安数云综合安全检查评估系统技术白皮书

("安数云综合安全检查评估系统技术白皮书北京安数云信息技术有限公司二〇一七年三月目录1背景介绍................................................................................................12安全漏洞................................................................................................32.1系统安全漏洞..............................................................................................32.1.1缓冲区溢出漏洞....................................................................................................32.1.2拒绝服务攻击漏洞................................................................................................42.1.3弱口令漏洞............................................................................................................42.2WEB应用漏洞..............................................................................................52.2.1可用性...................................................................................................................52.2.2安全漏洞................................................................................................................52.2.2.1SQL注入攻击......................................................................................................52.2.2.2SQL盲注攻击......................................................................................................62.2.2.3XPath注入攻击...................................................................................................72.2.2.4XSS跨站脚本攻击..............................................................................................72.2.2.5目录遍历............................................................................................................82.2.2.6源代码泄露........................................................................................................82.2.3篡改.......................................................................................................................92.2.4敏感内容................................................................................................................92.2.5网马、暗链............................................................................................................93安全基线..............................................................................................103.1安全评估的重要意义.................................................................................103.2基于业务的安全评估.................................................................................113.3安全基线的建立和应用..............................................................................123.3.1安全基线定义......................................................................................................123.3.2安全基线的建立..................................................................................................123.3.3安全基线的应用..................................................................................................124等级保护..............................................................................................134.1等保定义....................................................................................................134.2等保工作内容.............................................................................................144.3等保等级划分.............................................................................................144.4等保建设意义.............................................................................................155产品概述..............................................................................................156产品功能..............................................................................................