某某安全服务方案报告Word文件下载.docx
《某某安全服务方案报告Word文件下载.docx》由会员分享,可在线阅读,更多相关《某某安全服务方案报告Word文件下载.docx(88页珍藏版)》请在冰点文库上搜索。
4.5.3输出成果 46
4.5.4服务收益 47
4.5.5服务频率 47
4.6应急响应服务 47
4.6.1服务内容 48
4.6.2输出成果 49
4.6.3服务收益 49
4.6.4服务频率 50
4.7新系统入网安全评估 50
4.7.1评估内容 51
4.7.2输出成果 52
4.7.3服务收益 53
4.7.4服务频率 53
4.8安全攻防演练培训 53
4.8.1培训课程 54
4.8.2培训流程 61
4.8.3培训考核 62
4.8.4培训优势 62
4.9重要时期安全保障 63
4.9.1现场值守 63
4.9.2预案制定 64
4.9.3应急处理 64
4.9.4输出成果 65
5服务配套工具 65
6项目投资估算 66
7项目管理方案 67
7.1项目管理方法 67
7.2组织结构图 68
7.3项目沟通 69
7.3.1日常沟通、记录和备忘录 69
7.3.2 报告 69
7.3.3 会议 69
7.4项目实施质量保证 70
7.4.1项目执行人员的质量职责 71
7.4.2安全服务质量保证 71
7.5系统安全及风险规避方案 74
7.5.1项目实施工具 74
7.5.2项目实施策略 74
7.5.3项目实施中的配合 75
8保密承诺 76
8.1保密协议 76
8.1.1保密协议的必要性 76
8.1.2保密条款 76
8.1.3违约责任 77
8.2项目实施人员专项保密承诺 78
8.2.1保密承诺的必要性 78
8.2.2保密内容和范围 78
8.2.3保密责任 78
9迪普科技简介 79
9.1公司介绍 79
9.2服务资质 80
9.2.1国内最高的信息安全服务二级资质 80
9.2.2中国通信企业协会风险评估资质 82
9.2.3ISO27001信息安全管理体系认证 83
9.2.4国家信息安全漏洞库支撑单位 84
9.2.5中国互联网网络安全威胁治理联盟成员单位 84
9.2.6 ISO9001认证 85
9.2.7 ISO14001认证 86
9.2.8 部分漏洞提交证明 86
9.3服务优势 88
9.3.1信息安全监管机构高度认可 88
9.3.2强大的漏洞挖掘研究能力 88
9.3.3专业的安全咨询服务团队 88
9.3.4国家重大会议活动首选安全保障团队 89
1项目概述
近年来,随着棱镜门事件的爆发,网络和信息安全受到前所未有的关注。
2014年中央网络安全和信息化领导小组的成立,习近平主席“没有网络安全就没有国家安全”等指示的提出,无不表明网络与信息安全工作已经上升至国家战略安全层面。
在这种形势下,网络安全的重要性被提到了前所未有的高度。
在XXX中,如果网络和业务系统被黑客攻击,页面被得法自发、敏感信息被窃取,其影响将难以估计。
同时,2017.6.1既将实行的网络安全法中,规定将对出现安全事件的组织负责人进行处罚。
随着安全技术的发展,各行业的网络和业务系统,必将成为黑客或反动势力的攻击目标。
种种迹象表明,如果网络和业务系统存在安全漏洞,将非常容易导致被攻击者非法入侵,并对敏感数据进行非法窃取、篡改、删除等操作。
编写本方案的目的,是希望通过迪普科技长期从事网络安全、网站安全、安全服务工作的经验,以及对黑客攻击过程的深入理解,为XXX的网络和业务系统提供全方位的安全防护建议,并为XXX的安全运行保驾护航。
2遵循原则
本次为XXX提供的安全服务,全程遵循以下原则。
l先进性原则
安全服务和形成的规划方案,在路线上应与业界的主流发展趋势相一致,保证依据此方案进行安全防护的XXX具备先进性。
l标准性原则
安全服务和产品的选择,按照国家安全管理、安全控制、安全规程为参考依据。
l实用性原则
具备多层次、多角度、全方位、立体化的安全保护功能。
