企業(yè)網(wǎng)絡(luò)信息安全防護(hù)技術(shù)標(biāo)準(zhǔn)第第2頁共133頁目錄引言 6編目的 6編原則 6編依據(jù) 6術(shù)、定、符及縮語 6適范圍 6規(guī)性引文件 7安保障 8安保障組 8安保障法 9現(xiàn)７Ｘ２４小值班（相涉密作人名單做公） 9預(yù)平臺７Ｘ２４時值（相涉密作人名單做公） 10工時間全保障 10網(wǎng)安全務(wù)檢測 12整網(wǎng)絡(luò)全服框架 12資調(diào)研梳理 13風(fēng)評估 135.3.1安掃描 135.3.2.安配置查 15滲測試 38web安加固 50業(yè)系統(tǒng)脅 51業(yè)安全 51業(yè)安全試內(nèi)容 51業(yè)安全測 55安測試果輸出 57網(wǎng)安全構(gòu)分析 58網(wǎng)安全險分析 58主安全險分析 58應(yīng)安全險分析 59數(shù)安全備份復(fù) 59專安全查 60webshell后檢查 60web日分析查 61系登錄志專檢查 62安管理詢 63安管理針和標(biāo) 64信安全理方法 64信安全理體控制域 68ISMS建過程 69現(xiàn)信息全管制度系分析 75基標(biāo)準(zhǔn)信息全管體系計(jì) 76信安全理制文檔系 77信安全略 81流化解的問題 95使全制執(zhí)行實(shí)落地 95輔決策 95安運(yùn)維系建設(shè) 96安巡檢 97安巡檢述 97安巡檢容 98防毒安巡檢 99數(shù)備份檢 99物機(jī)房檢 99定漏洞描 99安應(yīng)急練及應(yīng) 99應(yīng)響預(yù)制定 100應(yīng)響應(yīng)施 101應(yīng)響應(yīng)劃維與演練 103安應(yīng)急應(yīng)實(shí)方案 103應(yīng)響應(yīng)件總與報歸檔 105防墻策檢查優(yōu)化 1065.10.1策檢查優(yōu)化容 106漏預(yù)警通告 107整網(wǎng)絡(luò)全防策略 108安防護(hù)計(jì) 108網(wǎng)安全護(hù) 109網(wǎng)防火墻 109DDOS防護(hù) 110防毒網(wǎng)關(guān) 1106.2.4VPN 110應(yīng)及數(shù)安全護(hù) 111WEB應(yīng)防火墻 111網(wǎng)云防系統(tǒng) 111數(shù)庫安防護(hù) 111內(nèi)安全護(hù) 112運(yùn)堡壘機(jī) 112綜日志計(jì) 112態(tài)實(shí)時測 112終安全護(hù) 112攻應(yīng)急置技術(shù) 113DDOS攻處置 113攻介紹 113攻防護(hù) 114CC攻處置 116攻介紹 116攻防護(hù) 116WEB入攻擊置 118攻介紹 118攻防護(hù) 118木后門置 119攻介紹 119攻防護(hù) 119異日志析處置 126日分析法 126日分析圍 132未威脅置 132攻介紹 132攻防護(hù) 133測方法 133引言編寫目的編寫原則有效性以實(shí)戰(zhàn)及實(shí)際場景為主，確保網(wǎng)絡(luò)安全應(yīng)急防護(hù)方案具備應(yīng)對實(shí)際攻擊處理的有效性。完整性安全攻擊處理以優(yōu)先保障網(wǎng)絡(luò)平臺的信息完整性，確保不被非法或惡意篡改。機(jī)密性安全防護(hù)重點(diǎn)落實(shí)數(shù)據(jù)的保密性，控制非法或越權(quán)訪問等導(dǎo)致數(shù)據(jù)泄露等行為。可靠性盡力保障網(wǎng)站系統(tǒng)的可用性及可靠性，在攻擊或異常情況發(fā)生時網(wǎng)站系統(tǒng)的可靠性保障。編寫依據(jù)術(shù)語、定義、符號及縮略語適用范圍規(guī)范性引用文件《全國人大常委會關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》《電信和互聯(lián)網(wǎng)用戶個人信息保護(hù)規(guī)定》《中華人民共和國網(wǎng)絡(luò)安全法》《個人信息和重要數(shù)據(jù)出境安全評估辦法》《國務(wù)院關(guān)于印發(fā)促進(jìn)大數(shù)據(jù)發(fā)展行動綱要的通知》（國發(fā)〔2015〕50號）《國務(wù)院關(guān)于印發(fā)政務(wù)信息資源共享管理暫行辦法的通知》（國發(fā)〔2016〕51號）+（201655號）《國務(wù)院關(guān)于印發(fā)“十三五”國家信息化規(guī)劃的通知》（國發(fā)〔2016〕73號）《國務(wù)院辦公廳關(guān)于印發(fā)“互聯(lián)網(wǎng)+政務(wù)服務(wù)”技術(shù)體系建設(shè)指南的通知》（國辦函〔2016〕108號）《國務(wù)院辦公廳關(guān)于印發(fā)政務(wù)信息系統(tǒng)整合共享實(shí)施方案的通知》（國辦發(fā)〔2017〕39號）（GB/T35274-2017）（GB/T35273-2017）（GB/T31167-2014）《政務(wù)信息資源交換體系》（GB/T20162-2007）《WH/T52-2012管理元數(shù)據(jù)規(guī)范》《元數(shù)據(jù)注冊與管理》（GB/T30524-2014）TLS1.2-RFC5246TheSSLProtocolVersion3.0趙澤茂.數(shù)字簽名理論[M].北京:科學(xué)出版社,2007現(xiàn)代密碼學(xué)理論與實(shí)踐[M].北京:電子工業(yè)出版社,2006.HarnL,XuY,PerersenH.DesignofElGamaltypedigitalschemebasedondiscretelogarithm[J].Electronicsletters,1994,31(24):2025-2026.D.Johanson,A.Menezes,S.Vanstone.Theellipticcurvedigitalsignaturealgorithm(ECDSA).InternatinalJournalonInformationSecurity,2001,1:36-63.NybergK,RueppelRA.Messegerecoveryforsignatureschemsbasedonthediscretelogarithm[C].AdvancesinCryptology-Eurocrypt'94,Berlin:Springer-Verlag,1994.175-190安全保障安全保障小組安全保障辦法現(xiàn)場７Ｘ２４小時值班（相關(guān)涉密工作人員名單不做公開）注冊網(wǎng)開放期間，主機(jī)房７＊２４小時有人值守，現(xiàn)場值班人員名單分配如下：序號姓名值班時間電話郵箱１ＸＸＸ周一(8:00-20:00)白班ＸＸＸＸＸＸ２ＸＸＸ周一(20:00-8:00)夜班ＸＸＸＸＸＸ３ＸＸＸ周二(8:00-20:00)白班ＸＸＸＸＸＸ４ＸＸＸ周二(20:00-8:00)夜班ＸＸＸＸＸＸ５ＸＸＸ周三(8:00-20:00)白班ＸＸＸＸＸＸ6ＸＸＸ周三(20:00-8:00)夜班ＸＸＸＸＸＸ7ＸＸＸ周四(8:00-20:00)白班ＸＸＸＸＸＸ8ＸＸＸ周四(20:00-8:00)夜班ＸＸＸＸＸＸ9ＸＸＸ周五(8:00-20:00)白班ＸＸＸＸＸＸ10ＸＸＸ周五(20:00-8:00)夜班ＸＸＸＸＸＸ11ＸＸＸ周六(8:00-20:00)白班ＸＸＸＸＸＸ12ＸＸＸ周六(20:00-8:00)夜班ＸＸＸＸＸＸ13ＸＸＸ周日(8:00-20:00)白班ＸＸＸＸＸＸ14ＸＸＸ周日(20:00-8:00)夜班ＸＸＸＸＸＸ第第17頁共133頁預(yù)防平臺７Ｘ２４小時值守（相關(guān)涉密工作人員名單不做公開）序號姓名值班時間電話郵箱１ＸＸＸ星期一ＸＸＸ２ＸＸＸ星期二ＸＸＸ３ＸＸＸ星期三ＸＸＸ４ＸＸＸ星期四ＸＸＸ５ＸＸＸ星期五ＸＸＸ6ＸＸＸ星期六ＸＸＸ7ＸＸＸ星期日ＸＸＸ工作時間安全保障正常工作日時間，由安全保障小組駐守市民中心，提供安全保障服務(wù)，安全保障小組人員及工作職責(zé)如下：序號姓名電話職責(zé)郵箱１ＸＸＸＸＸＸ組長ＸＸＸ２ＸＸＸＸＸＸ組員ＸＸＸ３ＸＸＸＸＸＸ組員ＸＸＸ４ＸＸＸＸＸＸ組員ＸＸＸ５ＸＸＸＸＸＸ組員ＸＸＸ組長：ＸＸＸ組員：ＸＸＸ，ＸＸＸ，ＸＸＸ及其他需協(xié)調(diào)人員小組職責(zé)安全配置檢查。安全漏洞掃描。安全滲透測試。安全應(yīng)急響應(yīng)及演練。突然安全事件處置。安全攻擊行為處置。安全攻擊行為調(diào)查取證。協(xié)助安全加固整改。安全事件分析。安全保障值守反制攻擊行為執(zhí)行(需網(wǎng)警配合)。工作要求：上線前，全面安全配置核查及掃描。上線前，全面滲透測試及協(xié)助漏洞加固。正式開放前，執(zhí)行攻防演練及應(yīng)急演練。保障期間，至少每周執(zhí)行一次安全配置檢查。保障期間，至少每周執(zhí)行一次安全掃描。每周提取一次日志，并對日志進(jìn)行全面分析，提供日志給國安部門。保障期間，每發(fā)生一次系統(tǒng)變更時，至少執(zhí)行一次安全配置檢查和掃描。保障期間，每日均需執(zhí)行可控滲透測試及系統(tǒng)安全情況分析。系統(tǒng)試用運(yùn)行期間，嚴(yán)禁惡意或帶有破壞性的滲透測試及其他行為。保障期間，工作時間，安排人員現(xiàn)場值守。7*24保障期間，應(yīng)急響應(yīng)，確保至多一小時內(nèi)到達(dá)現(xiàn)場。遵守安全工作制度及峰網(wǎng)絡(luò)安全服務(wù)檢測整體網(wǎng)絡(luò)安全服務(wù)框架IT基礎(chǔ)架構(gòu)的安全建設(shè)，優(yōu)化、調(diào)整和挖掘潛力，提升整體信息安全的保資產(chǎn)調(diào)研與梳理對主機(jī)、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫、應(yīng)用系統(tǒng)資產(chǎn)進(jìn)行調(diào)研梳理，可分為：資產(chǎn)管理：權(quán)限梳理：信息系統(tǒng)中資產(chǎn)權(quán)限梳理、權(quán)限變化梳理、有效賬戶與冗余賬戶梳理。