解决网络安全的方案（网络安全服务解决方案参考模板）

网络安全服务解决方案参考模板

XXX单位&企业安全服务解决方案

目 录

1. 技术解决方案 3

1.1. 项目背景及需求 3

1.2. 安全服务方案设计 3

1.2.1. 事前预警 3

1.2.2. 事中防护 3

1.2.3. 事后追溯 3

1.3. 网站安全监测服务 4

1.3.1. 服务类型 4

1.3.2. 服务特点 5

1.4. 云防护服务 5

1.4.1. 网站防护 5

1.4.2. CDN加速 7

1.4.3. 防DDOS、CC攻击 7

1.4.4. 永久在线 7

1.4.5. 可视化安全防护 7

1.4.6. 用户数据报表 8

1.5. 主机安全扫描服务 8

1.5.1. 扫描工具－远程安全评估系统 8

1.5.2. 项目实施过程风险控制措施 10

1.6. 渗透测试服务 11

1.6.1. 概述 11

1.6.2. 测试内容 13

1.6.3. 漏洞分级 20

1.6.4. 渗透用例 21

1.6.5. 测试影响 23

1.6.6. 风险规避 23

1.6.7. 系统备份与恢复措施 24

1.7. 协助安全加固 24

1.7.1. 服务概述 24

1.7.2. 加固内容 26

1.7.3. 项目风险规避措施 30

1.8. 应急响应服务 30

1.8.1. 服务概述 30

1.8.2. 应急内容 30

1.8.3. 服务方式 31

1.8.4. 等级分类 31

1.8.5. 应急流程 33

技术解决方案项目背景及需求

现有网络安全防护设备统计分析显示，安全风险明显增大，为有效应对风险，急需对现有网络安全设备固件和规则库进行版本升级，对安全策略和规则进行配置优化。同时，结合现有网络安全设备情况，对网站进行主机扫描、渗透测试，提供7*24小时网站监测、云防护服务，并在发生安全事件时提供应急响应。

安全服务方案设计事前预警

通过网站7x24小时安全监测平台与人工执勤分析处理相结合的方式，对单位网站(含电脑、手机、pad等各类终端版本)进行实时安全监测，第一时间发现潜在威胁，及时清除威胁，完善网络安全。通过网站7x24小时监测服务针对网站首页以以及相关的链接进行全天7x24小时网站安全监测服务（网站漏洞监测、网页挂马监测、页面篡改监测、关键字监测、可用性监测），结合监测平台的大数据、专家决策等处理过程，第一时间发现单位web应用系统存在的安全异常。

通过专业的主机安全扫描服务和渗透测试服务从风险管理的角度，运用科学的方法和手段，全面检测目标信息系统存在的脆弱性，系统分析和评估安全防护水平，从而有针对性地提出抵御威胁的防护对策和整改措施，将风险控制在可接受的水平，最大限度的保障网络和信息安全。

事中防护

通过在网络中部署网站云端安全防护方案，在对目标网络安全域划分的基础上，从边界安全防护的角度进行有效建设，对外部网络黑客利用防火墙为合法的用户访问而开放的端口穿透防火墙对内网发起的各种高级、复杂的攻击行为进行检测和阻断，提升信息网络的抗攻击能力同时，加强对基础网络的安全控制和监控手段，来提升基础网络的安全性，从而为上层应用提供安全的运行环境。

事后追溯

通过专业的人工应急响应服务对目标网络设备、安全设备、主机和应用系统日志进行全面分析，针对发生的安全事件进行深度调查、分析、取证，了解原因和问题所在，并最快速恢复系统的保密性、完整性和可用性，阻止和降低安全威胁事件带来的严重性影响。

网站安全监测服务

信息提供全新的SaaS（软件即服务）服务模式，无需部署软硬件产品平台即可实现对网站内容的安全监测，主要用于对网页漏洞监测、木马监测、网站可用性、关键字监测等，支持安全事件触发及时告警，根据需要对安全事件进行溯源、追踪和取证，分析整体安全态势，提供7*24小时专家团队在线监测服务，当监测到安全问题时可在第一时间通过邮件、短信通知管理员，为信息系统安全管理提供决策支持。

服务类型

1	网页木马监测	采用特征分析和沙箱行为分析技术对网站进行木马监测，监测精度高达99%，从而实现快速、准确地发现和定位网页木马，确保用户在第一时间发现感染的木马并及时消除。
2	网页篡改监测	通过远程定时监测技术，可以有效地监测网页篡改行为，特别是一些越权篡改、暗链篡改等情形。并针对篡改方式提供篡改截图取证功能，极大地提升了事件处理效率。
3	网站可用性监测	基于远程监测技术可以有效的监测到域名劫持、DNS中毒、ISP线路等原因导致的网站可用性问题。提供多线路监测技术，使用户对网站的可用性获得更为全面详细的数据，如业务中断、访问延时、不同ISP服务质量等。
4	网页关键字监测	采用中文关键词以及语义分析技术对网站进行敏感关键字监测，实现精确的敏感字识别，确保网站内容符合互联网相关规定，避免出现敏感信息以及被监管部门封杀。
5	WEB漏洞监测	定期自动监测网站的漏洞，并跟踪漏洞的修复情况从而使网站的漏洞得以快速修复，降低网站被入侵的风险。

服务特点

1	功能合规性	本平台提供的监测功能充分考虑了各行业对网站监测的要求，如政府行业《国务院办公厅关于进一步加强政府网站管理工作的通知》所要求的监测类型、等级保护对电子政务及金融的要求，如银监会、证监会等金融监管机构对门户网站、网上业务系统的监测要求，从而确保监测平台的服务能满足各行业政策及监管的要求。
2	监测范围全面	网站安全监测平台提供的监测功能覆盖安全时间轴的事前漏洞监测；事中实时网马监测、关键字监测、可用性监测；事后篡改监测。协助用户实现网站安全可用的安全保障目标。
3	取证式监测	监测平台采用业界最先进的监测与取证技术，确保监测到的每一个安全问题都能进行取证式确认，极大地降低了误报率：如SQL注入漏洞取证数据库内容、跨站脚本取证跨站效果代码、篡改监测取证篡改截图等。一方面减少运维人员对WEB安全知识的严重依赖，提高安全监管的效率；另一方面为用户确认和修复问题提供更为直接的帮助。
4	安全势态跟踪	监测平台提供网站历史安全势态的跟踪功能，提供横向安全对比报告便于监管人员对网站进行考评、跟踪网站的安全处理情况。如：网站风险值评定与排名、漏洞修复状态跟踪、篡改事件汇总与修复跟踪等。
5	性能可扩展性	监测平台采用先进的技术架构实现性能无极扩展，依据不同的业务需求可配置相应规模的监测引擎，从而实现不需用户端的任何修改即可实现对数千网站的远程安全监测。