各种安全技术措施尽显其长,相互补充。
当某一种或某一层保护失效时,其它仍可起到保护作用。
l可控性原则
安全服务和安全规划的技术和解决方案,涉及的工程实施应具有可控性。
l系统性、均衡性、综合性研究原则
安全服务从全系统出发,综合分析各种安全风险,采取相应的安全措施,并根据风险的大小,采取不同强度的安全措施,提供具有最优的性能价格比的安全解决方案。
l可行性、可靠性原则
技术和解决方案,需在保证网络和业务系统正常运转的前提下,提供最优安全保障。
l可扩展性原则
良好的可扩展性,能适应安全技术的快速发展和更新,能随着安全需求的变化而变化,充分保证投资的效益。
3推荐服务内容
根据国家监管机构要求以及XXX安全需求,我们推荐以下服务内容。
序号
服务内容
服务描述
服务方式
1
网站安全监控
对XXX指定的网站进行7*24小时安全监控,并提供监控日报、周报、月报,在网站出现异常情况时(被攻击、篡改、挂马),进行实时告警。
远程
2
渗透测试服务
通过人工方式,模拟黑客攻击方法,对XXX的网站进行非破坏性质的安全测试,查找应用层面漏洞并给出对应的修复建议。
远程/现场
3
网络安全评估
评估XXX的网络拓扑架构、安全域规划、边界防护、安全防护措施、核心设备安全配置、设备脆弱性等,从而全面评估网络的安全现状,查找
安全隐患。
现场
4
安全巡检服务
定期对XXX的业务系统进行安全漏洞检测、基线配置核查、安全日志审计,评估业务系统的安全现状,如果存在安全风险,则提供对应的整改
建议。
5
安全加固服务
对安全巡检发现的漏洞进行修复、配置隐患进行优化的过程。
加固内容包括但不限于系统补丁、防火墙、防病毒、危险服务、共享、自动播放、
密码安全。
6
应急响应服务
当XXX的网站或服务器遭受黑客入侵攻击时,第一时间对入侵事件进行分析、检测、抑制、处理,查找入侵来源并恢复系统正常运行。
7
新系统入网安全评估
在新系统入网前,对其进行全面的安全评估,包括渗透测试、漏洞检测、基线核查,评估新系统的安全状况,查找不符合安全要求的配置项以及
安全风险点。
8
安全攻防演练培训
为XXX提供一个理论结合实际、可以实战演练、场景真实逼真的安全攻防培训,从而真正提升受训人员的安全技术和实际动手能力。
9
重要时期安全保障
在重要时期(如重大会议、重大节假日),我司派出安全攻防经验丰富的安全专家,进驻用户现场,对业务系统进行现场安全值守和保障。
4服务详细介绍
下面,对每项服务内容,进行详细说明。
4.1网站安全监控
随着互联网技术的快速发展,网站攻击的门槛不断降低。
各类型网站受到的安全威胁越来越多,为形象、各Web应用系统的正常使用。
应实现以下基本安全需求:
l监控网站页面内容完整、不被篡改;
l监控网站存在的SQL注入、XSS、非法访问、信息泄露等应用层漏洞,从而提前解决潜在风险;
l监控网站,防止网站挂马而导致的客户满意度损失;
l监控网站是否存在敏感信息,对于网站的敏感信息内容自行配制告警功能,方便管理者及时了解到发生的安全事件,可根据量化的标准,对网站的安全事件严重程度进行不同形式的告警,杜绝可能存在的政治风险和声誉损失;
l监控网站是否被钓鱼,导致相关的名誉损失。
4.1.1服务简介
WEB网站安全监控平台安全监控系统是迪普科技根据“云”的理念研发出的一款全天候Web监测系统。
WEB网站安全监控平台监控系统基于PAAS(Platform-As–A-
Service)模式,通过部署于各信息节点的监测引擎对客户指定的网站(WEB应用)进行可用率和站点安全性检测,以保障客户网站业务持续性,从而向客户提供网站安全的保障。
4.1.2服务功能
4.1.2.1被动防御
被动防御主要提供如下服务:
l网站异常推送
无需时时刻刻紧盯着网站,也无需改变任何网络的部署,也不需专门的人员进行安全设备维护及分析日志,一旦Web出现任何异常行为,迪普科技WEB网站安全监控平台会自动把异常推送到云端,然后在云端进行分析检测。
您完全不用担心找不到异常的解决办法,WEB网站安全监控平台会帮你完成这一系列繁杂的任务。
