受控：C級

項目編號：DPlech-YNDW-AQFW-2023

XXX安全服務(wù)方案

DPtech

杭州迪普科技股份有限企業(yè)

HangzhouDPTechTechnologiesCo.,Ltd

年月

目錄

1項目概述............................................................7

2遵照原則............................................................7

3推薦服務(wù)內(nèi)容........................................................8

4服務(wù)詳細(xì)簡介........................................................9

4.1網(wǎng)站安全監(jiān)控.......................................................10

服務(wù)簡介....................................................10

服務(wù)功能....................................................12

服務(wù)特點....................................................15

輸出成果....................................................16

4.2滲透測試服務(wù).......................................................17

測翊施....................................................17

測試內(nèi)容....................................................19

實行環(huán)節(jié)...................................................20

輸出成果...................................................24

服務(wù)收益...................................................24

4.3網(wǎng)絡(luò)安全評估.......................................................24

閑古內(nèi)容...................................................25

I到古措施...................................................29

實行環(huán)節(jié)....................................................31

輸出成果...................................................42

4.4安軌檢服務(wù).......................................................42

服務(wù)內(nèi)容...................................................43

輸出成果...................................................44

服務(wù)收益........................................................44

服務(wù)頻率........................................................44

4.5安全加固服務(wù)...........................................................45

加固內(nèi)容........................................................45

力口固流程........................................................48

輸出成果........................................................53

月艮務(wù)收益........................................................54

月艮務(wù)頻率........................................................54

4.6應(yīng)急響應(yīng)服務(wù)............................................................54

服務(wù)內(nèi)容........................................................55

輸出成果........................................................57

服務(wù)蜘........................................................57

服務(wù)頻率........................................................57

4.7新系統(tǒng)入網(wǎng)安全評估.....................................................58

1列古內(nèi)容........................................................58

輸出成果........................................................60

服務(wù)收益........................................................61

服務(wù)頻率........................................................61

4.8安全攻防演習(xí)培訓(xùn).......................................................61

培訓(xùn)課程........................................................62

培訓(xùn)越........................................................69

培訓(xùn)考核........................................................70

培訓(xùn)優(yōu)勢........................................................71

4.9重要時期安全保障.......................................................71

現(xiàn)場值守........................................................72

預(yù)案制定...................................................73

應(yīng)急處理...................................................73

輸出成果...................................................74

5服務(wù)配套工具.......................................................75

6項目投資估算.......................................................75

7項目管理方案.......................................................76

7.1項目管理措施.......................................................76

7.2組織構(gòu)造圖.........................................................77

7.3項目溝通...........................................................78

平常溝通、記錄和備忘錄......................................78

匯報.......................................................79

的義.......................................................79

7.4項目實行質(zhì)量保證...................................................80

項目執(zhí)行人員的質(zhì)量職責(zé)......................................80

安全服務(wù)質(zhì)量保證............................................81

7.5系統(tǒng)安全及風(fēng)險規(guī)避方案.............................................84

項目實行工具................................................84

項目實行方略................................................84

項目實行中的配合............................................85

8保密承諾...........................................................86

8.1保密協(xié)議...........................................................86

保密協(xié)議的必要性............................................86

保密條款....................................................87

違約責(zé)任....................................................87

8.2項目實行人員專題保密承諾..........................................88

保密承諾的必要性...............................................88

保密內(nèi)容和范圍.................................................88

責(zé)任........................................................89

9迪普科技簡介...........................................................89

9.1企業(yè)簡介................................................................89

9.2服務(wù)資質(zhì)................................................................91

國內(nèi)最高的信息安全服務(wù)二級資質(zhì)................................91

中國通信企業(yè)協(xié)會風(fēng)險評估資質(zhì)..................................93

ISO27001信息安全管理體系認(rèn)證.................................94

國家信息安全漏洞庫支撐單位....................................95

中國互玦網(wǎng)網(wǎng)絡(luò)安全威脅治理聯(lián)盟組員單位........................96

IS09001認(rèn)證....................................................97

ISO14001認(rèn)證..................................................98

部分漏洞提交證明...............................................98

9.3服務(wù)優(yōu)勢...............................................................1（X）

信息安全監(jiān)管機構(gòu)高度承認(rèn)......................................100

強大的漏洞挖掘研究能力........................................100

專業(yè)的安全征詢服務(wù)團體........................................100

國家重大會議活動首選安全保障團體.............................101

1項目概述

近年來，伴隨棱鏡門事件的爆發(fā)，網(wǎng)絡(luò)和信息安全受到前所未有的關(guān)注。2023年

中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組的成立，習(xí)近平主席"沒有網(wǎng)絡(luò)安全就沒有國家安全"

等指示時提出，無不表明網(wǎng)絡(luò)與信息安全工作已經(jīng)上升至國家戰(zhàn)略安全層面。

在這種形勢下，網(wǎng)絡(luò)安全的重要性被提到了前所未有的高度。在XXX中，假如網(wǎng)

絡(luò)和業(yè)務(wù)系統(tǒng)被黑客襲擊，頁面被得法自發(fā)、敏感信息被竊取，其影響將難以估計。同

步202361既將實行的網(wǎng)絡(luò)安全法中規(guī)定將對出現(xiàn)安全事件的組織負(fù)責(zé)人進行懲罰。

伴隨安全技術(shù)的發(fā)展，各行業(yè)的網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)，必將成為黑客或反動勢力H勺襲擊

目的。種種跡象表明，假如網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)存在安全漏洞，將非常輕易導(dǎo)致被襲擊者非

法入侵，并對敏感數(shù)據(jù)進行非法竊取、篡改、刪除等操作。

編寫本方案的目的，是但愿通過迪普科技長期從事網(wǎng)絡(luò)安全、網(wǎng)站安全、安全B艮務(wù)

工作的經(jīng)驗，以及對黑客襲擊過程的深入理解，為XXX的網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)提供全方位

的安全防護提議,并為XXX的安全運行保駕護航。

2遵照原則

本次為XXX提供B勺安全服務(wù)，全程遵照如下原則。

?先進性原則

安全服務(wù)和形成的規(guī)劃方案，在路線上應(yīng)與業(yè)界的主流發(fā)展趨勢相一致，保證根據(jù)

