网络安全防护检查技术服务方案v2

('网络安全防护检查技术服务项目实施方案目录1概述...........................................................................................................................3网络安全防护检查技术服务项目实施方案1.1项目背景...................................................................................................................41.2项目目标...................................................................................................................41.3参考标准...................................................................................................................51.4项目范围...................................................................................................................52全网渗透测试评估...................................................................................................72.1.1可行性分析.......................................................................................................82.1.2渗透测试原理...................................................................................................82.1.3渗透测试的必要性...........................................................................................82.1.4渗透测试的可行性...........................................................................................82.1.5渗透测试前后系统的状态.............................................................................102.1.6渗透测试策略.................................................................................................102.1.7渗透测试计划.................................................................................................122.1.8渗透测试步骤.................................................................................................122.1.9渗透测试结果输出.........................................................................................173全网安全评估工作.................................................................................................183.1网络安全评估.........................................................................................................183.1.1目标................................................................................................................193.1.2过程描述........................................................................................................193.1.3输出................................................................................................................213.2系统安全评估.........................................................................................................213.2.1漏洞扫描评估.................................................................................................213.2.2基线检查评估.................................................................................................273.3系统备份与恢复措施.............................................................................................283.4风险规避与应对措施.............................................................................................294应急演练.................................................................................................................305安全应急响应.........................................................................................................306日常安全咨询.........................................................................................................317项目总结.................................................................................................................31第2页,共31页网络安全防护检查技术服务项目实施方案1概述1.1项目背景随着xxxx网络IP化、终端智能化以及4G业务的逐步开展，移动业务通过IP方式实现降本增效，提高业务灵活性等优势的同时，全IP网络使得越来越多的安全威胁被引入到xxxx网络。1.2项目目标本期项目为2017年网络安全防护检查技术服务评估，主要包含9个方面的内容：总部安全要求对标、全网安全评估及加固、网络安全防护检查、配合完成定级备案的更新工作、完成符合性评测工作、互联网安全巡检、安全评估报告、安全培训、协助安全演练。本期工程项目实施的主要目标为：1、与移动总部的各项网络信息安全要求及规范进行全面对标，发现存在的问题并协助xxxx公司进行整改，全面达到移动集团的网络信息安全要求。2、在6月前完成全网安全评估，包括xxxx业务系统、主要包含：网络部、业支、信安中心、政企分公司、数据部、市场部、各地市分公司（必须赴地市）3、在7月之前完成工信部检查要求内容以及对xxxx1级及以上网络通信网第3页,共31页网络安全防护检查技术服务项目实施方案元、用户电子信息涉及系统、云资源池进行安全防护的检查及加固工作。4、在8月之前协助xxxx安全人员完成定级备案的更新工作，完成符合性评测工作。5、按照移动总部和工信部要求，完成各种检查评估报告（定级备案、符合性评测等检查报告）。6、提出安全防护相关合理化建议，提升安全运维水平。7、应急响应及安全事件分析，及其提供局方需要的常见安全事件预案和部分演练配合工作。8、协助完成xxxx举行的安全演练工作。9、10月份前，完成全公司业务评估、报备、配合整改等工作。10、每阶段须制作阶段评估风险视图，并做到指标量化比较，提供PPT、doc文档。11、每季度对xxxx公网地址巡检，季度内对公网发现问题进行复查，并出具报告。12、重点时期保障，包括上级部门检查期间，重大活动对公网地址巡检及724小时值班保障工作等等。（全年重大活动，19大、金砖会议等）13、对xxxx重要客户提供风险评估技术支持，每月不超过3个系统。1.3参考标准本次对中国移动xxxx公司所有服务及软件应符合有关技术标准如(ISO、IEEE、ITU-T、ETSI、IETF、OMA、3GPP)等的有关标准如下：\uf06e《信息安全技术信息安全评估规范》（GB/T20984-2007）\uf06e《电信网和互联网安全风险评估实施指南》（YD/T1730-2008）\uf06e《通信网安全防护检测要求》（YDT1735-2008）\uf06e《电信网和互联网管理安全等级保护要求》（YDT1756-2008）\uf06e《支撑网安全防护要求》，中华人民共和国工业及信息化部（YDT1752-2008）\uf06e《中国移动网络与信息安全风险评估管理办法》\uf06e《信息技术-安全技术-信息安全管理实施准则》（ISO/IEC27002-2005）第4页,共31页网络安全防护检查技术服务项目实施方案\uf06e《计算机信息系统安全保护等级划分准则》（GB17859－1999）\uf06e《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2008）\uf06e\uf06e由于电信业务的特殊性，评估过程需遵循ITU-TX.805/ISO/IEC18028-2端到端通信系统安全架构进行。