茅台集团风险评估项目技术建议书

_XXXX集团风险评估项目技术建议书_二一四年八月目录第1章项目方案设计111设计目标112设计原则113设计依据2131政策依据2132标准依据314方法模型3141风险关系模型3142风险分析方法模型515工具方法6151风险评估采用方法6152风险评估使用工具6第2章项目实施流程721阶段1项目启动阶段7211阶段目标8212阶段步骤8213阶段输出821阶段2资产评估阶段9211阶段目标9212阶段步骤9213阶段方法9214阶段输出1022阶段3威胁评估10221阶段目标11222阶段步骤11223阶段方法11224阶段输出1223阶段4脆弱性评估12231阶段目标12232实施步骤12233已有安全措施识别28234阶段输出2824阶段5风险综合分析28241阶段目标28242阶段步骤28243阶段输出3125阶段6风险处置计划3126阶段7项目交付32261成果交付32262项目验收33第3章项目管理3331组织管理3332范围管理34321范围定义35322范围变更控制3533进度管理3634风险管理3635质量管理37351项目实施负责人质量控制37352项目经理质量控制37353质量管理质量控制3736沟通管理38361协调沟通机制基本准则38362沟通计划3837会议管理3938文档管理3939保密管理40第4章人员安排40第5章项目计划4451总体计划44第6章客户收益45第7章成果交付一览表46第8章成功案例4681重点案例列表4682重点案例简介47821金融案例47822电信案例48823能源案例48824政府案例49第9章公司优势4991公司简介4992公司资质51第1章项目方案设计11设计目标本次风险评估的安全服务项目主要目标是通过风险评估，得到XXXX集团的整体安全现状；通过资产评估，得到XXXX集团的网络信息安全资产状况，并录入资产库，进行资产梳理；通过威胁评估，得到XXXX集团存在的安全威胁情况；通过脆弱性评估，得到XXXX集团当前业务系统存在的脆弱性；对各个业务系统进行综合风险分析，得到风险情况，提出分系统的安全解决方案；提出各个系统的风险处置解决方案。12设计原则1标准性原则遵循国家、行业和组织相关标准开展风险评估工作。2可控性原则在项目建设与实施过程中，应保证参与实施的人员、使用的技术和工具、过程都是可控的。3完整性原则项目方案要充分考虑项目所有环节，做到统筹兼顾，细节清楚。4最小影响原则项目的所有阶段，保证项目实施过程工作对系统正常运行的可能影响降低到最低限度，不会对客户目前的业务系统运行造成明显的影响。5保密原则项目的所有阶段，将严格遵循保密原则，服务过程中涉及到的任何用户信息均属保密信息，不得泄露给第三方单位或个人，不得利用这些信息损害用户利益。并与XXXX集团签订保密协议，承诺未经允许不向其他任何第三方泄露有关信息系统的信息。13设计依据本方案设计主要参照以下政策和标准进行设计。131政策依据表格1相关策略时间相关政策文件2003年国家信息化领导小组关于加强信息安全保障工作的意见（中办发27号文），提出“要重视信息安全风险评估工作，对网络与信息系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估”。2004年为贯彻落实27号文件精神，原国信办组织有关单位和专家编写了信息安全风险评估指南。2005年国务院信息化工作办公室关于印发的通知（国信办【2005】5号），组织在北京、上海、黑龙江、云南等地方以及银行、税务、电力等重要行业开展信息安全风险评估试点工作。2006年由国家网络与信息安全协调小组讨论通过的关于开展信息安全风险评估工作的意见（国信办20065号），文件要求三年内在国家基础信息网络和重要行业信息系统中普遍推行信息安全风险评估工作。中共中央办公厅国务院办公厅关于印发20062020年国家信息化发展战略的通知（中办200611号文）提出加强信息安全风险评估工作。2007年为保障十七大，在国家基础信息网络和重要信息系统范围内，全面展开了自评估工作。（中国移动、电力、税务、证券）2008年关于加强国家电子政务工程建设项目信息安全风险评估工作的通知（发改高技20082071号），明确“加强和规范国家电子政务工程建设项目信息安全风险评估工作”。132标准依据表格2相关标准标准类型参考标准国际标准ISO15408信息技术安全评估准则ISO/IECTR13335信息和通信技术安全管理ISO/TR13569银行和相关金融服务信息安全指南ISO/IEC27000信息安全管理体系系列标准AS/NZS4360风险管理NISTSP80030IT系统风险管理指南国内标准GB17859计算机信息系统安全保护等级划分准则GBT20984信息安全风险评估规范GBT22239信息安全技术信息系统安全等级保护基本要求GBZ20985信息技术安全技术信息安全事件管理指南GBZ20986信息安全技术信息安全事件分类分级指南GB/T222392008信息安全技术信息系统安全等级保护基本要求GB/T222402008信息安全技术信息系统安全保护等级定级指南各组织或行业内相关要求14方法模型本方案中提供的风险评估与管理模型参考了多个国际风险评估标准，建立安全风险关系模型和安全风险分析方法模型。