安全技术服务技术整体解决方案年安全技术服务技术建议书二○一五年十二月目录1.项目概况简述 (1)1.1项目原则 (1)2.项目解决方案 (1)2.1渗透测试解决方案 (2)2.2代码审计服务解决方案 (13)2.3基础设备安全评估解决方案 (20)2.4应急响应和演练解决方案 (50)2.5APP安全评估解决方案 (53)2.6安全加固整改建议解决方案 (60)2.7新业务上线安全检查解决方案 (67)2.8安全培训解决方案 (67)3.项目实施方案 (70)3.1项目组成员 (70)3.2项目分工界面 (73)3.3工作量的计算方法及依据 (78)3.4项目进度 (78)3.5项目质量保证措施 (80)4.项目售后服务 (86)5.安全工具简述 (86)5.1渗透测试工具 (86)5.2代码审计工具 (94)1. 项目概况简述1.1项目原则安全服务的方案设计与具体实施满足以下原则：保密原则：对服务的过程数据和结果数据严格保密，未经授权不得泄露给任何单位和个人，不得利用此数据进行任何侵害求方网络的行为，否则求方有权追究的责任。

（2）标准性原则：服务方案的设计与实施依据国内或国际的相关标准进行；（3）规范性原则：服务提供商的工作中的过程和文档，具有严格的规范性，可以便于项目的跟踪和控制；可控性原则：服务用的工具、方法和过程要在双方认可的范围之内，服务的进度要跟上进度表的安排，保证求方对于服务工作的可控性；（5）整体性原则：服务的范围和内容当整体全面，包括安全涉及的各个层面，避免由于遗漏造成未来的安全隐患；最小影响原则：服务工作尽可能小的影响系统和网络的正常运行，不能对现网的运行和业务的正常提供产生显著影响（包括系统性能明显下降、网络拥塞、服务中断，如无法避免出现这些情况在答书上详细描述）；针对上述各项，在技术方案中落实诸原则各方面，并予以详细解释。

2. 项目解决方案该部分重点针对各类系统，主动发现安全隐患及不符合相关规范的问题，及时整改，防患未然。

主要包括安全管理咨询服务和安全技术评估服务。

对服务系统提供周期性的安全评估服务。

该服务严格参照和各类系统安全配置规范执行，防护能力测评按照工信部《网络单元安全防护检测评分方法（试行）》执行。

具体服务内容详见以下正文。

2.1渗透测试解决方案2.1.1渗透测试简介2.1.1.1渗透测试概念渗透测试（Penetration Test）,是完全模拟黑客可能使用的攻击技术和漏洞发现技术，对目标系统的安全做深入的探测，发现系统最脆弱的环节。

渗透测试：主要通过对目标系统信息的全面收集、对系统中网路设备的探测、对服务器系统主机的漏洞扫描、对应用平台及数据库系统的安全性扫描及通过应用系统程序的安全性渗透测试等手段来完成对整个系统的安全性渗透检测。

该渗透测试是一个完整、系统的测试过程，涵盖了网络层面、主机层面、数据层面以及安全服务层面的安全性测试。

2.1.1.2渗透测试原理渗透测试主要依据CVE（Common Vulnerabilities & Exposures公共漏洞和暴露）已经发现的安全漏洞，以及隐患漏洞。

模拟入侵者的攻击方法对应用系统、服务器系统和网络设备进行非破坏性质的攻击性测试。

2.1.1.3渗透测试目标渗透测试利用各种安全扫描器对网站及相关服务器等设备进行非破坏性质的模拟入侵者攻击，目的是侵入系统并获取系统信息并将入侵的过程和细节总结编写成测试报告，由此确定存在的安全威胁，并能及时提醒安全管理员完善安全策略，降低安全风险。

人工渗透测试和工具扫描可以很好的互相补充。

工具扫描具有很好的效率和速度，但是存在一定的误报率，不能发现高层次、复杂的安全问题；渗透测试对测试者的专业技能很高（渗透测试报告的价值直接依赖于测试者的专业技能），但是非常准确，可以发现逻辑性更强、更深层次的弱点。