敏感數(shù)據(jù)梳理：資產(chǎn)使用梳理：風(fēng)險評估安全掃描掃描目標(biāo)掃描目標(biāo)目標(biāo)類型掃描方式掃描策略http://www.掃描目標(biāo).com/門戶網(wǎng)站內(nèi)網(wǎng)掃描主機(jī)漏洞掃描、Web漏洞掃描、弱密碼漏洞掃描http://web.掃描目標(biāo).com/應(yīng)用系統(tǒng)內(nèi)網(wǎng)掃描主機(jī)漏洞掃描、Web漏洞掃描、弱密碼漏洞掃描http://web2.掃描目標(biāo).com/應(yīng)用系統(tǒng)內(nèi)網(wǎng)掃描主機(jī)漏洞掃描、Web漏洞掃描、弱密碼漏洞掃描http://web3.掃描目標(biāo).com/應(yīng)用系統(tǒng)內(nèi)網(wǎng)掃描測試主機(jī)漏洞掃描、Web漏洞掃描、弱密碼漏洞掃描安全掃描實(shí)施內(nèi)容項(xiàng)目經(jīng)理與委托單位就漏洞掃描項(xiàng)目進(jìn)行前期溝通，接收被測單位提交的網(wǎng)絡(luò)狀況資IP實(shí)施過程中需要評估的項(xiàng)目包括但不限于：主機(jī)環(huán)境漏洞掃描。Web弱密碼漏洞掃描。掃描方案確定，開始執(zhí)行掃描任務(wù)，按照客戶的掃描要求配置漏洞掃描策略進(jìn)行掃描。端口掃描階段，本階段主要是對目標(biāo)對外開放的端口和服務(wù)進(jìn)行掃描，從而收集相關(guān)的信息。主機(jī)漏洞掃描階段，本階段主要是對目標(biāo)的主機(jī)環(huán)境進(jìn)行安全掃描。WebWebFTP、SQLServer、RDP清除總結(jié)階段，清除在客戶系統(tǒng)中產(chǎn)生的痕跡和中間數(shù)據(jù)，然后根據(jù)以上階段內(nèi)容總結(jié)編寫《安全掃描服務(wù)報告》。安全掃描風(fēng)險規(guī)避人員值守配合掃描時段選擇一般會選擇在夜間或安排在業(yè)務(wù)量不大的時段進(jìn)行漏洞掃描。掃描策略集選擇掃描前應(yīng)進(jìn)行備份，根據(jù)系統(tǒng)的具體情況配置合理的掃描策略。安全掃描成果交付《漏洞掃描服務(wù)報告》漏洞掃描結(jié)果漏洞解決方案安全配置檢查checklist配置檢測支持包含如下：操作系統(tǒng)：AIX、Linux、Soalris、Windows、HP-UX數(shù)據(jù)庫：Mysql、SQLSERVER、Oracle、SYBASE、DB2網(wǎng)絡(luò)設(shè)備：CISCO、H3C防火墻、Hillstone防火墻、Huawei防火墻、中興交換機(jī)應(yīng)用程序：APACHE、IIS、Nginx、Resin、Tomcat、Weblogic網(wǎng)絡(luò)配置檢查例：cisco路由器編號：安全要求-設(shè)備-通用-配置-3-可選要求內(nèi)容限制具備管理員權(quán)限的用戶遠(yuǎn)程登錄。遠(yuǎn)程執(zhí)行管理員權(quán)限操作，操作指南1．參考配置操作Router#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#servicepassword-encryptionRouter(config)#usernamenormaluserpassword3d-zirc0niaRouter(config)#usernamenormaluserprivilege1Router(config)#linevty04Router(config-line)#loginlocalRouter(config-line)#exec-timeout50Router(config-line)#end2．補(bǔ)充操作說明設(shè)定賬號密碼加密保存normaluser1；設(shè)定遠(yuǎn)程登錄啟用路由器賬號驗(yàn)證；設(shè)定超時時間為5分鐘；檢測方法1.判定條件I.VTY使用用戶名和密碼的方式進(jìn)行連接驗(yàn)證II.2、賬號權(quán)限級別較低，例如：I2.檢測操作showrunning-configrunning-configBuildingconfiguration...Currentconfiguration:!servicepassword-encryptionusernamenormaluserpassword3d-zirc0niausernamenormaluserprivilege1linevty04loginlocal安全要求-設(shè)備-通用-配置-4要求內(nèi)容6字、小寫字母、大寫字母和特殊符號4類中至少2類。操作指南參考配置操作Router#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#aaanew-modelRouter(config)#aaaauthenticationlogindefaultgrouptacacs+Router(config)#aaaauthenticationenabledefaultgrouptacacs+Router(config)#tacacs-serverhost8Router(config)#tacacs-serverkeyIr3@1yh8n#w9@swDRouter(config)#endRouter#補(bǔ)充操作說明與外部TACACSserver8TACACS+serveryaTACACSserver檢測方法此項(xiàng)無法通過配置實(shí)現(xiàn)，建議通過管理實(shí)現(xiàn)2.檢測操作此項(xiàng)無法通過配置實(shí)現(xiàn)，建議通過管理實(shí)現(xiàn)編號：安全要求-設(shè)備-通用-配置-9要求內(nèi)容操作指南1．參考配置操作Router#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#servicepassword-encryptionRouter(config)#usernamenormaluserpassword3d-zirc0niaRouter(config)#usernamenormaluserprivilege1Router(config)#privilegeexeclevel15connectRouter(config)#privilegeexeclevel15telnetRouter(config)#privilegeexeclevel15rloginRouter(config)#privilegeexeclevel15showipaccess-listsRouter(config)#privilegeexeclevel15showaccess-listsRouter(config)#privilegeexeclevel15showloggingRouter(config)#!ifSSHissupported..Router(config)#privilegeexeclevel15sshRouter(config)#privilegeexeclevel1showip2．補(bǔ)充操作說明基本思想是創(chuàng)建賬號并賦予不同的權(quán)限級別，并將各命令綁定在不同的權(quán)限級別上；上例操作過程如下：設(shè)定賬號密碼加密保存創(chuàng)建normaluser賬號并指定權(quán)限級別為1；connect、telnet、rlogin、showipaccess-lists、showaccess-listsshowloggingssh15將showip指定為僅當(dāng)賬號權(quán)限級別大于1時才可使用；檢測方法1.判定條件用戶名綁定權(quán)限級別2.檢測操作showrunning-configrunning-configBuildingconfiguration...Currentconfiguration:!usernamenormaluserpassword3d-zirc0niausernamenormaluserprivilege1privilegeexeclevel15connectprivilegeexeclevel15telnetprivilegeexeclevel15rloginprivilegeexeclevel15showipaccess-listsprivilegeexeclevel15showaccess-listsprivilegeexeclevel15showloggingprivilegeexeclevel15sshprivilegeexeclevel1showip編號：安全要求-設(shè)備-通用-配置-14-可選要求內(nèi)容設(shè)備應(yīng)支持遠(yuǎn)程日志功能。所有設(shè)備日志均能通過遠(yuǎn)程日志功能傳輸?shù)饺罩痉?wù)器。設(shè)備應(yīng)支持至少一種通用的遠(yuǎn)程標(biāo)準(zhǔn)日志接口，如SYSLOG、FTP等。