166.1资产管理与发现.........................................................................................166.1.1资产管理..............................................................................................................166.1.2资产发现..............................................................................................................176.2网站监控....................................................................................................186.2.1架构.....................................................................................................................186.2.2监控对象..............................................................................................................196.2.3监控方式..............................................................................................................196.2.4监控内容..............................................................................................................206.2.4.1可用性..............................................................................................................206.2.4.2安全漏洞..........................................................................................................206.2.4.3篡改..................................................................................................................206.2.4.4敏感内容..........................................................................................................216.2.4.5网马和暗链......................................................................................................216.2.5高效爬虫..............................................................................................................226.2.5.1爬虫原理..........................................................................................................226.2.5.2静态爬虫..........................................................................................................236.2.5.3动态爬虫..........................................................................................................236.3系统漏扫....................................................................................................246.3.1架构.....................................................................................................................256.3.2检测对象..............................................................................................................256.3.3检测方式..............................................................................................................266.3.4检测内容..............................................................................................................266.4数据库漏扫................................................................................................266.4.1检测对象..............................................................................................................266.4.2检测内容..............................................................................................................266.5基线配置核查.............................................................................................276.5.1架构.....................................................................................................................276.5.2检测对象..............................................................................................................276.5.3检测方式..............................................................................................................286.5.4检测内容..............................................................................................................286.6弱口令在线扫