云防护服务网站防护

提供了目前业界覆盖范围最广、防护能力最强的安全防护，对Web网站或应用进行严格的保护。安全策略来自于Snort、CWE、OWASP组织，以及安全研究院对国内典型应用的深入研究成果，覆盖范围如下：

• HTTP协议规范性检查

检查提交的报文是否符合HTTP协议框架，如异常的请求方法、不同字段的合规性、特殊字符、重点字段的缺失、HTTP方法控制、超长报文造成的溢出攻击以及对高危文件的访问等，黑客在使用非浏览器工具调试时可迅速拦截。

• 文件B超

对用户上传的文件后缀名和文件内容进行全方面检查，杜绝Webshell的上传和访问。

• 注入攻击防护

对用户提交的URL、参数、Cookie等字段进行检查，采用SQL语义解析技术防止风险系数极高的SQL注入攻击，采用字符偏移技术对代码、命令、文件、LDAP、SSI等注入攻击的检测，有效地防护了对操作系统和应用的注入攻击。

• 跨站脚本攻击防护

采用字符差分技术对用户提交的脚本进行检查，防止不合法跨站脚本。

• 网页木马防护

对页面内容进行逐行扫描，检查是否存在网页木马，防止客户端被感染。

• 信息泄漏防护

对服务器响应状态码、服务器错误信息、数据库错误信息、源代码信息泄露进行过滤，防止服务器信息被黑客利用进行有效攻击。

• 智能防护

采用行为识别算法有效识别扫描器或黑客持续性攻击，避免被扫描器持续猜测攻击或黑客持续渗透攻击。

• 第三方组件漏洞防护

对WEB服务器容器、应用中间件、CMS系统等漏洞进行有效防护。

• CSRF跨站请求伪造防护

通过Referer算法和token算法有效对CSRF攻击进行防护。

• 防盗链

通过Referer和Cookie算法有效防止非法外链，和对用户资源内容的盗链。

CDN加速

云防护在全国拥有20多个节点，可对所有省、直辖市的访问用户进行CDN加速，包括内置Webcache及Webrar模块，Webcache模块对静态页面进行高速缓存，提升用户访问速率，Webrar模块对页面内容进行压缩，提升服务器带宽使用率。

防DDOS、CC攻击

与国内知名云计算厂商合作，拥有300G DDOS防护能力，有效防护实现对Syn-flood、upd-flood、tcp-flood等DDOS攻击，拥有专利级防CC攻击算法，可有效解决应用层CC攻击，一方面解决了用户网站被DDOS攻击时的可用性问题，另一方面对本身也加强了防护，这样可持续保证用户的网站稳定运行。

永久在线

当用户网站因为服务器故障、线路故障、电源等问题出现无法连接时，可显示云防护中的缓存页面；

当在敏感期或特殊时期时，用户网站会主动关闭，在这期间可显示云防护中的缓存页面。

可视化安全防护

可实时查看可视化态势感知，实时了解安全防护状态。

用户数据报表

用户可查看访问流量报表、安全防护报表，安全防护报表包含攻击次数态势分析、攻击者区域态势分析、攻击者IP统计、被攻击页面统计、被攻击域名统计、攻击事件统计、攻击威胁等级统计等。

主机安全扫描服务

通过自动化扫描工具对指定网站的操作系统等进行全面的安全扫描检测，人工验证结果及提供扫描报告。

根据提供的安全扫描清单，使用信息具备自主知识产权的漏洞扫描工具为主，其他商用工具为辅，执行定期的安全扫描。本次评估通过工具对其业务信息系统进行脆弱性扫描，其重点是以应用服务器为主的应用系统和操作系统扫描评估。通过整体评估，最终形成技术评估报告。

扫描工具－远程安全评估系统

安全评估系统严格按照计算机信息系统安全的国家标准、相关行业标准设计、编写、制造。远程安全评估系统可以对不同操作系统下的计算机（在可扫描IP范围内）进行漏洞检测。主要用于分析和指出有关网络的安全漏洞及被测系统的薄弱环节，给出详细的检测报告，并针对检测到的网络安全隐患给出相应的修补措施和安全建议。远程安全评估系统最终目标是成为加强中国网络信息系统安全功能，提高内部网络安全防护性能和抗破坏能力，检测评估已运行网络的安全性能，为网络系统管理员提供实时安全建议等的主流工具。网络安全评估系统作为一种积极主动的安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前可以提供安全防护解决方案。并可根据用户需求对该系统功能进行升级。

远程安全评估系统是一种以Web、数据库、操作系统、软件的安全检测为核心，弱口令、端口与服务探测为辅助的综合漏洞探测系统。并且系统使用一种先进技术，实现分布式、集群式漏洞扫描功能，大大缩短扫描周期，提高长期安全监控能力。通过B/S框架及完善的权限控制系统，满足您最大程度上的安全协作要求。

特点	简要说明
领先的漏洞扫描产品线	为了满足不同的用户的应用需求，提供便携式、机架式、软件版三大类6款系列化产品。
领先的扫描技术	先进的扫描引擎，集合了智能服务识别、多重服务检测、脚本依赖、脚本智能调度、信息动态抛出、安全扫描、优化扫描、拒绝服务脚本顺序扫描、断点恢复等先进技术，确保了扫描的高准确性、高速度。
强大的检测漏洞库	漏洞按服务分为48大类别，按风险分为紧急、高、中、低、信息五个级别，现漏洞库数量已经超过30000条。每周至少升级漏洞库一次，每月数量大于20条。
支持CVE、CNVD国内、国际标准	基于国内CNVD、国际CVE标准建立的安全漏洞库，及时升级与国际标准同步。
强大的报表分析	提供html、word、pdf等多种格式；提供详尽的漏洞描述与漏洞修补建议；提供多维度统计图表。
自身高度安全	基于安全优化的LINUX系统; 系统的分级分层授权。
完善的三级服务体系	包括：产品本身（提供详细的解决方案）、产品网站（为用户提供周到会员制服务）、安全专业小组（免费400电话咨询服务）。