l预警服务
每一个用户所发生的异常行为都会在推送到云端分析结束后保留在云端特征库中,一旦该异常再次发生,异常比对后,云端几乎可无间隔预警。
也就是说我们的用户越多,WEB网站安全监控平台全方位立体式的监控就越完善,您的网站也越加安全。
l专业团队
Web异常原因根据系统环境,人员等各种因素各式各样。
在遇到云端无法解决的情况下,我们专业团队会在第一时间通知您,并提供解决方案。
l系统报表
每日监测后网站性能等监测指标都可以随时生成相应的报表,方便您的查阅。
您无需在去找人进行参数整理等重复性工作,解决大量的人力重复劳动。
4.1.2.2主动扫描
主动扫描主要提供如下服务:
l网站性能监控
性能监控主要对服务器性能、网站访问可用率、延迟、故障时间的一个持续评测。
是主动扫描中基础模块之一,它能更准确的让您清楚每天网站运行的状态。
检测功能:
n有效的监测网站实时的可用率,更加直观的表现出网站的性能;
n统计网站的故障时间,可有效的查出故障时间段,针对性解决网站故障;
n网站性能分析,根据监测结果智能分析出网站可能出现的异常情况。
l网站篡改检测
网站防线攻破后,入侵者会对网站的页面内容进行篡改,发布一些危害网站正常运行的言论,从对网站形象带来巨大负面影响。
检测功能:
n有效防止挂黑链,避免影响网站优化,导致排名下降;
n及时发现留后门,预防网站二次入侵;
n第一时间发现恶意修改的虚假信息,避免误导用户;
n时刻检测恶意代码植入,避免网站被杀软警报屏蔽;
n避免主页被篡改,减少声誉损失,避免网站服务中断。
l网站挂马监控
挂马检测模块采用大规模、分布式、动态行为检测和静态检测相结合的挂马识别方式,能够准确判断出网站的挂马页面,并及时发出警报,可以有效维护网站安全和利益。
同时,通过高级木马检测服务,用户可指定监控间隔周期、监控页面深度、报警方式等参数,更好的满足用户需求。
n检测iframe框架挂马,让您及时清理,避免成为木马散布点;
n检测script挂马,避免通过script的调用来挂马;
n检测图片伪装挂马,让您及时处理,避免网页被杀软报警;
n检测网页漏洞,让您及时修复,预防被挂马;
n实时监控网站挂马情况,让您及时处理挂马问题。
l网站敏感词监控
敏感词监控主要是针对网站敏感词的一个检测过滤,它能准确的检测出你在其管理平台中设立的敏感词。
一旦发现存在某个页面中,WEB网站安全监控平台会主动提醒您。
n检测网页源码中敏感词出现;
n检测数据库中敏感词出现;
n统计敏感词出现次数,定位到具体代码数据。
l网跨站钓鱼检测
跨站钓鱼检测模块通过静态分析技术与虚拟机沙箱行为检测技术相结合,对网站进行跨站钓鱼检测,能在最快的时间内完成跨站检测。
n检测iframe框架跨站钓鱼;
n检测script跨站钓鱼,避免通过script的调用来跨站钓鱼;
n检测img跨站钓鱼;
n对页面的中的链接域名进行监测,保障用户访问的域名正确性。
4.1.3服务特点
4.1.3.1易操作
用户只需要登录我们的平台,在其授权管理后,设置网站所需要监控的项目。
迪
普科技本着“以人为本”理念,在产品设计时非常注重用户体验,您只需要简单的几步操作既可完成整个网站的监控。
同时产品中拥有丰富的帮助文档,即使您没有接触过类似产品,在帮助文档的指引下也可以顺利的完成操作。
可以在管理平台中根据您设置对网站安全情况进行日报、周报、月报的报告通告,并通过邮件及时通知您。
4.1.3.2智能管理
l主动扫描模式,被动防御模式
主动扫描模式可主动更深入的测查出网站所存在的安全隐患,可主动发现各种网页挂马、敏感词的出现、以及网站实时性能的一个总体分析。
您可随意调整扫描模式,达到预期效果。
被动防御模式可全天候监测网站异常,并在异常出现第一时间预警通您。
l节省投资与管理成本
提供365*7*24全天候的在线木马监测服务,让您的站点每一分钟都在监控中。
大大节省您在安全设备采购的投资,并且您无需亲自动手操作各种安全设备,避免在使用设备过程中的繁琐,节省您的时间和精力。