描.........................................................................................296.7弱口令离线扫描.........................................................................................296.7.1架构.....................................................................................................................296.7.2检查对象..............................................................................................................306.7.3检查方式..............................................................................................................306.8木马病毒检查.............................................................................................306.9网站恶意代码检查.....................................................................................306.10等保合规检查.........................................................................................316.10.1架构.....................................................................................................................316.10.2功能.....................................................................................................................317产品优势..............................................................................................317.1一键资产发现.............................................................................................317.2完备的漏洞规则库.....................................................................................327.3高效的检查速率.........................................................................................327.4先进的漏洞管理方案.................................................................................327.5丰富的监控报告.........................................................................................327.6实时预警....................................................................................................337.7权威、高效、专业的等保合规检查...........................................................338产品部署..............................................................................................338.1一体机部署................................................................................................338.2分布式部署................................................................................................349培训与服务..........................................................................................349.1产品培训内容.............................................................................................359.1.1培训计划..............................................................................................................359.1.2培训目的..............................................................................................................359.1.3培训对象..............................................................................................................359.1.4培训内容..............................................................................................................359.1.5培训师资..............................................................................................................369.1.6培训方法..............................................................................................................369.2产品服务承诺.............................................................................................369.2.1保修期内的服务内容..........................................................................................369.2.2保修期后的服务内容..........................................................................................389.2.3服务承诺..............................................................................................................38版本控制时间版本说明修改人2017-10-25V1首次提交常帅1背景介绍随着互联网技术的迅猛发展，利用漏洞进行攻击的网络安全事件不断增加，且呈日趋严重的趋势。