远程安全评估系统功能主要包含了Web、数据库、操作系统及应用软件、弱口令、端口探测与服务识别5大扫描功能，以及分布式集群扫描模块、统计报告控制体系、用户权限管理体系等辅助功能。

图：功能模块示意图

项目实施过程风险控制措施

根据前面几次实施的经验，在业务低峰期进行自动化扫描，不会产生大流量，不会影响相关业务。

安全评估前的数据备份

建议在进行扫描前，对系统上的重要业务数据进行备份：

系统包括但不限于数据库系统、涉密信息存储系统、重要业务应用系统、网络设备等；

备份数据包括但不限于数据库表、重要文档、应用配置信息、主机设备配置文件、网络设备IOS、网络设备配置信息、安全设备配置信息等；

建议在业务闲时对重要业务数据进行备份；

备份完成后建议测试备份介质及其数据的可用性；

安全评估方案的探讨、确认

在扫描检查实施前，针对于重要业务系统，安全服务顾问都会与系统管理员针对安全服务方案进行探讨，描述每个步骤可能带来的风险及规避方法，提出的建议并由XXXX的管理员确认最终的安全服务方案。

扫描完成后确认

在完成扫描后，会对业务系统进行确认。对页面进行扫描，查看是否存在异常。如果发现异常，立即联系相关人员处理。

渗透测试服务概述

渗透性测试是对安全情况最客观、最直接的评估方式，主要是模拟黑客的攻击方法对系统和网络进行非破坏性质的攻击性测试，目的是侵入系统，获取系统控制权并将入侵的过程和细节产生报告给用户，由此证实用户系统所存在的安全威胁和风险，并能及时提醒安全管理员完善安全策略。

渗透性测试是工具扫描和人工评估的重要补充。工具扫描具有很好的效率和速度，但是存在一定的误报率，不能发现高层次、复杂的安全问题；渗透测试需要投入的人力资源较大、对测试者的专业技能要求很高（渗透测试报告的价值直接依赖于测试者的专业技能），但是非常准确，可以发现逻辑性更强、更深层次的弱点。

渗透测试服务通过利用目标应用系统的安全弱点模拟真正的黑客入侵攻击方法，以人工渗透为主，以漏洞扫描工具为辅，在保证整个渗透测试过程都在可以控制和调整的范围之内尽可能的获取目标信息系统的管理权限以及敏感信息。

“信息”渗透测试服务的主要流程如下：

1. 信息收集

信息收集是指渗透实施前尽可能多地获取目标信息系统相关信息，例如网站注册信息、共享资源、系统版本信息、已知漏洞及弱口令等等。通过对以上信息的收集，发现可利用的安全漏洞，为进一步对目标信息系统进行渗透入侵提供基础。

1. 弱点分析

对收集到的目标信息系统可能存在的可利用安全漏洞或弱点进行分析，并确定渗透方式和步骤实施渗透测试。

1. 获取权限

对目标信息系统渗透成功，获取目标信息系统普通权限。

1. 权限提升

当获取目标信息系统普通管理权限后，利用已知提权类漏洞或特殊渗透方式进行本地提权，获取目标系统远程控制权限。

测试内容

根据网站评估和渗透测试服务项目需求，每月针对客户的重点网站或者系统进行渗透测试，重点发现网站应用层业务流程和逻辑上的安全漏洞和敏感信息泄露的风险，输出渗透测试报告。主要是通过网络层、系统层、应用层三个方面进行渗透测试。

• 网络层安全

针对该系统所在网络层进行网络拓扑的探测、路由测试、防火墙规则试探、规避测试、入侵检测规则试探、规避测试、无线网安全、不同网段Vlan之间的渗透、端口扫描等存在漏洞的发现和通过漏洞利用来验证此种威胁可能带来的损失或后果，并提供避免或防范此类威胁、风险或漏洞的具体改进或加固措施。

由于服务器系统和网络设备研发生产过程中所固有的安全隐患及系统管理员或网络管理员的疏忽，一般网络层安全漏洞包括以下安全威胁：

1. 明文保存密码

由于管理员的疏忽，设备配置密码以明文的方式保存，这带来了一定的安全威胁。

1. 未配置登录超时

对系统没有甚至登录超时的时间，这当登录系统没有及时退出的时候，可能导致被其他人利用。

1. 未配置AAA认证

系统没有配置统一的AAA认证，这不便于权限的管理。

1. 未配置管理ACL

交换机没有配置管理IP的ACL，可导致任意地址访问设备，应该增加ACL进行限制。

1. 其他配置问题

服务器系统、数据库系统及网络设备在使用过程中由于管理人员或开发人员的疏忽，可能未对这些默认配置进行必要的安全配置和修改，这就很容易引起越权操作，从而导致信息泄漏或篡改。

• 系统层安全

通过采用适当的测试手段，发现测试目标在系统识别、服务识别、身份认证、数据库接口模块、系统漏洞检测以及验证等方面存在的安全隐患，并给出该种隐患可能带来的损失或后果，并提供避免或防范此类威胁、风险或漏洞的具体改进或加固措施。

1. 版本过低

系统版本过低，没有及时更新或升级，导致系统存在众多未修复的安全漏洞（如Apache版本过底，可能存在大量溢出漏洞）。

1. 远程溢出漏洞

溢出漏洞的产生是由于程序中的某个或某些输入函数（使用者输入参数）对所接收数据的边界验证不严密而造成。根据程序执行中堆栈调用原理，程序对超出边界的部分如果没有经过验证自动去掉，那么超出边界的部分就会覆盖后面的存放程序指针的数据，当执行完上面的代码，程序会自动调用指针所指向地址的命令。根据这个原理，恶意使用者就可以构造出溢出程序。