1.4项目范围本项目涵盖范围包含但不限于xxxx各类业务系统，主要包含：部门三级部室系统名称网络部无线维护室无线接入系统交换室Volte、IMS系统mc口监测系统核心交换网传输室INT系统传输网管网络设备骨干网、时间同步IT支撑室电子运维、故障管理系统维护、巡检系统各类网管、支撑系统云管平台互联网维护室dpi系统cdn系统城域网WAP网关GPRS无线城市系统DNS信令分析系统无线局域网系统网络安全与业务保障室智能网系统短彩信系统多媒体消息系统行业网关volteAS系统网络优化室网优平台应急规划室集中优化平台路网通、伪基站、感知测试等第5页,共31页网络安全防护检查技术服务项目实施方案动力室中心动环服务系统信安中心信息安全集中监管系统网络安全集中监测平台网络安全管控平台SMP市场部网厅电子渠道电子营销平台业务支撑与管理信息系统部虚拟化资源池业务运营支撑系统政企客户分公司信息化集成室和教育大数据平台流量统付平台ADC平台NFC一卡通平台千里眼平台信息化运维室财务信息化管理信息化专线支撑室其它平台集团统付WLAN认证平台IDC运营支撑室IDC运营管理平台IDC数据中心数据部和生活DSMP系统手机支付平台银川市公司传输网接入层、汇聚层固原市公司传输网接入层、汇聚层吴忠市公司传输网接入层、汇聚层石嘴山公司传输网接入层、汇聚层中卫市公司传输网接入层、汇聚层第6页,共31页网络安全防护检查技术服务项目实施方案2全网渗透测试评估2.1可行性分析2.2渗透测试原理渗透测试主要依据已经发现的安全漏洞，模拟黑客的攻击方法对系统和网络进行非破坏性质的攻击性测试。2.3渗透测试的必要性渗透测试利用安全扫描器和富有经验的安全工程师的人工经验对网络中的主要服务器及重要的应用系统等进行非破坏性质的模拟黑客攻击，目的是侵入系统并获取机密信息并将入侵的过程和细节产生报告给用户。由此确定用户系统所存在的安全威胁。并能及时提醒安全管理员完善安全策略，降低安全风险。第7页,共31页网络安全防护检查技术服务项目实施方案渗透测试和工具扫描可以很好的互相补充。工具扫描具有很好的效率和速度，但是存在一定的误报率，不能发现高层次、复杂的安全问题；渗透测试需要投入的人力资源较大、对测试者的专业技能要求很高（渗透测试报告的价值直接依赖于测试者的专业机能），但是非常准确，可以发现逻辑性更强、更深层次的弱点。2.4渗透测试的可行性渗透测试对现有信息资源的要求渗透测试主要针对服务器系统进行，因此将占用服务器系统及其所在的网络环境的部分资源。对于其他的资源没有特殊的要求。渗透测试的方法黑客的攻击入侵需要利用目标网络的安全弱点，渗透测试也是同样的道理。它模拟真正的黑客入侵攻击方法，以人工渗透为主，辅助以攻击工具的使用，这样保证了整个渗透测试过程都在可以控制和调整的范围之内。渗透的具体手段本次渗透主要以人工渗透为主，辅助以攻击工具的使用；口令猜测：主要用工具辅助猜测用户口令。第8页,共31页网络安全防护检查技术服务项目实施方案缓冲区溢出：因为会对系统造成一定的影响，所以在此次测试中不使用。WEB程序渗透：主要是对WEB程序做相关渗透，主要以人工渗透为主。比如SQL注入，上传以及WEB程序在开发过程中的一些漏洞等Apache渗透：针对apache的漏洞或设置做相关的测试。ORACLE：对SQL设置，用户口令等做相关的渗透。嗅探：对网络中传输的数据进行嗅探。其它方法：（在实际测试中，用到的其它的一些方法，需和用户方确认）渗透过程中所需要的工具AppScan：扫描web应用的基础架构,进行安全漏洞测试并提供可行的报告和建议。AcunetixWebVulnerabilityScanner：网络漏洞扫描工具，通过网络爬虫测试你的网站安全,检测流行的攻击方式等，它会自动检查您的网页程序漏洞,例如SQL注入、跨网站脚本和验证页面弱密码破解。WebInspect：用于网络应用程序扫描工具。thc-orakel：Oracle测试工具NBSI,OWASPSQLiX,SQLPowerInjector：SQL注入测试工具其它1.1.1渗透测试前后系统的状态由于采用可控制的、非破坏性质的渗透测试，因此不会对被评估的系统造成影响。在渗透测试结束后，系统将基本保持一致。第9页,共31页网络安全防护检查技术服务项目实施方案1.1.2渗透测试策略1.1.1.1渗透测试流程第10页,共31页网络安全防护检查技术服务项目实施方案1.1.1.2客户委托客户委托是启明星辰进行渗透测试的必要条件。启明星辰将尽最大努力做到客户对渗透测试所有细节和风险的知晓、所有过程都在客户的控制下进行。这也是启明星辰的专业服务与黑客攻击入侵的本质不同。1.1.1.3信息收集信息收集分析几乎是所有入侵攻击的前提/前奏/基础。“知己知彼，百战不殆”，信息收集分析就是完成的这个任务。通过信息收集分析，攻击者（测试者）可以相应地、有针对性地制定入侵攻击的计划，提高入侵的成功率、减小暴露或被发现的几率。信息收集的方法包括主机网络扫描、端口扫描、操作类型判别、应用判别、账号扫描、配置判别等等。入侵攻击常用的工具包括nmap、nessus、ISSInternetScanner等，有时，操作系统中内置的许多工具（例如telnet）也可以成为非常有效的攻击入侵武器。