2012年至2016年，CNVD(国家信息安全漏洞共享平台)共收录了42743个漏洞，其中高危漏洞为14495个。CNVD近五年发布的漏洞数量和高危漏洞数按年度统计如图所示，高危漏洞数量的比例有所上升。根据影响对象的类型，漏洞可分为：应用程序漏洞、WEB应用漏洞、操作系统漏洞、网络设备漏洞（如路由器、交换机等）、数据库漏洞、和安全产品漏洞（如防火墙、入侵检测系统等）。如下图所示，在CNVD2016年度收录的漏洞信息中，应用程序漏洞占60%，WEB应用漏洞占17.0%，操作系统漏洞占13%，网络设备漏洞占6.0%，数据库漏洞占2.0%，安全产品漏洞占2.0%。随着企业规模和各项业务的不断扩展和信心化建设的持续深入，IT信息系统越来越复杂，设备的种类、品牌、型号越来越多，IT基础架构越发的庞大。由于系统的不安全配置引发的漏洞也越来越多。安全配置漏洞并不是由协议或软件本身问题造成的，而是由系统、软件和服务的不正确部署和配置造成的。大多数系统管理员并没有意识到进行安全配置的重要性，随着业务系统的网络结构越来越复杂，重要应用和服务器的数量和种类日益增多，人工对系统进行安全配置检查变的越来越困难，对检查人员的技能和经验要求也越来越高。传统的人工对安全配置检测，存在效率低下、配置情况反映不真实等多种问题，根据IT咨询公司EnterpriseManagementAssociates的数据，多达80%的网络问题都可以归结为配置错误，如下图：因此，如何有效发现应用程序、操作系统、WEB应用、数据库、网络设备以及安全设备中存在的安全漏洞及不安全配置给网络管理员、系统管理员、信息安全主管们带来了新的挑战。2安全漏洞2.1系统安全漏洞2.1.1缓冲区溢出漏洞缓冲区溢出是一种非常普遍、非常危险的漏洞，在各种操作系统、应用软件中广泛存在。利用缓冲区溢出攻击，可以导致程序运行失败、系统宕机、重新启动等后果。更为严重的是，可以利用它执行非授权指令，甚至可以取得系统特权，进而进行各种非法操作。其原理是通过往程序的缓冲区写超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，造成程序崩溃或使程序转而执行其它指令，以达到攻击的目的。造成缓冲区溢出的原因是程序中没有仔细检查用户输入的参数。在计算机安全领域，缓冲区溢出就好比给自己的程序开了个后门，这种安全隐患是致命的。缓冲区溢出在各种操作系统、应用软件中广泛存在。而利用缓冲区溢出漏洞实施的攻击就是缓冲区溢出攻击。缓冲区溢出攻击，可以导致程序运行失败、系统关机、重新启动，或者执行攻击者的指令，比如非法提升权限。在当前网络与分布式系统安全中，被广泛利用的50%以上都是缓冲区溢出，其中最著名的例子是1988年利用fingerd漏洞的蠕虫。而缓冲区溢出中，最为危险的是堆栈溢出，因为入侵者可以利用堆栈溢出，在函数返回时改变返回程序的地址，让其跳转到任意地址，带来的危害一种是程序崩溃导致拒绝服务，另外一种就是跳转并且执行一段恶意代码，比如得到shell，然后为所欲为。2.1.2拒绝服务攻击漏洞拒绝服务攻击即攻击者想办法让目标机器停止提供服务，是黑客常用的攻击手段之一。其实对网络带宽进行的消耗性攻击只是拒绝服务攻击的一小部分，只要能够对目标造成麻烦，使某些服务被暂停甚至主机死机，都属于拒绝服务攻击。拒绝服务攻击问题也一直得不到合理的解决，究其原因是因为网络协议本身的安全缺陷，从而拒绝服务攻击也成为了攻击者的终极手法。攻击者进行拒绝服务攻击，实际上让服务器实现两种效果：一是迫使服务器的缓冲区满，不接收新的请求；二是使用IP欺骗，迫使服务器把非法用户的连接复位，影响合法用户的连接。如果操作系统或者应用软件由于某些漏洞，攻击者发送特定的数据包即可照成拒绝服务攻击漏洞。2.1.3弱口令漏洞弱口令(weakpassword)没有严格和准确的定义，通常认为容易被别人（他们有可能对你很了解）猜测到或被破解工具破解的口令均为弱口令。设置密码通常遵循以下原则：1)不使用空口令或系统缺省的口令，这些口令众所周之，为典型的弱口令。2)口令长度不小于8个字符。3)口令不应该为连续的某个字符（例如：AAAAAAAA）或重复某些字符的组合（例如：.）。4)口令应该为以下四类字符的组合，大写字母(A-Z)、小写字母(a-z)、数字(0-9)和特殊字符。每类字符至少包含一个。如果某类字符只包含一个，那么该字符不应为首字符或尾字符。5)口令中不应包含本人、父母、子女和配偶的姓名和出生日期、纪念日期、登录名、E-mail地址等等与本人有关的信息，以及字典中的单词。6)口令不应该为用数字或符号代替某些字母的单词。7)口令应该易记且可以快速输入，防止他人从你身后很容易看到你的输入。8)至少90天内更换一次口令，防止未被发现的入侵者继续使用该口令。如果没有遵循这些规则，密码被别人猜到，可能导致你的服务器被别人恶意操控。2.2WEB应用漏洞2.2.1可用性网站可用性主要指网站运行状况、响应时间、服务器运行状况等，网站可用性是网站安全监控最根本且最重要的部分，网站不可用不仅给站长及企业带来巨大的经济损失，更影响了企业的品牌形象，快速的发现网站故障、提高网站、服务器安全会减少损失和降低影响。2.2.2安全漏洞2.2.2.1SQL注入攻击当一个攻击者通过在查询语句中插入一系列的SQL语句来将数据写入到应用程序中，这种方法就可以定义成SQL注入。SQL注入攻击就其本质而言，它利用的工具是SQL的语法，针对的是应用程序开发者编程过程中的漏洞，当攻击者能够操作数据，往应用程序中插入一些SQL语句时，SQL注入攻击就发生了。实际上，SQL注入是存在于常见的多连接的应用程序中一种漏洞，攻击者通过在应用程序中预先定义好的查询语句结尾加上额外的SQL语句元素，欺骗数据库服务器执行非授权的任意查询。这类应用程序一般是网络应用程序(WebApplication)，它允许用户输入查询条件，并将查询条件嵌入SQL请求语句中，发送到与该应用程序相关联的数据库服务器中去执行。通过构造一些畸形的输入，攻击者能够操作这种请求语句去获取预先未知的结果。在风险方面SQL注入攻击是位居前列的，与缓冲区溢出等漏洞基本相当。而且如果要实施缓冲区溢出攻击，攻击者必须首先能绕过站点的防火墙；而对于SQL注入攻击，由于防火墙为了使用户能访问网络应用程序，必须允许从Internet到Web服务器的正向连接，因此一旦网络应用程序有注入漏洞，攻击者就可以直接访问数据库进而甚至能够获得数据库所在的服务器的访问权，因此在某些情况下，SQL注入攻击的风险要高于所有其他漏洞。2.2.2.2SQL盲注攻击很多安全文档都认为SQL注入攻击需要通过错误信息收集信息，有些甚至声称缺乏详细的错误信息则不能完成，这使很多安全专家形成一种观念，即注入攻击在缺乏详细错误的情况下不能实施。而实际上，屏蔽错误信息是在服务端处理完毕之后进行补救，攻击其实已经发生，只是企图阻止攻击者知道攻击的结果而已。SQL盲注就是网站在进行错误信息屏蔽的情况下仍能使攻击者获得所需的信息，尽管错误信息本身已被屏蔽，网络应用程序仍然具有能区分正确请求和错误请求的能力，攻击者可继续实施注入攻击。也就是说使没有详细的错误信息，对于攻击者来说，判断是否存在SQL注入漏洞仍然是一个非常简单的任务。即使已经采取了很多措施来隐藏和掩饰返回给用户的信息，很多应用程序仍然可以被注入利用。应用程序级别的漏洞，仅仅依靠对服务器的基本设置做一些改动是不能够解决的，必须从提高应用程序的开发人员的安全意识入手，加强对代码安全性的控制，在服务端正式处理之前对每个被提交的参数进行合法性检查，以从根本上解决注入问题。2.2.2.3XPath注入攻击它利用了XPath解析器的松散输入和容错特性，让心怀不满的人能够在URL、表单或其他方法上附带恶意的XPath查询以获得权限信息的访问权并更改这些信息。一般说来，大多数Web应用程序使用关系数据库存储和检索信息。例如，如果您的Web站点需要身份验证，那么您可能拥有一个users表，其中包含惟一ID、登录名、密码。如果系统存在注入漏洞时，攻击者输入查询的内容：SelectfromuserswhereloginID=''or1=1andpassword=''or1=1攻击者就进入系统。