此方案進行安全防護的XXX具有先進性。

?原則性原則

安全服務(wù)和產(chǎn)品的選擇，按照國家安全管理、安全控制、安全規(guī)程為參照根據(jù)。

?實用性原則

具有多層次、多角度、全方位、立體化的安全保護功能。多種安全技術(shù)措施盡顯其

長，互相補充。當(dāng)某一種或某一層保護失效時，其他仍可起到保護作用。

?可控性原則

安全服務(wù)和安全規(guī)劃的技術(shù)和處理方案，波及時工程實行應(yīng)具有可控性。

?系統(tǒng)性、均衡性、綜合性研究原則

安全服務(wù)從全系統(tǒng)出發(fā)，綜合分析多種安全風(fēng)險，采用對應(yīng)的安全措施，并根據(jù)風(fēng)

險日勺大小，采用不一樣強度B勺安全措施，提供具有最優(yōu)B勺性能價格比H勺安全處理方案。

?可行性、可靠性原則

技術(shù)和處理方案，需在保證網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)正常運轉(zhuǎn)的前提下，提供最優(yōu)安全保障。

?可擴展性原則

良好的可擴展性，能適應(yīng)安全技術(shù)的迅速發(fā)展和更新，能伴隨安全需求的變化而變

化，充足保證投資的效益。

3推薦服務(wù)內(nèi)容

根據(jù)國家監(jiān)管機構(gòu)規(guī)定以及XXX安全需求，我們推薦如下服務(wù)內(nèi)容。

序號服務(wù)內(nèi)容服務(wù)描述服務(wù)方式

對XXX指定的網(wǎng)站進行7*24小時安全監(jiān)控，并

1網(wǎng)站安全監(jiān)控提供監(jiān)控日報、周報、月報，在網(wǎng)站出現(xiàn)異常狀

況時（被襲擊、篡改、掛馬），進行實時告警。

通過人工方式，模擬黑客襲擊措施,對XXX的網(wǎng)

2滲透測試服務(wù)站進行非破壞性質(zhì)的安全測試,查找應(yīng)用層面漏遠程/現(xiàn)場

洞并給出對應(yīng)的修復(fù)提議。

評估XXX的網(wǎng)絡(luò)拓?fù)浼軜?gòu)、安全域規(guī)劃、邊界防

護、安全防護措施、關(guān)鍵設(shè)備安全配置、設(shè)備脆

3網(wǎng)絡(luò)安全評估販

弱性等，從而全面評估網(wǎng)絡(luò)的安全現(xiàn)實狀況，查

找安全隱患。

定期對XXX的業(yè)務(wù)系統(tǒng)進行安全漏洞檢測、基線

配置核查、安全日志審計，評估業(yè)務(wù)系統(tǒng)的安全

4安全巡檢服務(wù)販

現(xiàn)實狀況，假如存在安全風(fēng)險，則提供對應(yīng)的整

雌議。

對安全巡檢發(fā)現(xiàn)的漏洞進行修復(fù)、配置隱患進行

優(yōu)化的過程。加固內(nèi)容包括但不限于系統(tǒng)補丁、

5安全加固服務(wù)遠程/現(xiàn)場

防火墻、防病毒、危險服務(wù)、共享、自動播放、

密碼安全。

當(dāng)XXX的網(wǎng)站或服務(wù)器遭受黑客入侵襲擊時，第

6應(yīng)急響應(yīng)服務(wù)一時間對入侵事件進行分析、檢測、克制、處理，遠程/現(xiàn)場

查找入侵來源并恢復(fù)系統(tǒng)正常運行。

在新系統(tǒng)入網(wǎng)前，對其進行全面的安全評估，包

新系統(tǒng)入網(wǎng)安括滲透測試、漏洞檢測、基線核查，評估新系統(tǒng)

7遠程/現(xiàn)場

全評估的安全狀況，查找不符合安全規(guī)定的配置項以及

安全風(fēng)險點。

為XXX提供一種理論結(jié)合實際、可以實戰(zhàn)演習(xí)、

安全攻防演習(xí)

8場景真實逼真的安全攻防培訓(xùn)1,從而真正提高受販

培訓(xùn)

訓(xùn)人員的安全技術(shù)和實際動手能力。

在重要時期（如重大會議、重大節(jié)假日），我司

重要時期安全

9派出安全攻防經(jīng)驗豐富的安全專家，進駐顧客現(xiàn)則

保障

場，對業(yè)務(wù)系統(tǒng)進行現(xiàn)場安全值守和保障。

4服務(wù)詳細(xì)簡介

下面，對每項服務(wù)內(nèi)容，進行詳細(xì)闡明。

4.1網(wǎng)站安全監(jiān)控

伴隨互聯(lián)網(wǎng)技術(shù)的迅速發(fā)展，網(wǎng)站襲擊時門檻不停減少。各類型網(wǎng)站受到的安全威

脅越來越多，為形象、各Web應(yīng)用系統(tǒng)的正常使用。應(yīng)實現(xiàn)如下基本安全需求：

?監(jiān)控網(wǎng)站頁面內(nèi)容完整、不被篡改；

?監(jiān)控網(wǎng)站存在KJSQL注入、XSS、非法訪問、信息泄露等應(yīng)用層漏洞，從而提

前處理潛在風(fēng)險；

?監(jiān)控網(wǎng)站，防止網(wǎng)站掛馬而導(dǎo)致日勺客戶滿意度損失；

?監(jiān)控網(wǎng)站與否存在敏感信息，對于網(wǎng)站的敏感信息內(nèi)容自行配制告警功能，

以便管理者及時理解到發(fā)生B勺安全事件，可根據(jù)量化的原則，對網(wǎng)站的安全

事件嚴(yán)重程度進行不一樣形式的告警，杜絕也許存在的政治風(fēng)險和聲譽損失；

?監(jiān)控網(wǎng)站與否被釣魚，導(dǎo)致有關(guān)的聲譽損失。

4.1.1服務(wù)簡介

WEB網(wǎng)站安全監(jiān)控平臺安全監(jiān)控系統(tǒng)是迪普科技根據(jù)"云”的理念研發(fā)出的一款全

天候Web監(jiān)測系統(tǒng)。WEB網(wǎng)站安全監(jiān)控平臺監(jiān)控系統(tǒng)基于PAAS(Platform-As-A-Service)