第11页,共31页网络安全防护检查技术服务项目实施方案1.1.1.4权限提升通过收集信息和分析，存在两种可能性，其一是目标系统存在重大弱点：测试者可以直接控制目标系统，这时测试者可以直接调查目标系统中的弱点分布、原因，形成最终的测试报告；其二是目标系统没有远程重大弱点，但是可以获得远程普通权限，这时测试者可以通过该普通权限进一步收集目标系统信息。接下来，尽最大努力获取本地权限，收集本地资料信息，寻求本地权限升级的机会。这些不停的信息收集分析、权限升级的结果构成了整个渗透测试过程的输出。1.1.3渗透测试计划1.1.4渗透测试步骤1.1.1.5渗透测试从黑客角度评估应用系统及其主机的安全现状。1.1.1.6渗透一般步骤1.1.1.1.1信息收集在这个阶段里，攻击者会通过各种方式获得目标的信息，目标价值越大或攻击的决心越大，在这个阶段的可能投入时间就越多。常见的方式有如下几种：第12页,共31页网络安全防护检查技术服务项目实施方案端口扫描：这是最常见的，也是必不可少的一步，端口扫描的工具相当的多。各种平台下的都有。Window下：superscan,shadowscan(这是一个集成的工具，还有其他功能ws_pingpro，nettools等等，superscan可能是win下标准端口扫描器中最好的一种。但是window平台下几乎没有rawsocket端口和UDP端口扫描器，没有对UDP和采用半开扫描的工具，这是一个很大的不足，使得win下的扫描器只是初学者的工具，而真正的攻击者通常只使用unix下的scannner。如果有对fielwall和隐蔽扫描的要求，就不要使用win下的扫描软件。服务器操作系统信息通常可以用以下途径：a.查询whois数据库b.在扫描时应用systemfigerprint技术，在nmap的实现里就应该加上-O参数。具体的技术实现参见namp作者的一篇文章。c.从登录的banner获得系统的情况，和各服务程序的版本。一般有实施方法是是连接到相应的端品后，看banner的情况。d.使用标准网络服务获取信息whois注册信息，DNS信息,traceroute(mtr),finger,ruser,rpcinfo,showmount，sendmail的效验,snmp搜索引擎,www上直接获得社会工程,报纸杂志？其他途径：moden接入号码，不安全的物理布线。自动安全扫描可以采用商用或免费的安全扫描器扫描一台主机或一个网络获得各种信息和安全弱点。最终他们希望能获得的信息包括，系统类型，开放的端口和服务，版本信息，内部大致拓扑结构，管理员活动程度，有效的用户名,甚至可能在这个阶段就能获得可用的登录入口。第13页,共31页网络安全防护检查技术服务项目实施方案1.1.1.1.2进入系统-获得登录入口攻击者对目标有了一个初步的了解以后，就会选择系统中最薄弱和他最熟悉的主机或服务入手。每个攻击者都有自己的攻击习惯和目标类型。有的人喜欢攻击unix,有的人喜欢攻击NT,有的人通常从猜测密码入手，有的人则采用更主动的方式。最终目的是获得一个可用的登录入口。下面我将讲述可能的手段和方法。用户名收集收集合法的用户名也是这个阶段的一个目标，他们通常会和上面讲的各种方式来综合使用。可能采用的方式：1.直接在webserver上查询2.通过在whois数据库中的信息猜测3.社会工程4.搜索该主机发送的信件。5.安装应用软件后的默认用户如：sybase，oracl，mysql，majordome，postsql,….6.Tftp7.固定httpCGI漏洞phf,php,test-cgi,htr../..。。。。8.密码猜测:一个极为普遍的攻击手段。通常是利用用户密码强度不高的问题。猜测密码对于攻击者来说是一种艺术也是一种运气。猜测密码可以从以下几个阶段入手：\uf0d8用户名作为密码\uf0d8用户全名作为密码\uf0d8特殊数字密码\uf0d8密码为用户名反写\uf0d8密码为用户名加上数字\uf0d8密码为用户名首字母大写\uf0d8安装应用软件后的默认用户的默认口令\uf0d8某特定用户的通用密码\uf0d8系统中可能存在的backdoor口令第14页,共31页网络安全防护检查技术服务项目实施方案\uf0d8用户名的其他变形猜测的途径：1.通过手工猜测2.通过程序自动猜测3.可以猜测密码的服务:telent,ftp,rlogin,远程拨入,pop3,iamp4，www维护页面…4.远程溢出攻击远程溢出有时要求一个合法的帐户再溢出如wu-ftp的远程溢出，也有的无需任何合法帐户，可能获得的登录入口是普通shell甚至rootshell，取决于服务程序的运行的所有者目前可以被远程溢出攻击的服务程序有ttdb,cmsd,sadmind,Qpop,imap.amd,lpd,wu-ftp,majordome…直接利用应用程序的漏洞：1.老版本apache2.NIS,NIS+的配置漏洞3.NFS的配置漏洞其它攻击方法：IPspoof,arpspoof,TcpHijeck,DNSspoof,sniffing这些攻击手段需要更加深入的网络知识和能力,但要实现有各种客观条件的限制。1.IPspoof主要针对以下基于IP和域名系统认证服务包括Rservice/RPC/Xwindow2.ARPspoof通常是已经进入一个网络，用来攻击同网段的其他主机时使用3.Sniffing:很常见的被动攻击手段，对同网段明文传送的pop3,snmp,telent,ftp,rservice的密码有效。这是一个扩大攻击面极好的方式。