l订阅故障统计报告
站点安全情况可根据用户需求进行订阅,让用户能够了解到行业内、地域内站点的安全情况,及时做好维护升级,避免不必要的损失。
4.1.4输出成果
网站安全监控的输出成果如下:
l《XXX网站安全监控周报》
l《XXX网站安全监控月报》
4.2渗透测试服务
渗透测试服务,是在XXX授权的前提下,以模拟黑客攻击的方式,对XXX网站的安全漏洞、安全隐患进行全面检测,最终目标是查找网站的安全漏洞、评估网站的安全状态、提供漏洞修复建议。
在渗透过程中,我们会采用业界领先的漏洞检测技术、攻击技术、攻击工具和迪普安全团队编写的脚本。
过程分为四步:
计划与准备、信息收集、实施渗透、输出报告。
计划与准备阶段主要是根据网站反馈的内容制定项目实施方案与计划;
信息收集与实施渗透是项目的实施阶段,输出报告主要是汇总和评估项目中发现的安全威胁,并输出文档。
测试方法
我司提供的渗透测试服务,采用的测试方法如下。
l信息搜集
信息探测阶段包括信息收集,端口、服务扫描,计算机漏洞检测,此阶段主要做渗透前的踩点用。
使用工具:
lMaltego,搜集管理员email、tel、常用id,网络拓扑等
lNmap,端口、服务扫描,弱口令破解,系统信息探测
lX-scan,端口、服务扫描,弱口令破解,系统信息探测
lP0f,系统识别
lAppscan,Web漏洞检测程序
lWVS,Web漏洞检测程序
lW3AF,Web漏洞检测程序
lScanner1000,迪普科技开发的漏洞检测产品,支持系统漏洞检测,Web漏洞检测等一系列功能
l端口扫描
通过对目标地址的TCP/UDP端口扫描,确定其所开放的服务的数量和类型,这是所有渗透测试的基础。
通过端口扫描,可以基本确定一个系统的基本信息,结合安全工程师的经验可以确定其可能存在以及被利用的安全弱点,为进行深层次的渗透提供依据。
l口令猜测
口令猜测也是一种出现概率很高的风险,几乎不需要任何攻击工具,利用一个简单的暴力攻击程序和一个比较完善的字典,就可以猜测口令。
对一个系统账号的猜测通常包括两个方面:
首先是对用户名的猜测,其次是对密码的猜测。
l脚本测试
脚本测试专门针对Web服务器进行。
根据最新的技术统计,脚本安全弱点为当前
Web系统尤其存在动态内容的Web系统存在的主要比较严重的安全弱点之一。
利用脚本相关弱点轻则可以获取系统其他目录的访问权限,重则将有可能取得系统的控制权限。
因此对于含有动态页面的Web系统,脚本测试将是必不可少的一个环节。
lHydra,暴力破解工具,支持Samba,FTP,POP3,IMAP,Telnet,HTTPAuth,LDAP,NNTP,MySQL,VNC,ICQ,Socks5,PCNFS,Cisco等多种协议的暴力破解
lMetasploit,溢出程序利用平台
l菜刀,Webshell功力工具
lPwdump7,读取系统HASH
lCain,内网sniffer工具
lDisniff,linux下嗅探工具
l人工渗透
人工渗透,主要针对系统的业务逻辑漏洞进行安全测试,利用业务逻辑漏洞查找可准确、切实的找出业务中存在的安全隐患,避免被恶意用户利用,对系统造成重大损失。
4.2.2测试内容
对XXX网站的渗透测试,除使用产品和工具扫描外,更重要的需要进行人工渗透,渗透内容包括但不限于以下项,且需要对发现的漏洞进行验证和利用。
渗透测试大项
渗透测试小项
配置管理
备份测试、HTTP方法测试、传输安全
身份鉴别
用户注册、账户权限、账户枚举、弱口令
认证授权
认证绕过、目录遍历、授权绕过、权限提升
会话管理
超时测试、会话管理绕过测试、会话令牌泄露测试、
跨站点请求伪造CSRF测试
输入验证
SQL注入、代码注入、命令执行注入、跨站脚本
XSS
错误处理
错误码分析、栈追踪分析
业务逻辑
数据验证、请求伪造、完整性、次数限制、上传测试
4.2.3实施步骤
根据黑客入侵的过程,并结合渗透测试的要求,我司渗透测试的实施步骤如下。
4.2.3.1计划与准备阶段