141风险关系模型风险关系模型从安全风险的所有要素资产、影响、威胁、弱点、安全控制、安全需求、安全风险等方面形象地描述的他们各自之间的关系和影响，风险关系模型如下图所示。图1风险关系模型图在上述关系图中资产指组织要保护的资产，是构成整个系统的各种元素的组合，它直接的表现了这个系统的业务或任务的重要性，这种重要性进而转化为资产应具有的保护价值。它包括计算机硬件、通信设备、物理线路、数据、软件、服务能力、人员及知识等等。弱点是物理布局、组织、规程、人员、管理、硬件、软件或信息中存在的缺陷与不足，它们不直接对资产造成危害，但弱点可能被环境中的威胁所利用从而危害资产的安全。弱点也称为“脆弱性”或“漏洞”。威胁是引起不期望事件从而对资产造成损害的潜在可能性。威胁可能源于对组织信息直接或间接的攻击，例如非授权的泄露、篡改、删除等，在机密性、完整性或可用性等方面造成损害；威胁也可能源于偶发的、或蓄意的事件。一般来说，威胁总是要利用组织网络中的系统、应用或服务的弱点才可能成功地对资产造成伤害。从宏观上讲，威胁按照产生的来源可以分为非授权蓄意行为、不可抗力、人为错误、以及设施/设备错误等。安全风险是环境中的威胁利用弱点造成资产毁坏或损失的潜在可能性。风险的大小主要表现在两个方面事故发生的可能性及事故造成影响的大小。资产、威胁、弱点及保护的任何变化都可能带来较大的风险，因此，为了降低安全风险，应对环境或系统的变化进行检测以便及时采取有效措施加以控制或防范。安防措施是阻止威胁、降低风险、控制事故影响、检测事故及实施恢复的一系列实践、程序或机制。安全措施主要体现在检测、阻止、防护、限制、修正、恢复和监视等多方面。完整的安全保护体系应协调建立于物理环境、技术环境、人员和管理等四个领域。通常安防措施只是降低了安全风险而并未完全杜绝风险，而且风险降低得越多，所需的成本就越高。因此，在系统中就总是有残余风险（RR）的存在，这样，系统安全需求的确定实际上也是对余留风险及其接受程度的确定。142风险分析方法模型在安全风险分析方法模型中提供了风险计算的方法，通过两个因素威胁级别、威胁发生的概率，通过风险评估矩阵得出安全风险。威胁识别资产识别脆弱性识别威胁频率资产价值脆弱点严重程度安全事件造成的损失安全事件可能性风险值图2风险分析原理图风险分析中要涉及资产、威胁、脆弱性三个基本要素。每个要素有各自的属性，资产的属性是资产价值；威胁的属性可以是威胁主体、影响对象、出现频率、动机等；脆弱性的属性是资产弱点的严重程度。风险分析的主要内容为A）对资产进行识别，并对资产的价值进行赋值；B）对威胁进行识别，描述威胁的属性，并对威胁出现的频率赋值；C）对脆弱性进行识别，并对具体资产的脆弱性的严重程度赋值；D）根据威胁及威胁利用脆弱性的难易程度判断安全事件发生的可能性；E）根据脆弱性的严重程度及安全事件所作用的资产的价值计算安全事件造成的损失；F）根据安全事件发生的可能性以及安全事件出现后的损失，计算安全事件一旦发生对组织的影响，即风险值。15工具方法151风险评估采用方法风险评估常用方法如下调查访谈物理安全访谈表、人员安全访谈表、网络安全访谈表、系统安全访谈表等等；工具扫描网络安全扫描、应用安全扫描、系统安全扫描等等；人工检查操作系统CHECKLIST、数据库CHECKLIST、网络设备CHECKLIST等等；渗透测试由专业渗透测试工程师模拟黑客攻击方式对网络与信息系统进行非破坏性漏泀验证性测试；文档查阅管理制度查阅、管理策略查阅、安全指导方针查阅等等。152风险评估使用工具风险评估常用工具主要有以下几大类资产发现类工具端口服务检测类漏洞扫描检测类网络嗅探分析类安全审计分析类系统验证测试类合规遵循检查类各种定制脚本类各种专项检测类第2章项目实施流程我们将整个项目的实施内容分为7个阶段。从项目启动阶段到项目验收整个项目实施过程，我们用WBS图中完整地描述了整个项目实施过程的重要工作任务。阶段1服务启动阶段2资产评估阶段3威胁评估阶段4脆弱性评估阶段5风险分析阶段6处置计划阶段7服务验收项目实施风险及规避措施服务管理（服务组织结构、实施计划、质量管理、保密控制）资产识别资产分类资产清单资产分析资产赋值威胁识别威胁分类范围确定系统调研制定计划报告提交成果汇报服务验收威胁分析威胁赋值获得支持技术脆弱识别管理脆弱识别控制措施识别脆弱性分析脆弱性赋值资产评估报告服务实施计划威胁评估报告脆弱性评估报告风险评估报告风险处置计划服务验收报告风险综合识别风险模型计算风险接收准则风险综合评价安全目标确定安全措施选择实施内容安排制定处置计划图3项目实施流程图21阶段1项目启动阶段此阶段是项目的启动和计划阶段，是项目实施阶段的开始，对项目整个过程的实施工作与项目管理工作都非常重要。211阶段目标在此阶段的主要工作目标是召开评估项目启动会议，并就项目组的工作方式、日常流程、工作计划、交付件蓝图进行沟通和确认。212阶段步骤评估项目启动阶段，是整个项目过程中，对项目的有效性的一种保证。实施风险评估是一种战略性的考虑，其结果将受到组织的业务战略、业务流程、安全需求、系统规模和结构等方面的影响。步骤一项目组织，确定双项目组织结构及人员分工。