模式，通過布署于各信息節(jié)點的監(jiān)測引擎對客戶指定時網(wǎng)站(WEB應(yīng)用)進行可用率和

站點安全性檢測，以保障客戶網(wǎng)站業(yè)務(wù)持續(xù)性，從而向客戶提供網(wǎng)站安全的保障。

4.1.2服務(wù)功能

4.L2.1被動防御

被動防御重要提供如下服務(wù)：

?網(wǎng)站異常推送

無需時時刻刻緊盯著網(wǎng)站，也無需變化任何網(wǎng)絡(luò)的布署，也不需專門B勺人員進行安

全設(shè)備維護及分析日志，一旦Web出現(xiàn)任＜可異常行為，迪普科技WEB網(wǎng)站安全監(jiān)控平

臺會自動把異常推送到云端，然后在云端進行分析檢測。您完全不用緊張找不到異常的

處理措施，WEB網(wǎng)站安全監(jiān)控平臺會幫你完畢這一系列繁雜的任務(wù)。

?預(yù)警服務(wù)

每一種顧客所發(fā)生的異常行為都會在推送到云端分析結(jié)束后保留在云端特性庫中，

一旦該異常再次發(fā)生，異常比對后，云端幾乎可無間隔預(yù)警。也就是說我們的顧客越多，

WEB網(wǎng)站安全監(jiān)控平臺全方位立體式的監(jiān)控就越完善，您的網(wǎng)站也越加安全。

?專業(yè)團體

Web異常原因根據(jù)系統(tǒng)環(huán)境，人員等多種原因各式各樣。在碰到云端無法處理的狀

況下，我們專業(yè)團體會在第一時間告知您，并提供處理方案。

?系統(tǒng)報表

每日監(jiān)測后網(wǎng)站性能等監(jiān)測指標(biāo)都可以隨時生成對應(yīng)時報表，以便您的查閱。您無

需在去找人進行參數(shù)整頓等反復(fù)性工作，處理大量的人力反復(fù)勞動。

4.1.2.2積極掃描

積極掃描重要提供如下服務(wù)：

?網(wǎng)站性能監(jiān)控

性能監(jiān)控重要對服務(wù)器性能、網(wǎng)站訪問可用率、延遲、故障時間的一種持續(xù)評測。

是積極掃描中基礎(chǔ)模塊之一，它能更精確的讓您清晰每天網(wǎng)站運行的狀態(tài)。

檢測功能：

■有效的監(jiān)測網(wǎng)站實時的可用率，愈加直觀時體現(xiàn)出網(wǎng)站的性能；

■記錄網(wǎng)站的故障時間，可有效的查出故障時間段，針對性處理網(wǎng)站故障；

■網(wǎng)站性能分析，根據(jù)監(jiān)測成果智能分析出網(wǎng)站也許出現(xiàn)的異常狀況。

?網(wǎng)站篡改檢測

網(wǎng)站防線攻破后，入侵者會對網(wǎng)站的頁面內(nèi)容進行篡改，公布某些危害網(wǎng)站正常運

行的言論，從對網(wǎng)站形象帶來巨大負(fù)面影響。

檢測功能：

■有效防止掛黑鏈，防止影響網(wǎng)站優(yōu)化，導(dǎo)致排名下降；

■及時發(fā)現(xiàn)留后門，防止網(wǎng)站二次入侵；

■第一時間發(fā)現(xiàn)惡意修改的虛假信息，防止誤導(dǎo)顧客;

■時刻檢測惡意代碼植入，防止網(wǎng)站被殺軟警報屏蔽；

■防止主頁被篡改，減少聲譽損失，防止網(wǎng)站服務(wù)中斷。

?網(wǎng)站掛馬監(jiān)控

掛馬檢測模塊采用大規(guī)模、分布式、動態(tài)行為檢測和靜態(tài)檢測相結(jié)合B勺掛馬識別方

式，可以精確判斷出網(wǎng)站的掛馬頁面，并及時發(fā)出警報，可以有效維護網(wǎng)站安全和利益。

同步，通過高級木馬檢測服務(wù)，顧客可指定監(jiān)控間隔周期、監(jiān)控頁面深度、報警方式等

參數(shù)，更好的滿足顧客需求。

檢測功能：

■檢測iframe框架掛馬，讓您及時清理，防止成為木馬散布點；

■檢測script掛馬，防止通過script的調(diào)用來掛馬；

■檢測圖片偽裝掛馬，讓您及時處理，防止網(wǎng)頁被殺軟報警；

■檢測網(wǎng)頁漏洞，讓您及時修復(fù)，防止被掛馬；

■實時監(jiān)控網(wǎng)站掛馬狀況，讓您及時處理掛馬問題。

?網(wǎng)站敏感詞監(jiān)控

敏感詞監(jiān)控重要是針對網(wǎng)站敏感詞B勺一種檢測過濾，它能精確的檢測出你在其管理

平臺中設(shè)置的敏感詞。一旦發(fā)現(xiàn)存在某個頁面中,WEB網(wǎng)站安全監(jiān)控平臺會積極提醒您。

檢測功能：

■檢測網(wǎng)頁源碼中敏感詞出現(xiàn)；

■檢測數(shù)據(jù)庫中敏感詞出現(xiàn)；

■記錄敏感詞出現(xiàn)次數(shù)，定位到詳細(xì)代碼數(shù)據(jù)。

?網(wǎng)跨站釣魚檢測

跨站釣魚檢測模塊通過靜態(tài)分析技術(shù)與虛擬機沙箱行為檢測技術(shù)相結(jié)合，對網(wǎng)站進

行跨站釣魚檢測，能在最快B勺時間內(nèi)完畢跨站檢測。

檢測功能：

■檢測iframe框架跨站釣魚；

■檢測script跨站釣魚，防止通過script的調(diào)用來跨站釣魚；

■檢測img跨站釣魚；

■對頁面的中的鏈接域名進行監(jiān)測，保障顧客訪問B勺域名對的性。

4.1.3服務(wù)特點

4.1.3.1易操作

顧客只需要登錄我們的平臺，在其授權(quán)管理后，設(shè)置網(wǎng)站所需要監(jiān)控的項目。迪普

科技本著“以人為本”理念，在產(chǎn)品設(shè)計時非常重視顧客體驗，您只需要簡樸的幾步操

作既可完畢整個網(wǎng)站B勺監(jiān)控。同步產(chǎn)品中擁有豐富B勺協(xié)助文檔，雖然您沒有接觸過類似

產(chǎn)品，在協(xié)助文檔H勺指導(dǎo)下也可以順利的完畢操作。可以在管理平臺中根據(jù)您設(shè)置對網(wǎng)