2.1.1.4渗透测试特点入侵者的攻击入侵要利用目标网络的安全弱点，渗透测试也是同样的道理。

测试人员模拟真正的入侵者入侵攻击方法，以人工渗透为主，辅助以攻击工具的使用，以保证整个渗透测试过程都在可以控制和调整的范围之内，同时确保对网络没有造成破坏性的损害。

由于采用可控制的、非破坏性质的渗透测试，因此不会对被评估的客户信息系统造成严重的影响。

在渗透测试结束后，客户信息系统将基本保持一致。

2.1.2渗透测试的安全意义从渗透测试中，客户能够得到的收益有：（1）协助用户发现组织中的安全最短木板一次渗透测试过程也就是一次黑客入侵实例，其中所利用到的攻击渗透方法，也是其它具备相关技能的攻击者所最可能利用到的方法；由渗透测试结果所暴露出来的问题，往往也是一个企业或组织中的安全最短木板，结合这些暴露出来的弱点和问题，可以协助企业有效的了解目前降低风险的最迫切任务，使在网络安全方面的有限投入可以得到最大的回报。

（2）作为网络安全状况方面的具体证据和真实案例渗透测试的结果可以作为向投资方或管理人员提供的网络安全状况方面的具体证据，一份文档齐全有效的渗透测试报告有助于IT 组织管理者以案例的形式向相关人员直观展示目前企业或组织的安全现状，从而增强员工对信息安全的认知程度，提高相关人员的安全意识及素养，甚至提高组织在安全方面的预算。

（3）发现系统或组织里逻辑性更强、更深层次的弱点渗透测试和工具扫描可以很好的互相补充。

工具扫描具有很好的效率和速度，但是存在一定的误报率和漏报率，并且不能发现高层次、复杂、并且相互关联的安全问题；渗透测试的价值直接依赖于实施者的专业技能和素养但是非常准确，可以发现系统和组织里逻辑性更强、更深层次的弱点。

（4）发现渗透测试和信息安全风险评估未暴露的其它安全问题目前的渗透测试，更多的仍然是从一个外部人员的角度，模拟黑客攻击的一个过程。

往往来说，渗透测试的实施人员并不能完全掌握组织或企业的全部安全现状及信息，的渗透测试行为及方法都是局限于自己所掌握的已有信息，因此暴露出来的问题也是有限的（比如说，有些问题单纯从技术上来说利用价值不大，但若是结合一些管理上的缺陷或者是本身具有的某些其它便利，往往可以导致严重风险）。

正因为如此，如果换作是一个对企业组织的相关情况更为了解的内部人员来说，结合渗透测试中所暴露出来的某些问题，他能更有效和更全面的发现组织和企业中一些安全风险及问题。

（5）从整体上把握组织或企业的信息安全现状信息安全是一个整体项目，一个完整和成功的渗透测试案例可能会涉及系统或组织中的多个部门、人员或对象，有助于组织中的所有成员意识到自己所在岗位对系统整体安全的影响，进而采取措施降低因为自身的原因造成的风险，有助于内部安全的提升。

2.1.3渗透测试流程和授权2.1.3.1渗透测试流程2.1.3.2渗透测试授权测试授权是进行渗透测试的必要条件。

用户应对渗透测试所有细节和风险的知晓、所有过程都在用户的控制下进行。

2.1.4渗透测试方法及步骤凭借着在众多项目中的实施经验，形成了一套具有自身特色且行之有效的渗透测试方法。

渗透测试实际就是一个模拟黑客攻击的过程，因此其的实施过程也类似于一次完整的黑客攻击过程，我们将其划分为了如下几个阶段：预攻击阶段（寻找渗透突破口）攻击阶段（获取目标权限）后攻击阶段（扩大攻击渗透成果）如下图：2.1.4.1预攻击阶段预攻击阶段主要是为了收集获取信息，从中发现突破口，进行进一步攻击决策。

