同要求和其它安全要求。ISMSISO27001ISMSISO27001范圍信息安全管理體系建設和落實、培訓等內(nèi)容。1ISO27001協(xié)助客戶進行信息安全管理體系進行發(fā)布、宣貫和培訓；面向試點單位各層面宣貫本次服務項目的成果，確保安全管理流程的落實和執(zhí)行。2培訓內(nèi)容應包括：ISMSISMS27001調(diào)研和風險管理1、管理體系范圍確定ISMS確定的范圍具體一般包括：業(yè)務、部門、應用系統(tǒng)范圍信息資產(chǎn)（如硬件、軟件、數(shù)據(jù)）人員（如項目組成員及聯(lián)系方式）環(huán)境（如建筑、設備物理位置）活動（如對資產(chǎn)進行的操作、相關(guān)的權(quán)限等）IP（IP）工作方法：實地考察、安全顧問訪談、協(xié)調(diào)會議討論。2調(diào)研內(nèi)容包括但不限于：現(xiàn)有的安全政策、規(guī)范和文件安全管理組織結(jié)構(gòu)及人員配置人員知識、技能和意識情況現(xiàn)有安全控制措施的設置和部署、運維情況現(xiàn)有的技術(shù)支撐設施情況績效考核KPI現(xiàn)有安全管理流程、規(guī)范的開展、落實情況現(xiàn)有安全管理流程、規(guī)范的實施效果來自業(yè)務、法律法規(guī)方面的安全需求曾發(fā)生的信息安全事件工作方法：文檔審查、安全顧問訪談。3、流程梳理工作方法：文檔審查、安全顧問訪談。4、ISO27001差距分析ISO27001ISO270011139133工作方法：團隊討論、統(tǒng)計分析。5、風險評估ISMSIT（ISMS1、適用性聲明ISO27001工作方法：安全顧問訪談、協(xié)調(diào)會議討論。2、總體設計ISO27001ISO27002ISMS工作方法：協(xié)調(diào)會議討論。3、總體安全方針建設ISO27001A5ISMS工作方法：安全顧問訪談、協(xié)調(diào)會議討論。4、信息安全策略體系建設ISO27001工作方法：協(xié)調(diào)會議討論。5、管理制度、規(guī)范及流程建設（IT工作方法：意見征集、協(xié)調(diào)會議討論。6、審計與考核體系建設工作方法：意見征集、協(xié)調(diào)會議討論。7、信息安全組織體系建設ISO27001（不僅僅是從事安全管理和業(yè)務的人員工作方法：協(xié)調(diào)會議討論。ISMS1、體系分發(fā)與宣貫ISMS工作方法：協(xié)調(diào)會議討論、培訓。2、制度試用工作內(nèi)容：ISMS工作方法：現(xiàn)場測試。3、巡檢和審計工作內(nèi)容：安保公司定期對不同角色的不同安全管理流程、規(guī)范的執(zhí)行情況進行檢查，通過查看相關(guān)流程遵循情況、表單記錄情況。工作方法：穿行測試、問卷調(diào)查、顧問訪談。4ISMSISMS工作方法：安全顧問訪談、管理問卷調(diào)查、實地考察等。現(xiàn)有信息安全管理制度體系分析安保公司將匯總客戶現(xiàn)有的信息科技風險管理工作制度文檔并進行分析，整理制度名錄，給出框架圖，并進行總體分析。在此基礎之上，對現(xiàn)有制度進行分析評估，包括：現(xiàn)有制度與監(jiān)管要求之間的差異?？蛻粜畔⒖萍硷L險管理現(xiàn)狀與現(xiàn)有制度之間的差異，即執(zhí)行落實的狀況?？蛻粜畔⒖萍硷L險管理現(xiàn)狀與監(jiān)管要求之間的差距?；跇藴实男畔踩芾眢w系設計安保公司將按照四級的結(jié)構(gòu)為客戶建立信息安全管理策略與制度體系。