站安全狀況進行日報、周報、月報的匯報通告，并通過郵件及時告知您。

4.1.3.2智能管理

?積極掃描模式，被動防御模式

積極掃描模式可積極更深入H勺測查出網(wǎng)站所存在的安全隱患，可積極發(fā)現(xiàn)多種網(wǎng)頁

掛馬、敏感詞的出現(xiàn)、以及網(wǎng)站實時性能的一種總體分析。您可隨意調(diào)整掃描模式，到

達預(yù)期效果。被動防御模式可全天候監(jiān)測網(wǎng)站異常，并在異常出現(xiàn)第一時間預(yù)警通您。

?節(jié)省投資與管理成本

提供365*7*24全天候時在線木馬監(jiān)測服務(wù)，讓您的站點每一分鐘都在監(jiān)控中。大

大節(jié)省您在安全設(shè)備采購的投資，并且您無需親自動手操作多種安全設(shè)備,防止在使用

設(shè)備過程中的繁瑣,節(jié)省您的時間和精力。

?訂閱故障記錄匯報

站點安全狀況可根據(jù)顧客需求進行訂閱，讓顧客可以理解到行業(yè)內(nèi)、地區(qū)內(nèi)站點的

安全狀況，及時做好維護升級，防止不必要的損失。

4.1.4輸出成果

網(wǎng)站安全監(jiān)控時輸出成果如下：

?《XXX網(wǎng)站安全監(jiān)控周報》

?《XXX網(wǎng)站安全監(jiān)控月報》

4.2滲透測試服務(wù)

滲透測試服務(wù)，是在XXX授權(quán)的前提下，以模擬黑客襲擊B勺方式，對XXX網(wǎng)站日勺安

全漏洞、安全隱患進行全面檢測，最終目的是查找網(wǎng)站的安全漏洞、評估網(wǎng)站的安全狀

態(tài)、提供漏洞修復(fù)提議。

在滲透過程中，我們會采用業(yè)界領(lǐng)先的漏洞檢測技術(shù)、襲擊技術(shù)、襲擊工具不夠普

安全團體編寫的腳本。過程分為四步：計劃與準(zhǔn)備、信息搜集、實行滲透、輸出匯報。

計劃與準(zhǔn)備階段重要是根據(jù)網(wǎng)站反饋的內(nèi)容制定項目實行方案與計劃；信息搜集與實行

滲透是項目的實行階段，輸出匯報重要是匯總和評估項目中發(fā)現(xiàn)的安全威脅，并輸出文

檔。

4.2.1測試措施

我司提供的滲透測試服務(wù)，采用的測試措施如下,

?信息搜集

信息探測階段包括信息搜集，端口、服務(wù)掃描，計算機漏洞檢測，此階段重要做滲

透前的踩點用。

使用工具：

?Maltego,搜集管理員email、tel、常用id,網(wǎng)絡(luò)拓?fù)涞?/p>

?Nmap,端口、服務(wù)掃描，弱口令破解，系統(tǒng)信息探測

?X-scan,端口、服務(wù)掃描，弱口令破解，系統(tǒng)信息探測

?POf,系統(tǒng)識別

?Appscan,Web漏洞檢測程序

?WVS,Web漏洞檢測程序

?W3AF,Web漏洞檢測程序

?Scanner1000,迪普科技開發(fā)的漏洞檢測產(chǎn)品，支持系統(tǒng)漏洞檢測，Web漏洞

檢測等一系列功能

?端口掃描

通過對目的地址KJTCP/UDP端口掃描，確定其所開放的服務(wù)的數(shù)量和類型，這是所

有滲透測試的基礎(chǔ)。通過端口掃描，可以基本確定一種系統(tǒng)的基本信息，結(jié)合安全工程

師的經(jīng)驗可以確定其也許存在以及被運用的安全弱點,為進行深層次的滲透提供根據(jù)。

?口令猜測

口令猜測也是一種出現(xiàn)概率很高的風(fēng)險，幾乎不需要任何襲擊工具，運用一種簡樸

B勺暴力襲擊程序和一種比較完善的字典，就可以猜測口令。

對一種系統(tǒng)賬號的猜測一般包括兩個方面：首先是對顧客名的猜測，另一方面是對

密碼的猜測。

?腳本測試

腳本測試專門針對Web服務(wù)器進行。根據(jù)最新KJ技術(shù)記錄，腳本安全弱點為目前

Web系統(tǒng)尤其存在動態(tài)內(nèi)容的Web系統(tǒng)存在的重要比較嚴(yán)重的安全弱點之一。運用腳

本有關(guān)弱點輕則可以獲取系統(tǒng)其他目錄的訪問權(quán)限，重則將有也許獲得系統(tǒng)B勺控制權(quán)限。

因此對于具有動態(tài)頁面B勺Web系統(tǒng)，腳本測試將是必不可少的一種環(huán)節(jié)。

?Hydra，暴力破解工具，支持Samba,FTP,POP3,IMAP,Telnet,Auth,LDAP,

NNTP,MySQL,VNC,ICQ,Socks5,PCNFS,Cisco等多種協(xié)議B勺暴力破解

?Metasploit,溢出程序運用平臺

?菜刀，Webshell功力工具

?Pwdump7,讀取系統(tǒng)HASH

?Cain,內(nèi)網(wǎng)sniffer工具

?Disniff,linux下嗅探工具

?人工滲透

人工滲透，重要針對系統(tǒng)的業(yè)務(wù)邏輯漏洞進行安全測試，運用業(yè)務(wù)邏輯漏洞查找可

精確、切實的找出業(yè)務(wù)中存在的安全隱患，防止被惡意顧客運用，對系統(tǒng)導(dǎo)致重大損失。

4.2.2測試內(nèi)容

對XXX網(wǎng)站H勺滲透測試，除使用產(chǎn)品和工具掃描外，更重要H勺需要進行人工滲透，

滲透內(nèi)容包括但不限于如下項，且需要對發(fā)現(xiàn)的漏洞進行驗證和運用。

序號滲透測試大項滲透測試小項

1配置管理備份測試、措施測試、傳播安全

2身份鑒別顧客注冊、賬戶權(quán)限、賬戶枚舉、弱口令

3認(rèn)證授權(quán)認(rèn)證繞過、目錄遍歷、授權(quán)繞過、權(quán)限提高

超時測試、會話管理繞過測試、會話令牌泄露測試、

4會話管理

跨站點祈求偽造CSRF測試

5輸入驗證SQL注入、代碼注入、命令執(zhí)行注入、跨站腳本XSS

6錯誤處理錯誤碼分析、棧追蹤分析

7業(yè)務(wù)邏輯數(shù)據(jù)驗證、祈求偽造、完整性、次數(shù)限制、上傳測試

4.2.3實行環(huán)節(jié)