但是，假设您拥有的不是一个users表，而是一个XML文件，XPath注入的原理大体类似。匹配SQL查询的XPath语句为//users/user[loginID/text()='abc'andpassword/text()='test123']执行类似的攻击以绕过身份验证。2.2.2.4XSS跨站脚本攻击XSS（Cross-SiteScripting）即跨站脚本攻击，这类攻击发生在客户端，是恶意的攻击者将恶意代码注入到Web客户端，从而影响到其他浏览此Web界面的用户。注入的恶意代码包括危险的HTML标签，客户端脚本。大多数网站都广泛存在这样的漏洞，XSS包括三种：（1）非持久型跨站：反射型跨站漏洞，是目前最普遍的跨站类型。跨站代码一般存在于链接中，请求这样的链接时，跨站代码经过服务端反射回来，这类跨站的代码不存储到服务端（比如数据库中）。（2）持久型跨站：这是危害最大的跨站类型，跨站代码存储于服务端（比如数据库中），所以是持久的。（3）DOM跨站（DOMXSS）：其实就是一种发生在客户端本地跨站漏洞，是一种基于DOM的跨站，这是客户端脚本自身的问题。比如上面提到的DHTML技术，发生在客户端的交互技术。不同浏览器对跨站代码的支持并不都一样。比如在CSS（层叠样式表）中进行的跨站，现在仅在IE浏览器得到支持，如使用expression（IE8已经不支持这种方式），使用url中的伪协议javascript或者vbscript:（IE7已经不支持伪协议这种方式）。不过这些现存的不兼容跨站方式还是很有用的，至少IE浏览器的使用率还非常的高。XSS能做什么：钓鱼欺骗、挂马、盗取用户Cookie、Spam垃圾信息、DDOS攻击、针对性攻击、劫持用户Web行为、甚至爆发Web2.0蠕虫。2.2.2.5目录遍历目录遍历是Http所存在的一个安全漏洞，它使得攻击者能够访问受限制的目录，并在Web服务器的根目录以外执行命令。利用这个漏洞，攻击者能够走出服务器的根目录，从而访问到文件系统的其他部分，譬如攻击者就能够看到一些受限制的文件，或者更危险的，攻击者能够执行一些造成整个系统崩溃的指令。利用Web服务器进行目录遍历攻击的实例：例如，如下的一个URL请求，它使用了IIS的脚本目录来移动目录并执行指令：+dir+c:\\这个请求会返回C:\\目录下所有文件的列表，它使通过调用然后再用dirc:\\来实现的，%5c是web服务器的转换符，用来代表一些常见字符，这里表示的是“\\”。新版本的Web服务器软件会检查这些转换符并限制它们通过，但对于一些老版本的服务器软件仍然存在这个问题。2.2.2.6源代码泄露攻击者使用源代码泄露攻击尝试获得服务器端应用程序的源代码。Web服务器的基本作用是作为客户要求的文件。文件可以是静态的，图像和HTML文件，或动态，如ASP，JSP和PHP文件，如。当浏览器请求一个动态文件，Web服务器首先执行该文件，然后返回结果到浏览器。因此，动态文件其实是执行的代码在Web服务器上。使用源代码泄露攻击，攻击者可以检索服务器端脚本的源代码，如ASP，PHP和JSP。获取服务器端脚本的源代码赠款背后攻击者的逻辑更深入地了解Web应用程序，应用程序如何处理请求和它们的参数，数据库的结构，代码和源代码注释中的漏洞。拥有源代码，并可能重复的应用程序进行测试，可以帮助攻击者编写一个应用程序的攻击。2.2.3篡改如果网站或者安装WEB服务的系统存在一些高危的漏洞，可能导致网站页面被篡改，导致页面被嵌入了敏感内容、网马、暗链等。2.2.4敏感内容网站如果被篡改，在网站页面添加了一些带有敏感政治倾向（或反执政党倾向）、暴力倾向、不健康色彩的词或不文明语、博彩等的敏感内容，将影响企业的品牌形象，严重的可能照成经济损失。2.2.5网马、暗链网页挂马是攻击者通过在正常的页面中（通常是网站的主页）插入一段代码。浏览者在打开该页面的时候，这段代码被执行，然后下载并运行某木马的服务器端程序，进而控制浏览者的主机。通俗点说就是将网页木马这样的攻击程序放在网页上，浏览这个网页的人，不需要任何点击动作就会中毒。常见的网页挂马实现方式：1)iframe框架嵌入式挂马2)JS文件调用挂马3)JS文件加密变形4)JavaScript脚本挂马5)Body挂马等。“暗链”就是看不见的网站链接，“暗链”在网站中的链接做得非常隐蔽，短时间内不易被搜索引擎察觉。它和友情链接有相似之处，可以有效地提高PR值。但要注意一点PR值是对单独页面，而不是整个网站。如果网站被挂马或被写入暗链，对于网站的运营来说是非常不利的，他会影响搜索引擎的排名、被降权，同时网站的数据也有可能被泄露。同时，还会篡改网站标题、网站内容，添加大量垃圾链接，导致网站面目全非。因此，解决网站被挂马问题、暗链问题是必要的。3安全基线随着业务开展对IT系统依赖度的不断增强，业务人员的安全意识和安全技能也在逐步提高。传统以安全事件和新兴安全技术为主要驱动的安全建设模式，已经逐渐演进为以业务安全需求为主要驱动的主动式安全建设模式。从典型的信息安全建设过程来看，是由业务需求导出的安全需求在驱动着安全建设的全过程。所以，如何获取准确全面的安全需求以指导未来的安全建设并为业务发展服务，是每一个信息化主管所面临的共同挑战。以获取业务驱动的安全需求为主要目标的安全评估是一个行之有效的方法。安全评估从早期简单的漏洞扫描、人工检查、渗透测试等纯技术操作，逐步演进为以业务目标为出发点、以安全威胁为触发标志、以技术加管理和运营等多方面存在的安全脆弱性为主要诱因的综合评估方法及操作模型。当前安全评估在实施的过程中，实施质量比较依赖实施人员的经验，缺乏明确统一的操作衡量标准，技术操作过程需要投入大量的人员来进行实施。3.1安全评估的重要意义安全评估是依据有关信息安全技术与管理标准，对信息系统以及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响，并针对依据安全评估结果进行的后续风险管理措施提出具体的安全建议。对信息系统而言，存在风险并不意味着不安全，而安全体系的建设也不是为了安全而安全，只要把风险控制在可接受的范围内，就可以达到系统稳定运行的目的。安全评估的结果为保障信息系统的持续、稳定、高效运行提供了技术参考。安全评估是进行网络和系统安全建设的有力工具和手段，安全体系各阶段的建设都应在安全评估和风险分析的基础上进行。充分进行系统安全评估才能保证安全建设有的放矢、重点突出，才能达到以最小的成本获得最大安全保障，安全评估能保证安全控制措施应用在具有最大风险的区域。在系统的规划与设计阶段，安全评估的结果是安全需求的来源，为信息系统的安全建设提供依据；在系统运行维护阶段，由于信息系统的动态性，需要定期地进行安全评估，以了解、掌握系统安全状态，是保证系统安全的动态措施。同时，安全评估也是信息安全等级保护工作的一项不可或缺的工具和手段。3.2基于业务的安全评估全面、系统地分析业务系统面临的风险，能很好的为设计符合业务特点的安全方案打下良好基础，但基于业务实施安全评估历来是一个难点——如何将业务的安全需求转换为对技术、组织、管理方面的安全需求。而解决这个难点的关键就在于业务系统的识别，即对业务流程的梳理和分析。业务系统的识别，首先需要以业务系统为中心，梳理系统的架构，包括逻辑架构和物理架构，而物理架构还有可能是在多个地方分布，因此都需要进行考虑。接着是调研系统中的资产，分析组成架构，也就是我们常提的各种软件资产、硬件资产、数据资产等，再定位到各自资产的功能和作用，比如说有业务系统服务器、中间件服务器、后台数据库服务器、接口服务器、测试服务器、应用平台等，以及构建网络的路由器、交换机等。待分析完系统的组成架构和各自功能后，即可开始对系统的相关业务进行梳理和分析了。通过对业务系统的梳理和分析，能将业务系统的主要流程进行重现，然后对这个流程中存在的安全威胁进行识别，分析出在业务系统各个层面的安全风险。并以风险管理为核心、围绕业务系统，确定各个环节中的安全策略要求、人员岗位要求、技术手段要求，逐步形成网络与信息安全的运维体系、组织体系、技术体系，构建相适应的安全保障体系。在基于业务的安全评估的基础上，参考国内外的标准、规范，可以设计出针对业务系统的基线安全模型。3.3安全基线的建立和应用3.3.1安全基线定义字典上对“基线”的解释是：一种在测量、计算或定位中的基本参照。如海岸基线，是水位到达的水位线。类比于“木桶理论”，可以认为安全基线是安全木桶的最短板，或者说，是最低的安全要求。