一級文件二級文件三級文件四級文件信息安全管理制度文檔體系（文件類型級別文件名稱信息安全管理體系一級信息安全方針、目標信息安全管理范圍信息安全管理適用性說明信息安全管理文件說明二級信息安全管理內(nèi)審與改進規(guī)定信息安全管理管理評審規(guī)定信息安全管理文件管理規(guī)定信息安全管理記錄管理規(guī)定信息資產(chǎn)風險評估管理規(guī)定四級糾正和預防措施處理表格信息安全管理內(nèi)部稽審方案內(nèi)審檢查表內(nèi)部稽審報告不符合項報告管理評審計劃部門管理評審報告管理評審報告會議簽到表信息安全管理文件清單外來信息安全管理文件清單信息安全管理文件發(fā)放回收記錄信息安全管理文件修改申請單信息安全管理記錄借閱登記表信息安全管理記錄處理審批表信息安全管理記錄清單信息安全管理風險評估參數(shù)量化標準資產(chǎn)風險評估表樣例信息安全管理信息資產(chǎn)登記表信息安全管理資產(chǎn)風險評估表信息安全管理信息資產(chǎn)風險評估更新記錄信息安全組織三級信息安全組織架構(gòu)、職責描述、實施規(guī)范資產(chǎn)管理三級信息資產(chǎn)管理規(guī)定信息資產(chǎn)敏感性標識實施細則四級信息介質(zhì)安全報廢申請表人力資源安全三級人力資源安全管理規(guī)定工作人員變動管理辦法人員信息安全守則信息安全量化記分管理細則第三方和外包人員安全管理細則四級人員保密協(xié)議信息安全責任書(即領(lǐng)導的安全承諾書)員工信息安全承諾書外部人員信息安全承諾書(新增）信息安全違規(guī)行為基礎分值表信息安全違規(guī)行為記錄表物理與環(huán)境安全三級物理與環(huán)境安全管理規(guī)定物理安全區(qū)域管理細則機房管理辦法物理安全區(qū)域標識實施細則四級來訪人員登記表機房出入申請表機房出入登記表機房安全巡檢登記表通訊與操作管理三級通信與操作管理規(guī)定計算機病毒防治管理辦法數(shù)據(jù)備份管理辦法IP備份存儲介質(zhì)管理細則移動存儲介質(zhì)管理辦法電子郵件管理細則信息存儲介質(zhì)數(shù)據(jù)安全清除管理細則網(wǎng)絡日常安全監(jiān)控管理規(guī)定系統(tǒng)安全補丁管理辦法信息系統(tǒng)變更和發(fā)布管理辦法IT辦公電腦安全管理辦法四級應用系統(tǒng)變更審查表備份數(shù)據(jù)恢復需求登記表數(shù)據(jù)備份需求登記表移動存儲介質(zhì)登記表信息存儲介質(zhì)數(shù)據(jù)清除申請表訪問控制三級訪問控制管理規(guī)定用戶賬戶及口令管理辦法四級重要系統(tǒng)關(guān)鍵用戶權(quán)限及口令季度審查表信息系統(tǒng)獲取、開發(fā)及維護三級系統(tǒng)開發(fā)過程安全管理辦法軟件開發(fā)安全基本原則四級系統(tǒng)外包信息保密及不披露協(xié)議信息安全事故管理三級信息安全事件管理規(guī)定四級信息安全事件報告信息安全事件登記表業(yè)務連續(xù)性管理三級業(yè)務連續(xù)性計劃開發(fā)程序及框架客戶信息系統(tǒng)應急預案四級信息技術(shù)應急組織人員名單信息系統(tǒng)事故分類和分級對照表信息系統(tǒng)事故報告政策表信息安全突發(fā)事件實時報告表信息安全事故處理報告信息應急預案啟動表信息系統(tǒng)應急演練記錄表信息系統(tǒng)應急恢復策略與操作步驟匯編符合性管理規(guī)定三級信息安全檢查細則信息安全法律法規(guī)清單外購軟件清單符合性授權(quán)軟件清單四級信息安全檢查計劃信息安全檢查表信息安全檢查報告信息安全策略以下安全策略作為拋磚引玉，將根據(jù)客戶實際情況進行制定。