操作指南參考配置操作路由器側(cè)配置：Router#configEnterconfigurationcommands,oneperline.EndwithCNTL/ZRouter(config)#loggingonRouter(config)#loggingtrapinformationRouter(config)#logging00Router(config)#loggingfacilitylocal6Router(config)#loggingsource-interfaceloopback0Router(config)#exitRouter#showloggingSysloglogging:enabled(0messagesdropped,11flushes,0overruns)Consolelogging:levelnotifications,35messagesloggedMonitorlogging:leveldebugging,35messagesloggedBufferlogging:levelinformational,31messagesloggedLoggingto00,28messagelineslogged..Router#補(bǔ)充操作說明Irouter00syslog啟用日志記錄日志級別設(shè)定“information”記錄日志類型設(shè)定“l(fā)ocal6”日志發(fā)送到00日志發(fā)送源是loopback0配置完成可以使用“showlogging”驗(yàn)證服務(wù)器側(cè)配置參考如下：SyslogSyslog.conf#Saveroutermessagestorouters.loglocal6.debug/var/log/routers.log創(chuàng)建日志文件#touch/var/log/routers.logII. snmptEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#loggingtrapinformationRouter(config)#snmp-serverhost00trapspublicRouter(config)#snmp-servertrap-sourceloopback0Router(config)#snmp-serverenabletrapssyslogRouter(config)#exitRouter#檢測方法1.判定條件SyslogloggingSNMPloggingenabled”LoggingtoIPIII. 2.檢測操作showloggingRouter#showloggingSysloglogging:enabledConsolelogging:disabledMonitorlogging:leveldebugging,266messageslogged.Traplogging:levelinformational,266messageslogged.Loggingto38SNMPlogging:disabled,retransmissionafter30seconds0messagesloggedRouter#編號：安全要求-設(shè)備-通用-配置-16-可選要求內(nèi)容TCP/UDPIPTCPUDPIP操作指南1．參考配置操作DNSaccess-list140permitudpanyhosteq53Router(config)#access-list140denyudpanyanylog/16DNSRouter(config)#access-list140permittcpany55Router(config)#access-list140denyipanyanylog2．補(bǔ)充操作說明訪問控制列表命令格式：標(biāo)準(zhǔn)訪問控制列表access-listlist-number{deny|permit}source[source-wildcard][log]擴(kuò)展訪問控制列表access-listlist-number{deny|permit}protocolsourcesource-wildcardsource-qualifiersdestinationdestination-wildcarddestination-qualifiers[log|log-input]檢測方法1.判定條件acl；IPIPany2.檢測操作showipaccess-list[access-list-number|name如下例：Router#showipaccess-listExtendedIPaccesslist101denyudpanyanyeqntppermittcpanyanypermitudpanyanyeqtftppermiticmpanyanypermitudpanyanyeqdomain編號：安全要求-設(shè)備-通用-配置-17-可選要求內(nèi)容IPSSH操作指南1．參考配置操作router#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.router(config)#hostnameRouterRouter(config)#ipdomain-nameRouter.domain-name配置訪問控制列表Router(config)#noaccess-listRouter(config)#access-list12permithost00Router(config)#linevty04Router(config-line)#access-class12inRouter(config-line)#exit配置賬號和連接超時Router(config)#servicepassword-encryptionRouter(config)#usernamenormaluserpassword3d-zirc0niaRouter(config)#usernamenormaluserprivilege1Router(config)#linevty04Router(config-line)#loginlocalRouter(config-line)#exec-timeout50rsaRouter(config)#cryptokeygeneratersaThenameforthekeyswillbe:Router.domain-nameChoosethesizeofthekeymodulusintherangeof360to2048foryourGeneralPurposeKeys.Choosingakeymodulusgreaterthan512maytakeafewminutes.Howmanybitsinthemodulus[512]:2048GeneratingRSAKeys...[OK]sshsshRouter(config-line)#exitRouter(config)#2．補(bǔ)充操作說明配置描述：ssh00ssh配置遠(yuǎn)程訪問里連接超時rsarsasshdrsasshdssh操作系統(tǒng)配置檢查例：HP-UX系統(tǒng)編號：安全要求-設(shè)備-HP-UX-配置-1要求內(nèi)容應(yīng)按照不同的用戶分配不同的賬號，避免不同用戶間共享賬號，避免用戶賬號和設(shè)備間通信使用的賬號共享。操作指南1、參考配置操作為用戶創(chuàng)建賬號：#useraddusername#創(chuàng)建賬號#passwdusername#設(shè)置密碼修改權(quán)限：#chmod750directory#其中755為設(shè)置的權(quán)限，可根據(jù)實(shí)際情況設(shè)置相應(yīng)的權(quán)限，directory是要更改權(quán)限的目錄)使用該命令為不同的用戶分配不同的賬號，設(shè)置不同的口令及權(quán)限信息等。2、補(bǔ)充操作說明檢測方法1、判定條件能夠登錄成功并且可以進(jìn)行常用操作；2、檢測操作使用不同的賬號進(jìn)行登錄并進(jìn)行一些常用操作；3、補(bǔ)充說明編號：安全要求-設(shè)備-HP-UX-配置-2要求內(nèi)容應(yīng)刪除或鎖定與設(shè)備運(yùn)行、維護(hù)等工作無關(guān)的賬號。系統(tǒng)內(nèi)存在不可刪除的內(nèi)置賬號，包括root,bin等。操作指南1、參考配置操作刪除用戶：#userdelusername;鎖定用戶：修改/etc/shadowNP將/etc/passwdshell/bin/noshell3)#passwd-lusername只有具備超級用戶權(quán)限的使用者方可使用，#passwdlusername#passwddusername2、補(bǔ)充操作說明需要鎖定的用戶：lp,nuucp,hpdb,www,demon。檢測方法1、判定條件被刪除或鎖定的賬號無法登錄成功；2、檢測操作使用刪除或鎖定的與工作無關(guān)的賬號登錄系統(tǒng)；3、補(bǔ)充說明需要鎖定的用戶：lp,nuucp,hpdb,www,demon。編號：安全要求-設(shè)備-HP-UX-配置-3要求內(nèi)容限制具備超級管理員權(quán)限的用戶遠(yuǎn)程登錄。遠(yuǎn)程執(zhí)行管理員權(quán)限操作，應(yīng)先以普通權(quán)限用戶遠(yuǎn)程登錄后，再切換到超級管理員權(quán)限賬號后執(zhí)行相應(yīng)操作。操作指南1、 參考配置操作編輯/etc/securetty，加上：console保存后退出，并限制其他用戶對此文本的所有權(quán)限：chownroot:sys/etc/securettychmod600/etc/securettyroottelnetssh2、補(bǔ)充操作說明rootssh/etc/ssh/sshd_configPermitRootLoginyesPermitRootLoginno，重啟sshd檢測方法1、判定條件root遠(yuǎn)程登錄不成功，提示“Notonsystemconsole”；普通用戶可以登錄成功，而且可以切換到root用戶；2、檢測操作root從遠(yuǎn)程使用telnet登錄；telnetrootssh普通用戶從遠(yuǎn)程使用ssh登錄；3、補(bǔ)充說明限制rootssh/etc/ssh/sshd_configPermitRootLoginyesPermitRootLoginnosshd服務(wù)。編號：安全要求-設(shè)備-HP-UX-配置-4-可選要求內(nèi)容根據(jù)系統(tǒng)要求及用戶的業(yè)務(wù)需求，建立多帳戶組，將用戶賬號分配到相應(yīng)的帳戶組。操作指南1、參考配置操作創(chuàng)建帳戶組：#groupaddgGIDgroupnameGIDGIDGID#usermod–ggroupusername#將用戶username分配到group組中。GID：#idusername可以根據(jù)實(shí)際需求使用如上命令進(jìn)行設(shè)置。2、補(bǔ)充操作說明gGID0499binmail499。