1. 本地提权漏洞

本地提权漏洞是指低权限、受限制的用户，可以提升到系统最高权限或比较大的权限，从而取得对网站服务器的控制权。

1. 弱口令

弱口令通常有以下几种情况：用户名和密码是系统默认、空口令、口令长度过短、口令选择与本身特征相关等。系统、应用程序、数据库存在弱口令可以导致入侵者直接得到系统权限、修改盗取数据库中敏感数据、任意篡改页面等。

1. 权限过大

权限过大是指某用户操作权限超出他本身安全操作权限范围之外，这存在一定的安全风险。

1. 高危服务/端口开放

系统很多高危服务和端口会被默认开放，例如，80，443，843，8001 – 8010，其中8001~8010同时支持TCP和UDP协议，SSH、Telnet、X-windows、Rlogin、ms-rpc、SNMP、FTP、TFTP等服务，这些服务和端口的开放可能会带来安全问题。

1. 允许匿名IPC$连接

允许匿名IPC$连接，是一个远程登录功能，同时所有的逻辑盘(c$,d$,e$……)和系统目录winnt或windows(admin$)资源可共享，存在一定的安全风险。

1. 其他配置问题

系统可能存在未对某些高危默认配置进行必要的安全配置和修改，导致被恶意攻击者利用，从而导致信息泄漏或篡改等严重后果。

• 应用层安全

通过采用适当测试手段，发现测试目标在信息系统认证及授权、代码审查、被信任系统的测试、文件接口模块报警响应等方面存在的安全漏洞,并现场演示再现利用该漏洞可能造成的客户资金损失，并提供避免或防范此类威胁、风险或漏洞的具体改进或加固措施。

应用程序及代码在开发过程中，由于开发者缺乏安全意识，疏忽大意极为容易导致应用系统存在可利用的安全漏洞。一般包括SQL注入漏洞、跨站脚本漏洞、上传漏洞、CSRF跨站请求伪造漏洞等。

1. SQL注入

SQL注入漏洞的产生原因是网站程序在编写时，没有对用户输入数据的合法性进行判断，导致应用程序存在安全隐患。SQL注入漏洞攻击就是利用现有应用程序没有对用户输入数据的合法性进行判断，将恶意的SQL命令注入到后台数据库引擎执行的黑客攻击手段。

1. 跨站脚本

跨站脚本攻击简称为XSS又叫CSS (Cross Site Script Execution)，是指服务器端的CGI程序没有对用户提交的变量中的HTML代码进行有效的过滤或转换，允许攻击者往WEB页面里插入对终端用户造成影响或损失的HTML代码。

1. 表单绕过

表单绕过是指在登录表单时可以利用一些特殊字符绕过对合法用户的认证体系，这造成对用户输入的字符没有进行安全性检测，攻击者可利用该漏洞进行SQL注入攻击。

1. 上传漏洞

上传漏洞是指网站开发者在开发时在上传页面中针对文件格式（如asp、php等）和文件路径过滤不严格，导致攻击者可以在网站上上传木马，非法获取webshell权限。

1. 文件包含

目标网站允许用户调用网站程序函数进行文件包含，同时未对所包含文件的类型及内容进行严格过滤。

1. 已知木马

目标网站被攻击者植入恶意木马，已知木马包括攻击者在进行网站入侵时留下的后门程序和网页挂马两种：后门程序严重危害网站安全，攻击者可利用该后门直接获取整个网站的控制权限，可对网站进行任意操作，甚至以网站为跳板，获取整个内网服务器的控制权限；网页挂马严重危害网站用户安全，用户对已被挂马的网页进行浏览和访问，其PC机自动下载并执行木马程序，导致用户PC机被攻击，同时严重危害网站的信誉和形象。

1. 敏感信息泄露

敏感信息泄漏漏洞指泄漏有关WEB应用系统的信息，例如，用户名、物理路径、目录列表和软件版本。尽管泄漏的这些信息可能不重要，然而当这些信息联系到其他漏洞或错误设置时，可能产生严重的后果。例如：某源代码泄漏了SQL服务器系统管理员账号和密码，且SQL服务器端口能被攻击者访问，则密码可被攻击者用来登录SQL服务器，从而访问数据或运行系统命令。

以下几个是比较典型的敏感信息泄露漏洞：

• 源码信息泄露；
• 备份信息泄露；
• 错误信息泄露；
• 测试账户泄露；
• 测试文件泄露；
• 绝对路径泄露；
• ……

1. 恶意代码

恶意代码泛指没有作用却带来危险的代码，其普遍的特征是具有恶意的目的；本身是一个独立的程序，通过执行发生作用。由于应用系统存在可被利用的安全漏洞，可能已被恶意人员植入恶意代码以获取相应权限或用以传播病毒。

1. 解析漏洞

解析漏洞是指没有对解析的内容进行严格的定义，被攻击者利用，可能会使系统对带有木马的文件进行了解析并执行，导致敏感信息被窃取、篡改，甚至是系统奔溃。

1. 远程代码执行漏洞

远程执行任意代码漏洞是指由于配置失误（有时我们在用户认证只显示给用户认证过的页面和菜单选项，而实际上这些仅仅是表示层的访问控制而不能真正生效），攻击者能够很容易的就伪造请求直接访问未被授权的页面。

1. 任意文件读取

系统开发过程中没有重视安全问题或使用不安全的第三方组件等，导致任意文件可读取，可导致入侵者获得数据库权限，并利用数据库提权进一步获得系统权限。

1. 目录遍历

目录遍历是指由于程序中没有过滤用户输入的../和./之类的目录跳转符,导致攻击者通过提交目录跳转来遍历服务器上的任意文件。

1. 目录列出

目录列出是指攻击者通过对访问的URL分析，得到一个敏感的一级或二级目录名称，然后访问该目录，返回结果会将会显示指定目录及其子目录下的所有文件，从而可以寻找并获取敏感信息（如备份文件存放地址、数据库连接文件源码、系统敏感文件内容等），甚至可以通过在地址栏中修改URL来挖掘这个目录结构。