信息安全組織策略策略目標：策略內(nèi)容：應建立專門的信息安全組織體系，以管理信息安全事務，指導信息安全實踐。策略描述：（包括相關(guān)權(quán)威人士策略二：管理外部組織對信息資產(chǎn)的訪問策略目標：確保被外部組織訪問的信息資產(chǎn)得到了安全保護。策略內(nèi)容：策略說明：資產(chǎn)管理策略策略目標：對本行的信息資產(chǎn)建立責任，為實施適當保護奠定基礎。策略內(nèi)容：策略說明：策略目標：通過對信息資產(chǎn)的分類，明確其可以得到適當程度的保護策略內(nèi)容：應按照信息資產(chǎn)的價值、對組織的敏感程度和關(guān)鍵程度進行分類和進行標識。策略描述：信息的分類及相關(guān)保護控制要考慮到共享或限制信息的業(yè)務需求以及與這種需求相關(guān)人力資源安全策略策略一：人員聘用前的管理策略目標：策略內(nèi)容：策略說明：第三方人員主要有：借調(diào)或借用外部人員以及其他外部服務人員等。策略二：人員聘用中的管理策略目標：策略內(nèi)容：策略說明：策略三：聘用的中止與變更策略目標：策略內(nèi)容：策略說明：當資產(chǎn)的訪問權(quán)和使用權(quán)發(fā)生變更及運行發(fā)生變化時，要及時通知各相關(guān)方。物理環(huán)境安全策略策略目標：防止對本行的工作場所和信息的非授權(quán)物理訪問、損壞和干擾。策略內(nèi)容：重要的或敏感的信息處理設施要放置在安全區(qū)域內(nèi)，建立適當?shù)陌踩琳虾腿肟诳刂疲呗哉f明：可以通過在邊界和信息處理設施周圍設置一個或多個物理屏障來實現(xiàn)對安全區(qū)域的物策略目標：應保護設備免受物理的和環(huán)境的威脅。策略內(nèi)容：防止設備的丟失、損壞、失竊或危及資產(chǎn)安全以及造成本行活動的中斷。策略說明：（包括離開本行使用和財產(chǎn)移動的保護是減少未授權(quán)訪問信息的風險和防止丟（/通風和空調(diào)及考慮采取措施保證電源布纜和通信布纜免受竊聽或損壞。通訊操作安全策略策略目標：策略內(nèi)容：應當為所有的信息處理設施建立必要的管理和操作的職責及程序。策略說明：策略二：管理第三方服務策略目標：策略內(nèi)容：策略說明：策略目標：策略內(nèi)容：策略說明：（策略目標：保持信息和信息處理設施的完整性及可用性。策略內(nèi)容：應按照已設的備份策略，定期對本行的重要信息和軟件進行備份，并進行恢復測試。策略說明：應提供足夠的備份設施，以確保所有必要的信息和軟件能在災難或介質(zhì)故障后進行恢策略目標：確保網(wǎng)絡中的信息和支持性基礎設施得到保護。策略內(nèi)容：策略說明：策略六：對存儲介質(zhì)的處理策略目標：策略內(nèi)容：組織應當對存儲介質(zhì)的使用、移動、保管及處置等操作進行有效管理。策略說明：CDDVD策略七：系統(tǒng)監(jiān)測策略目標：檢測未經(jīng)授權(quán)的信息處理活動。策略內(nèi)容：策略說明：訪問控制策略策略目標：確保只有授權(quán)用戶才能訪問系統(tǒng)，預防對信息系統(tǒng)的非授權(quán)訪問。策略內(nèi)容：應建立正式的程序，來控制對信息系統(tǒng)和服務的用戶訪問權(quán)的分配。策略說明：訪問控制程序應涵蓋用戶訪問生命周期內(nèi)的各個階段，從新用戶初始注冊、日常使用，策略目標：策略內(nèi)容：策略說明：策略目標：策略內(nèi)容：策略說明：策略目標：策略內(nèi)容：策略說明：策略目標：在使用移動計算和遠程工作設施時，確保信息的安全。策略內(nèi)容：策略說明：信息系統(tǒng)的獲取、開發(fā)和維護策略策略目標：確保將安全作為信息系統(tǒng)建設的重要組成部分。