安全基线的元素包括：服务和应用程序设置，例如：只有指定用户才有权启动服务或运行应用程序；操作系统组件的配置，例如：Internet信息服务（IIS）自带的所有样本文件必须从计算机上删除；权限和权利分配，例如：只有管理员才有权更改操作系统文件；管理规则，例如：计算机上的administrator密码每30天换一次。安全基线是一个信息系统的最小安全保证，即该信息系统最基本需要满足的安全要求。信息系统安全往往需要在安全付出成本与所能够承受的安全风险之间进行平衡，而安全基线正是这个平衡的合理的分界线。不满足系统最基本的安全需求，也就无法承受由此带来的安全风险，而非基本安全需求的满足同样会带来超额安全成本的付出，所以构造信息系统安全基线己经成为系统安全工程的首要步骤，同时也是进行安全评估、解决信息系统安全性问题的先决条件。3.3.2安全基线的建立建立安全基线首先需要对业务系统进行识别和梳理，然后结合基线安全模型分析业务系统的功能架构，再将功能架构细化到系统层面的不同模块。在此基础上，就是针对业务系统特性，分析可能存在的安全威胁，并将针对威胁的应对措施逐层分解到系统实现层。系统实现层中安全基线要求主要是由安全漏洞方面、安全配置方面，以及异常事件等方面的脆弱性检查项构成，这些检查项的覆盖面、有效性就成为了基线安全实现的关键。3.3.3安全基线的应用在系统实现层中可以对目标系统展开合规安全检查，以找出不符合的项并选择和实施安全措施来控制安全风险。根据业界通行的一些安全风险评估方法及运营商日常安全维护经验，我们将安全基线的内容分为三个方面：1)系统状态的检查；2)系统存在的安全漏洞；3)系统配置的脆弱性；4)安全异常活动。系统状态：包含系统端口状态、进程、账号以及重要文件变化的监控。这些内容反映了系统当前所处环境的安全状况，有助于我们了解业务系统运行的动态情况。安全配置：通常都是由于人为的疏忽造成，主要包括了账号、口令、授权、日志、IP通信等方面内容，反映了系统自身的安全脆弱性。安全漏洞：通常是属于系统自身的问题引起的安全风险，一般包括了登录漏洞、拒绝服务漏洞、缓冲区溢出、信息泄漏、蠕虫后门、意外情况处置错误等，反映了系统自身的安全脆弱性。安全异常活动：上面两个方面主要都是来自于设备或系统自身，而安全异常活动主要是来自于外部的各种因素导致，比如非法登陆尝试、木马后门等都属于安全异常活动，反映了系统当前所处环境的安全状况，有助于我们对安全配置基线和安全漏洞基线进行动态的改进。业务系统的安全基线建立起来后，可以形成针对不同系统的详细操作指南（或规范），为标准化的技术安全操作提供了框架和标准。其应用范围非常广泛，主要包括新业务系统的上线安全检查、第三方入网安全检查、安全合规性检查、日常安全检查等。4等级保护4.1等保定义信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。4.2等保工作内容信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段。信息系统安全等级测评是验证信息系统是否满足相应安全保护等级的评估过程。信息安全等级保护要求不同安全等级的信息系统应具有不同的安全保护能力，一方面通过在安全技术和安全管理上选用与安全等级相适应的安全控制来实现；另一方面分布在信息系统中的安全技术和安全管理上不同的安全控制，通过连接、交互、依赖、协调、协同等相互关联关系，共同作用于信息系统的安全功能，使信息系统的整体安全功能与信息系统的结构以及安全控制间、层面间和区域间的相互关联关系密切相关。因此，信息系统安全等级测评在安全控制测评的基础上，还要包括系统整体测评。4.3等保等级划分《信息安全等级保护管理办法》规定，国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。信息系统的安全保护等级分为以下五级：第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。国家信息安全监管部门对该级信息系统安全等级保护工作进行指导。第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行监督、检查。第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行强制监督、检查。第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。[1]国家信息安全监管部门对该级信息系统安全等级保护工作进行专门监督、检查。4.4等保建设意义实行信息安全等级保护制度，能够有效提高我国信息和信息系统安全建设的整体水平。有利于在进行信息化建设的同时建设新的安全设施，保障信息安全和信息化建设相协调；有利于为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务，有效控制信息安全建设成本；有利于优化安全资源的配置，有利于保障基础信息网络和关系国家安全、经济命脉、社会稳定等方面重要信息系统的安全等。通过开展信息安全等级保护工作，可以有效解决我国信息安全面临的威胁和存在的主要问题，充分体现“适度安全、重点保护”的目的。信息安全等级保护是国家意志的体现，在国家信息安全保障工作中只有等级保护制度是强制实施的，实行信息安全等级保护制度，能够充分调动国家、法人、其他组织和公民的积极性，发挥各方面的作用，达到有效保护的目的，增强安全保护的整体性、针对性和实效性，是新系统安全建设更加突出重点、统一规范、科学合理，对促进我国信息安全的发展起到重要的推动作用。5产品概述安数云综合安全检查评估系统是安数云结合多年的漏洞挖掘实践经验，自主研发的新一代漏洞管理系统，基于漏洞知识库，通过采集信息、执行漏洞检测脚本对指定的远程计算机系统、应用程序、数据库、WEB服务、网络设备、安全设备的安全脆弱性进行检测，发现可被利用漏洞、不安全配置并实时预警的一款主动防御产品。系统架构如下：6产品功能6.1资产管理与发现6.1.1资产管理可对网络中终端、服务器、应用系统、网络设备、安全设备等资产统一管理，包含资产名称、地理位置、资产IP/域名、资产责任人、责任人联系方式等。6.1.2资产发现基于主动探测的方式，在保证对目标网络正常业务运行最低限度影响前提下，完成对目标网络全面而快速的探测。内置丰富的指纹库，如操作系统指纹、服务指纹、IP位置库等。\uf0d8发现网络中存活的资产\uf0d8发现资产的操作系统类型及操作系统版本\uf0d8发现资产开启的端口\uf0d8发现资产开启的服务\uf0d8发现资产的地理位置根据探测的结果，生成网络拓扑图：6.2网站监控网站监控预是一款专门针对WEB应用开发的自动化监控预警系统，能够主动发现网站的漏洞、实时监控网站的安全状况、实时预警。全面支持OWASPTOP102013漏洞检测，如SQL注入、跨站脚本、文件包含、命令执行、信息泄漏等全部漏洞；覆盖了论坛、内容管理系统（CMS）和电子商务应用系统等平台。支持检测网站可用性、网马和暗链、敏感内容以及实时监控网站是否被篡改。6.2.1架构a)爬虫引擎：根据任务中配置的URL（网站的主页或者用户指定的任何一页），爬取网站所有URL，支持爬取动态页面（可解析JavaScript中的url），可解析Flash中的URL，全面支持Web2.0；b)可用性引擎：包括域名解析时间、域名劫持、响应时间等；c)漏扫引擎：根据任务中配置的扫描策略等，对网站进行全面的扫描；支持的漏洞有：SQL注入漏洞(错误注入、SQL盲注、Union注入等)、XPATH注入、LDAP注入、框架注入、链接注入、XML外部实体注入、跨站脚本攻击漏洞（反射性XSS、存储型XSS等）、目录遍历、源代码泄漏、弱口令漏洞、敏感目录泄漏漏洞、敏感文件泄漏漏洞、无效链接检测、恶意URL检测、备份文件检测等；d)篡改检测引擎：多维度检测页面是否被篡改，支持设备白名单、比较图片MD5、比较页面标题、新链接提醒、删除链接提醒、设置页面相似度阈值等；e)敏感内容检测引擎：通过基于分词的模糊语义算法，精确搜索敏感内容；f)网马、暗链检测引擎：通过内置的浏览器内核引擎，执行、渲染内容，使用内置的算法检测网马和暗链。6.2.2监控对象1)支持全部主流Web服务器，如IIS、Apache、Nginx、Weblogic、Websphere等；2)支持扫描各种编程语言，如PHP、ASP、ASPX、JSP等；3)支持全部主流数据库，如Oracle、Mysql、MSSQL、DB2、Postgresql等；4)支持全部常见CMS，如Wordpress、Joomla!