1)工作目标
计划与准备阶段,需要明确渗透测试的实施范围与测试对象,制定实施方法与方案,并制定详细的实施计划,为渗透测试的顺利进行,作重要准备。
渗透测试的实施,将按照方案和计划进行。
2)工作内容
计划与准备阶段的工作,主要是对渗透测试实施举行研讨会,讨论渗透测试操作思路,说明渗透测试的实施范围和测试对象,然后根据研讨内容制定相应得实施方案与计划。
由领导审核批准实施方案与计划,项目组根据实际情况的需要,会对实施方案与计划进行一定的调整。
3)实施计划
任务名称
工作内容
计划时间
渗透测试研讨会
讨论渗透测试的工作思路,说明测试
范围、测试目标对象、实施方式以及实施人员和大致的时间计划
制定渗透测试实施方
案与计划
根据研讨会的讨论内容,制定相应的
渗透测试实施方案和实施计划
提交渗透测试实施方
提交渗透测试实施方案与计划
审核与确认渗透测试实施方案与计划
项目组提交渗透测试实施方案与计划,
由领导进行审核确认,提出相应的意见与建议
修正实施方案与计划
根据领导审核意见和建议,对实施方
案与计划进行相应的修正
4.2.3.2信息收集阶段
信息收集是所有入侵攻击的前奏和基础。
通过信息收集分析,攻击者可以有针对性地制定入侵攻击的方法策略,提高入侵的成功率、减小暴露或被发现的机率。
因此以模拟黑客攻击方式进行的渗透测试,也以信息收集为第一个实施的阶段过程。
信息收集阶段的工作内容是对目标所在的整个IP网段进行扫描探测与手工查阅。
通过对目标地址的TCP/UDP端口扫描,确定其所开放的服务的数量和类型,这是
所有渗透性测试的基础。
通过信息探测漏洞检测,可以基本确定一个系统的基本信息,结合安全工程师的经验可以确定其可能存在以及被利用的安全弱点,为进行深层次的渗透提供依据。
并且用手工的方式对应用、网页等内容进行一些信息查看。
渗透测试变更流程与变更
操作
根据渗透测试的需要,进行相应的
变更
信息收集阶段实施操作
按照实施方案,进行信息收集阶段
实施操作
4.2.3.3渗透实施阶段
4.2.3.4输出报告阶段
本阶段为根据渗透测试得出的结果,进行汇总分析,输出《渗透测试报告》。
编写、整理渗透测试报告。
编写渗透测试报告
对渗透测试得出的结果进行分析,并
输出报告
4.2.4输出成果
渗透测试的输出成果如下:
l《XXX渗透测试服务报告》
l《XXX渗透测试服务复测报告》
4.2.5服务收益
对网站进行渗透测试,可为XXX带来如下收益:
l评估网站中存在的安全隐患、安全隐患;
l发现网站存在的深层次安全隐患;
l验证网站现有安全措施的防护强度;
l评估网站被入侵的可能性,并在入侵者发起攻击前封堵可能被利用的攻击途径。
4.3网络安全评估
网络安全评估是对网络和业务系统的安全漏洞、安全隐患、安全风险,进行探测、识别、控制、消除的全过程,它从风险管理角度,运用科学的方法和手段,系统地分析网络与应用系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施。
网络安全评估的内容,包括网络拓扑架构、安全域规划、边界防护、安全防护措施、核心设备安全配置、设备脆弱性等,从而全面评估网络的安全现状,查找安全隐患。
4.3.1评估内容
4.3.1.1资产评估
概述
目标
信息资产的识别可以确定评估的对象,是整个安全服务工作的基础。
并且,本阶段可以帮助XXX实现信息资产识别和整理,完成一份完整和最新的信息资产清单,对XXX的信息资产管理工作会有所帮助。
完成一份完整和最新的信息资产清单。
过程描述
首先识别信息资产,完成所有重要信息资产的清单。
按照资产性质和业务类型等可以分成若干资产类,一般分为数据,软件,服务,硬件,设备和文档等。
根据不同的项目目标与项目特点,重点识别的资产类别会有所不同,在通常的项目中,一般数据、软件和服务为重点。
4.3.1.2架构安全评估
对网络结构,逻辑网络结构及网络的关键设备进行评估,发现存在的安全性方面的问题。
结合业务体系、系统体系等结构的检查逻辑网络,由
升级会员 