策略內(nèi)容：應用系統(tǒng)的所有安全需求都需要在項目需求分析階段被確認，并且作為一個信息系統(tǒng)的總體構(gòu)架的重要組成部分，要得到對其合理性的證明、并獲得用戶認可，同時要記錄在案。策略說明：策略目標：維護應用程序系統(tǒng)中的軟件和信息的安全。策略內(nèi)容：策略說明：信息安全事件管理策略策略一：報告信息安全事故和系統(tǒng)弱點策略目標：確保與信息系統(tǒng)有關(guān)的安全事件和系統(tǒng)弱點能得到及時報告，以便采取必要的糾正措施。策略內(nèi)容：策略說明：策略目標：確保使用持續(xù)有效的方法管理信息安全事故。策略內(nèi)容：策略說明：應該應用一個連續(xù)性的改進過程，對信息安全事故進行響應、監(jiān)視、評估和總體管理。業(yè)務連續(xù)性管理策略策略目標：保護本行的關(guān)鍵業(yè)務流程不會因信息系統(tǒng)重大失效或自然災害的影響而造成中斷。策略內(nèi)容：策略說明：IT方面的服務。符合性管理策略策略目標：應避免違反法律、法規(guī)、規(guī)章、合同的要求和其他的安全要求。策略內(nèi)容：信息系統(tǒng)的設計、運行、使用和管理要符合法律、法規(guī)及合同的要求。策略說明：策略二：符合安全政策和標準以及技術(shù)符合性策略目標：策略內(nèi)容：應定期對信息系統(tǒng)的安全進行合規(guī)性評審和技術(shù)評審，判斷其是否符合適用的安全政策、實施標準和文件化的安全控制措施。策略說明：技術(shù)符合性檢查應由有經(jīng)驗的系統(tǒng)工程師手動執(zhí)行（如需要，利用合適的軟件工具支持），或者由技術(shù)專家用自動工具來執(zhí)行，此工具可生成供后續(xù)解釋的技術(shù)報告。流程化解決的問題公司設計客戶安全流程時，會首先確定哪些信息安全活動需要用流程來進行管理。如：安全事件應急響應流程數(shù)據(jù)備份及恢復流程員工離職交接流程（信息安全相關(guān)）……使安全制度執(zhí)行切實落地輔助決策從效果上看，信息安全量化工作可以將以往僅能定性說明的問題改為定量說明，如“A漏洞可能帶來很高風險”是一個定性的說法，而“A漏洞可能在今年給客戶帶來價值1000萬元人民幣的綜合損失”，具體的數(shù)字可以讓領(lǐng)導層做出更合理的安全決策，也讓投資預算（IT安全運維體系建設運維體系設計框架可按如下圖所示：客戶可通過下發(fā)文件、會議宣貫、組織學習、專業(yè)培訓等多種方式對制定的安全規(guī)劃、管理體系、運維體系等進行宣貫，確保所有相關(guān)人員熟悉、理解和遵守相關(guān)的流程和規(guī)范。安全巡檢安全巡檢概述安全巡檢內(nèi)容設備巡檢對各類型的設備系統(tǒng)信息、IP防火墻安全巡檢網(wǎng)絡邊界處是否部署防火墻；是否設置防火墻策略；DMZ是否定期檢查防火墻日志。網(wǎng)絡設備安全巡檢網(wǎng)絡設備是否安全使用；網(wǎng)絡的接入是否管理有效。主機防護安全巡檢用戶權(quán)限與訪問控制策略是否安全；是否及時更新操作系統(tǒng)補丁程序；系統(tǒng)日志管理是否完備，對現(xiàn)有對主機系統(tǒng)進行日志分析審計。系統(tǒng)運行安全巡檢是否指定系統(tǒng)運行值班操作人員；是否提供常見和簡便的操作命令手冊；是否對運行值班過程中所有現(xiàn)象、操作過程等信息進行記錄；是否有信息系統(tǒng)運行應急預案。防病毒安全巡檢100%；是否有專責人員負責嚴重病毒的通告及病毒庫及時更新；是否限制從網(wǎng)上隨意下載軟件；外來設備（硬盤、U）使用前是否進行殺毒處理。