、Phpcms、织梦CMS、Discuz!等；5)支持全部主流框架，如Struts2、Spring等。6.2.3监控方式无论WEB服务器使用何种技术架构、使用何种编程语言、使用何种数据库，扫描器只是将WEB服务看做黑盒。它从网站的主页或者用户指定的任何一页开始，遍历所有链接。根据每一页面的特点，使用多种测试参数，对页面进行分析。这些测试参数以HTTP请求的形式发送，并通过返回的HTTP响应来决定应用中是否存在安全漏洞。6.2.4监控内容6.2.4.1可用性多维度检查网站可用性。6.2.4.2安全漏洞全面覆盖OWASPTOP10漏洞，如注入漏洞（SQL注入、命令注入、链接注入、框架注入等）、跨站漏洞（反射性XSS、存储型XSS等）、框架漏洞（Struts2、Spring等）、CMS漏洞（Struts2、Wordpress、Joomla!等）、其他漏洞（反序列号漏洞、命令执行漏洞、CSRF、弱密码、安全配置漏洞、使用含有已知漏洞的插件等）。6.2.4.3篡改（1）白名单设置。（2）图片MD5比较。（3）页面标题比较。（4）删除链接提醒。（5）新链接提醒。（6）页面相似度阀值设置。6.2.4.4敏感内容（1）自定义敏感关键字。（2）身份证信息、银行卡信息识别。（3）图片文字识别。（4）基于分词的语义分析：添加了关键字“北京出租车罢工”，如果页面中出现“出租车北京罢工”、“北#京&出租车罢工”等也可以被检测到，检测流程如下：6.2.4.5网马和暗链基于浏览器沙箱，检测框架挂马、图片挂马、暗链等。检测原理如下：6.2.5高效爬虫爬虫是网站监控的核心支撑模块，爬虫爬到URL之后才可以进行进一步的篡改监测、漏洞扫描等操作。6.2.5.1爬虫原理基于种子URL(即输入的域名)循环爬取其他的子URL，并入库。6.2.5.2静态爬虫大多数静态页面都为标准的HTML格式，可以通过解析HTML文本提取出其中的链接。另外CSS、等中URL可以通过正则提取。6.2.5.3动态爬虫随着AJAX等新技术的兴起，越来越多的URL通过JavaScript脚本语言等动态生成，可通过内置的浏览器内核可检测出动态生成的URL。6.3系统漏扫系统漏扫模块高效、准确的对网络脆弱性进行评估，提供专业、有效的修复建议。是基于漏洞知识库，通过采集信息、执行漏洞检测脚本对指定的远程计算机系统、应用程序、数据库、WEB服务、网络设备、安全设备的安全脆弱性进行检测。6.3.1架构a)信息采集i.主机发现：扫描远程主机是否存活；ii.端口扫描：检测远程主机开启了哪些端口；iii.服务识别：检测远程主机开启的端口开启了何种服务，安装了那些应用程序；iv.系统识别：检测远程主机的操作系统类型；b)漏洞扫描支持扫描缓冲区溢出漏洞、拒绝服务攻击漏洞、弱口令漏洞、信息泄露等常见漏洞。6.3.2检测对象1)操作系统a)Windows系列：NT、2000、XP、2003、Win7、2008、Win8、Win10等；b)Linux系列：AmazonLinux、CentOS、Debian、Fedora、RedHat、SuSE、Ubuntu等；c)Unix系列：AIX、FreeBSD、HP-UX、Solaris等；d)MacOSX。2)应用程序Apache、Tomcat、PHP、AdobeFlash等；3)数据库MSSQL、MySQL、Oracle、DB2等；4)网络及安全设备路由器、交换机、防火墙、负载均衡设备等；5)虚拟化设备Xenserver、EXSI等。6.3.3检测方式对目标系统进行远程检测，且支持登录扫描，如SMB登录、SSH登录等。6.3.4检测内容1)可对操作系统、应用程序、WEB服务器、数据库、网络设备、虚拟化设备等进行扫描；2)漏洞知识库包括将近50000条漏洞规则，覆盖了缓冲区溢出漏洞、拒绝服务攻击漏洞、弱口令、信息泄露漏洞等全部常见漏洞；3)支持安全扫描，保证扫描过程中目标系统正常运行；4)支持对EXSI进行登录扫描。6.4数据库漏扫6.4.1检测对象支持所有主流数据库，如：Oracle、MySQL、SQLServer、Infomix、Sybase、达梦、人大金仓、DB2等。6.4.2检测内容包含提权漏洞、缓冲区溢出漏洞、访问控制漏洞、SQL注入漏洞、执行权限过大漏洞、访问权限绕过漏洞等几千个检查项。6.5基线配置核查基线配置核查模块专门针对系统、软件、服务中不安全配置的自动化检查，包括对Windows、Linux、Unix、中间件、路由交换、防火墙等资产的管理和配置核查。从而帮助用户充分了解资产存在的不安全配置，并协助用户修复，建立更加安全可靠的IT基础架构。6.5.1架构6.5.2检测对象1)支持常见操作系统的安全登录检测。a)主流Windows系统（XP/2003Server/WIN2008/Win7/win8等）；b)支持AIX、Solaris系统、HP-UX等；c)Linux（Centos、Redhat、suse等）；d)国产操作系统(红旗、中标麒麟等)。2)支持常见数据库，包括Oracle、DB2、Mysql、SQLServer、达梦数据库的检查；3)支持常见中间件，包括常见的Apache、IIS、TOMCAT等主流服务软件；4)支持常见网络及安全设备，包括Cisco、Juniper、华为、H3C等厂家的主流产品的配置检查；5)支持常见虚拟化设备，包括Exsi、Xenserver等。6.5.3检测方式1)Windows：a)SMB、Telnet远程检测；b)Agent检测（在Windows上运行绿色的客户端检测软件，一键检测）。2)Linux、Unix、国产操作系统、虚拟化平台：支持Telnet、SSH远程检测。3)路由交换防火墙：a)Telnet、SSH远程检测；b)离线检测配置文件：支持上传配置文件进行离线检测。4)中间件：a)Windows中间件：SMB、Telnet远程检测；b)Linux中间件：Telnet、SSH远程检测。5)数据库：支持远程检测。6.5.4检测内容1)系统状态：包含系统端口状态、进程、账号以及重要文件变化的监控这些内容反映了系统当前所处环境的安全状况，有助于我们了解业务系统运行的动态情况；2)安全配置：通常都是由于人为的疏忽造成，主要包括了账号、口令、授权、日志、IP通信等方面内容，反映了系统自身的安全脆弱性；3)安全漏洞：是系统自身的问题引起的安全风险，一般包括了登录漏洞拒绝服务漏洞、缓冲区溢出、信息泄漏、蠕虫后门、意外情况处置错误等，反映了系统自身的安全脆弱性；4)安全异常活动：主要是来自于外部的各种因素导致，比如非法登陆尝试、木马后门等都属于安全异常活动，反映了系统当前所处环境的安全状况等。6.6弱口令在线扫描1)支持对SMB、FTP、POP3、SMTP、SSH、TELNET、SNMP、RDP、redis、Oracle、MySQL等协议进行弱口令暴力破解扫描；2)支持自定义用户名、口令字典。6.7弱口令离线扫描弱口令离线扫描支持对用户口令配置文件自动获取、解析，口令碰撞的方式自动发现账号弱口令账号。支持对windows、Unix、linux操作系统、Oracle、SQLServer、Mysql、DB2数据库、Tomcat、weblogic中间件、网络设备等进行弱口令的离线核查，不通过暴力破解的方式进行弱口令检查，不影响设备的正常使用。6.7.1架构6.7.2检查对象1)支持常见操作系统的安全登录检测。a)主流Windows系统（XP/2003Server/WIN2008/Win7/win8等）；b)支持AIX、Solaris系统、HP-UX等；c)Linux（Centos、Redhat、suse等）；d)国产操作系统(红旗、中标麒麟等)。2)支持常见数据库，包括Oracle、DB2、Mysql、SQLServer等检查；3)支持常见中间件，包括常见的TOMCAT、Weblogic等主流服务软件；4)支持常见网络及安全设备。6.7.3检查方式通过自动获取或者手动上传的方式，获取到口令配置文件，对配置文件解析，获取到其中的口令HASH，通过内置或者自定义的弱口令字典，口令碰撞，发现其中的弱口令。6.8木马病毒检查1)支持对系统关键目录、全盘进行木马病毒扫描，支持自定义扫描目录；2)支持发现系统中的木马程序、Rootkit、间谍程序、流氓软件、蠕虫病毒、其它恶意程序等。