GID當(dāng)grop_nmegropaddnewgrp命令進(jìn)行更改，如#newgrpsyssys檢測方法1、判定條件可以查看到用戶賬號分配到相應(yīng)的帳戶組中；或都通過命令檢查賬號是否屬于應(yīng)有的組：#idusername2、檢測操作查看組文件：cat/etc/group3、補(bǔ)充說明文件中的格式說明：group_name::GID:user_list編號：安全要求-設(shè)備-HP-UX-配置-5-可選要求內(nèi)容對系統(tǒng)賬號進(jìn)行登錄限制，確保系統(tǒng)賬號僅被守護(hù)進(jìn)程和服務(wù)使用，不應(yīng)直接由該賬號登錄系統(tǒng)。如果系統(tǒng)沒有應(yīng)用這些守護(hù)進(jìn)程或服務(wù)，應(yīng)刪除這些賬號。操作指南1、參考配置操作禁止賬號交互式登錄：foruserinwwwsyssmbnulliwwwowwwsshd\hpsmhnameduucpnuucpadmdaemonbinlp\nobodynoaccesshpdbuseradm;dopasswd–l"$user"/usr/sbin/usermod-s/bin/false"$user"if[["$(uname-r)"=B.10*]];then/usr/lbin/modprpw-w"*""$user"else/usr/lbin/modprpw-w"$user"fidone刪除賬號：#userdelusername;2、補(bǔ)充操作說明wwwsyssmbnulliwwwowwwsshdhpsmhnameduucpnuucpadmdaemonbinlpnobodynoaccesshpdbuseradm.檢測方法1、判定條件被禁止賬號交互式登錄的帳戶遠(yuǎn)程登錄不成功；2、檢測操作rootloginincorrectroot3、補(bǔ)充說明數(shù)據(jù)庫配置檢查例：oracle數(shù)據(jù)庫ORACLE要求內(nèi)容應(yīng)按照用戶分配賬號，避免不同用戶間共享賬號。操作指南1、 參考配置操作createuserabc1identifiedbypassword1;createuserabc2identifiedbypassword2;建立role，并給role授權(quán)，把role賦給不同的用戶2、 補(bǔ)充操作說明1abc1abc2檢測方法3、 判定條件不同名稱的用戶可以連接數(shù)據(jù)庫4、 檢測操作connectabc1/password1連接數(shù)據(jù)庫成功5、補(bǔ)充說明編號：安全要求-設(shè)備-ORACLE-配置-2-可選要求內(nèi)容應(yīng)刪除或鎖定與數(shù)據(jù)庫運(yùn)行、維護(hù)等工作無關(guān)的賬號。操作指南1、 參考配置操作alteruserusernamelock;dropuserusernamecascade;2、 補(bǔ)充操作說明檢測方法3、 判定條件首先鎖定不需要的用戶在經(jīng)過一段時間后，確認(rèn)該用戶對業(yè)務(wù)確無影響的情況下，可以刪除4、檢測操作5、補(bǔ)充說明編號：安全要求-設(shè)備-ORACLE-配置-3要求內(nèi)容限制具備數(shù)據(jù)庫超級管理員（SYSDBA）權(quán)限的用戶遠(yuǎn)程登錄。（導(dǎo)致數(shù)據(jù)庫重起后，無法打開數(shù)據(jù)庫）操作指南1、參考配置操作spfileREMOTE_LOGIN_PASSWORDFILE=NONEsqlnet.oraSQLNET.AUTHENTICATION_SERVICES=NONESYSDBA2、補(bǔ)充操作說明檢測方法3、判定條件Sql*NetSYSDBAsqlplus/assysdba’連接到數(shù)據(jù)庫需要輸入口令。4、檢測操作Oraclesqlplus/assysdbasqlplusshowparameterNONE。ShowparameterREMOTE_LOGIN_PASSWORDFILE檢查在$ORACLE_HOME/network/admin/sqlnet.oraNONE。5、補(bǔ)充說明編號：安全要求-設(shè)備-ORACLE-配置-8要求內(nèi)容在數(shù)據(jù)庫權(quán)限配置能力內(nèi)，根據(jù)用戶的業(yè)務(wù)需要，配置其所需的最小權(quán)限。操作指南1、參考配置操作grant權(quán)限tousername;revoke權(quán)限fromusername;2、補(bǔ)充操作說明用第一條命令給用戶賦相應(yīng)的最小權(quán)限用第二條命令收回用戶多余的權(quán)限檢測方法3、判定條件4、檢測操作5、補(bǔ)充說明編號：安全要求-設(shè)備-ORACLE-配置-9要求內(nèi)容使用數(shù)據(jù)庫角色（ROLE）來管理對象的權(quán)限。操作指南1、參考配置操作CreateRoleGrantRole2、補(bǔ)充操作說明檢測方法3、判定條件DBARoleDBAsqlplusdba_role_privs、dba_sys_privsdba_tab_privsROLE5、補(bǔ)充說明編號：安全要求-設(shè)備-ORACLE-配置-10-可選要求內(nèi)容對用戶的屬性進(jìn)行控制，包括密碼策略、資源限制等。操作指南1、參考配置操作可通過下面類似命令來創(chuàng)建profile，并把它賦予一個用戶CREATEPROFILEapp_user2LIMITFAILED_LOGIN_ATTEMPTS6PASSWORD_LIFE_TIME60PASSWORD_REUSE_TIME60PASSWORD_REUSE_MAX5PASSWORD_VERIFY_FUNCTIONverify_functionPASSWORD_LOCK_TIME1/24PASSWORD_GRACE_TIME90;ALTERUSERjdPROFILEapp_user2;2、補(bǔ)充操作說明檢測方法3、判定條件profileprofileCPUDBAsqlplus查詢視圖dba_profilesdba_usresprofile編號：安全要求-設(shè)備-ORACLE-配置-13要求內(nèi)容啟用數(shù)據(jù)字典保護(hù)，只有SYSDBA用戶才能訪問數(shù)據(jù)字典基礎(chǔ)表。操作指南1、參考配置操作SYSDBAO7_DICTIONARY_ACCESSIBILITY=FALSE2、補(bǔ)充操作說明檢測方法3、判定條件以普通dba用戶登陸到數(shù)據(jù)庫，不能查看X$開頭的表，比如：select*fromsys.x$ksppi;4、檢測操作Oraclesqlplus/assysdbasqlplusshowparameterFALSE。ShowparameterO7_DICTIONARY_ACCESSIBILITY5、補(bǔ)充說明滲透測試（滲透測試報告的價值直接依賴于測試者的專業(yè)技能滲透測試目標(biāo)掃描目標(biāo)目標(biāo)類型掃描方式掃描策略http://www.滲透目標(biāo).com/門戶網(wǎng)站內(nèi)網(wǎng)掃描主機(jī)漏洞掃描、Web漏洞掃描、弱密碼漏洞掃描http://web.滲透目標(biāo).com/應(yīng)用系統(tǒng)內(nèi)網(wǎng)掃描主機(jī)漏洞掃描、Web漏洞掃描、弱密碼漏洞掃描http://web2.應(yīng)用系統(tǒng)內(nèi)網(wǎng)掃描主機(jī)漏洞掃描、Web漏洞掃滲透目標(biāo).com/描、弱密碼漏洞掃描http://web3.滲透目標(biāo).com/應(yīng)用系統(tǒng)內(nèi)網(wǎng)掃描測試主機(jī)漏洞掃描、Web漏洞掃描、弱密碼漏洞掃描滲透測試工作標(biāo)準(zhǔn)依據(jù)如下標(biāo)準(zhǔn)實(shí)施滲透測試服務(wù)：GB/T18336-2001信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準(zhǔn)則。OSSTMM-Open-SourceSecurityTestingMethodologyManualISSAF-InformationSystemsSecurityAssessmentFrameworkOWASP-OpenWebApplicationSecurityProjectWASC-WebApplicationSecurityConsortium滲透測試前期準(zhǔn)備客戶書面同意確定滲透目標(biāo)范圍滲透測試時間范圍此外客戶可根據(jù)其對自身系統(tǒng)安全狀態(tài)的了解情況為滲透測試者規(guī)定一個測試時間窗，要求滲透測試者在此時間窗內(nèi)完成其滲透測試工作。IP確定滲透測試的人員風(fēng)險規(guī)避措施滲透測試實(shí)施流程滲透測試流程：信息收集信息收集是指滲透實(shí)施前盡可能多地獲取目標(biāo)信息系統(tǒng)相關(guān)信息，例如網(wǎng)站注冊信息、弱點(diǎn)分析獲取權(quán)限對目標(biāo)信息系統(tǒng)滲透成功，獲取目標(biāo)信息系統(tǒng)普通權(quán)限。權(quán)限提升采用的技術(shù)手段主要是通過網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層三個方面進(jìn)行滲透測試。網(wǎng)絡(luò)層安全針對該系統(tǒng)所在網(wǎng)絡(luò)層進(jìn)行網(wǎng)絡(luò)拓?fù)涞奶綔y、路由測試、防火墻規(guī)則試探、規(guī)避測試、Vlan由于服務(wù)器系統(tǒng)和網(wǎng)絡(luò)設(shè)備研發(fā)生產(chǎn)過程中所固有的安全隱患及系統(tǒng)管理員或網(wǎng)絡(luò)管理員的疏忽，一般網(wǎng)絡(luò)層安全漏洞包括以下安全威脅：明文保存密碼由于管理員的疏忽，設(shè)備配置密碼以明文的方式保存，這帶來了一定的安全威脅。未配置登錄超時AAA系統(tǒng)沒有配置統(tǒng)一的AAA認(rèn)證，這不便于權(quán)限的管理。