根據(jù)黑客入侵的過程，并結(jié)合滲透測試的規(guī)定，我司滲透測試的實行環(huán)節(jié)如下。

4.2.3.1計劃與準(zhǔn)備階段

1）工作目的

計劃與準(zhǔn)備階段，需要明確滲透測試的實行范圍與測試對象，制定實行措施與方案,

并制定詳細(xì)的實行計劃，為滲透測試的順利進行，作重要準(zhǔn)備。滲透測試時實行,將按

照方案和計劃進行。

2）工作內(nèi)容

計劃與準(zhǔn)備階段B勺工作，重要是對滲透測試實行舉行研討會，討論滲透測試操作思

緒，闡明滲透測試的實行范圍和測試對象，然后根據(jù)研討內(nèi)容制定對應(yīng)得實行方案與計

劃。由領(lǐng)導(dǎo)審核同意實行方案與計劃，項目組根據(jù)實際狀況日勺需要，會對實行方案與計

劃進行一定的調(diào)整。

3）實行計劃

序號任務(wù)名稱工作內(nèi)容計劃時間

討論滲透測試的工作思緒，闡明測試范

1滲透測試研討會圍、測試目的對象、實行方式以及實行

人員和大體的時間計劃

制定滲透測試實行方根據(jù)研討會B勺討論內(nèi)容，制定對應(yīng)的滲

2

案與計劃透測試實行方案和實行計劃

3提交滲透測試實行方提交滲透測試實行方案與計劃

案與計劃

項目組提交滲透測試實行方案與計劃，

審核與確認(rèn)滲透測試

4由領(lǐng)導(dǎo)進行審核確認(rèn)，提出對應(yīng)的意見

實行方案與計劃

與提議

根據(jù)領(lǐng)導(dǎo)審核意見和提議，對實行方案

5修正實行方案與計劃

與計劃進行對應(yīng)的修正

4.23.2信息搜集階段

1）工作目的

信息搜集是所有入侵襲擊的前奏和基礎(chǔ)。通過信息搜集分析，襲擊者可以有針對性

地制定入侵襲擊的措施方略，提高入侵B勺成功率、減小暴露或被發(fā)現(xiàn)的機率。因此以模

擬黑客襲擊方式進行的滲透測試，也以信息搜集為第一種實行的階段過程。

2）工作內(nèi)容

信息搜集階段的）工作內(nèi)容是對目的所在的整個IP網(wǎng)段進行掃描探測與手工查閱。

通過對目的地址的TCP/UDP端口掃描，確定其所開放的服務(wù)的數(shù)量和類型,這是

所有滲透性測試的基礎(chǔ)。通過信息探測漏洞檢測，可以基本確定一種系統(tǒng)的基本信息,

結(jié)合安全工程師的經(jīng)驗可以確定其也許存在以及被運用的安全弱點，為進行深層次的滲

透提供根據(jù)。并且用手工的方式對應(yīng)用、網(wǎng)頁等內(nèi)容進行某些信息查看。

3）實行計劃

序號任務(wù)名稱工作內(nèi)容時間

滲透測試變更流程與變更根據(jù)滲透測試的需要，進行對應(yīng)的

1

操作變更

按照實行方案，進行信息搜集階段

2信息搜集階段實行操作

實行操作

4.23.3滲透實行階段

4.2.3.4輸出匯報階段

1）工作目的

本階段為根據(jù)滲透測試得出的成果，進行匯總分析，輸出《滲透測試匯報》。

2）工作內(nèi)容

編寫、整頓滲透測試匯報。

3）實行計劃

序號任務(wù)名稱工作內(nèi)容計劃時間

對滲透測試得出的成果進行分析，并輸

1編寫滲透測試匯報

出，口g

4.2.4輸出成果

滲透測試的輸出成果如下：

?《XXX滲透測試服務(wù)匯報》

?《XXX滲透測試服務(wù)復(fù)測匯報》

4.2.5服務(wù)收益

對網(wǎng)站進行滲透測試，可為XXX帶來如下收益：

?評估網(wǎng)站中存在的安全隱患、安全隱患；

?發(fā)現(xiàn)網(wǎng)站存在的深層次安全隱患；

?驗證網(wǎng)站既有安全措施的防護強度；

?評估網(wǎng)站被入侵時也許性，并在入侵者發(fā)起襲擊前封堵也許被運用的襲擊途徑。

4.3網(wǎng)絡(luò)安全評估

網(wǎng)絡(luò)安全評估是對網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)的安全漏洞、安全隱患、安全風(fēng)險，進行探測、