步骤二召开项目启动会，包括项目中需要落实内容A获得支持和配合；B确定项目的目标；C确定项目的内容；D组建项目服务团队；E对项目的对象、范围进行调研并确认；F宣贯风险评估方法和评估思想；G建立项目组的工作场所和环境；H确定项目组的工作流程，包括文档交付流程、项目更改流程等；I确定项目组的工作方式，包括指定接口人，保密方式，资料保管和备份方式等。步骤三确定各个细节后，项目启动完成，进入项目实施阶段。213阶段输出本阶段完成后输出如下文件项目实施计划项目启动会议纪要项目蓝图保密协议书项目组织结构和人员职责项目范围确认书培训计划（针对风险评估知识宣贯实施方法）21阶段2资产评估阶段保护资产免受安全威胁是本项目实施的根本目标。要做好这项工作，首先需要详细了解资产分类与管理的详细情况。211阶段目标资产识别的目的就是要系统的相关资产做潜在价值分析，了解其资产利用、维护和管理现状。明确各类资产具备的保护价值和需要的保护层次，从而使企业能够更合理的利用现有资产，更有效地进行资产管理，更有针对性的进行资产保护，最具策略性的进行新的资产投入。212阶段步骤阶段一根据项目范围进行资产分类与识别，包括主机设备、网络设备、数据库系统、应用系统、文档资产、人员资产等等。阶段二进行资产识别，分类并赋值。213阶段方法表格3资产评估方法项目名称资产分类调查简要描述采集资产信息，进行资产分类，划分资产重要级别及赋值；达成目标采集资产信息，进行资产分类，划分资产重要级别及赋值；进一步明确评估的范围和重点。主要内容采集资产信息，获取资产清单；进行资产分类划分；确定资产的重要级别，对资产进行赋值。实现方式调查。填表式调查。资产调查表，包含计算机设备、通讯设备、存储及保障设备、信息、软件等。交流。审阅已有的针对资产的安全管理规章、制度。与高级主管、业务人员、网络管理员（系统管理员）等进行交流。工作条件23人工作环境，2台笔记本，电源和网络环境，客户人员和资料配合。工作结果资产类别、资产重要级别。参加人员依据现场状况，启明星辰全体评估人员在业务系统相关技术和管理人员的配合下进行资产分类调查。214阶段输出本阶段完成后输出文档如下资产详细清单资产赋值列表22阶段3威胁评估威胁是指可能对资产或组织造成损害事故的潜在原因。作为风险评估的重要因素，威胁是一个客观存在的事物，无论对于多么安全的信息系统，它都存在。为全面、准确地了解系统所面临的各种威胁，需采用威胁分析方法。221阶段目标通过威胁分析，找出系统目前存在的潜在风险因素，并进行统计，赋值，以便于列出风险。222阶段步骤威胁识别采用人工审计、安全策略文档审阅、人员面谈、入侵检测系统收集的信息和人工分析。步骤一把已经发现的威胁进行分类；步骤二把发现的威胁事件进行分析。223阶段方法表格4威胁调查评估项目名称威胁调查评估简要描述使用技术手段分析信息系统可能面临的所有安全威胁和风险。达成目标全面了解掌握信息系统可能面临的所有安全威胁和风险。对威胁进行赋值并确定威胁等级。主要内容被动攻击威胁与风险网络通信数据被监听、口令等敏感信息被截获等。主动攻击威胁与风险扫描目标主机、拒绝服务攻击、利用协议、软件、系统故障、漏洞插入或执行恶意代码（如特洛依木马、病毒、后门等）、越权访问、篡改数据、伪装、重放所截获的数据等。邻近攻击威胁与风险毁坏设备和线路、窃取存储介质、偷窥口令等。分发攻击威胁与风险在设备制造、安装、维护过程中，在设备上设置隐藏的后门或攻击途径、内部攻击威胁与风险恶意修改数据和安全机制配置参数、恶意建立未授权连接、恶意的物理损坏和破坏、无意的数据损坏和破坏。实现方式调查交流工具检测人工检测工作条件23人工作环境，2台笔记本，电源和网络环境，客户人员和资料配合工作结果根据分析结果列出系统所面临的威胁，对威胁赋值并确定威胁级别参加人员启明星辰评估小组，网络管理人员、系统管理人员224阶段输出本阶段完成主要输出文档如下威胁调查表威胁赋值列表23阶段4脆弱性评估脆弱性是对一个或多个资产弱点的总称，脆弱性评估是对技术脆弱性和管理脆性进行识别和赋值的过程。231阶段目标技术脆弱性主要是采用工具扫描、人工检查（CHECKLIST）、渗透测试、访谈等方式对物理环境、网络结构、系统软件、应用软件、业务流程等进行脆弱性识别并赋值。管理脆弱性主要是通过管理访谈、文档查阅等方式对安全管理制度、安全管理机构、人员安全管理、安全建设管理、安全运维管理等进行脆弱性识别并赋值。232实施步骤脆弱性识别步骤主要是通过技术脆弱性和管理脆弱性来进行识别。2321技术脆弱性物理环境物理安全是一切系统安全的基础。对物理安全的评估将从机房选址、建设；员工、外来访问者进入机房的权限控制；机房的报警、电子监控以及防火、防水、防静电、防雷击、防鼠害、防辐射、防盗窃、火灾报警及消防措施、内部装修、供配电系统等方面进行。表格5物理安全评估项目名称物理安全评估简要描述分析物理安全是否满足相关的安全标准。达成目标准确把握物理安全中的安全隐患，提出安全建议。主要内容评估环境安全机房选址、建设、防火、防水、防静电、防雷击、防鼠害、防辐射、防盗窃、火灾报警及消防措施、内部装修、供配电系统是否满足相关国家标准；内部及外来人员对机房的访问权限控制；安全审查及管理制度。评估设备安全门控系统、网络专用设备（路由器，交换机等）和主机设备（终端计算机，打印机、服务器等）。设备安全主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护、维修、报废等；设备冗余备份。