ACL交換機(jī)沒有配置管理IP的ACL，可導(dǎo)致任意地址訪問設(shè)備，應(yīng)該增加ACL進(jìn)行限制。其他配置問題系統(tǒng)層安全版本過低（Apache版本過底，可能存在大量溢出漏洞）。遠(yuǎn)程溢出漏洞（使用者輸入?yún)?shù)對所接收數(shù)據(jù)本地提權(quán)漏洞本地提權(quán)漏洞是指低權(quán)限、受限制的用戶，可以提升到系統(tǒng)最高權(quán)限或比較大的權(quán)限，從而取得對網(wǎng)站服務(wù)器的控制權(quán)。弱口令權(quán)限過大權(quán)限過大是指某用戶操作權(quán)限超出他本身安全操作權(quán)限范圍之外，這存在一定的安全風(fēng)險。高危服務(wù)/端口開放系統(tǒng)很多高危服務(wù)和端口會被默認(rèn)開放，例如，80，443，843，80018010，其中8001~8010TCPUDPSSH、Telnet、X-windows、Rlogin、ms-rpc、SNMP、FTP、TFTPIPC$連接允許匿名IPC$連接，是一個遠(yuǎn)程登錄功能，同時所有的邏輯盤(c$,d$,e$……)和系統(tǒng)目錄winnt或windows(admin$)資源可共享，存在一定的安全風(fēng)險。其他配置問題應(yīng)用層安全SQLCSRFSQLSQLSQLSQL跨站腳本XSSCSS(CrossSiteScriptExecution)，是指服務(wù)器端的CGIHTMLWEBHTML表單繞過SQL上傳漏洞上傳漏洞是指網(wǎng)站開發(fā)者在開發(fā)時在上傳頁面中針對文件格式（asp、php）和文webshell文件包含已知木馬PCPC敏感信息泄露WEBSQLSQL以下幾個是比較典型的敏感信息泄露漏洞：源碼信息泄露；……惡意代碼解析漏洞遠(yuǎn)程代碼執(zhí)行漏洞（有時我們在用戶認(rèn)證只顯示給用戶認(rèn)證過的任意文件讀取系統(tǒng)開發(fā)過程中沒有重視安全問題或使用不安全的第三方組件等，導(dǎo)致任意文件可讀取，可導(dǎo)致入侵者獲得數(shù)據(jù)庫權(quán)限，并利用數(shù)據(jù)庫提權(quán)進(jìn)一步獲得系統(tǒng)權(quán)限。目錄遍歷目錄遍歷是指由于程序中沒有過濾用戶輸入的../和./之類的目錄跳轉(zhuǎn)符,導(dǎo)致攻擊者通過提交目錄跳轉(zhuǎn)來遍歷服務(wù)器上的任意文件。目錄列出URL（URL跨站請求偽造（Cross-siterequestforgeryoneclickattacksessionridingCSRFXSRFXSSXSSCSRFXSS攻擊相比，CSRF攻擊往往不大流行（因此對其進(jìn)行防范的資源也相當(dāng)稀少）和難以防范，所以被認(rèn)為比XSS更具危險性。弱口令不安全對象引用安全配置錯誤HTTP鏈接地址重定向（而某些程序在重定向的跳轉(zhuǎn)過程中，對重定向的地址未進(jìn)行必要的有效性和安全性檢URL，而導(dǎo)致用戶信息受損。跳轉(zhuǎn)漏洞URLXSS后臺管理會話管理會話管理主要是針對需授權(quán)的登錄過程的一種管理方式，以用戶密碼驗(yàn)證為常見方式，通過對敏感用戶登錄區(qū)域的驗(yàn)證，可有效校驗(yàn)系統(tǒng)授權(quán)的安全性，測試包含以下部分：用戶口令易猜解通過對表單認(rèn)證、HTTP是否存在驗(yàn)證碼防護(hù)是否存在易暴露的管理登錄地址某些管理地址雖無外部鏈接可介入，但由于采用了容易猜解的地址（如：admin）而導(dǎo)致登錄入口暴露，從而給外部惡意用戶提供了可乘之機(jī)。是否提供了不恰當(dāng)?shù)尿?yàn)證錯誤信息HTTPFuzzingSession是否隨機(jī)SessionSessionSession校驗(yàn)前后Session是否變更SessionSession會話存儲是存儲于客戶端本地（cookie）還是存儲于服務(wù)端（Session無效驗(yàn)證碼目標(biāo)系統(tǒng)管理入口（或數(shù)據(jù)庫外部連接）存在缺少驗(yàn)證碼，攻擊者可利用弱口令漏洞，漏洞分級根據(jù)漏洞危害程度將漏洞等級分為高危、中危、低危三個級別：高危：漏洞很明顯，容易被利用，黑客通過該漏洞可獲取完全驗(yàn)證權(quán)限，執(zhí)行管理中危該漏洞需通過深入挖掘發(fā)現(xiàn)，攻擊者利用該漏洞可獲得敏感信息，影響到部分用戶，同時攻擊者在一定時間內(nèi)可重復(fù)攻擊。低危：該漏洞發(fā)現(xiàn)困難，利用難度大，重復(fù)攻擊難，危害影響小。系統(tǒng)備份與恢復(fù)措施網(wǎng)絡(luò)應(yīng)用系統(tǒng)類：對網(wǎng)絡(luò)應(yīng)用服務(wù)系統(tǒng)及其配置、用戶信息、數(shù)據(jù)庫等進(jìn)行備份。網(wǎng)絡(luò)設(shè)備類：對網(wǎng)絡(luò)設(shè)備的配置文件進(jìn)行備份。桌面系統(tǒng)類：備份用戶信息，用戶文檔，電子郵件等信息資料。滲透測試風(fēng)險交付交付成果報告列表：《滲透測試報告》滲透測試結(jié)果安全加固方案web安全專家針對源代碼、頁面以及網(wǎng)站中存在的安全漏洞，進(jìn)行點(diǎn)對點(diǎn)安全修復(fù)與加固。安全加固風(fēng)險與控制措施安全加固和優(yōu)化服務(wù)存在以下安全風(fēng)險：安全加固過程中的誤操作；安全加固后造成業(yè)務(wù)服務(wù)性能下降、服務(wù)中斷；廠家提供的加固補(bǔ)丁和工具可能存在新的漏洞，帶來新的風(fēng)險；我們將采取以下措施，控制和避免上述風(fēng)險：嚴(yán)格審核安全加固的流程和規(guī)范；嚴(yán)格審核安全加固的各子項(xiàng)內(nèi)容和加固操作方法、步驟，實(shí)施前進(jìn)行統(tǒng)一的培訓(xùn)；嚴(yán)格員工工作紀(jì)律和操作規(guī)范，實(shí)施前進(jìn)行統(tǒng)一的培訓(xùn)；制訂意外事件的緊急處理和恢復(fù)流程；收集系統(tǒng)信息做好備份工作webweb復(fù)查配置對加固后的系統(tǒng)，全部復(fù)查一次所作加固內(nèi)容，確保正確無誤。應(yīng)急恢復(fù)業(yè)務(wù)系統(tǒng)威脅業(yè)務(wù)安全業(yè)務(wù)安全測試內(nèi)容身份認(rèn)證安全sessioncookie暴力破解burpsuitesessioncookiesessionsessionIDIDsessionidCookiecooikiecookiecookie加密測試https業(yè)務(wù)一致性安全用戶信息篡改訂單/用戶/IDIDID（加減一）能夠查看其它用戶的訂單信息、或者IDID業(yè)務(wù)數(shù)據(jù)篡改測試業(yè)務(wù)數(shù)據(jù)的篡改常見于在商品的數(shù)量價格方面進(jìn)行繞過篡改，造成經(jīng)濟(jì)損失。金額數(shù)據(jù)修改商品數(shù)量修改jsJavascriptJavascript用戶輸入合規(guī)性XSSFUZZ密碼找回測試密碼是用戶的重要身份憑證之一，在測試用戶密碼時一般流程：首先嘗試正常密碼找回流程，選擇不同找回方式，記錄所有數(shù)據(jù)包；分析數(shù)據(jù)包，找到敏感部分；分析后臺找回機(jī)制所采用的驗(yàn)證手段；修改數(shù)據(jù)包驗(yàn)證推測。驗(yàn)證碼繞過測試驗(yàn)證碼不單單在登錄、找密碼應(yīng)用，提交敏感數(shù)據(jù)的地方也有類似應(yīng)用，故單獨(dú)分類，并進(jìn)一步詳情說明。burpsuite驗(yàn)證碼時間、次數(shù)測試：抓取攜帶驗(yàn)證碼的數(shù)據(jù)包不斷重復(fù)提交，例如：在投訴建驗(yàn)證碼客戶端回顯測試：當(dāng)客戶端有需要和服務(wù)器進(jìn)行交互，發(fā)送驗(yàn)證碼時，即可使用瀏覽器調(diào)試功能就可看到客戶端與服務(wù)器進(jìn)行交互的詳細(xì)信息；驗(yàn)證碼繞過測試：當(dāng)?shù)谝徊较虻诙教D(zhuǎn)時，抓取數(shù)據(jù)包，對驗(yàn)證碼進(jìn)行篡改清空測試，驗(yàn)證該步驟驗(yàn)證碼是否可以繞過；jsjs未授權(quán)訪問非授權(quán)訪問是指用戶在沒有通過認(rèn)證授權(quán)的情況下能夠直接訪問需要通過認(rèn)證才能訪越權(quán)訪問垂直越權(quán)：垂直越權(quán)是指使用權(quán)限低的用戶可以訪問權(quán)限較高的用戶；水平越權(quán)：水平越權(quán)是指相同權(quán)限的不同用戶可以互相訪問。業(yè)務(wù)流程安全ABCDBDCCC重放攻擊（（重放（重放后被多次生成有效的業(yè)務(wù)或數(shù)據(jù)結(jié)果，可以造成惡意注冊、短信炸彈等漏洞。業(yè)務(wù)安全檢測業(yè)務(wù)安全檢測準(zhǔn)備2burpsuiteFiddlerFirefox+hackbarcookiemanagerpython等安全工具。業(yè)務(wù)安全檢測方案惡意注冊驗(yàn)證碼繞過6burpsuite密碼找回重置短信驗(yàn)證碼越權(quán)訪問常見于任意修改用戶用戶名密碼資料、用戶銀行賬號信息、用戶購買商品信息等。任意修改用戶資料BBABBAURLAB任意查詢修改用戶數(shù)據(jù)uid輸入數(shù)據(jù)合規(guī)性SQLSQLXSS業(yè)務(wù)流程繞過服務(wù)接口測試通過測試服務(wù)接口的功能來驗(yàn)證是否存在用戶可控的信息。安全測試結(jié)果輸出通過以上一系列的針對業(yè)務(wù)的檢測手段，可以快速發(fā)掘定位業(yè)務(wù)系統(tǒng)中存在的安全漏網(wǎng)絡(luò)安全架構(gòu)分析網(wǎng)絡(luò)安全風(fēng)險分析網(wǎng)絡(luò)結(jié)構(gòu)存在單點(diǎn)故障，設(shè)備性能不足以支撐業(yè)務(wù)系統(tǒng)需求等原因造成網(wǎng)絡(luò)堵塞，業(yè)務(wù)丟包率較高。