1. 跨站请求伪造

跨站请求伪造（Cross-site request forgery，缩写为CSRF），也被称成为“one click attack”或者session riding，通常缩写为CSRF或者XSRF，是一种对网站的恶意利用。尽管听起来像跨站脚本（XSS），但它与XSS非常不同，并且攻击方式几乎相左。XSS利用站点内的信任用户，而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比，CSRF攻击往往不大流行（因此对其进行防范的资源也相当稀少）和难以防范，所以被认为比XSS更具危险性。

1. 弱口令

弱口令通常有以下几种情况：用户名和密码是系统默认、空口令、口令长度过短、口令选择与本身特征相关等。系统、应用程序、数据库存在弱口令可以导致入侵者直接得到系统权限、修改盗取数据库中敏感数据、任意篡改页面等。

1. 不安全对象引用

不安全的对象引用是指程序在调用对象的时候未对该对象的有效性、安全性进行必要的校验，如：某些下载程序会以文件名作为下载程序的参数传递，而在传递后程序未对该参数的有效性和安全性进行检验，而直接按传递的文件名来下载文件，这就可能造成恶意用户通过构造敏感文件名而达成下载服务端敏感文件的目的。

1. 安全配置错误

某些HTTP应用程序，或第三方插件，在使用过程中由于管理人员或开发人员的疏忽，可能未对这些程序或插件进行必要的安全配置和修改，这就很容易导致敏感信息的泄露。而对于某些第三方插件来说，如果存在安全隐患，更有可能对服务器获得部分控制权限。

1. 链接地址重定向

重定向就是通过各种的方法将各种网络请求重新定个方向转到其它位置（如：网页重定向、域名的重定向、路由选择的变化也是对数据报文经由路径的一种重定向）。

而某些程序在重定向的跳转过程中，对重定向的地址未进行必要的有效性和安全性检查，且该重定向地址又很容易被恶意用户控制和修改，这就可能导致在重定向发生时，用户会被定向至恶意用户事先构造好的页面或其他URL，而导致用户信息受损。

1. 跳转漏洞

跳转漏洞是指网站用户访问时对其输入的参数没有进行验证，浏览器直接返回跳转到指定的URL，跳转漏洞可引发XSS漏洞，攻击者可利用这个漏洞进行恶意欺骗。

1. 后台管理

后台管理是指由于网站设计者的疏忽、后台管理员的配置不当或失误，导致攻击者可通过某些非法手段直接访问后台数据库页面，从而获取重要敏感信息，上传木马，甚至可获取后台管理员的权限，可进行删除、添加等非法操作，篡改后台数据库数据。

1. 会话管理

会话管理主要是针对需授权的登录过程的一种管理方式，以用户密码验证为常见方式，通过对敏感用户登录区域的验证，可有效校验系统授权的安全性，测试包含以下部分：

• 用户口令易猜解

通过对表单认证、HTTP认证等方式的简单口令尝试，以验证存在用户身份校验的登录入口是否存在易猜解的用户名和密码。

• 是否存在验证码防护

验证码是有效防止暴力破解的一种安全机制，通过对各登录入口的检查，以确认是否存在该保护机制。

• 是否存在易暴露的管理登录地址

某些管理地址虽无外部链接可介入，但由于采用了容易猜解的地址（如：admin）而导致登录入口暴露，从而给外部恶意用户提供了可乘之机。

• 是否提供了不恰当的验证错误信息

某些验证程序返回错误信息过于友好，如：当用户名与密码均错误的时候，验证程序返回“用户名不存在”等类似的信息，通过对这一信息的判断，并结合HTTP Fuzzing工具便可轻易枚举系统中存在的用户名，从而为破解提供了机会。

会话管理主要是针对验证通过之后，服务端程序对已建立的、且经过验证的会话的处理方式是否安全，一般会从以下几个角度检测会话管理的安全性：

• Session是否随机

Session作为验证用户身份信息的一个重要字符串，其随机性是避免外部恶意用户构造Session的一个重要安全保护机制，通过抓包分析Session中随机字符串的长度及其形成规律，可对Session随机性进行验证，以此来确认其安全性。

• 校验前后Session是否变更

通过身份校验的用户所持有的Session应与其在经过身份验证之前所持有的Session不同。

• 会话储存是否安全

会话存储是存储于客户端本地（以cookie的形式存储）还是存储于服务端（以Session的形式存储），同时检测其存储内容是否经过必要的加密，以防止敏感信息泄露。

1. 无效验证码

目标系统管理入口（或数据库外部连接）存在缺少验证码，攻击者可利用弱口令漏洞，通过进行暴力猜解，获取网站管理权限，包括修改删除网站页面、窃取数据库敏感信息、植入恶意木马；甚至以网站为跳板，获取整个内网服务器控制权限。

漏洞分级

根据漏洞危害程度将漏洞等级分为高危、中危、低危三个级别：

• 高危：漏洞很明显，容易被利用，黑客通过该漏洞可获取完全验证权限，执行管理员操作，非法上传文件等严重恶意行为，影响到所有用户或关键用户，同时攻击者通过该漏洞可随意再次攻击，初学者也能在短期内可以掌握攻击方法；
• 中危：该漏洞需通过深入挖掘发现，攻击者利用该漏洞可获得敏感信息，影响到部分用户，同时攻击者在一定时间内可重复攻击。
• 低危：该漏洞发现困难，利用难度大，重复攻击难，危害影响小。

渗透用例

以下列举小部分测试用例，由于渗透测试存在大量不确定因数，所以具体测试用户会根据实际测试情况确定。

1. 远程溢出漏洞测试

序号	项目	内容
1	测试对象	网络设备、操作系统或第三方软件
2	测试成功标准	获取远程shell或增加系统帐号
3	测试内容	MS05039 MS05051 MS06040等可远程利用漏洞、ServerProtect Agent远程溢出漏洞
4	测试影响	可能会造成以下服务停止： Plug and Play(提供即插即用硬件的支持) Msdtc(提供分布式数据库事务支持) Server(提供网络打印、共享以及管道支持) 溢出测试存在较大风险，如果存在溢出漏洞需要进一步测试建议在测试环境中进行