6.9网站恶意代码检查1)检查WEB服务器目录路径中ASP、ASPX、JSP、PHP、CSS等是否感染或存在恶意代码；2)支持IIS、Apache、nginx、weblogic、Websphere、Tomcat等WEB服务器。6.10等保合规检查6.10.1架构6.10.2功能依据《信息安全等级保护检查工具箱技术规范》，在深入分析与研究常见安全漏洞以及流行的攻击技术基础上，通过与漏洞扫描、配置核查模块联动，实现对物理安全、主机安全、网络安全、应用安全、数据库安全等系统及配置检查，实现对信息系统“定级、备案、测评、整改、安全自查和监督检查”全过程的监督管理。7产品优势7.1一键资产发现1)扫描发现网络中存活的主机；2)支持对目标主机执行多种方式的端口扫描；3)识别端口对应的服务；4)识别操作系统类型，如Windows、Linux、Unix等；5)识别网络中安装的数据库类型，如MySQL、MSSQL、Oracle等。7.2完备的漏洞规则库产品包含将近50000条策略，包括有：WINDOW测试、UNIX测试、数据库测试、WEB测试、网络设备测试、防火墙测试等，涵盖了所有常见的系统。目前漏洞知识库完全兼容CVE国际标准，按风险级别分为高、中、低、信息四个级别。另外还提供完善的漏洞风险级别、漏洞类别、漏洞描述、漏洞类型、漏洞解决办法及扫描返回信息，并提供有关问题的国际权威机构记录（包括CVE、Bugtraq编号），以及与厂商补丁相关的链接。7.3高效的检查速率产品采用并发规则、并发任务扫描等多项技术及独创的脚本引擎调度算法，对同样的目标系统进行检测时，扫描的速度大大高于其它同类型扫描产品。另一方面由安全研究小组精心编写的漏洞检测规则插件也很好的保证了检测的准确性，从而保证了在正确率的前提下大幅提高了检测的效率。在进行大规模扫描时，产品支持分布式部署，充分利用多台硬件资源与带宽，加快扫描速度。7.4先进的漏洞管理方案扫描系统遵循“漏洞生命周期”原理，并将之划分为五个阶段，即漏洞扫描、漏洞预警、漏洞分析、漏洞修复、修复验证，最终达到漏洞被修复的效果，形成漏洞管理闭环。7.5丰富的监控报告1)多维度的监控报告展示；2)根据漏洞类型展示风险情况；3)根据危险等级展示风险情况；4)详细的漏洞内容展示；5)支持导出多种格式的报告，如pdf、word、html等。7.6实时预警1)支持实时系统预警.2)支持实时邮件预警。3)支持实时短信预警。7.7权威、高效、专业的等保合规检查以公安部制定的信息安全等级保护检查工具箱技术规范为设计理念，完全满足规范要求。将耗时的政策检查自动化，实现了信息安全等级保护工作检查的流程化管理，让耗时的政策检查更快捷高效。8产品部署8.1一体机部署针对小型网络，可部署一体机综合安全检查评估系统。8.2分布式部署针对大中型网络，可部署分布式综合安全检查评估系统。9培训与服务北京安数云公司始终把用户的实际需求与未来发展放在第一位。在售后服务方面，我们一贯坚持“快速响应，优质高效”的服务原则，确保整个项目的技术先进、功能完善、性能稳定可靠和使用效果良好，为信息系统安全可靠的可持续运行提供有力保障。9.1产品培训内容9.1.1培训计划产品培训是本次项目的重要组成部分，是实现业务系统安全、提高系统效率的重要保证。为此，我们为用户制定了如下的培训计划，对技术人员进行必要的培训，确保技术人员能够完全掌握系统正常情况下的日常运行维护和简单故障的排除等。9.1.2培训目的通过对用户提供全面的培训，使用户对目前的安全技术和管理有充分了解，熟悉安全产品的原理、部署，充分掌握维护系统正常运行的技术知识，从而快捷的维护系统日常运行，能独立解决系统使用中的一般故障。还能根据网络等需求的变化，对产品配置进行一定的调整，从而保证系统长期稳定的运行。9.1.3培训对象培训的对象主要分为贵单位的安全管理人员、技术人员等。9.1.4培训内容根据本次项目所涉及到的安全产品，及培训对象的不同，准备的培训课程和培训内容可以根据用户的实际情况进行灵活的调整。我们在培训前会准备好相应的培训教材，包括产品技术培训教材和相应的PPT文档等，培训讲师由我们的资深技术人员担任，培训地点将与用户协商后确定。9.1.5培训师资北京安数云公司在应用安全、云安全方面一直处于领先地位，技术力量雄厚，已经为多个行业和部门进行过安全培训，成效显著。北京安数云公司的培训讲师遍及公司管理层、产品经理及技术工程师，不仅理论知识丰富，而且拥有大量的实践经验，表达能力强，能够很好地与学员交流，为保证对技术人员及相关参与人员的培训取得最佳效果，我们将配备最佳的授课队伍为本次项目提供最优的培训。9.1.6培训方法本次培训力求体现简单、实用的特点，针对不同的培训对象，选派不同的培训教员，采用不同的培训方法。技术人员能够在培训后熟悉这些安全产品的安装、维护，能解决一般的常见问题，具备安全管理的能力。具体方法如下：\uf06c培训教师详细讲解培训内容中的重点、难点。\uf06c用户对培训中存在的问题进行提问，并由培训教师进行解答。\uf06c培训教师在具体环境上进行产品演示。\uf06c用户自己在具体环境上进行实践操作。9.2产品服务承诺北京安数云公司秉承“客户为本、服务立业”之宗旨，希望以专业、高效、多样的服务，为本项目中所提供的产品提供及时、完备的技术支持。9.2.1保修期内的服务内容对于用户使用的产品在保修期内的服务，安数云公司提供以下服务内容。1．一年免费服务安数云公司对本项目中所提供的安全产品提供一年的免费服务，包括硬件维护、软件升级、备品更换和其它技术支持服务。保修期自双方代表在产品验收单上签字之日起计算。2．技术咨询服务安数云公司为用户提供724小时的热线电话技术指导，用户可以通过免费技术服务热线电话解决产品使用中的疑难问题，了解产品的功能、特点，并且可以获得有关产品的最新动态。贵单位的安全产品维护人员如果遇到系统故障时，可以通过电话、电子邮件等方式远程联系安数云公司的客户服务中心，安数云公司的安全专家会在4小时内提供快速响应，根据经验对系统故障进行分析，提出具体的指导意见。贵单位的技术人员按照步骤逐一实施，如果能够解决问题此次服务结束；如果不能解决问题，安数云公司的相关技术人员会在约定时间内到达现场，提供下一节中提到的现场服务。3．现场技术服务安数云公司可向用户提供的现场服务包括：在快速响应技术咨询后，贵单位的技术故障仍然不能妥善处理的情况下，安数云公司会派出技术专家到现场提供及时、高效的响应服务。技术专家会在约定时间内到达现场，及时解决用户购买的相关安全产品在使用过程中存在的问题。若发现有严重的软、硬件故障，会尽快用备品替换，保证不影响用户的正常使用。具体请参考《问题级别及相应的服务》。4．巡回检修服务用户购买了安数云公司的相关安全产品后，安数云公司会定期和用户进行沟通，与用户进行座谈、交流。了解用户对产品的使用情况，收集用户对产品的意见及建议。指导用户正确使用、维护安全产品。5．系统调整服务用户的网络环境如果做了调整，安数云公司会根据用户提供的最新网络环境来部署相关安全产品，并且保证产品能够正常稳定运行。用户对产品提出了一些安全需求，能够提升产品的价值。安数云公司会根据具体情况，及时研发，完善产品，满足用户的需求。6．系统升级服务安数云公司对本项目中所提供的安全产品，定期提供产品升级。在对产品进行升级时，我们的技术支持工程师会提供客户化的在线指导。9.2.2保修期后的服务内容对于用户保修期后的服务内容与保修期内的服务内容一样，安数云公司将继续提供技术支持和备品服务，流程同保修期内服务，但需要收取相关成本费用。9.2.3服务承诺本项目中所提供的安全产品由安数云公司负责，并且按照合同的规定，保证技术上、技术支持和管理上满足用户的需求。问题级别及相应的服务级别问题级别级别严重程度对系统功能或性能或操作的影响A严重的系统关键特性不符合用户要求，可能引起丧失功能或造成安全事故，会给用户造成直接损失。B重大的系统重要特性不符合用户要求，可能严重影响功能或引起局部功能失效或性能严重不符合用户要求。C一般的系统一般特性不符合用户要求，可能轻度影响功能或性能，或操作不方便。D轻微的不影响产品的功能，但性能偏慢，或操作界面不够友好。服务级别级别电话响应时间回复时间现场响应时间（以动身时间为准）备件更换及速度A724小时本地：1小时内本地：4小时内支持/1个工作日内外地：2小时内外地：8小时内B524小时4工作小时内2个工作日内支持/2个工作日内C58小时1个工作日内4个工作日内协商解决D58小时2个工作日内协商协商解决",)