评估介质安全软盘、硬盘、光盘、磁带等媒体的管理，信息媒体的维修将保证所存储的信息不被泄漏，不再需要的媒体，将按规定及时安全地予以销毁。实现方式问询现场检查资料收集工作条件客户人员和资料配合工作结果依据相关的物理安全标准，结合客户的实际需求，协助客户改进安全措施参加人员客户机房、设备管理员、维护人员，启明星辰评估小组网络结构从网络结构设计、边界保护、外部访问控制策略、内部访问控制策略、网络设备安全配置等方面进行识别。网络结构分析是风险评估中对业务系统安全性进行全面了解的基础，一个业务系统的网络结构是整个业务系统的承载基础，及时发现网络结构存在的安全性、网络负载问题，网络设备存在的安全性，抗攻击的问题是整个业务系统评估的重要环节。对评估对象的物理网络结构，逻辑网络结构及网络的关键设备进行评估基本信息包括网络带宽、协议、硬件、INTERNET接入、地理分布方式和网络管理。，发现存在的安全性，合理性，使用效率等方面的问题。结合业务体系、系统体系等结构的检查逻辑网络，由什么物理网络组成以及网络的关键设备的位置所在对于保持网络的安全是非常重要的。另外，鉴定关键网络拓扑，对于成功地一个实施基于网络的风险管理方案是很关键的。网络结构分析能够做到改善网络性能和利用率,使之满足业务系统需要提供有关扩充网络、增加IT投资和提高网络稳定性的信息帮助用户降低风险,改善网络运行效率,提高网络的稳定性确保网络系统的安全运行对网络环境、性能、故障和配置进行检查在本项目安全工程中，网络体系既起着支撑正常业务的作用，本身也作为提供给用户使用的信息基础设施的一部分。在评估过程中，主要针对网络拓扑、访问控制策略与措施、网络设备配置、安全设备配置、网络性能与业务负载几个方面进行调查与分析。系统软件系统软件指对操作系统、数据库系统等采用访谈、CHECKLIST、漏洞扫描工具等方式对用户帐号、口令策略、资源共享、访问控制、新系统配置（初始化）、网络安全等脆弱性方面进行识别，并赋值。应用软件应用软件是指应用系统本身或者中间平台，进行脆弱性分析主要包括身份签别、访问控制策略、通信、鉴别机制、密码保护等方面进行。业务流程依据业务过程的数据流程评估客户的业务流程，从信息产生到信息消亡整个过程所涉及的业务系统。目的是了解客户业务流程的安全隐患，协助客户进行业务流程的安全防护。表格6业务流程评估项目名称业务流程评估（数据流程）简要描述依据业务过程的数据流程评估客户的业务流程达成目标了解客户业务流程的安全隐患，协助河北移动管理信息系统进行业务流程的优化主要内容业务数据流向，输入、传输、存储、输出策略业务要求、使用范围、安全等级业务实现方式业务安全要求各时段业务负载量业务流程优化建议授权和认证、审计、加密、完整性、不可否认性等实现方式调查检查工作结果数据流图、业务关系图、报告参加人员启明星辰评估人员，客户相关主管和业务人员2322管理脆弱性安全管理制度项目中的安全管理制度要从安全管理制度的安全要求、安全管理制度的制定和发布、安全管理制度的评审和修订三部分根据等级保护的具体内容来进行管理部分的脆弱性识别。安全管理机构安全管理机构的脆弱性识别要从岗位设置、人员配备、授权和审批、沟通和合作、审核和检查五个方面，根据等级保护的安全要求的具体内容来进行安全管理机构的脆弱性发现。人员安全管理人员安全管理的脆弱性识别是按照人员录用、人员离岗、人员考核、人员的安全意识教育和培训、外部人员的管理这五个部分内容，根据等级保护级别和各个类别的安全要求来进行脆弱性发现。安全建设管理安全建设管理主要是从安全边界和定级、安全方案设计、安全产品采购和使用、自主研发环境安全、外包软件研发环境安全、工程实施安全、测试验收、交付、安全服务商的选择、安全网络定级备案安全10个方面来进行安全建设的脆弱性发现识别。安全运维管理安全运维管理是从环境管理、资产管理、介质管理、设备管理、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理等12个方面发现在日常安全运维中存在的安全脆弱性。233已有安全措施识别在脆弱性识别中，发现已经实施的安全脆弱性防护手段，进行整理。234阶段输出本阶段完成后主要输出文档如下脆弱性赋值列表已有安全措施列表24阶段5渗透测试方案通过各种安全扫描工具、手工检查、网络架构分析、渗透性测试等技术手段识别信息系统的各项脆弱点，分析可能存在的系统漏洞，评估系统防入侵、拒绝恶意攻击、抗风险的能力。241渗透测试方法渗透测试完全模拟黑客的入侵思路与技术手段，黑客的攻击入侵需要利用目标网络的安全弱点，渗透测试也是同样的道理。以人工渗透为主，辅助以攻击工具的使用，这样保证了整个渗透测试过程都在可以控制和调整的范围之内。针对各应用系统的渗透测试方法包括以下方法但不局限于以下方法测试类型测试描述信息收集信息收集是渗透攻击的前提，通过信息收集可以有针对性地制定模拟攻击测试计划，提高模拟攻击的成功率，同时可以有效的降低攻击测试对系统正常运行造成的不利影响。信息收集的方法包括端口扫描、操作系统指纹判别、应用判别、账号扫描、配置判别等。端口扫描通过对目标地址的TCP/UDP端口扫描，确定其所开放的服务的数量和类型，这是所有渗透测试的基础。通过端口扫描，可以基本确定一个系统的基本信息，结合安全工程师的经验可以确定其可能存在以及被利用的安全弱点，为进行深层次的渗透提供依据。