1. 远程密码破解测试

序号	项目	内容
1	测试对象	各种网络设备、操作系统、数据库、各种服务器软件
2	测试成功标准	得到口令
3	测试内容	密码强度
4	测试影响	如果设置帐户锁定策略，会造成某些帐号不可用

1. finger信息获取测试

序号	项目	内容
1	测试对象	网络设备、操作系统
2	测试成功标准	能够利用该信息为后续渗透提供帮助
3	测试内容	获取finger有用信息
4	测试影响	无

1. snmp存在public与private字符串测试

序号	项目	内容
1	测试对象	操作系统、网络设备
2	测试成功标准	能够利用该信息为后续渗透提供帮助；修改系统配置
3	测试内容	获取或设置系统配置信息
4	测试影响	无

1. ARP欺骗测试

序号	项目	内容
1	测试对象	网络设备、操作系统
2	测试成功标准	成功进行ARP欺骗，获取敏感数据(如密码)
3	测试内容	捕获敏感信息
4	测试影响	可能导致网络问题

1. SQL 注入测试

序号	项目	内容
1	测试对象	WEB应用系统
2	测试成功标准	能够发现注入点，获取敏感数据(如密码)、webshell、修改网页或系统权限
3	测试内容	测试内部访问的web程序是否存在SQL Injection漏洞
4	测试影响	无

1. 上传文件测试

序号	项目	内容
1	测试对象	WEB应用系统
2	测试成功标准	能够成功绕过上传文件限制，上传asp或其他IIS可以解析文件；能够执行上传后的asp或其他IIS可以解析的文件
3	测试内容	测试内部访问的WEB程序的文件上传是否可以被绕过，上传asp文件
4	测试影响	无

1. XSS测试

序号	项目	内容
1	测试对象	WEB应用系统
2	测试成功标准	利用XSS，为后续渗透测试提供帮助
3	测试内容	测试WEB应用程序是否存在XSS漏洞
4	测试影响	无

1. 深入渗透阶段

这一阶段主要是扩大“渗透测试阶段”取得的成果，进一步模拟渗透者在获取目标系统低权限操作时进行权限的提升以及进一步渗透其他系统。

该阶段的测试方法包括：

1. 利用操作系统漏洞提升权限
2. 利用其他软件漏洞进行权限提升
3. 寻找其他方面的漏洞

测试影响

黑客的攻击入侵需要利用目标网络的安全弱点，渗透测试也是同样的道理。它模拟真正的黑客入侵攻击方法，以人工渗透为主，辅助以攻击工具的使用，这样保证了整个渗透测试过程都在可以控制和调整的范围之内。

由于采用可控制的、非破坏性质的渗透测试，因此不会对被渗透的系统造成严重的影响。在渗透测试结束后，系统将保持一致。

风险规避

渗透测试过程的最大的风险在于测试过程中对业务产生影响，为此我们在本项目采取以下措施来减小风险：

在渗透测试中不使用含有拒绝服务的测试策略;

渗透测试时间尽量安排在业务量不大的时段或者晚上;

在渗透测试过程中如果出现被渗透系统没有响应的情况，应当立即停止渗透工作，与工作人员一起分析情况，在确定原因后，并待正确恢复系统，采取必要的预防措施（比如调整测试策略等）之后，才可以继续进行。

“信息”应用安全研究工程师与信息系统的管理员保持良好沟通，随时协商解决出现的各种难题。

系统备份与恢复措施

为防止在渗透性测试过程中出现的异常的情况，所有被渗透系统均应在被渗透之前作一次完整的系统备份或者关闭正在进行的操作，以便在系统发生灾难后及时恢复。

操作系统类：制作系统应急盘，对系统信息，注册表，sam文件，/etc中的配置文件以及其他含有重要系统配置信息和用户信息的目录和文件进行备份，并应该确保备份的自身安全。

数据库系统类：对数据库系统进行数据转储，并妥善保护好备份数据。同时对数据库系统的配置信息和用户信息进行备份。

网络应用系统类：对网络应用服务系统及其配置、用户信息、数据库等进行备份。

网络设备类：对网络设备的配置文件进行备份。

桌面系统类：备份用户信息，用户文档，电子邮件等信息资料。

协助安全加固服务概述

“信息”安全专家的信息安全加固工作是指：在安全扫描及渗透测试之后，根据评估的结果强化信息系统安全防范能力的重要过程。信息安全加固优化服务是基础架构安全服务的实质阶段，参考当前网络和系统现状，为客户信息安全架构的改进或升级提出切实可行的解决方案，在帮助客户实施的同时，提高网络的安全性；提高每一个信息主体的抵抗安全风险的能力。信息系统的加固主要包括三个方面：系统加固、网络设备加固和应用系统加固。

主要包括以下内容：

1. 网络设备安全加固

包括：禁用不必要的网络服务、修改不安全的配置、利用最小特权原则严格对设备的访问控制、及时对系统进行软件升级、提供符合IPP要求的物理保护环境等。对网络设备进行检测评估，提出可行性的加固方案。

1. 操作系统安全加固

包括：检查系统补丁、停止不必要的服务、修改不合适的权限、修改安全策略、检查账户与口令安全、开启审核策略、关闭不必要的端口等。

1. 应用系统（WEB系统、数据库）安全加固

包括：对要使用的操作数据库软件（程序）进行必要的安全审核，比如对ASP、PHP等脚本，这是很多基于数据库的WEB应用常出现的安全隐患，对于脚本主要是一个过滤问题，需要过滤一些类似 , ‘ ; @ / 等字符，防止破坏者构造恶意的SQL语句。安装最新的补丁，使用安全的密码、账号策略，加强日志的记录审核，修改默认端口，使用加密协议，加固TCP/IP端口，对网络连接进行IP限制等。

加固内容服务流程

设备层面

升级最新系统路由器类网络设备一般都提供给用户升级其操作系统的接口。旧的操作系统可能存在一些安全漏洞和应用BUG，如果不升级将可能导致性能低下，或者因为遭受攻击而拒绝服务，甚至被攻击者获得其配置文件、获得其管理权限，从而进一步威胁到网络内部的安全。