主要包括网络信息，如网络拓补、IP及域名分布、网络状态等服务器信息，如OS信息、端口及服务信息、应用系统情况等漏洞信息，如跟踪最新漏洞发布、漏洞的利用方法等2.1.4.1.1 信息收集信息收集分析几乎是所有入侵攻击的前提/前奏/基础。

通过对网络信息收集分析，可以相应地、有针对性地制定模拟黑客入侵攻击的计划，以提高入侵的成功率、减小暴露或被发现的几率。

信息收集的方法包括主机网络扫描、操作类型判别、应用判别、账号扫描、配置判别等等。

端口扫描通过对目标地址的TCP/UDP端口扫描，确定其所开放的服务的数量和类型，这是所有渗透测试的基础。

通过端口扫描，可以基本确定一个系统的基本信息，结合测试人员的经验可以确定其可能存在，以及被利用的安全弱点，为进行深层次的渗透提供依据。

2.1.4.1.2 后门程序检查系统开发过程中遗留的后门和安全服务选项可能被入侵者所利用，导致入侵者轻易地从捷径实施攻击。

2.1.4.2攻击阶段攻击阶段是渗透测试的实际实施阶段，在这一阶段根据前面得到的信息对目标进行攻击尝试，尝试获取目标的一定权限。

在这一阶段，主要会用到以下技术或工具：账号口令猜解口令是信息安全里永恒的主题，在以往的渗透测试项目中，通过账号口令问题获取权限者不在少数。

有用的账号口令除了系统账号如UNIX账号、Windows 账号外，还包括一些数据库账号、WWW账号、FTP账号、MAIL账号、SNMP账号、CVS账号以及一些其它应用或者服务的账号口令。

尤其是各个系统或者是安全服务的一些默认账号口令和弱口令账号。

大多综合性的扫描工具都有相应的弱口令审核模块。

缓冲区溢出攻击针对具体的溢出漏洞，可以采用各种公开及私有的缓冲区溢出程序代码进行攻击，2.1.4.2.1 代码审查对受测业务系统站点进行安全代码审查的目的是要识别出会导致安全问题和事故的不安全编码技术和漏洞。

这项工作虽然可能很耗时，但是进行，代码审查测试工作包括如下工作但不仅限于此：➢审查代码中的XSS脚本漏洞；➢审查代码中的SQL 注入漏洞；➢审查代码中的潜在缓冲区溢出；➢审查识别允许恶意用户启动攻击的不良代码技术；➢其他软件编写错误及漏洞的寻找及审查。

2.1.4.2.2 不同网段间的渗透这种渗透方式是从某内/外部网段，尝试对另一网段/Vlan进行渗透。

这类测试通常可能用到的技术包括：对网络设备和无线设备的远程攻击；对防火墙的远程攻击或规则探测、规避尝试。

信息的收集和分析伴随着每一个渗透测试步骤，每一个步骤又有三个组成部分：操作、响应和结果分析。

2.1.4.2.3 溢出测试当测试人员无法直接利用帐户口令登陆系统时，也会采用系统溢出的方法直接获得系统控制权限，此方法有时会导致系统死机或从新启动，但不会导致系统数据丢失，如出现死机等故障，只要将系统从新启动并开启原有服务即可。

一般情况下，如果未授权，将不会进行此项测试！2.1.4.2.4 SQL注入攻击SQL注入常见于应用了SQL 数据库后端的网站服务器，入侵者通过提交某些特殊SQL语句，最终可能获取、篡改、控制网站服务器端数据库中的内容。

此类漏洞是入侵者最常用的入侵方式之一。

2.1.4.2.5 检测页面隐藏字段网站应用系统常采用隐藏字段存储信息。

许多基于网站的电子商务应用程序用隐藏字段来存储商品价格、用户名、密码等敏感内容。

恶意用户通过操作隐藏字段内容达到恶意交易和窃取信息等行为，是一种非常危险的漏洞。