識別、控制、消除的全過程，它從風(fēng)險管理角度，運用科學(xué)的措施和手段,系統(tǒng)地分析

網(wǎng)絡(luò)與應(yīng)用系統(tǒng)所面臨日勺威脅及其存在的脆弱性,評估安全事件一旦發(fā)生也許導(dǎo)致的危

害程度，提出有針對性日勺抵御威脅的防護對策和整改措施。

網(wǎng)絡(luò)安全評估的內(nèi)容，包括網(wǎng)絡(luò)拓?fù)浼軜?gòu)、安全域規(guī)劃、邊界防護、安全防護措施、

關(guān)鍵設(shè)備安全配置、設(shè)備脆弱性等，從而全面評估網(wǎng)絡(luò)的安全現(xiàn)實狀況，查找安全隱患。

4.3.1評估內(nèi)容

資產(chǎn)評估

陲

信息資產(chǎn)的識別可以確定評估的對象，是整個安全服務(wù)工作的基礎(chǔ)。并且，本階

段可以協(xié)助XXX實現(xiàn)信息資產(chǎn)識別和整頓,完畢一份完整和最新的信息資產(chǎn)清單，

對XXX的信息資產(chǎn)管理工作會有所協(xié)助。

完畢一份完整和最新的信息資產(chǎn)清單。

過程描述I

首先識別信息資產(chǎn)，完畢所有重要信息資產(chǎn)的清單。按照資產(chǎn)性質(zhì)和業(yè)務(wù)類型等

可以提成若干資產(chǎn)類，一般分為數(shù)據(jù)，軟件，服務(wù)，硬件，設(shè)備和文檔等.根據(jù)不一樣

的項目目的與項目特點，重點識別的資產(chǎn)類別會有所不一樣，在一般的項目中，一股數(shù)

據(jù)、軟件和服務(wù)為重點。

4.3.1.2架構(gòu)安全評估

陲

對網(wǎng)絡(luò)構(gòu)造，邏輯網(wǎng)絡(luò)構(gòu)造及網(wǎng)絡(luò)的關(guān)鍵設(shè)備進行評估，發(fā)現(xiàn)存在的安全性方面

的問題。結(jié)合業(yè)務(wù)體系、系統(tǒng)體系等構(gòu)造的檢查邏輯網(wǎng)絡(luò)，由什么物理網(wǎng)絡(luò)構(gòu)成以及網(wǎng)

絡(luò)的關(guān)鍵設(shè)備的位置所在對于保持網(wǎng)絡(luò)的安全是非常重要的。此外，鑒定關(guān)鍵網(wǎng)絡(luò)拓?fù)?

對于成功地實行一種基于網(wǎng)絡(luò)的風(fēng)險管理方案是非常關(guān)鍵的。基本信息包括網(wǎng)絡(luò)帶寬,

協(xié)議，硬件（例如：互換機，路由器等）Internet接入，地理分布方式和網(wǎng)絡(luò)管理。

發(fā)現(xiàn)網(wǎng)絡(luò)構(gòu)造存在的安全性問題。

過程描M

L網(wǎng)絡(luò)拓?fù)浞治?/p>

拓?fù)錁?gòu)造合理性分析，可擴展性分析，例如網(wǎng)絡(luò)中重要節(jié)點的鏈路與否有冗余。

2.安全域評估

對XXX網(wǎng)絡(luò)進行全面理解,查看安全域與否有劃分,安全域的劃分與否合理，安

全域間與否有對應(yīng)的安全防護措施，并提出對應(yīng)的改善方案。

對于信息系統(tǒng)的安全，除了自身的安全檢測外，還需要考慮與其他系統(tǒng)進行對接日勺

接口安全，即邊界安全。劃分安全域并對其進行安全防護，將有效保障系統(tǒng)與對接系統(tǒng)

日勺安全。

因此，安全域評估是架構(gòu)評估中的重中之重，我司將對XXX的安全域進行詳細(xì)B勺

分析與劃分，并提出對應(yīng)的措施，以保障對接應(yīng)用系統(tǒng)B勺邊界安全，有效保障應(yīng)用系統(tǒng)

的安全運行。

3.邊界接入評估

對邊界接入進行全面調(diào)研分析，對多種接入狀況進行安全風(fēng)險評估，與非信任網(wǎng)

絡(luò)間互訪的安全管理，提出改善方案。

邊界接入評估，也能有效增進系統(tǒng)與其他系統(tǒng)的對接接口安全。

4.訪問控制狀況調(diào)查評估

在有關(guān)的網(wǎng)絡(luò)隔離點，與否有恰當(dāng)B勺訪問控制規(guī)則設(shè)置,與否被有效B勺執(zhí)行。

5.接入/連接方式的安全性評估

各個接入節(jié)點部分與否具有安全措施保障，與否被對的配置和執(zhí)行。

6.信任網(wǎng)絡(luò)之間的安全性評估

信任網(wǎng)絡(luò)或者不信任網(wǎng)絡(luò)之間與否有控制，控制自身帶來的安全程度以及與否有

可以繞過控制的途徑。

■網(wǎng)絡(luò)架構(gòu)管理評估

網(wǎng)絡(luò)體系架構(gòu)是怎樣進行管理的，與否有良好的機制和制度保障網(wǎng)絡(luò)架構(gòu)自身不

被變化，沒有非法H勺不符合安全方略的架構(gòu)變化。

8.網(wǎng)絡(luò)設(shè)備認(rèn)證管理評估

與否有集中的設(shè)備認(rèn)證管理機制，與否被對的的配置和執(zhí)行。

9.網(wǎng)絡(luò)的高可用性和可靠性評估

網(wǎng)絡(luò)建設(shè)中與否良好的考慮了網(wǎng)絡(luò)B勺高可用性和可靠性問題，與否被對的使用和

良好的配置，與否有機制保障不被修改。

4.3.1.3配置安全評估

睡

對網(wǎng)絡(luò)及安全設(shè)備的配置進行檢查，對IP地址分派與否對的、VLAN劃分與否合

理，路由協(xié)議、安全方略與否合理等多方面進行分析，網(wǎng)絡(luò)配置是整個網(wǎng)絡(luò)安全的基礎(chǔ)。

發(fā)現(xiàn)網(wǎng)絡(luò)設(shè)備配置存在的不合理及安全性問題。

過程描述I

L路由協(xié)議評估

分析所采用的路由協(xié)議，與否存在配置漏洞，冗余路由配置狀況，路由協(xié)議的信

任關(guān)系問題。

2.安全方略評估

分析配置中與否采用安全有關(guān)配置，系統(tǒng)的安全方略與否存在，以及與否和業(yè)務(wù)

系統(tǒng)互相吻合。

3.協(xié)議選擇評估

對網(wǎng)絡(luò)管理有關(guān)協(xié)議的分析整頓；

對業(yè)務(wù)應(yīng)用有關(guān)協(xié)議的分析整頓。XXX業(yè)務(wù)系統(tǒng)自身業(yè)務(wù)服務(wù)所采用H勺有關(guān)協(xié)議,