口令猜测本阶段将对暴露在公网的所有登陆口进行口令猜解的测试，找出各个系统可能存在的弱口令或易被猜解的口令。猜解成功后将继续对系统进行渗透测试，挖掘嵌套在登录口背后的漏洞、寻找新的突破口以及可能泄漏的敏感信息，并评估相应的危害性。猜解的对象包括WEB登录口、FTP端口、数据库端口、远程管理端口等。远程溢出这是当前出现的频率最高、威胁最严重，同时又是最容易实现的一种渗透方法，一个具有一般网络知识的入侵者就可以在很短的时间内利用现成的工具实现远程溢出攻击。对于在防火墙内的系统存在同样的风险，只要对跨接防火墙内外的一台主机攻击成功，那么通过这台主机对防火墙内的主机进行攻击就易如反掌。本地溢出本地溢出是指在拥有了一个普通用户的账号之后，通过一段特殊的指令代码获得管理员权限的方法。使用本地溢出的前提是首先要获得一个普通用户的密码。也就是说由于导致本地溢出的一个关键条件是设置不当的密码策略。多年的实践证明，在经过前期的口令猜测阶段获取的普通账号登录系统之后，对系统实施本地溢出攻击，就能获取不进行主动安全防御的系统的控制管理权限。脚本测试脚本测试专门针对WEB服务器进行。根据最新的技术统计，脚本安全弱点为当前WEB系统尤其存在动态内容的WEB系统存在的主要比较严重的安全弱点之一。利用脚本相关弱点轻则可以获取系统其他目录的访问权限，重则将有可能取得系统的控制权限。因此对于含有动态页面的WEB系统，脚本测试将是必不可少的一个环节。权限获取通过初步信息收集分析，存在两种可能性，一种是目标系统存在重大的安全弱点，测试可以直接控制目标系统；另一种是目标系统没有远程重大的安全弱点，但是可以获得普通用户权限，这时可以通过该普通用户权限进一步收集目标系统信息。接下来尽最大努力取得超级用户权限、收集目标主机资料信息，寻求本地权限提升的机会。这样不停的进行信息收集分析、权限提升的结果形成了整个的渗透测试过程。242渗透测试流程渗透测试流程严格依照下图执行，采用可控制的、非破坏性质的渗透测试，并在执行过程中把握好每一个步骤的信息输入/输出，控制好风险，确保对网络不造成破坏性的损害，保证渗透测试前后信息系统的可用性、可靠性保持一致。图1渗透测试流程243渗透测试工具工具类型测试工具名称信息收集工具搜索引擎GOOGLE、百度、BING等DNS工具NSLOOKUP、DIG、DNSMAP等信息探索工具MATIGOO在线网络数据库APNIC、RIPE、SUCURI、NETCRAFT等漏洞扫描工具天镜60、NMAP、SUPERSCAN、NESSUS等口令猜测工具HYDRA溢出测试工具METASPLOIT工具集脚本测试工具天镜60、JBROFUZZ等网银客户端安全测试工具1、钩子工具，有RING3钩子、RING0钩子；2、客户端修改程序工具LCCRYPTOZIP3、内存读取测试工具WINHEX；4、屏幕截图和屏幕录像工具；5、截取发包测试工具WINSOCKEXPERT6、逆向测试工具OLLYDBG244渗透测试内容通过可控的安全测试技术对限定范围内的应用系统进行渗透测试，同时结合业界著名的OSSTMM与OWASP测试框架组合成最佳实践进行操作。本次渗透测试将参考OSSTMM测试框架中的以下技术方法信息收集和状态评估网络节点枚举和探测系统服务和端口扫描验证应用层测试漏洞挖掘与验证本次渗透测试将参考OWASP2013最新发布的十大WEB应用漏洞排名，并使用测试框架中相应的技术方法SQL注入跨站脚本（XSS）恶意文件执行不安全的直接对象引用跨站请求伪造（CSRF）信息泄漏和错误处理不当认证和会话管理失效不安全的加密存储不安全的通讯URL访问失效245渗透测试试用例库为保证渗透测试内容的全面性以及测试漏洞的深入挖掘，启明星辰总结了多年的渗透测试经验与丰富的渗透测试用例，以下是启明星辰用于WEB应用层渗透测试的用例库，测试条目涵盖了全面/最新的WEB应用层漏洞与测试方法，将根据不同应用系统的特性进行有针对性的匹配测试。测试类型测试条目测试描述目录爬行遍历这个阶段将通过浏览、目录爬行的方式捕获/收集应用的资源。搜索引擎侦测搜索引擎，比如GOOGLE，能够用来发现公开发布的网页应用结构或者错误页面等相关问题。应用程序入口探测枚举应用入口和攻击途径是入侵发生之前的预警。这部分枚举完成后，将帮助测试人员找出在应用里面应该重点关注的领域。信息收集WEB应用程序指纹探测应用指纹是信息收集的第一步。获取运行网页服务器的版本，让测试人员知道哪些是已知弱点及在测试时使用何种方法恰当。应用程序发现本项测试发现以WEB服务器的网页应用作为目标。本项测试对于发现细节/寻找突破尤为有效，比如发现用于管理的应用脚本，或旧版本的文件/控件，在测试、开发或维护过程中产生的已不用的脚本。分析错误代码信息泄漏在渗透性测试过程中，网页应用可能泄露原本不想被用户看见的信息。错误码等信息能让测试者了解应用程序使用的有关技术和产品。很多情况下，由于异常处理和程序代码的不合理，甚至不需要任何特殊技术或工具，都很容易触发产生错误代码的条件从而产生错误代码导致被攻击者利用。SSL/TLS测试SSL和TLS是两个以加密的方式为传输的信息提供安全隧道的协议，具有保护、加密和身份认证的功能。这些安全组件在应用中非常关键，因此确保高强度的加密算法和正确的执行非常重要。