4.DNSspoof：严重的问题，通常可以通过伪造各种登录界面来骗取密码和信息。DNSspoof还有其他一些严重的危害。5.TCP/Iphijeck同样是在进入某一网络或处于某一网络路径中,采用TCP第15页,共31页网络安全防护检查技术服务项目实施方案连接抢用的方式攻击。不要以为采用s/key,secureID之类一次性口令就不怕sniffing,IPhijack能够危害这种登录方式。6.第三方CGI或自开发CGI的问题。字符过滤,零字节等等。1.1.1.1.3对脚本进行测试对应用系统的脚本进行系统的测试。来获取相关的权限。可能会用到的方法1、sql注入2、cookies注入3、XSS跨站测试4、其它1.1.1.1.4获取管理员权限登录系统以后，攻击者有时仅仅只是一个普通用户，这时，他们的目的是获取更高的权限，下面是一些常见的获取root手段：1.localoverflow:最常见的方式，通过攻击不完善的suid程序的，导致缓冲区溢出覆盖堆栈，从而获得rootshellcode的执行可能。对于一般的攻击者，只需寻找已经发布的公开攻击代码，而更强一些的攻击者则可以自己修改和移植他人的攻击代码，真正的攻击者则可以自己寻找漏洞并写出对应的代码。2.remoteoverflow,这在前一阶段已经提到了，如果被攻击的服务程序是以root身份运行，remoteoverflow就能获得root权限。3.安装陷阱，等待root用户进入。4.寻找其他攻击者留下的后门。这并不少见，疏于防范的主机可能不止一次被不同的攻击者进入，也许现在找不到攻击root的方法，可是以前的攻击者曾经得手过…包括suidshell,.rhosts,bindshell……5.符号连接争用。通常的结果是生成一个suidshell或者改写重要文件，第16页,共31页网络安全防护检查技术服务项目实施方案如passwd1.1.1.1.5放置后门并清除log对于攻击者而言，保留一个自由出入的入口是方便而必要的。Backdoor的放置方式手法很多，从初级的到高级的。设置良好的backdoor也许只有重新安装系统才能清除。1.加入一个新帐号2.通过.rhosts...太简单3.通过.profile...太简单4.通过.forword...简单5.通过bindtcpshell。bindshell的手法也有多种,也可以反映入侵者的技术水平。6.icmpbackdoor,封装在icmp包中的后门,很多入侵者喜欢在firewall后面放置.如果管理员没有注意到短期内的icmp风暴,那么就会忽略它了。7.udpbackdoor,udp的backdoor比较少见,对于允许udp穿过的firewall,很合适的一个backdoor.不过现代的一些IDS软件能注意到不正常udp包。8.替换标准服务进程,几乎所有的服务进程都被作过木马和后门，常见的可能是login,telnet,finger,...9.动态连接库后门,修改了密码验证的动态连接库.如果没有对库文件做文件完整性检查,几乎不可能被发现。10.Boot块后门在PC世界里,许多病毒藏匿在根区,而杀病毒软件就是检查根区是否被改变。Unix下,多数管理员没有检查根区的软件,所以一些入侵者将一些后门留在根区。11.内核后门，如LKM的后门。如果系统中有这种后门,那么是一个相当高明的入侵者,还是重装吧,这可能最保险。a)后门不仅仅是上面的这些,仅仅在firewall后门放置backdoor的方法和例子就够写不少篇幅。第17页,共31页网络安全防护检查技术服务项目实施方案Firewall下的后门:CGI后门,UDP后门,ICMP后门,..清除log记录清除log记录能够比较好的隐藏攻击者的踪迹。通常要清楚的log包括lastlog，UTMP，WTMP，命令的history,messages等等。1.1.1.1.6扩大攻击范围当攻击者进入一个系统以后，他可能利用这个系统作为跳板来进入其他的系统。在系统之安装sniffer能够嗅探出更多的用户名和密码。监视系统用户的活动同样可以获得新主机的控制权。另外可对其他系统发起攻击。安装DDOS的客户端等。1.1.5渗透测试结果输出渗透测试的结果将以《渗透测试报告》的形式提交，同时提交相应主机系统的安全加固方案，渗透测试输出文档将作为安全威胁分析的一个重要数据来源，具体输出成果文档如下：\uf06c《渗透测试方案》\uf06c《渗透测试过程记录》（每系统）\uf06c《渗透测试分析报告》（每系统）\uf06c《系统改进建议》（每系统）\uf06c《XX系统网络渗透测试报告》\uf06c《xxxx公网季度风险评估报告》(每季度一份)第18页,共31页网络安全防护检查技术服务项目实施方案3全网安全评估工作3.1网络安全评估对网络结构，逻辑网络结构及网络的关键设备进行评估，发现存在的安全性等方面的问题。结合业务体系、系统体系等结构的检查逻辑网络，由什么物理网络组成以及网络的关键设备的位置所在对于保持网络的安全是非常重要的。另外，鉴定关键网络拓扑，对于成功地实施一个基于网络的风险管理方案是很关键的。基本信息包括网络带宽，协议，硬件（例如：交换机，路由器等）Internet接入，地理分布方式和网络管理。第19页,共31页网络安全防护检查技术服务项目实施方案1.1.6目标对网络拓扑、安全域、VLAN、协议、网络设备配置、设备安全漏洞等方面，对企业外网进行全面分析，重点网络架构层面的安全隐患和漏洞，并给出对应的优化建议。1.1.7过程描述1.网络拓朴评估拓朴结构合理性分析、可扩展性分析。