由于網(wǎng)絡(luò)互連引起越權(quán)訪問、惡意攻擊、病毒入侵等原因，使得網(wǎng)絡(luò)邊界存在安全隱患。缺乏必要的身份鑒別、安全防范、安全審計(jì)等技術(shù)手段，容易造成設(shè)備的無權(quán)限訪問和惡意更改設(shè)備參數(shù)。缺乏必要的網(wǎng)絡(luò)安全檢測、主動防御設(shè)備，使得惡意攻擊、非法訪問、網(wǎng)絡(luò)病毒、DOS（拒絕服務(wù)）/DDOS主機(jī)安全風(fēng)險分析WindowsLinux都可能存在安全漏洞，影響主機(jī)運(yùn)行安全的風(fēng)險主要有：缺乏必要的身份鑒別、安全審計(jì)等手段，容易造成設(shè)備的無權(quán)限訪問和惡意更改設(shè)備參數(shù)。系統(tǒng)中殘存有未及時刪除的過期賬號、測試賬號、共享賬號、默認(rèn)用戶等可非法入侵的賬戶信息。病毒入侵導(dǎo)致信息泄漏、文件丟失、機(jī)器死機(jī)等不安全因素。應(yīng)用安全風(fēng)險分析用戶賬號被非法使用，冒用他人身份非法訪問信息系統(tǒng)，導(dǎo)致數(shù)據(jù)被非法竊取、非授權(quán)訪問、惡意篡改等非法操作。應(yīng)用軟件存在漏洞或在開發(fā)過程中存在后門，為黑客留下入侵的可操作性；同時軟數(shù)據(jù)安全及備份恢復(fù)在數(shù)據(jù)傳輸過程中無法檢測用戶數(shù)據(jù)和重要業(yè)務(wù)數(shù)據(jù)等在傳輸過程中是否受到破壞或因關(guān)鍵數(shù)據(jù)未及時備份，在主節(jié)點(diǎn)遭到破壞后無法及時進(jìn)行數(shù)據(jù)恢復(fù)。5）管理安全風(fēng)險分析責(zé)權(quán)不明、管理混亂、沒有相應(yīng)的安全管理組織，缺少安全管理人員編制，安全管理組織不健全會造成上下級管理混亂，遇到突發(fā)情況時無法及時有效地進(jìn)行應(yīng)急響應(yīng)。人員安全意識淡薄，在日常工作中無意泄露系統(tǒng)口令、隨意放置操作員卡、私接外網(wǎng)、非法拷貝系統(tǒng)信息、私自安裝/卸載程序、違規(guī)操作、擅離崗位等均會造成安全隱患。人員分工和職責(zé)不明，缺乏必要的監(jiān)督、約束、獎罰制度等造成的潛在管理風(fēng)險。專項(xiàng)安全檢查webshellwebwebshellWebshellwebwebwebshell（webshellwebphp、asp、aspx、jspwebshellwebshellPHPwebshellASP/ASPXwebshell:JSP/JSPXwebshell:webWebwebIP，useragentApache日志格式:IIS日志格式例：日志匯總wvs掃描特征：系統(tǒng)登錄日志專項(xiàng)檢查通過對系統(tǒng)日志進(jìn)行分析，可以對登錄時間、登錄IP進(jìn)行判定，查找出可疑的登錄行為。LINUX日志示例：Windows登錄檢測：安全管理咨詢3-5制定安全策略，并根據(jù)策略完善相關(guān)制度體系；建立信息安全管理體系（ISMS），提升總體安全管理水平；IS27000ISMS建立安全運(yùn)維管理體系；結(jié)合信息安全整體規(guī)劃進(jìn)行實(shí)施；結(jié)合安全域劃分進(jìn)行實(shí)施；結(jié)合等級保護(hù)相關(guān)內(nèi)容進(jìn)行實(shí)施。安全管理方針和目標(biāo)信息安全管理方法ISO/IEC27001:2005PDCA建立健全信息安全管理體系的過程模式如下圖所示。信息安全管理體系的建立、實(shí)施、運(yùn)作、監(jiān)視、評審、保持和改進(jìn)的策劃活動包括：1、信息安全管理體系的策劃與準(zhǔn)備。策劃與準(zhǔn)備階段主要是做好建立信息安全管理體系的各種前期工作。內(nèi)容包括教育培訓(xùn)、擬定計(jì)劃、信息安全管理現(xiàn)狀調(diào)查與風(fēng)險評估，及信息安全管理體系設(shè)計(jì)。2、信息安全管理體系文件的編制。為實(shí)現(xiàn)風(fēng)險控制、評價和改進(jìn)信息安全管理體系、實(shí)現(xiàn)持續(xù)改進(jìn)提供不可或缺的依據(jù)。3、信息安全管理體系運(yùn)行。信息安全管理體系文件編制完成以后，按照文件的控制要求進(jìn)行審核與批準(zhǔn)并發(fā)布實(shí)4、信息安全管理體系審核與評審。ISMS根據(jù)ISO/IEC27001:2005的要求，按以下步驟建立ISMS：ISMSISMS定義適用于行業(yè)的風(fēng)險評估方法；識別信息系統(tǒng)涉及的資產(chǎn)面臨的各種風(fēng)險；對各種風(fēng)險加以評估，判斷風(fēng)險是否可以接受或需要進(jìn)行必要的處置；選擇風(fēng)險處置的控制目標(biāo)和控制方式；根據(jù)行業(yè)的信息安全方針，處置不可接受的風(fēng)險。管理層批準(zhǔn)可接受的殘留風(fēng)險；ISMS；ISMS在信息安全管理體系文件編制完成以后，分成兩個階段來實(shí)施并運(yùn)作ISMS：公布風(fēng)險處置計(jì)劃；實(shí)施風(fēng)險處置計(jì)劃以達(dá)到確定的控制目標(biāo)；評估控制措施的有效性；對員工進(jìn)行培訓(xùn)。PDCAISMSISMS實(shí)施程序及其他控制以及時檢測、響應(yīng)安全事故。ISMS執(zhí)行監(jiān)視程序和其它控制；及時檢測過程、結(jié)果中的錯誤；及時識別失敗的或成功的安全違規(guī)和事故；決定反映業(yè)務(wù)優(yōu)先級的安全違規(guī)的解決措施。ISMS評審殘留風(fēng)險和可接受風(fēng)險的等級考慮以下方面的變化：組織結(jié)構(gòu)變化技術(shù)變革更新業(yè)務(wù)目標(biāo)和過程已識別的威脅外部事件如法律法規(guī)環(huán)境的變化、社會風(fēng)氣的變化ISMSISMSISMSISMSISMS訓(xùn)；溝通結(jié)果和措施并與所有相關(guān)方達(dá)成一致；確保改進(jìn)活動達(dá)到了預(yù)期的目的。信息安全管理體系控制域ISO/IEC27001:2005《信息安全管理體系》，和行業(yè)管1111安全策略為信息安全提供管理指導(dǎo)和支持，并與業(yè)務(wù)要求和相關(guān)的法律法規(guī)保持一致。安全組織資產(chǎn)管理通過及時更新的信息資產(chǎn)目錄對信息資產(chǎn)進(jìn)行適當(dāng)?shù)谋Ｗo(hù)。人力資源安全物理環(huán)境安全防止對工作場所和信息的非法訪問、破壞和干擾。通訊操作安全確保信息處理設(shè)施的正確和安全操作。訪問控制控制對行業(yè)內(nèi)所有信息的訪問行為。信息系統(tǒng)的獲取、開發(fā)和維護(hù)確保安全始終成為信息系統(tǒng)在不同生命周期之中的一部分。信息安全事件管理確保與信息系統(tǒng)有關(guān)的安全事件和弱點(diǎn)的報告，以便及時采取糾正措施。業(yè)務(wù)連續(xù)性管理符合性管理避免違反法律、法規(guī)、規(guī)章、合同要求和其它安全要求。ISMSISO27001ISMSISO27001范圍信息安全管理體系建設(shè)和落實(shí)、培訓(xùn)等內(nèi)容。1ISO27001協(xié)助客戶進(jìn)行信息安全管理體系進(jìn)行發(fā)布、宣貫和培訓(xùn)；面向試點(diǎn)單位各層面宣貫本次服務(wù)項(xiàng)目的成果，確保安全管理流程的落實(shí)和執(zhí)行。2培訓(xùn)內(nèi)容應(yīng)包括：ISMSISMS27001調(diào)研和風(fēng)險管理1、管理體系范圍確定ISMS確定的范圍具體一般包括：業(yè)務(wù)、部門、應(yīng)用系統(tǒng)范圍信息資產(chǎn)（如硬件、軟件、數(shù)據(jù)）人員（如項(xiàng)目組成員及聯(lián)系方式）環(huán)境（如建筑、設(shè)備物理位置）活動（如對資產(chǎn)進(jìn)行的操作、相關(guān)的權(quán)限等）IP（IP）工作方法：實(shí)地考察、安全顧問訪談、協(xié)調(diào)會議討論。2調(diào)研內(nèi)容包括但不限于：現(xiàn)有的安全政策、規(guī)范和文件安全管理組織結(jié)構(gòu)及人員配置人員知識、技能和意識情況現(xiàn)有安全控制措施的設(shè)置和部署、運(yùn)維情況現(xiàn)有的技術(shù)支撐設(shè)施情況績效考核KPI現(xiàn)有安全管理流程、規(guī)范的開展、落實(shí)情況現(xiàn)有安全管理流程、規(guī)范的實(shí)施效果來自業(yè)務(wù)、法律法規(guī)方面的安全需求曾發(fā)生的信息安全事件工作方法：文檔審查、安全顧問訪談。3、流程梳理工作方法：文檔審查、安全顧問訪談。4、ISO27001差距分析ISO27001ISO270011139133工作方法：團(tuán)隊(duì)討論、統(tǒng)計(jì)分析。5、風(fēng)險評估ISMSIT（ISMS1、適用性聲明ISO27001工作方法：安全顧問訪談、協(xié)調(diào)會議討論。2、總體設(shè)計(jì)ISO27001ISO27002ISMS工作方法：協(xié)調(diào)會議討論。3、總體安全方針建設(shè)ISO27001A5ISMS工作方法：安全顧問訪談、協(xié)調(diào)會議討論。4、信息安全策略體系建設(shè)ISO27001工作方法：協(xié)調(diào)會議討論。5、管理制度、規(guī)范及流程建設(shè)（IT工作方法：意見征集、協(xié)調(diào)會議討論。