以及由此而帶來B勺有關(guān)H勺網(wǎng)絡(luò)支撐設(shè)備。

4.訪問控制狀況調(diào)查評估

在有關(guān)的網(wǎng)絡(luò)隔離點，與否有恰當(dāng)?shù)脑L問控制規(guī)則設(shè)置，與否被有效日勺執(zhí)行。

5.VLAN劃分評估

分析XXX網(wǎng)絡(luò)中VLAN劃分與否合理，對應(yīng)設(shè)備上的）VLAN配置與否對的，1P

地址與否分派對時。

6.安全配置均衡性分析

安全配置自身與否具有不合理的配置或者弱點存在。

7.網(wǎng)絡(luò)的高可用性和可靠性評估

網(wǎng)絡(luò)建設(shè)中與否良好的考慮了網(wǎng)絡(luò)B勺高可用性和可靠性問題,與否被對的使用和

良好的配置，與否有機制保障不被修改。

4.3.1.4設(shè)備漏洞掃描

蹄

為了充足理解XXX目前網(wǎng)絡(luò)存在日勺安全隱患，采用迪普綜合漏洞評估掃描工具對

XXX日勺網(wǎng)絡(luò)進行全面掃描，檢查其網(wǎng)絡(luò)設(shè)備B勺弱點，識別被入侵者用來非法進入網(wǎng)絡(luò)

的漏洞。

通過對XXX的網(wǎng)絡(luò)設(shè)備的掃描發(fā)現(xiàn)目前XXX網(wǎng)絡(luò)設(shè)備存在的技術(shù)性安全漏洞。

同步，也為安全加固工作提供根據(jù)。

過程描國

首先，確定掃描范圍，重要針對重要信息資產(chǎn)和抽樣網(wǎng)段。然后提交掃描方案和

掃描申請，明確掃描執(zhí)行人員和時間安排。采用迪普綜合漏洞評估掃描工具對網(wǎng)絡(luò)進行

全面掃描，檢直其網(wǎng)絡(luò)設(shè)備日勺弱點，識別被入侵者用來非法進入網(wǎng)絡(luò)的漏洞。

4.3.2評估措施

?資料搜集

現(xiàn)實狀況資料搜集是現(xiàn)實狀況調(diào)研重要的信息來源。項目組向業(yè)務(wù)管理部門和信息

系統(tǒng)的負(fù)責(zé)人搜集了網(wǎng)絡(luò)拓?fù)鋱D、IP地址規(guī)劃表、設(shè)備配置等資料，為全面評估XXX

三套網(wǎng)絡(luò)的安全狀況提供了數(shù)據(jù)根據(jù)。

?現(xiàn)場訪談

項目組對XXX三套網(wǎng)絡(luò)的維護人員，進行了現(xiàn)場訪談。

針對訪談對象在信息安全管理和執(zhí)行信息安全控制中所飾演的角色，有重點的理解

了信息安全管理現(xiàn)實狀況及信息安全基礎(chǔ)設(shè)施建設(shè)狀況。

通過現(xiàn)場訪談，項目組可以獲取三套網(wǎng)絡(luò)安全現(xiàn)實狀況的第一手資料，并可驗證之

前搜集到的資料，從而提高其精確度和完整性。

?現(xiàn)場勘直

對顧客網(wǎng)絡(luò)進行現(xiàn)場檢查，查找也許存在的安全隱患和漏洞，如物理機房安全評估,

安全意識口號檢查等。

?調(diào)研問卷

給顧客單位員工下發(fā)信息安全調(diào)查問卷，根據(jù)員工填寫的成果，理解顧客網(wǎng)絡(luò)安全

意識、安全方針、安全培訓(xùn)、安全應(yīng)急等狀況。

?漏洞掃描

漏洞掃描是指使用基于網(wǎng)絡(luò)的安全弱點掃描工具，根據(jù)其內(nèi)置的漏洞測試措施、掃

描方略，從網(wǎng)絡(luò)中對掃描對象進行一系列的安全檢查，從而發(fā)現(xiàn)也許存在的安全漏洞、

安全隱患。

使用漏洞掃描工具可以實現(xiàn)遠程自動化掃描，減少安全評估的工作量，并能根據(jù)需

求輸出評估成果或者報表。

在對三套網(wǎng)絡(luò)進行安全評估時，我們采用我司自己B勺漏洞掃描系統(tǒng)，對網(wǎng)絡(luò)設(shè)備、

安全設(shè)備進行漏洞掃描，可以有效評估XXX三套的安全狀況。

?綜合分析

綜合分析，是指對上述所有措施獲得的有關(guān)信息，以及發(fā)現(xiàn)被評估對象所存在的安

全缺陷和風(fēng)險,進行綜合分析。

評估人員分析和整頓通過上述過程中所搜集的各項信息，查找系統(tǒng)及有關(guān)的評估對

象之間的互相關(guān)聯(lián)、互相配合中所存在的缺陷和安全風(fēng)險，并與安全管理人員核算所搜

集的信息與否真實反應(yīng)了網(wǎng)絡(luò)的真實安全狀況，核算有疑問的信息。

4.3.3實行環(huán)節(jié)

安全風(fēng)險評估項目的流程，一般劃分為5個階段：項目計劃，資料搜集，現(xiàn)場評估

-＞數(shù)據(jù)分析,評估匯報，如下。

詳細(xì)實行環(huán)節(jié)如下：

433.1風(fēng)險評估準(zhǔn)備

■確定風(fēng)險評估目的

明確開展本次風(fēng)險評估所期望獲得B勺目的。

■確定風(fēng)險評估范圍

明確本次風(fēng)險評估的詳細(xì)范圍，防止后期不必要的工作的開展。

■組建項目實行團體

組建風(fēng)險評估實行團體,包括項目經(jīng)理、實行工程師、質(zhì)量監(jiān)督人員在內(nèi)，實行團

體提前準(zhǔn)備好評估所需要的表格、文檔、檢測工具等各項準(zhǔn)備工作。

■進行項目系統(tǒng)調(diào)研

系統(tǒng)調(diào)研為風(fēng)險評估根據(jù)和措施B勺選擇、評估內(nèi)容的實行奠定基礎(chǔ)，調(diào)研內(nèi)容包括：