2.路由协议评估中国移动xxxx公司系统目前所采用的路由协议评价，是否存在配置漏洞，冗余路由配置情况，路由协议的信任关系问题。3.接入方式评估对周边接入的全面了解，对各种接入情况进行安全风险评估，与非信任网络间互访的安全管理，提出改进方案。4.协议选择评估对网络管理相关协议的分析整理；对业务应用相关协议的分析整理。中国移动xxxx公司业务系统本身业务服务所采用的相关协议，以及由此而带来的相关的网络支撑设备。5.流量分析流量管理目标，服务品质保障（QoS）措施评价。系统BUG的检查处理机制。系统管理人员接收到或者发现相关业务系统产生的BUG的时候，是否有一个流程可以处理。6.安全事件紧急响应措施评估网络防黑常用配置的资料整理、分类和准备；网络故障的分析手段的资料整理、分类和准备。7.安全审计制度和实施情况调查针对网络架构中可能出现的安全问题，以及其中是否被正确执行审计情况。第20页,共31页网络安全防护检查技术服务项目实施方案8.密码和身份认证手段调查和评估网络服务本身提供的密码和身份认证手段，系统是否还要其它密码和身份认证体系。9.数据加密传输评估可能造成信息泄漏的地方是否有敏感数据加密措施。10.访问控制情况调查评估在相关的网络隔离点，是否有恰当的访问控制规则设立，是否被有效的执行。11.漏洞评估和入侵检测机制评估是否有漏洞的定期评估机制和入侵检测和记录系统的机制。12.安全策略和安全制度分析评估系统的安全策略是否存在，以及是否和业务系统相互吻合，有无合理的安全制度作为保障。13.安全配置均衡性分析安全配置本身是否具有不合理的配置或者弱点存在。14.接入/连接方式的安全性评估各个接入节点部分是否具备安全措施保障，是否被正确配置和执行。15.信任网络之间的安全性评估信任网络或者不信任网络之间是否有控制，控制本身带来的安全程度以及是否有可以绕过控制的途径。16.网络节点的安全性评估各个独立的网络节点是否有良好的安全控制，是否被正确配置和使用。17.网络架构管理评估网络体系架构是如何进行管理的，是否有良好的机制和制度保障网络架构本身不被改变，没有非法的不符合安全策略的架构改变。18.网络设备认证管理评估是否有集中的设备认证管理机制，是否被正确的配置和执行。19.网络的高可用性和可靠性评估网络建设中是否良好的考虑了网络的高可用性和可靠性问题，是否被正确使用和良好的配置，是否有机制保障不被修改。第21页,共31页网络安全防护检查技术服务项目实施方案1.1.8输出\uf06e《中国移动xxxx公司网安全评估报告》3.2系统安全评估1.1.9漏洞扫描评估1.1.1.7目标为了充分了解中国移动xxxx公司当前的网络安全现状及其安全威胁，需要利用网络评估工具天镜脆弱性扫描与管理系统为主，对选定应用系统运行的支撑系统（主机、网络设备、数据库）进行扫描评估，对象包括各类主机系统、网络设备、数据库系统等，扫描评估的结果将作为中国移动xxxx公司信息安全防御提升的一个重要参考依据。1.1.1.8范围由中国移动xxxx公司指定。1.1.1.9扫描网络环境需求天镜脆弱性扫描与管理系统控制台到服务器区的网段是可达的。1.1.1.10可行性分析1.1.1.1.7扫描评估的原理扫描评估主要是根据已有的安全漏洞知识库，模拟黑客的攻击方法，检测网络协议、网络服务、网络设备、应用系统等各种信息资产所存在的安全隐患和第22页,共31页网络安全防护检查技术服务项目实施方案漏洞。扫描的方式可以采用网络扫描、主机扫描和数据库扫描几种。网络扫描主要依靠带有安全漏洞知识库的网络安全扫描工具对信息资产进行基于网络层面安全扫描，其特点是能对被评估目标进行覆盖面广泛的安全漏洞查找，并且评估环境与被评估对象在线运行的环境完全一致，能较真实地反映主机系统、网络设备、应用系统所存在的网络安全问题和面临的网络安全威胁主机扫描是在被评估的系统上安装一个扫描代理，扫描代理在远程的扫描控制台的控制下对主机系统进行内部漏洞扫描，这类扫描用来发现网络扫描所不能发现的系统安全配置等内部潜在的安全隐患，是对网络扫描的一种必要的补充。数据库扫描主要依靠带有安全漏洞知识库的数据库扫描工具对数据库进行安全扫描，其特点是能对被评估的数据库进行覆盖面广泛的基于数据库字典的安全漏洞查找，内容包括数据库的认证管理，授权管理以及完整性，一致性检查。通过库扫描能发现数据库系统在配置和管理上潜在的安全问题和可能面临的安全威胁。1.1.1.1.8扫描评估的必要性利用安全扫描评估工具扫描网络中的核心服务器及重要的网络设备，包括服务器、交换机、防火墙等，以对网络设备进行安全漏洞检测和分析，对识别出的能被入侵者利用来非法进入网络或者非法获取信息资产的漏洞，提醒安全管理员，及时完善安全策略，降低安全风险。现代操作系统，应用系统，网络设备代码数量巨大，由成百上千工程师的共同设计编制，很难避免产生安全漏洞。随着及计算机技术的发展，这些系统的功能越来越强大，但配置越来越复杂。面对横跨多种平台、不同版本、不同种类的操作系统和应用系统，系统管理员显得力不从心，经常会造成配置上失误，产生安全问题。系统安全漏洞涉及口令设置、文件权限、账户管理、组管理、系统配置等。基于主机和网络的风险评估技术，主要检查系统本身固有的安全漏洞和系统文件的不安全配置，数据的授权，认证和完整性，并指示用户如何修补漏洞以使系统安全风险降到最小，也就增加了整个网络系统的安全性。