• 设置普通密码

通常路由器类设备都提供一个普通远程登录或从CONSOLE 上登录，对其进行配置管理的接口。设置一个普通登录密码，是保护路由器本身安全的最基本的配置。

• 设置超级密码

为了安全，一般路由器都提供了一个超级用户。普通用户一般只对某些资源有读的权限，而超级用户能对所有资源有读和写的权限。所以超级用户的密码必须设置复杂，并定期更换。超级密码必须加密码存储在配置中。路由器设备必须选用支持配置文件密码加密存储的设备。

• 设置访问控制列表

当该设备CPU、内存占用很小，网络流量也不大时，可以设置10 条以内的访问控制列表，一般路由器都能支持设置访问控制列表。

• 使用安全登录

如果设备支持，使用加密的远程登录方式或其它的安全登录方式。可以使用集中的认证，可以使用一次性密码（One Time Password）认证，也可以使用SSH 等方式。

• 其它访问控制配置

通常需要对边界路由器设置访问控制列表，防止一些伪造的IP 攻击包在网络中流入或流出此路由器，当所有边界路由器做了此设置，能很快定位一个网络中受到D.o.S.攻击的包来源。

• 关闭不必要的服务

一般网络设备还提供了一些其它的服务，方便用户进行管理或调试，例如HTTP、TFTP、FINGER 等等。可以关闭这些不必要的服务，在需要使用时再打开这些服务。

• 设置snmp

snmp 是简单网络管理协议，使网管系统能远程管理此设备。因为snmp协议本身的缺陷，一般来说如果此网络设备需要很强的安全性，最好关闭snmp的管理，如果一定要使用snmp 进行管理时，一定得修改缺省的snmp 的community string，不能使用public、private、以及公司名称或部门名称等相关的字符串。

• 配置日志

如果对网络流量影响无特别要求，而对安全需求更强，可以考虑设置对网络设备的特殊事件记录日志，日志可以通过syslog 记录到其它的日志服务器。

系统层面

系统加固主要考虑如下方面：

• 补丁

从厂家网站或者可信任站点下载操作系统的补丁包，不同的操作系统版本以及运行不同的服务，都可能造成需要安装的补丁包不同，所以必须选择适合本机的补丁包安装。一般必需安装的是安全补丁和紧急补丁，应用程序的补丁为可选安装。

• 文件系统

系统的权限配置项目繁多，要求也很严格，不适当的配置可能造成用户非法取得操作系统超级用户的控制权，从而完全控制操作系统。对文件系统进行修补加固包括选用文件系统类型，设置对文件系统中文件的访问权限，对文件系统资源的使用量的限制，根据用户定制不同策略等多个方面。

• 账号管理

账号口令是从网络访问UNIX系统的基本认证方式，很多系统被入侵都是因为账号管理不善，设置超级用户密码强度，密码的缺省配置策略问题(例如：密码长度，密码更换时间，账号所在组，账号锁定等多方面)。有些系统可以配置使用更强的加密算法，和密码账号管理方式。如果有必要，也可以使用一次性登录密码管理等。对账号进行最小授权，例如不允许登录、不提供登录SHELL等。对于不使用的账号进行删除。

• 网络及服务

系统有很多缺省打开的服务，这些服务都可能泄露本机信息，或存在未被发现的安全漏洞，关闭不必要的服务，能尽量降低被入侵的可能性。.例如r系列服务和rpc的rstatd都出过不止一次远程安全漏洞。UNIX缺省的网络配置参数也不尽合理，例如TCP序列号随机强度，对D.o.S攻击的抵抗能力等，合理配置网络参数,能优化操作系统性能，提高安全性。

• 应用软件

建议操作系统安装最小软件包，例如不安装开发包，不安装不必要的库，不安装编绎器等，但很多情况下必须安装一些软件包。 APACHE或NETSCAPEENTERPRISE SERVER是一般UNIX首选的WEB服务器，其配置本身就是一项独立的服务，邮件和域名服务等都需要进行合理的配置。

• 审计,日志

做好系统的审计和日志工作，对于事后取证追查，帮助发现问题，都能提供很多必要信息。例如：打开账号审计功能，记录所有用户执行过的命令；实现日志集中管理，避免被入侵主机日志被删除等。

应用层面

数据库系统的加固与实际应用联系相当紧密，这里列举出安全加固的通用原则。通常数据库系统包括ORACLE、SYBASE、SQLSERVER、MYSQL 等。

• 只安装必要的软件包
• 对某些缺省的用户账号设置为锁定和过期
• 改变缺省的用户密码
• 启用数据字典保护
• 安全最小权限原则
• 有效地设置强制性访问控制
• 限制网络访问
• 应用所有的安全补丁和工作环境

WEB 系统加固主要针对以下威胁：

• 脚本漏洞
• 恶意代码
• 网络病毒
• 数据源非法入侵
• 非法程序上传
• ……

项目风险规避措施加固实施策略

时间：为了避免加固过程影响系统业务运行，加固时间应该选择在系统业务量最小，业务临时中断对外影响最小的时候。

操作：加固操作需要按照系统加固核对表，逐项按顺序执行操作。

记录：对加固后的系统，全部复查一次所作加固内容，确保正确无误。

系统备份和恢复

系统加固之前，先对系统做完全备份。加固过程可能存在任何不可预见的风险，当加固失败时，立即启动应急预案中的回退方案恢复到加固前状态。当出现不可预料的后果时，加固实施工程师首先使用备份恢复系统提供服务，同时与总部安全专家小组取得联系，寻求帮助并解决问题。

工程中合理沟通的保证

在工程实施过程中，确定不同阶段的测试人员以及客户方的配合人员，建立直接沟通的渠道，并在工程出现难题的过程中保持合理沟通。

应急响应服务服务概述

安全服务客户服务中心提供7*24小时的电话支持安全服务，客户可以根据网络管理员或系统管理员的初步判断认为和安全事件相关，通过电话咨询信息安全客户服务人员，服务人员会根据客户信息提供电话支持服务，在客户和信息安全服务人员同时确认需要信息安全专家或安全服务队伍现场支持后，根据客户安全事件级别进行应急响应。