6、審計(jì)與考核體系建設(shè)工作方法：意見征集、協(xié)調(diào)會議討論。7、信息安全組織體系建設(shè)ISO27001（不僅僅是從事安全管理和業(yè)務(wù)的人員工作方法：協(xié)調(diào)會議討論。ISMS1、體系分發(fā)與宣貫ISMS工作方法：協(xié)調(diào)會議討論、培訓(xùn)。2、制度試用工作內(nèi)容：ISMS工作方法：現(xiàn)場測試。3、巡檢和審計(jì)工作內(nèi)容：安保公司定期對不同角色的不同安全管理流程、規(guī)范的執(zhí)行情況進(jìn)行檢查，通過查看相關(guān)流程遵循情況、表單記錄情況。工作方法：穿行測試、問卷調(diào)查、顧問訪談。4ISMSISMS工作方法：安全顧問訪談、管理問卷調(diào)查、實(shí)地考察等。現(xiàn)有信息安全管理制度體系分析安保公司將匯總客戶現(xiàn)有的信息科技風(fēng)險管理工作制度文檔并進(jìn)行分析，整理制度名錄，給出框架圖，并進(jìn)行總體分析。在此基礎(chǔ)之上，對現(xiàn)有制度進(jìn)行分析評估，包括：現(xiàn)有制度與監(jiān)管要求之間的差異。客戶信息科技風(fēng)險管理現(xiàn)狀與現(xiàn)有制度之間的差異，即執(zhí)行落實(shí)的狀況。客戶信息科技風(fēng)險管理現(xiàn)狀與監(jiān)管要求之間的差距。基于標(biāo)準(zhǔn)的信息安全管理體系設(shè)計(jì)安保公司將按照四級的結(jié)構(gòu)為客戶建立信息安全管理策略與制度體系。一級文件二級文件三級文件四級文件信息安全管理制度文檔體系（文件類型級別文件名稱信息安全管理體系一級信息安全方針、目標(biāo)信息安全管理范圍信息安全管理適用性說明信息安全管理文件說明二級信息安全管理內(nèi)審與改進(jìn)規(guī)定信息安全管理管理評審規(guī)定信息安全管理文件管理規(guī)定信息安全管理記錄管理規(guī)定信息資產(chǎn)風(fēng)險評估管理規(guī)定四級糾正和預(yù)防措施處理表格信息安全管理內(nèi)部稽審方案內(nèi)審檢查表內(nèi)部稽審報告不符合項(xiàng)報告管理評審計(jì)劃部門管理評審報告管理評審報告會議簽到表信息安全管理文件清單外來信息安全管理文件清單信息安全管理文件發(fā)放回收記錄信息安全管理文件修改申請單信息安全管理記錄借閱登記表信息安全管理記錄處理審批表信息安全管理記錄清單信息安全管理風(fēng)險評估參數(shù)量化標(biāo)準(zhǔn)資產(chǎn)風(fēng)險評估表樣例信息安全管理信息資產(chǎn)登記表信息安全管理資產(chǎn)風(fēng)險評估表信息安全管理信息資產(chǎn)風(fēng)險評估更新記錄信息安全組織三級信息安全組織架構(gòu)、職責(zé)描述、實(shí)施規(guī)范資產(chǎn)管理三級信息資產(chǎn)管理規(guī)定信息資產(chǎn)敏感性標(biāo)識實(shí)施細(xì)則四級信息介質(zhì)安全報廢申請表人力資源安全三級人力資源安全管理規(guī)定工作人員變動管理辦法人員信息安全守則信息安全量化記分管理細(xì)則第三方和外包人員安全管理細(xì)則四級人員保密協(xié)議信息安全責(zé)任書(即領(lǐng)導(dǎo)的安全承諾書)員工信息安全承諾書外部人員信息安全承諾書(新增）信息安全違規(guī)行為基礎(chǔ)分值表信息安全違規(guī)行為記錄表物理與環(huán)境安全三級物理與環(huán)境安全管理規(guī)定物理安全區(qū)域管理細(xì)則機(jī)房管理辦法物理安全區(qū)域標(biāo)識實(shí)施細(xì)則四級來訪人員登記表機(jī)房出入申請表機(jī)房出入登記表機(jī)房安全巡檢登記表通訊與操作管理三級通信與操作管理規(guī)定計(jì)算機(jī)病毒防治管理辦法數(shù)據(jù)備份管理辦法IP備份存儲介質(zhì)管理細(xì)則移動存儲介質(zhì)管理辦法電子郵件管理細(xì)則信息存儲介質(zhì)數(shù)據(jù)安全清除管理細(xì)則網(wǎng)絡(luò)日常安全監(jiān)控管理規(guī)定系統(tǒng)安全補(bǔ)丁管理辦法信息系統(tǒng)變更和發(fā)布管理辦法IT辦公電腦安全管理辦法四級應(yīng)用系統(tǒng)變更審查表備份數(shù)據(jù)恢復(fù)需求登記表數(shù)據(jù)備份需求登記表移動存儲介質(zhì)登記表信息存儲介質(zhì)數(shù)據(jù)清除申請表訪問控制三級訪問控制管理規(guī)定用戶賬戶及口令管理辦法四級重要系統(tǒng)關(guān)鍵用戶權(quán)限及口令季度審查表信息系統(tǒng)獲取、開發(fā)及維護(hù)三級系統(tǒng)開發(fā)過程安全管理辦法軟件開發(fā)安全基本原則四級系統(tǒng)外包信息保密及不披露協(xié)議信息安全事故管理三級信息安全事件管理規(guī)定四級信息安全事件報告信息安全事件登記表業(yè)務(wù)連續(xù)性管理三級業(yè)務(wù)連續(xù)性計(jì)劃開發(fā)程序及框架客戶信息系統(tǒng)應(yīng)急預(yù)案四級信息技術(shù)應(yīng)急組織人員名單信息系統(tǒng)事故分類和分級對照表信息系統(tǒng)事故報告政策表信息安全突發(fā)事件實(shí)時報告表信息安全事故處理報告信息應(yīng)急預(yù)案啟動表信息系統(tǒng)應(yīng)急演練記錄表信息系統(tǒng)應(yīng)急恢復(fù)策略與操作步驟匯編符合性管理規(guī)定三級信息安全檢查細(xì)則信息安全法律法規(guī)清單外購軟件清單符合性授權(quán)軟件清單四級信息安全檢查計(jì)劃信息安全檢查表信息安全檢查報告信息安全策略以下安全策略作為拋磚引玉，將根據(jù)客戶實(shí)際情況進(jìn)行制定。信息安全組織策略策略目標(biāo)：策略內(nèi)容：應(yīng)建立專門的信息安全組織體系，以管理信息安全事務(wù)，指導(dǎo)信息安全實(shí)踐。策略描述：（包括相關(guān)權(quán)威人士策略二：管理外部組織對信息資產(chǎn)的訪問策略目標(biāo)：確保被外部組織訪問的信息資產(chǎn)得到了安全保護(hù)。策略內(nèi)容：策略說明：資產(chǎn)管理策略策略目標(biāo)：對本行的信息資產(chǎn)建立責(zé)任，為實(shí)施適當(dāng)保護(hù)奠定基礎(chǔ)。策略內(nèi)容：策略說明：策略目標(biāo)：通過對信息資產(chǎn)的分類，明確其可以得到適當(dāng)程度的保護(hù)策略內(nèi)容：應(yīng)按照信息資產(chǎn)的價值、對組織的敏感程度和關(guān)鍵程度進(jìn)行分類和進(jìn)行標(biāo)識。策略描述：信息的分類及相關(guān)保護(hù)控制要考慮到共享或限制信息的業(yè)務(wù)需求以及與這種需求相關(guān)人力資源安全策略策略一：人員聘用前的管理策略目標(biāo)：策略內(nèi)容：策略說明：第三方人員主要有：借調(diào)或借用外部人員以及其他外部服務(wù)人員等。策略二：人員聘用中的管理策略目標(biāo)：策略內(nèi)容：策略說明：策略三：聘用的中止與變更策略目標(biāo)：策略內(nèi)容：策略說明：當(dāng)資產(chǎn)的訪問權(quán)和使用權(quán)發(fā)生變更及運(yùn)行發(fā)生變化時，要及時通知各相關(guān)方。物理環(huán)境安全策略策略目標(biāo)：防止對本行的工作場所和信息的非授權(quán)物理訪問、損壞和干擾。策略內(nèi)容：重要的或敏感的信息處理設(shè)施要放置在安全區(qū)域內(nèi)，建立適當(dāng)?shù)陌踩琳虾腿肟诳刂疲呗哉f明：可以通過在邊界和信息處理設(shè)施周圍設(shè)置一個或多個物理屏障來實(shí)現(xiàn)對安全區(qū)域的物策略目標(biāo)：應(yīng)保護(hù)設(shè)備免受物理的和環(huán)境的威脅。策略內(nèi)容：防止設(shè)備的丟失、損壞、失竊或危及資產(chǎn)安全以及造成本行活動的中斷。策略說明：（包括離開本行使用和財產(chǎn)移動的保護(hù)是減少未授權(quán)訪問信息的風(fēng)險和防止丟（/通風(fēng)和空調(diào)及考慮采取措施保證電源布纜和通信布纜免受竊聽或損壞。通訊操作安全策略策略目標(biāo)：策略內(nèi)容：應(yīng)當(dāng)為所有的信息處理設(shè)施建立必要的管理和操作的職責(zé)及程序。策略說明：策略二：管理第三方服務(wù)策略目標(biāo)：策略內(nèi)容：策略說明：策略目標(biāo)：策略內(nèi)容：策略說明：（策略目標(biāo)：保持信息和信息處理設(shè)施的完整性及可用性。策略內(nèi)容：應(yīng)按照已設(shè)的備份策略，定期對本行的重要信息和軟件進(jìn)行備份，并進(jìn)行恢復(fù)測試。策略說明：應(yīng)提供足夠的備份設(shè)施，以確保所有必要的信息和軟件能在災(zāi)難或介質(zhì)故障后進(jìn)行恢策略目標(biāo)：確保網(wǎng)絡(luò)中的信息和支持性基礎(chǔ)設(shè)施得到保護(hù)。策略內(nèi)容：策略說明：策略六：對存儲介質(zhì)的處理策略目標(biāo)：策略內(nèi)容：組織應(yīng)當(dāng)對存儲介質(zhì)的使用、移動、保管及處置等操作進(jìn)行有效管理。策略說明：CDDVD策略七：系統(tǒng)監(jiān)測策略目標(biāo)：檢測未經(jīng)授權(quán)的信息處理活動。策略內(nèi)容：策略說明：訪問控制策略策略目標(biāo)：確保只有授權(quán)用戶才能訪問系統(tǒng)，預(yù)防對信息系統(tǒng)的非授權(quán)訪問。策略內(nèi)容：應(yīng)建立正式的程序，來控制對信息系統(tǒng)和服務(wù)的用戶訪問權(quán)的分配。