第23页,共31页网络安全防护检查技术服务项目实施方案1.1.1.1.9扫描评估的可行性1.1.1.1.1.1对现有业务系统资源的影响网络扫描评估以网络为基础进行，扫描控制台通过网络对被评估对象进行安全评估，因此这种扫描方式主要消耗一定的网络带宽资源，并对被评估的对象消耗很小一部分的网络连接的资源，对于其他的资源没有特殊的要求。实际的使用情况表明，网络扫描对网络资源和被评估系统的资源占用在3%-5%之间，并且可以通过修改、配置一定的扫描策略来使这些资源消耗降低至最小。从业务系统的影响角度来说，网络扫描采用非攻击的策略，对系统进行扫描，不会对现有的业务系统造成影响。1.1.1.1.1.2制定确切的扫描评估方案保证为将扫描评估对信息系统的影响减低到最小，并取得较好的扫描评估效果，在扫描之前制定符合实际需要的扫描评估方案显得十分重要，方案将从工具选择、评估对象选择、评估时间、评估人员、报告数据形式、系统备份和风险规避和应对等方面来保证扫描评估的可靠运行。1.1.1.11扫描评估方案1.1.1.1.10评估工具安装和部署天镜脆弱性扫描与管理系统安装在扫描人员pc机的虚拟机上，然后接入中国移动xxxx公司内部网络，此网络到要扫描的服务器区段是可达的。1.1.1.1.11扫描策略在网络安全体系的建设中，安全扫描工具花费低、效果好、见效快、与网络的运行相对独立、安装运行简单，可以大规模减少安全管理员的手工劳动，有利于保持全网安全政策的统一和稳定，是进行风险分析的有力工具。在本项目中，安全扫描主要是通过评估工具以本地扫描的方式对评估范围第24页,共31页网络安全防护检查技术服务项目实施方案内的系统进行安全扫描，查找服务器主机存在的安全风险、漏洞和威胁。扫描策略分别根据各系统的不同类型进行策略的定制，具体的策略有：\uf06e常规安全扫描策略\uf06e高强度扫描\uf06eWindows主机扫描\uf06e类Unix主机扫描\uf06e高强度完全扫描\uf06e中强度扫描\uf06e低强度扫描\uf06e弱口令扫描\uf06e主机信息扫描\uf06e账户扫描\uf06e全端口扫描\uf06eWeb服务扫描\uf06eSQLSERVER数据库扫描\uf06eORACLE数据库扫描\uf06eIBMDB2数据库扫描\uf06eSybase数据库扫描\uf06eMysql数据库扫描本次使用常规安全扫描策略进行扫描。安全扫描项目包括如下内容：\uf06c信息探测类\uf06c网络设备与防火墙\uf06cRPC服务\uf06cWeb服务\uf06cCGI问题\uf06c文件服务\uf06c域名服务\uf06cMail服务\uf06cWindows远程访问\uf06c数据库问题第25页,共31页网络安全防护检查技术服务项目实施方案\uf06c后门程序\uf06c其他服务\uf06c其他问题从网络层次的角度来看，扫描项目涉及了如下两个层面的安全问题。1．系统层安全：该层的安全问题来自网络运行的操作系统：UNIX系列、Linux系列、WindowsNT系列以及专用操作系统等。安全性问题表现在两方面：一是操作系统本身的不安全因素，主要包括身份认证、访问控制、系统漏洞等；二是操作系统的安全配置存在问题。\uf06c身份认证：通过telnet进行口令猜测，……\uf06c访问控制：注册表HKEY_LOCAL_MACHINE普通用户可写，远程主机允许匿名FTP登录，ftp服务器存在匿名可写目录，……\uf06c系统漏洞：SystemV系统Login远程缓冲区溢出漏洞，MicrosoftWindowsLocator服务远程缓冲区溢出漏洞，……\uf06c安全配置问题：部分SMB用户存在薄弱口令，试图使用rsh登录进入远程系统，……\uf06c……2．应用层安全：该层的安全考虑网络对用户提供服务所采用的应用软件和数据的安全性，包括：数据库软件、Web服务、电子邮件系统、域名系统、交换与路由系统、防火墙及应用网管系统、业务应用软件以及其它网络服务系统等。\uf06c数据库软件：Oracletnslsnr没有设置口令，MicrosoftSQLServer2000Resolution服务多个安全漏洞，……\uf06cWeb服务器：ApacheMod_SSL/Apache-SSL远程缓冲区溢出漏洞，MicrosoftIIS5.0.printerISAPI远程缓冲区溢出，SunONE/iPlanetWeb服务程序分块编码传输漏洞，……\uf06c电子邮件系统：Sendmail头处理远程溢出漏洞，MicrosoftWindows2000SMTP服务认证错误漏洞，……\uf06c防火墙及应用网管系统：AxentRaptor防火墙拒绝服务漏洞，……\uf06c其它网络服务系统：WingatePOP3USER命令远程溢出漏洞，Linux系统LPRng远程格式化串漏洞，……第26页,共31页网络安全防护检查技术服务项目实施方案\uf06c……为了确保扫描的可靠性和安全性，我们将根据中国移动xxxx公司业务情况，与运维人员一起确定扫描计划。计划主要包括扫描开始时间、扫描对象、预计结束时间、扫描项目、预期影响、需要对方提供的支持等等。为了防止对系统和网络的正常运行造成影响，我们将修改、配置一定的扫描、审计策略使资源消耗降低至最小，限制或不采用拒绝服务模块进行扫描。我们仅在可控环境下，对非重要服务的主机进行拒绝服务扫描。对那些危险的模块和重要主机则主要采用手动检查的方式。另外，我方工程师将在评估前将协助评估节点进行必要的系统备份，并检查本地的应急恢复计划是否合理。在实际开始评估扫描时，我方工程师会正式通知中国移动xxxx公司相关运维人员。