數(shù)據(jù)備份巡檢是否制定信息系統(tǒng)數(shù)據(jù)備份相關(guān)管理規(guī)程；是否對關(guān)鍵系統(tǒng)進行定期系統(tǒng)備份與數(shù)據(jù)備份；物理機房巡檢對機房的物理環(huán)境包括適當?shù)陌踩琳虾腿肟诳刂?，以及環(huán)境安全（防火、防水、防雷擊等自然災害）；設備和介質(zhì)的防盜竊防破壞等方面。定期漏洞掃描WEBweb針對漏洞掃描結(jié)果提供合理的整改建議方案。安全應急演練及響應WEB第第100頁共133頁web應急響預案制定建立應急響應小組與明確小組成員明確事件響應目標在制定事件響應計劃前，我們應當明白事件響應的目標是什么?是為了阻止攻擊，減小準備應急響應過程中所需的工具軟件應急響應計劃(1)需要保護的資產(chǎn)；(2(3)事件響應的目標；(4)事件處理小組成員及組成結(jié)構(gòu)，以及事件處理時與它方的合作方式；(5)事件處理的具體步驟及注意事項；(6)事件處理完成后文檔編寫存檔及上報方式；(7)事件響應計劃的后期維護方式；(8)事件響應計劃的模擬演練計劃。應急響應實施一般應急響應可以按照以下五方面展開：事件識別，事件分類，事件證據(jù)收集，網(wǎng)絡、系統(tǒng)及應用程序數(shù)據(jù)恢復，以及事件處理完成后建檔上報和保存。事件識別攻擊事件分類當確認已經(jīng)發(fā)現(xiàn)攻擊事件后，就應當立即對已經(jīng)出現(xiàn)了的攻擊事件做出嚴重程度的判斷，以明確攻擊事件達到的危害程度，以便決定下一步采取應對措施。對攻擊事件進行分類：(1)試探性事件;(2)一般性事件;(3)控制系統(tǒng)事件;(4)拒絕服務事件;(5)竊取破壞機密數(shù)據(jù)事件。事件證據(jù)收集系統(tǒng)恢復事件處理報告提交應急響應計劃維護與演練應急響應計劃后期維護應急響應模擬演練安全應急響應實施方案應急響應事件識別應急響應事件分析檢測與證據(jù)收集web1、webshell后門查殺通過對大量的應急響應經(jīng)驗總結(jié)中，在大部分的安全事件中都會伴隨著webshell（webshellasp、php、jspcgiaspphpWEBasp所以需要對網(wǎng)站文件webshell2、取證分析webwebwebSQLSQL3、文檔記錄IP應急響應安全漏洞修復解決系統(tǒng)恢復應急響應事件總結(jié)與報告歸檔應急響應服務提供者對應急過程中的安全檢查記錄與處理記錄進行詳細記錄，并對處理過程進行總結(jié)和分析。建檔的目的有二點，一是用來向上級領(lǐng)導報告事件起因及處理方法，應急響應總結(jié)的具體工作包括以下幾項：1）事件發(fā)生的現(xiàn)象總結(jié)時間發(fā)生的原因總結(jié)系統(tǒng)的損失損害程度評估應急過程中采用的處理手段與解決方法相關(guān)的工具、文檔歸檔應急響應服務應向服務對象提供完整的應急事件處理報告與網(wǎng)絡安全建設方面的措施和建議，并以文檔形式發(fā)送給項目相關(guān)人員。防火墻策略檢查與優(yōu)化多廠商防火墻環(huán)境，可能產(chǎn)生錯誤配置或者出現(xiàn)漏洞；復雜的網(wǎng)絡環(huán)境，擁有大量防火墻而無法有效管理安全策略；高度動態(tài)的防火墻環(huán)境，即使數(shù)量不多，由于環(huán)境不斷發(fā)生變化，管理非常困難；行業(yè)監(jiān)管要求不斷提升需定期審計及合規(guī)性檢查；現(xiàn)網(wǎng)防火墻存在大量訪問策略安全隱患與無用策略、未生效策略。策略檢查與優(yōu)化內(nèi)容防火墻策