策略說明：訪問控制程序應(yīng)涵蓋用戶訪問生命周期內(nèi)的各個階段，從新用戶初始注冊、日常使用，策略目標(biāo)：策略內(nèi)容：策略說明：策略目標(biāo)：策略內(nèi)容：策略說明：策略目標(biāo)：策略內(nèi)容：策略說明：策略目標(biāo)：在使用移動計(jì)算和遠(yuǎn)程工作設(shè)施時，確保信息的安全。策略內(nèi)容：策略說明：信息系統(tǒng)的獲取、開發(fā)和維護(hù)策略策略目標(biāo)：確保將安全作為信息系統(tǒng)建設(shè)的重要組成部分。策略內(nèi)容：應(yīng)用系統(tǒng)的所有安全需求都需要在項(xiàng)目需求分析階段被確認(rèn)，并且作為一個信息系統(tǒng)的總體構(gòu)架的重要組成部分，要得到對其合理性的證明、并獲得用戶認(rèn)可，同時要記錄在案。策略說明：策略目標(biāo)：維護(hù)應(yīng)用程序系統(tǒng)中的軟件和信息的安全。策略內(nèi)容：策略說明：信息安全事件管理策略策略一：報告信息安全事故和系統(tǒng)弱點(diǎn)策略目標(biāo)：確保與信息系統(tǒng)有關(guān)的安全事件和系統(tǒng)弱點(diǎn)能得到及時報告，以便采取必要的糾正措施。策略內(nèi)容：策略說明：策略目標(biāo)：確保使用持續(xù)有效的方法管理信息安全事故。策略內(nèi)容：策略說明：應(yīng)該應(yīng)用一個連續(xù)性的改進(jìn)過程，對信息安全事故進(jìn)行響應(yīng)、監(jiān)視、評估和總體管理。業(yè)務(wù)連續(xù)性管理策略策略目標(biāo)：保護(hù)本行的關(guān)鍵業(yè)務(wù)流程不會因信息系統(tǒng)重大失效或自然災(zāi)害的影響而造成中斷。策略內(nèi)容：策略說明：IT方面的服務(wù)。符合性管理策略策略目標(biāo)：應(yīng)避免違反法律、法規(guī)、規(guī)章、合同的要求和其他的安全要求。策略內(nèi)容：信息系統(tǒng)的設(shè)計(jì)、運(yùn)行、使用和管理要符合法律、法規(guī)及合同的要求。策略說明：策略二：符合安全政策和標(biāo)準(zhǔn)以及技術(shù)符合性策略目標(biāo)：策略內(nèi)容：應(yīng)定期對信息系統(tǒng)的安全進(jìn)行合規(guī)性評審和技術(shù)評審，判斷其是否符合適用的安全政策、實(shí)施標(biāo)準(zhǔn)和文件化的安全控制措施。策略說明：技術(shù)符合性檢查應(yīng)由有經(jīng)驗(yàn)的系統(tǒng)工程師手動執(zhí)行（如需要，利用合適的軟件工具支持），或者由技術(shù)專家用自動工具來執(zhí)行，此工具可生成供后續(xù)解釋的技術(shù)報告。流程化解決的問題公司設(shè)計(jì)客戶安全流程時，會首先確定哪些信息安全活動需要用流程來進(jìn)行管理。如：安全事件應(yīng)急響應(yīng)流程數(shù)據(jù)備份及恢復(fù)流程員工離職交接流程（信息安全相關(guān)）……使安全制度執(zhí)行切實(shí)落地輔助決策從效果上看，信息安全量化工作可以將以往僅能定性說明的問題改為定量說明，如“A漏洞可能帶來很高風(fēng)險”是一個定性的說法，而“A漏洞可能在今年給客戶帶來價值1000萬元人民幣的綜合損失”，具體的數(shù)字可以讓領(lǐng)導(dǎo)層做出更合理的安全決策，也讓投資預(yù)算（IT安全運(yùn)維體系建設(shè)運(yùn)維體系設(shè)計(jì)框架可按如下圖所示：客戶可通過下發(fā)文件、會議宣貫、組織學(xué)習(xí)、專業(yè)培訓(xùn)等多種方式對制定的安全規(guī)劃、管理體系、運(yùn)維體系等進(jìn)行宣貫，確保所有相關(guān)人員熟悉、理解和遵守相關(guān)的流程和規(guī)范。安全巡檢安全巡檢概述安全巡檢內(nèi)容設(shè)備巡檢對各類型的設(shè)備系統(tǒng)信息、IP防火墻安全巡檢網(wǎng)絡(luò)邊界處是否部署防火墻；是否設(shè)置防火墻策略；DMZ是否定期檢查防火墻日志。網(wǎng)絡(luò)設(shè)備安全巡檢網(wǎng)絡(luò)設(shè)備是否安全使用；網(wǎng)絡(luò)的接入是否管理有效。主機(jī)防護(hù)安全巡檢用戶權(quán)限與訪問控制策略是否安全；是否及時更新操作系統(tǒng)補(bǔ)丁程序；系統(tǒng)日志管理是否完備，對現(xiàn)有對主機(jī)系統(tǒng)進(jìn)行日志分析審計(jì)。系統(tǒng)運(yùn)行安全巡檢是否指定系統(tǒng)運(yùn)行值班操作人員；是否提供常見和簡便的操作命令手冊；是否對運(yùn)行值班過程中所有現(xiàn)象、操作過程等信息進(jìn)行記錄；是否有信息系統(tǒng)運(yùn)行應(yīng)急預(yù)案。防病毒安全巡檢100%；是否有專責(zé)人員負(fù)責(zé)嚴(yán)重病毒的通告及病毒庫及時更新；是否限制從網(wǎng)上隨意下載軟件；外來設(shè)備（硬盤、U）使用前是否進(jìn)行殺毒處理。數(shù)據(jù)備份巡檢是否制定信息系統(tǒng)數(shù)據(jù)備份相關(guān)管理規(guī)程；是否對關(guān)鍵系統(tǒng)進(jìn)行定期系統(tǒng)備份與數(shù)據(jù)備份；物理機(jī)房巡檢對機(jī)房的物理環(huán)境包括適當(dāng)?shù)陌踩琳虾腿肟诳刂疲约碍h(huán)境安全（防火、防水、防雷擊等自然災(zāi)害）；設(shè)備和介質(zhì)的防盜竊防破壞等方面。定期漏洞掃描WEBweb針對漏洞掃描結(jié)果提供合理的整改建議方案。安全應(yīng)急演練及響應(yīng)WEB第第100頁共133頁web應(yīng)急響預(yù)案制定建立應(yīng)急響應(yīng)小組與明確小組成員明確事件響應(yīng)目標(biāo)在制定事件響應(yīng)計(jì)劃前，我們應(yīng)當(dāng)明白事件響應(yīng)的目標(biāo)是什么?是為了阻止攻擊，減小準(zhǔn)備應(yīng)急響應(yīng)過程中所需的工具軟件應(yīng)急響應(yīng)計(jì)劃(1)需要保護(hù)的資產(chǎn)；(2(3)事件響應(yīng)的目標(biāo)；(4)事件處理小組成員及組成結(jié)構(gòu)，以及事件處理時與它方的合作方式；(5)事件處理的具體步驟及注意事項(xiàng)；(6)事件處理完成后文檔編寫存檔及上報方式；(7)事件響應(yīng)計(jì)劃的后期維護(hù)方式；(8)事件響應(yīng)計(jì)劃的模擬演練計(jì)劃。應(yīng)急響應(yīng)實(shí)施一般應(yīng)急響應(yīng)可以按照以下五方面展開：事件識別，事件分類，事件證據(jù)收集，網(wǎng)絡(luò)、系統(tǒng)及應(yīng)用程序數(shù)據(jù)恢復(fù)，以及事件處理完成后建檔上報和保存。事件識別攻擊事件分類當(dāng)確認(rèn)已經(jīng)發(fā)現(xiàn)攻擊事件后，就應(yīng)當(dāng)立即對已經(jīng)出現(xiàn)了的攻擊事件做出嚴(yán)重程度的判斷，以明確攻擊事件達(dá)到的危害程度，以便決定下一步采取應(yīng)對措施。對攻擊事件進(jìn)行分類：(1)試探性事件;(2)一般性事件;(3)控制系統(tǒng)事件;(4)拒絕服務(wù)事件;(5)竊取破壞機(jī)密數(shù)據(jù)事件。事件證據(jù)收集系統(tǒng)恢復(fù)事件處理報告提交應(yīng)急響應(yīng)計(jì)劃維護(hù)與演練應(yīng)急響應(yīng)計(jì)劃后期維護(hù)應(yīng)急響應(yīng)模擬演練安全應(yīng)急響應(yīng)實(shí)施方案應(yīng)急響應(yīng)事件識別應(yīng)急響應(yīng)事件分析檢測與證據(jù)收集web1、webshell后門查殺通過對大量的應(yīng)急響應(yīng)經(jīng)驗(yàn)總結(jié)中，在大部分的安全事件中都會伴隨著webshell（webshellasp、php、jspcgiaspphpWEBasp所以需要對網(wǎng)站文件webshell2、取證分析webwebwebSQLSQL3、文檔記錄IP應(yīng)急響應(yīng)安全漏洞修復(fù)解決系統(tǒng)恢復(fù)應(yīng)急響應(yīng)事件總結(jié)與報告歸檔應(yīng)急響應(yīng)服務(wù)提供者對應(yīng)急過程中的安全檢查記錄與處理記錄進(jìn)行詳細(xì)記錄，并對處理過程進(jìn)行總結(jié)和分析。建檔的目的有二點(diǎn)，一是用來向上級領(lǐng)導(dǎo)報告事件起因及處理方法，應(yīng)急響應(yīng)總結(jié)的具體工作包括以下幾項(xiàng)：1）事件發(fā)生的現(xiàn)象總結(jié)時間發(fā)生的原因總結(jié)系統(tǒng)的損失損害程度評估應(yīng)急過程中采用的處理手段與解決方法相關(guān)的工具、文檔歸檔應(yīng)急響應(yīng)服務(wù)應(yīng)向服務(wù)對象提供完整的應(yīng)急事件處理報告與網(wǎng)絡(luò)安全建設(shè)方面的措施和建議，并以文檔形式發(fā)送給項(xiàng)目相關(guān)人員。防火墻策略檢查與優(yōu)化多廠商防火墻環(huán)境，可能產(chǎn)生錯誤配置或者出現(xiàn)漏洞；復(fù)雜的網(wǎng)絡(luò)環(huán)境，擁有大量防火墻而無法有效管理安全策略；高度動態(tài)的防火墻環(huán)境，即使數(shù)量不多，由于環(huán)境不斷發(fā)生變化，管理非常困難；行業(yè)監(jiān)管要求不斷提升需定期審計(jì)及合規(guī)性檢查；現(xiàn)網(wǎng)防火墻存在大量訪問策略安全隱患與無用策略、未生效策略。策略檢查與優(yōu)化內(nèi)容防火墻策