本项测试的模块为SSL版本、算法、密钥长度、数字证书、有效期。数据库监听器（DBLISTENER）测试许多数据库管理员在配置数据库服务器时，没有充分考虑到数据库侦听器组件的安全。如果没有进行安全的配置而使用手动或自动的技术进行侦听，侦听器就可能泄露敏感数据以及配置信息或正在运行的数据库实例信息。泄露的信息对测试者来说通常是有用的，他能将此应用到后续更深入的测试中去。配置管理测试基础配置信息测试WEB应用基础架构由于其内在的复杂性和关联性，一个微小的漏洞就可能对同一服务器上的另一个应用程序产生严重的威胁，甚至破坏整个架构的安全。为了解决这些问题，对配置的管理和已知安全问题进行深入审查尤为重要。应用程序配置信息测试通常在应用程序开发和配置中会产生一些没有考虑到的信息，而这些信息暂时被发布后的WEB应用程序所隐藏。这些信息可能从源代码、日志文件或WEB服务器的默认错误代码中泄露。文件扩展名处理测试通过WEB服务器或WEB应用程序上的文件扩展名能够识别出目标应用程序使用的技术，例如扩展名JSP与ASP。文件扩展名也可能暴露与该应用程序相连接的其它系统。旧文件、备份文件、未引用文件测试WEB服务器上存在多余的、可读、可下载的文件，并且用于备份的文件，是信息泄漏的一大源头。因为它们可能包含应用程序和或数据库的部分源代码，安装路径以及密码等敏感信息。本项测试验证这些文件是否存在于发布的WEB应用系统上。应用程序管理接口测试许多应用程序的管理接口通常使用一个公用路径，路径获取后可能面临猜测或暴力破解管理密码的风险。此项测试目的是找到管理接口，并检测是否可以利用它来获取管理员权限。HTTP请求方法与XST测试WEB服务器可以配置为多种请求方式，如GET、POST、PUT、DELETE等，此项测试将鉴定WEB服务器是否允许具有潜在危险性的HTTP请求方法，同时鉴定是否存在跨网站追踪攻击（XST）。证书加密通道传输安全性测试本项测试试图分析用户输入WEB表单中的数据，如为了登录网站而输入的登录凭据是否使用了安全的传输协议，以免受到攻击。认证测试用户枚本项测试为了验证是否可能通过与应用程序的举测试认证机制交互（提示信息），收集有效的用户。这项测试好于暴力破解，一旦获取有效的用户名后，就可针对性的进行密码攻击。字典猜解测试本项测试鉴定应用系统是否存在默认的用户帐户或可猜测的用户名/密码组合（遍历测试）。口令暴力猜解测试当遍历攻击失败，测试者可尝试使用暴力破解的方式进行验证。暴力破解测试肯能可能碰到锁定用户或IP等限制。验证绕过测试本项测试尝试以非常规的方式企图绕过身份认证机制，使得应用程序资源失去正常的保护，从而能够在没有认证的情况下访问这些受保护的资源。密码重置/找回漏洞测试本项测试鉴定应用程序的“忘记密码”功能是否起到足够的保护，检查应用程序是否允许用户在浏览器中存储密码。用户注销缓存漏洞测试检查注销和缓存功能能否得到正确实现。多因素认证漏洞测试多因素身份验证将测试以下认证方式的安全性一次性密码（OTP）所生成的验证码，USB加密设备基于X509证书的智能卡通过SMS发送的随机一次性密码只有合法用户知道的个人信息会话管理测试会话管理测试本项测试分析会话管理模式和机制，鉴定发送给客户端浏览器的会话验证码的安全性，鉴定是否能够打破这一机制从而绕过用户会话。如对COOKIE实行反向工程，通过篡改COOKIES来劫持会话。COOKIE属性测试COOKIES通常是恶意用户攻击合法用户的关键途径。本项测试将分析应用程序在分派COOKIE时如何采取必要的防护措施，以及这些已正确配置的COOKIE属性。会话固定测试本项测试鉴定当应用程序在成功验证用户后不再更新COOKIE时，能否找到会话固定漏洞并迫使用户使用攻击者已知的COOKIE。会话变量泄漏测试由于会话验证码连系了用户身份和用户会话，它所代表的是保密信息。本项测试鉴定会话验证码是否暴露在漏洞中，并试着追溯会话攻击。CSRF跨站请求伪造测试跨站伪造请求指在WEB应用中，迫使已通过验证的未知用户执行非法请求的方法。本项测试鉴定应用程序是否存在这种漏洞。路径遍历测试本项测试鉴定是否能够找到一种方法来执行路径遍历攻击并获成功得服务器返回的信息。授权绕过测试本项测试核实如何对某个角色或特权实施授权模式以便获得保留的功能和资源。授权测试权限提升测试本项测试确认用户是否可能采用特权提升攻击的方式修改自己在应用程序内部的特权或角色。数据验证测试跨站脚本反射测试反射式跨站脚本攻击XSS是非持久性跨站脚本攻击的另一个名称。该攻击不会使用存在漏洞的WEB应用程序加载，而使用受害者载入的违规的URI。本项测试将确认应用程序对来自用户提交的恶意代码是否进行了存储或反射处理，对各类非法字符进行了严格过滤。存储跨站脚本测试储存式跨站脚本（XSS）是一种最危险的跨站脚本。允许用户存储数据的WEB应用程序都有可能遭受这种类型的攻击。SQL注入测试（ORACLEMYSQLMSSQLACCESS）SQL注入测试检测是否有可能将数据注入到应用程序中，以便在后端数据库中执行用户定制的SQL查询。如果应用程序在没有合理验证数据的情况下使用用户输入创建SQL查询，那幺说明该应用程序存在SQL注入漏洞。成功利用这一类别的漏洞会导致未授权用户访问或操作数据库中的数据。