我们将按照预定计划，在规定时间内进行并完成评估工作。如遇到特殊情况（如设备问题、停电、网络中断等不可预知的状况）不能按时完成扫描计划或致使扫描无法正常进行时，由双方协商予以解决。1.1.1.1.12扫描结果预计不同的扫描策略、扫描目标数量和扫描器所在的服务器配置等，扫描完成时间有所不同。1.1.1.1.13扫描结果输出漏洞扫描工作完成后，出具一份整体的漏洞扫描报告，相关漏洞修复方法会提供相关补丁或配置获取链接,具体输出成果文档如下：\uf06c《资产清单列表》\uf06c《XX系统脆弱性评估报告》\uf06c《XX系统网络安全评估报告》\uf06c《XX系统漏洞扫描报告》\uf06c《XX系统安全加固建议第27页,共31页网络安全防护检查技术服务项目实施方案1.1.10基线检查评估根据根据中国移动xxxxxxxx公司设备安全配置规范，各部门网络的网元设备进行安全配置检查，由各部门提供基线检查报告，启明星辰对提供设备配置符合程度报告进行分析。1.1.1.12输出文档\uf06e《XX系统安全配置检查报告》3.3安全日志审计安全日志审计，是指对中国移动xxxx公司的防火墙、IPS、WAF等产生的安全日志进行收集，综合对这些日志进行关联分析，从多个维度对目标的运行状态进行分析，得出一段时间内目标系统及相关设备的安全运行状态。同时，结合最新安全事件和安全日志分析结果，对设备安全策略优化提出建议，以确保安全策略的有效性。\uf06c《中国移动xxxx公司安全日志分析报告》3.4系统备份与恢复措施为防止在扫描过程中出现的异常的情况，所有被评估系统均应在被评估之前作一次完整的系统备份或者关闭正在进行的操作，以便在系统发生灾难后及时恢复。第28页,共31页网络安全防护检查技术服务项目实施方案\uf0d8操作系统类：停止前台的应用操作，制作系统应急盘，对系统信息，注册表，sam文件，/etc中的配置文件以及其他含有重要系统配置信息和用户信息的目录和文件进行备份，并应该确保备份的自身安全。\uf0d8数据库系统类：停止数据库系统的运行，然后对数据库系统进行数据转储，并妥善保护好备份数据。同时对数据库系统的配置信息和用户信息进行备份\uf0d8网络应用系统类：停止网络应用服务的运行，对网络应用服务系统及其配置、用户信息、数据库等进行备份。\uf0d8网络设备类：对网络设备的配置文件进行备份。\uf0d8桌面系统类：关闭正在运行的前台应用，备份用户信息，用户文档，电子邮件等信息资料。3.5风险规避与应对措施\uf0d8在扫描评估过程中尽量避免使用含有拒绝服务类型的扫描策略，而主要采用专家的经验来发现系统可能存在的拒绝服务漏洞。\uf0d8扫描评估时间尽量安排在业务量不大的时段或者晚上。\uf0d8扫描评估方式的选取原则基于对各种扫描器的性能和风险的分析：对于采用天镜脆弱性扫描与管理系统的扫描，主要占用网络系统带宽资源（可以通过线程、并发数限制控制在5%以内）和被评估系统的小部分(<10%)的资源DBScanner则对数据库的性能不会产生较大的影响。SystemScanner所存在的风险在于其所使用的扫描代理可能与目标系统不匹配，从而造成系统的不稳定。\uf0d8在扫描评估过程中如果出现被评估系统没有响应的情况，应当立即停止扫描工作，与中国移动xxxx公司配合工作人员一起分析情况，在确定原因后，并正确恢复系统，采取必要的预防措施（比如调整扫描策略等）后，才可以继续进行。\uf0d8如果遇到无法解决问题，应由双方项目组工作人员共同协商解决。4应急演练第29页,共31页网络安全防护检查技术服务项目实施方案对xxxx对应急预案进行修订，并按照要求，协助实施安全演练，包括但不限于演练方案确定，演练计划编制，环境搭建，工具准备，相关测试，文档总结，人员培训等。（不限于拒绝服务类攻击事件、漏洞攻击事件、网络扫描探测攻击事件、口令攻击事件、后门攻击事件、内部攻击事件、恶意代码攻击事件、BOTNET攻击事件SQL注入事件、网页挂马事件、DNS挟持事件、信息篡改类事件、WLAN无线安全、业务内部安全事件、敏感信息泄露事件等相关完善预案，并确保应急响应的可行性）。5安全应急响应服务期限内提供应急响应，7×24小时的远程安全应急响应，接到客户安全事件通知后，对发生的入侵安全事件进行全面分析、抑制、溯源和评估，并提出相应的整改和防护计划，最大程度降低安全事件对客户带来的损失。我们对安全事件的应急处理，具体的内容及流程大致如下：\uf06c判定安全事件类型从网络流量、系统和IDS日志记录、桌面日志中判断安全事件类型。查明安全事件原因，确定安全事件的威胁和破坏的严重程度。查明安全事件原因，确定安全事件的威胁和破坏的严重程度。\uf06c抑制事态发展抑制事态发展是为了将事故的损害降低到最小化。在这一步中，通常会将受影响系统和服务隔离。这一点对保持系统的可用性是非常重要的。第30页,共31页网络安全防护检查技术服务项目实施方案\uf06c排除系统故障针对发现的安全事件来源，排除潜在的隐患，消除安全威胁，彻底解决安全问题。\uf06c恢复系统正常运行在根除问题后，将已经被攻击的设备或由于事故造成的系统进行恢复，使业务系统能在尽可能短的时间内恢复运行。6日常安全咨询在服务期限内，通过电话、邮件、IM等方式，为中国移动xxxx公司提供日常安全咨询服务，对中国移动xxxx公司网络安全、信息安全相关的问题、需求进行分析、讨论、解答，并提出安全建议7项目总结服务完成后，对本年度服务结果进行整理，并以PPT的方式进行现场汇报。第31页,共31页',)