a）業(yè)務(wù)戰(zhàn)略及管理制度

b）重要B勺業(yè)務(wù)功能和規(guī)定

c）網(wǎng)絡(luò)構(gòu)造與網(wǎng)絡(luò)環(huán)境，包括內(nèi)部連接和外部連接

d）系統(tǒng)邊界

e）重要的硬件、軟件

0數(shù)據(jù)和信息

g）其他

■制定風(fēng)險評估方案

指定風(fēng)險評估方案，用于指導(dǎo)實行工作的開展，內(nèi)容包括（但不僅限于）：

a）團體組織：包括評估團體組員、組織構(gòu)造、角色、責(zé)任等內(nèi)容

b）工作計劃：包括工作內(nèi)容，工作形式，工作成果等內(nèi)容

c）項目進度：項目實行的時間進度安排

43.3.2資產(chǎn)識別

■資產(chǎn)分類

資產(chǎn)被劃分為不一欄B勺類別，在進行評估時可根據(jù)不一樣的資產(chǎn)分類使用不一樣的

評估方略。根據(jù)資產(chǎn)的使用特點及布署方式，可將資產(chǎn)分為如下幾種類別：

?主機設(shè)備

包括各類服務(wù)器、工作站、PC機等。重要針對主機設(shè)備上安裝的操作系繳如AIX、

WINDOWS\數(shù)據(jù)庫系統(tǒng)（如ORACLE、DB2\應(yīng)用服務(wù)軟件（如IIS、APACHE）

及有關(guān)的配置信息進行評估。

?網(wǎng)絡(luò)設(shè)備

包括路由器、互換機、四層互換設(shè)備、撥號設(shè)備等多種網(wǎng)絡(luò)設(shè)備。雨古時重要對這

些網(wǎng)絡(luò)設(shè)備的配置、布署方式、拓?fù)錁?gòu)造等方面進行分析。

?安全產(chǎn)品

包括多種安全設(shè)備,如防火墻、入侵檢測系統(tǒng)（IDS\入侵防御系統(tǒng)（IPS1安全

審計系統(tǒng)、漏洞掃描系統(tǒng)、防病毒系統(tǒng)、安全隔離系統(tǒng)、防拒絕服務(wù)襲擊設(shè)備、VPN

等安全設(shè)備及產(chǎn)品。評估時重要分析安全設(shè)備的配在參數(shù)及自身的安全性。

?應(yīng)用系統(tǒng)

包括組織的關(guān)鍵業(yè)務(wù)和辦公系統(tǒng)，如業(yè)務(wù)管理系統(tǒng)、財務(wù)管理系統(tǒng)、辦公自動化系

統(tǒng)等。

■姿產(chǎn)調(diào)研

資產(chǎn)調(diào)查運用了資產(chǎn)調(diào)查表，包括資產(chǎn)名稱、硬件型號、IP地址、操作系統(tǒng)及版本、

應(yīng)用程序及版本、布署位置、管理人員等信息。

資產(chǎn)屬性說明

資產(chǎn)名稱記錄該資產(chǎn)的名稱

用途描述描述該資產(chǎn)日勺重要功能及用途

硬件型號資產(chǎn)的詳細(xì)型號，如CISCO6509

IP地址資產(chǎn)的IP地址

IP數(shù)量該資產(chǎn)同步具有的IP地址數(shù)量

操作系統(tǒng)及版本填寫設(shè)備日勺OS或10S版本號,如windows2023server

應(yīng)用程序及版本填寫該資產(chǎn)上運行的應(yīng)用程序，包括數(shù)據(jù)庫和應(yīng)用軟件

安裝地點填寫該資產(chǎn)所屬的地理位置

所屬業(yè)務(wù)填寫該資產(chǎn)所屬的業(yè)務(wù)

所屬系統(tǒng)填寫該資產(chǎn)所屬的系統(tǒng)

管理員填寫該資產(chǎn)的管理員

備注其他需闡明的問題，例如與否采用雙機熱備

■資產(chǎn)賦值

通過度析資產(chǎn)的多種屬性，進而對資產(chǎn)進行安全價值分析。資產(chǎn)賦值是為資產(chǎn)及其

支撐的業(yè)務(wù)系統(tǒng)從安全角度量化價值的行為。

資產(chǎn)B勺價值可以從保密性、完整性、可用性等角度衡量。可參照的資產(chǎn)賦值措施,

如下表所示。

級別定義保密性(C)完整性(I)可用性(A)

屬于絕密信息，完全不容

完全不容許出現(xiàn)變更，必基本不容許中斷，可靠性

5許泄漏，只有組織高層可

須采用實時檢測機制到達99.9999%

以接觸

屬于機密信息，不容許泄不容許出現(xiàn)變更，應(yīng)采用可短時間中斷，可靠性到

4

漏，組織中層以上可以接實時檢測機制達99.99%

觸

屬于秘密信息，不容許泄

不容許出現(xiàn)變更，應(yīng)采用中斷時間不大于1天，可

3漏，業(yè)務(wù)有關(guān)人員可以接

檢測機制靠性到達99.9%

觸

屬于內(nèi)部信息，組織內(nèi)部

容許出現(xiàn)小范圍的不一中斷時間不大于1天，可

2人員可以接觸，可小范圍

致，并在短時間內(nèi)改正靠性到達99%

公開

對故障時間基本沒有規(guī)

基本沒有規(guī)定，不一致時

1屬于公開信息

定

可在一定期間內(nèi)改正

43.3.3威脅識別

■威脅分類

根據(jù)下表分類原則對威脅進行分類。

種類威脅子類

軟硬件故障設(shè)備硬件故障、傳播設(shè)備故障、存儲媒體故障、系統(tǒng)軟件故

障、應(yīng)用軟件故障、數(shù)據(jù)庫軟件故障等

物理環(huán)境影響斷電、靜電、灰塵、潮濕、溫度、蟲害、電磁干擾、火災(zāi)、

地震等

無作為或操作失誤維護錯誤、操作失誤等

管理不到位管理制度和方略不完善、管理規(guī)程缺失、職責(zé)不明確等

惡意代碼病毒、木馬、蠕蟲、惡意軟件等

越權(quán)或濫用非授權(quán)訪問網(wǎng)絡(luò)資源、非授權(quán)訪問系統(tǒng)資源、濫用權(quán)限非正

常修改系統(tǒng)配