CODE注入测试代码注入测试检测是否有可能在应用程序中注入稍后由WEB服务器执行的代码。OSCOMMANDING本项测试将设法通过HTTP请求在应用程序中注入OS命令。缓冲区溢出测试（字符串格式）本项测试将检查不同类型的缓冲区溢出漏洞。WEB服务信息收集进行WEB服务测试的第一步是确定WS入口点和链接图标。WEB服务测试XML架构测试XML需要有合法的格式才能正确的运作。当服务器端进行XML语句分析时，不合规格的XML将会出错。一个解析器需要在整个XML信息中按照序列的方式彻底运行，这样才能评估XML格式是否合格。XML解析器通常占用较多的CPU资源。某些攻击通过发送大量或者不合规的XML信息来利用这个漏洞。XML内容级别测试内容级别的攻击对象是WEB服务及其使用的应用程序的服务器，包括WEB服务器、数据库、应用程序服务器、操作系统等等。内容级别攻击向量包括1）SQL注入/XPATH注入2）缓存溢出3）命令注入。HTTPGET参数/REST测试许多XML应用程序是通过HTTPGET查询传输参数来使用的。在HTTPGET字符串例如，超长的参数（2048字符）、SQL语句/注入（或OS注入参数）中传输恶意内容时，WEB服务将会受到攻击。NAUGHTYSOAP附件本项测试将检测接受附件的WEB服务的是否存在漏洞。这类危险存在于当信息附加到服务器和分配到用户的时候。重放测试重放攻击的威胁在于攻击者可以伪装成一个合法用户的身份，然后不被察觉的情况下进行一些恶意操作。本项测试将检测WEB服务是否存在重放漏洞246渗透测试验证针对本次测试过程中发现的漏洞进行层次性的安全加固，特别对于通过渗透测试发现的漏洞进行适应性的补救和加固措施，在保证不影响正常业务的情况下，配合行方运行维护人员或安全管理人员实施加固方案。对于加固后的系统进行重复性的渗透测试验证，以保障漏洞不可利用性，同时验证安全加固措施的有效性。最后形成具体验证成果报告，确保对外提供安全稳定的应用服务。25阶段6风险综合分析风险是一种潜在可能性，是指某个威胁利用弱点引起某项资产或一组资产的损害，从而直接地或间接地引起企业或机构的损害。因此，风险和具体的资产、其价值、威胁等级以及相关的弱点直接相关。从上述的定义可以看出，风险评估的策略是首先选定某项资产、评估资产价值、挖掘并评估资产面临的威胁、挖掘并评估资产存在的弱点、评估该资产的风险、进而得出整个评估目标的风险。251阶段目标本阶段目标是对目前存在的安全风险进行分析，包括风险的计算、风险的处置和风险的安全控制措施选择。根据计算出的风险值，对风险进行排序，并与客户共同选择风险的处置方式和风险的安全控制措施。252阶段步骤2521步骤一风险计算3341风险的计算在完成了资产识别、威胁识别、脆弱性识别后，将采用适当的方法确定威胁利用脆弱性导致安全事件发生的可能性，综合资产价值及脆弱性的严重程度判断安全事件一旦发生造成的损失，最终得到风险值，风险计算原理如图所示威胁出现的频率脆弱性的严重程度资产价值风险值威胁识别脆弱性识别资产识别安全事件的可能性安全事件的损失存在的脆弱性图4风险计算原理对风险计算原理可以采用下面的范式形式化加以说明风险值R（A，T，V）R（L（TA，VB），F（IA，VA）其中，R表示安全风险计算函数，A表示资产，T表示威胁，V表示脆弱性，TA表示威胁出现的频率，IA表示安全事件所作用的资产价值，VA表示脆弱性严重程度，VB表示存在的脆弱性，L表示威胁利用资产存在的脆弱性导致安全事件发生的可能性，F表示安全事件发生后产生的损失。有以下三个关键计算环节1计算安全事件发生的可能性根据威胁出现频率及脆弱性状况，计算威胁利用脆弱性导致安全事件发生的可能性，即安全事件发生的可能性L（威胁出现频率，脆弱性）L（TA，VB）在具体评估中，应综合攻击者技术能力（专业技术程度、攻击设备等）、脆弱性被利用的难易程度（可访问时间、设计和操作知识公开程度等）、资产吸引力等因素来判断安全事件发生的可能性。2计算安全事件的损失根据资产价值及脆弱性严重程度，计算安全事件一旦发生造成的损失，即安全事件的损失F（资产价值，脆弱性严重程度）F（IA，VA）部分安全事件发生造成的损失不仅仅是针对该资产本身，还可能影响其提供业务的连续性。不同安全事件对组织造成的影响也是不一样的，在计算某个安全事件的损失时，应将对组织的影响也考虑在内。3计算风险值根据计算出的安全事件发生的可能性以及安全事件的损失，计算风险值，即风险值R（安全事件发生的可能性，安全事件的损失）R（L（TA，VB），F（IA，VA）2522步骤二进行风险结果判定确定风险数值的大小不是组织风险评估的最终目的，重要的是明确不同威胁对资产所产生的风险的相对值，即要确定不同风险的优先次序或等级，对于风险级别高的资产应被优先分配资源进行保护。风险等级建议从1到5划分为五级。等级越大，风险越高。评估者也可以根据被评估系统的实际情况自定义风险的等级。下表提供了一种风险等级划分方法。表格7风险图等级标识描述5很高一旦发生将使系统遭受非常严重破坏，组织利益受到非常严重损失，如严重破坏组织信誉、严重影响组织业务的正常运行、经济损失重大、企业影响恶劣等4高如果发生将使系统遭受比较严重的破坏，组织利益受到很严重损失3中等发生后将使系统受到一定的破坏，组织利益受到中等程度的损失2低发生后将使系统受到的破坏程度和利益损失一般1很低即使发生只会使系统受到较小的破坏2523步骤三选择控制措施根据风险分析的结果，综合考虑客户信息系统的实际情况、成本因素等选择相应的管理或技术控制手段，并结合已经发现的业务系统风险，给出整改建议。