应急内容

紧急事件响应，是当安全威胁事件发生后迅速采取的措施和行动，其目的是最快速恢复系统的保密性、完整性和可用性，阻止和降低安全威胁事件带来的严重性影响。

紧急事件主要包括：

1. 病毒和蠕虫事件
2. 黑客入侵事件
3. 误操作或设备故障事件

但通常在事件爆发的初始很难界定具体是什么事件。通常根据安全威胁事件的影响程度来分类：

1. 单点损害：只造成独立个体的不可用，安全威胁事件影响弱。
2. 局部损害：造成某一系统或一个局部网络不可使用，安全威胁事件影响较高。
3. 整体损害：造成整个网络系统的不可使用，安全威胁事件影响高。

当入侵或者破坏发生时，对应的处理方法主要的原则是首先保护或恢复计算机、网络服务的正常工作；然后再对入侵者进行追查。因此对于客户紧急事件响应服务主要包括准备、识别事件（判定安全事件类型）、抑制（缩小事件的影响范围）、解决问题、恢复以及后续跟踪。

服务方式

信息安全紧急响应服务方式分为远程支持或现场支持。

远程支持安全服务方式可以分为以下几种：

1. 电话在线支持服务
2. 7*24小时电话支持服务；
3. 传真支持服务
4. E－MAIL支持服务

当远程支持无法解决问题时，将派遣专业的紧急响应服务人员在第一时间到达客户所在地提供现场支持服务，保证在任何时候客户都能及时找到我方的相关专业技术人员。当发生紧急安全事件，在征得客户许可的前提下，我方立即启动应急预案进行远程修复，必要时通过强制措施保护客户数据、资料安全。采取远程与现场支撑相结合的方式，第一时间处理显现威胁。

等级分类

事件分类	事件描述	威胁级别	支持方式
紧急事件	客户业务系统由于安全问题崩溃、系统性能严重下降，已无法提供正常服务。客户出口路由由于网络安全原因非正常中断，严重影响用户使用。公众服务由于安全原因停止服务或者造成恶劣影响的。	高危险	现场支持
严重事件	用户内部的业务支持系统由于安全事件出现问题，导致不能运转正常不稳定。部分服务由于安全原因中断，影响用户正常使用。	中危险	远程支持或现场支持
一般事件	由于安全原因导致系统出现故障，但不影响用户正常使用。客户提出安全技术咨询、索取安全技术资料、技术支持等。	低危险	远程支持

准备阶段（Preparation）

• 目标：在事件真正发生前为应急响应做好预备性的工作。
• 角色：技术人员、市场人员。
• 内容：根据不同角色准备不同的内容。
• 负责人准备内容
• 技术人员准备内容
• 市场人员准备内容
• 输出：《准备工具清单》、《事件初步报告表》、《实施人员工作清单》

检测阶段（Examination）

• 目标：接到事故报警后在服务对象的配合下对异常的系统进行初步分析，确认其是否真正发生了信息安全事件，制定进一步的响应策略，并保留证据。
• 角色：应急服务实施小组成员、应急响应日常运行小组；
• 内容：
• 检测范围及对象的确定；
• 检测方案的确定；
• 检测方案的实施；
• 检测结果的处理。
• 输出：《检测结果记录》、《…》

抑制阶段（Suppresses）

• 目标：及时采取行动限制事件扩散和影响的范围，限制潜在的损失与破坏，同时要确保封锁方法对涉及相关业务影响最小。
• 角色：应急服务实施小组、应急响应日常运行小组。
• 内容：
• 抑制方案的确定；
• 抑制方案的认可；
• 抑制方案的实施；
• 抑制效果的判定；
• 输出：《抑制处理记录表》、《…》

根除阶段（Eradicates）

• 目标：对事件进行抑制之后，通过对有关事件或行为的分析结果，找出事件根源，明确相应的补救措施并彻底清除。
• 角色：应急服务实施小组、应急响应日常运行小组。
• 内容：
• 根除方案的确定；
• 根除方案的认可；
• 根除方案的实施；
• 根除效果的判定；
• 输出：《根除处理记录表》、《…》

恢复阶段（Restoration）

• 目标：恢复安全事件所涉及到得系统，并还原到正常状态，使业务能够正常进行，恢复工作应避免出现误操作导致数据的丢失。
• 角色：应急服务实施小组、应急响应日常运行小组。
• 内容：
• 恢复方案的确定；
• 应急服务提供者应告知服务对象一个或多个能从安全事件中恢复系统的方法，及他们可能存在的风险；
• 应急服务提供者应和服务对象共同确定系统恢复方案，根据抑制和根除的情况，协助服务对象选择合适的系统恢复的方案；
• 如果涉及到涉密数据，确定恢复方法时应遵循相应的保密要求。
• 恢复信息系统；
• 应急响应实施小组应按照系统的初始化安全策略恢复系统；
• 恢复系统时，应根据系统中个子系统的重要性，确定系统恢复的顺序；
• 恢复系统过程宜包各方面的确定：
• 对于不能彻底恢复配置和清除系统上的恶意文件，或不能肯定系统在根除处理后是否已恢复正常时，应选择彻底重建系统；
• 应急服务实施小组应协助服务对象验证恢复后的系统是否正常运行；
• 应急服务实施小组宜帮助服务对象对重建后的系统进行安全加固；
• 应急服务实施小组宜帮助服务对象为重建后的系统建立系统快照和备份；
• 输出：《恢复处理记录表》、《..》

总结阶段（Summary）

• 目标：通过以上各个阶段的记录表格，回顾安全事件处理的全过程，整理与事件相关的各种信息，进行总结，并尽可能的把所有信息记录到文档中。
• 角色：应急服务实施小组、应急响应日常运行小组。
• 内容：
• 事故总结；
• 应急服务提供者应及时检查安全事件处理记录是否齐全，是否具备可塑性，并对事件处理过程进行总结和分析；
• 应急处理总结的具体工作及分析：
• 事故报告；
• 应急服务提供者应向服务对象提供完备的网络安全事件处理报告；
• 应急服务提供者应向服务对象提供网络安全方面的措施和建议；
• 上述总结报告的具体信息参考Excel表《应急响应报告表》。
• 输出：《应急响应报告表》

,