2524步骤四残余风险处置对于不可接受范围内的风险，应在选择了适当的控制措施后，对残余风险进行评价，判定风险是否已经降低到可接受的水平，为风险管理提供输入。残余风险的评价可以依据组织风险评估的准则进行，考虑选择的控制措施和已有的控制措施对于威胁发生的可能性的降低。某些风险可能在选择了适当的控制措施后仍处于不可接受的风险范围内，应通过管理层依据风险接受的原则，考虑是否接受此类风险或增加控制措施。为确保所选择控制措施的有效性，必要时可进行再评估，以判断实施控制措施后的残余风险是否是可被接受的。253阶段输出本阶段完成后主要输出文档如下风险计算列表风险处置计划方案风险评估综合报告26阶段7风险处置计划对于不可接受的风险，应根据导致该风险的脆弱性和威胁制定风险处理计划。风险处理计划中明确应采取的弥补其脆弱性、降低安全事件造成的损失或减少安全事件发生可能性的新的安全措施、预期效果、实施条件、进度安排、责任部门等。安全措施的选择应充分考虑到组织、资金、环境、人员、时间、法律、技术和企业文化等多方面的可能限制因素，从管理与技术两个方面考虑，管理措施可以作为技术措施的补充。安全措施的选择与实施应参照国家和行业的相关标准。在对不可接受风险选择新的安全措施后，为确保安全措施的有效性，应进行再评估，以判断实施新的安全措施后的残余风险是否已经降低到可接受的水平。残余风险的评估可以依据本标准的风险评估流程实施，也可做适当裁减。某些风险可能在选择了新的安全措施后，残余风险的风险评估结果仍处于不可接受范围内，应考虑是否接受此风险或进一步增加相应的安全措施。在选择和实施风险控制措施时，应兼顾管理与技术，具体针对各类风险应根据组织的实际情况考虑以下十一个方面的控制安全方针、组织安全、资产的分类与控制、人员安全、物理与环境安全、通讯与运作管理、访问控制、系统的开发与维护、业务持续性管理、信息安全事件管理、符合性。在风险处理方式及控制措施的选择上，信元公众应考虑发展战略、企业文化、人员素质，并特别关注成本与风险的平衡，以处理安全风险以满足法律法规及相关方的要求，管理性与技术性的措施均可以降低风险。27阶段8项目交付271成果交付项目完成后将提交以下文档风险评估综合报告资产赋值列表威胁赋值列表脆弱性赋值列表（包含脆弱性扫描分析报告）风险处置计划（附件风险列表）1、风险评估综合报告主体报告，描述被评估信息系统得信息安全现状，对评估范围内的业务资产进行风险分析，明确出威胁源采用何种威胁方法，利用了哪些脆弱性，对范围内的哪些资产产生了什么影响，采取何种对策进行防范威胁，减少脆弱性；并对风险评估作出总结，总结出哪些问题需要当前解决，哪些问题可以分步分期解决。2、资产赋值列表综合报告的子报告，描述了在资产识别后，对资产进行分类整理，并依据其所受破坏后所造成的影响，分析出其影响权值及其重要性。3、威胁赋值列表综合报告的子报告，描述总结出评估范围内业务资产所面临的威胁源，以及其所采用的方法。4、脆弱性赋值列表综合报告的子报告，描述出通过安全管理调查、工具扫描、手工检查进行专业分析后，总结出评估范围内业务资产自身存在的脆弱性。5、脆弱性扫描分析报告脆弱性评估报告的子报告，主要描述通过工具扫描之后，对评估范围内的资产脆弱性进行统计，重在描述高风险、中风险、低风险的数量以及百分比等情况。6、风险处置建议计划综合报告后的辅助报告，通过综合分析，了解了当前的安全现状，提出了针对当前问题的信息系统总体安全解决方案。272项目验收对项目计划与成果目标进行验收。第3章项目管理为了保证整个安全项目实施的质量和进度，本项目将主要参考并遵循一些国际最新的相关信息安全工程标准和最新的研究成果，如SSECMM信息安全工程能力成熟模型；IATF信息系统安全工程（ISSE）过程模型。31组织管理为了保证项目的顺利实施，确保达到预期的目标，必须建立分工明确，职责清楚，层次分明同时又能协调配合的项目管理组织。项目领导小组项目技术支持项目实施质量控制项目经理协调小组图5项目组织图职责分工项目领导小组有项目服务提供方管理层和资深安全顾问组成的核心决策层。项目经理由信息安全服务提供商指定，根据项目协调小组的决定与授权，在充分调研准备的基础上，提出具体实施方案并组织实施，解决项目实施中出现的各类问题。协调小组有服务买方项目负责人组成的协调小组，和目项目经理一起协调项目中存在的问题、进度、其他问题等。项目实施小组由信息安全服务提供商技术人员组成，负责安全产品集成的具体实施。项目支持小组主要由项目实施过程中，服务卖方提供的远程技术支持力量，负责远程协助和支持。质量控制主要有项目商务和售前作为质量监督和控制，有权对项目实施进行建议和实施工作的改进。32范围管理范围管理通过对项目范围的明确界定以及过程中变更的严格控制，使整个项目各项工作自始至终严格贯彻立项的宗旨，既无工作内容遗漏，也不存在未经授权的范围超出，从而保障项目的圆满完成。321范围定义一个预先定义的、清晰的项目范围是项目顺利开展的基础。在项目启动时，项目参与方应对工作范围说明书中约定的工作范围和内容进行确认，对于有疑问之处应立即澄清，