网安检测-网络安全服务方案介绍及报价_W

1、 1. 新系统上线检测服务1.1. 服务概述根据客户新建系统或新增业务模块上线进度需求，在系统实际投入生产前对系统实施漏洞扫描、安全基线检查、渗透测试（互联网应用系统）等安全评估，并提出整改建议，随时提供电话技术支持。 1.2. 服务方式测试的相应工作流程开展。在服务实施完成后出具新系统上线安全 检测报告 2. 渗透测试服务2.1. 服务概述渗透测试服务（Penetration Test）主要依据国际、业界一致认可OWASP 安全渗透性测试标准和方法为依据，配合 CVE（Common Vulnerabilities & Exposures 公共漏洞和暴露）已经发现的安全漏洞， 在用户的授权下，

2、模拟入侵者的攻击方法对应用系统、服务器系统和网络设备进行非破坏性质的攻击性测试，直观地暴露自身网络所面临的威胁与风险点。 渗透测试的基本步骤包括：信息收集、制定测试策略、对已知漏洞进行测试、对漏洞进行验证、挖掘目标未知漏洞、获取和提升权限、扩大渗透范围。 网安公司拥有 14 名经验丰富，高度专业化的渗透测试工程师组成的团队，以业界认可的 OSSTMM 和 OWASP 安全渗透性测试标准和方法为依据，通过细致的规范化流程和使用丰富的测试用例的实施方 法，为 280 多家来自金融、企业、互联网公司和政府等行业的客户提供日常安全运营的渗透测试服务，在 2008 年北京奥运会、2010 年深圳大运会、

3、2012 年党十八大等重大盛事期间为各重要支撑系统提供专业的安全测试和保障工作，做出了突出的贡献。 2.2. 服务内容应用层的渗透测试主要针对 B/S、C/S 等架构的系统，是当前最流行的攻击手段。大部分 入侵都是由此开始，并渗透到系统和网络。我们在应用层渗透测试主要安排以下内容，具体操作根据系统实 际情况进行： 1) SQL 注入检测SQL注射类型的漏洞通常是出现在用户和服务器进行信息交互的接口处，这种漏洞使得服务器的 数据库内的信息很有可能直接 暴露出来，造成 信息的泄漏。如果其中包含管理员的帐号信息， 其也就不言而喻了。更重要的是站在系统用户的角度来说，这种 问题的出现严重影响到了系统在

4、客户心中的信誉度。对于某些数据库， 可以通过执行数据库的命令，执行系统命令。通过间接的方式获取系统权限。 2) 跨站脚本漏洞检测跨站攻击有针对服务器方面的，也有针对访问系统的客户端。对服务器而言，跨站攻击主要存在系统的脚本代码存在问题，接受非本 站数据的提交。例如攻击者可以通过自己搭建系统，但系统接受的参数提交是传输给欲攻击的目标系统，若目标系统存在跨站脚本攻击的问 题，就会接受非本站传输过来的数据并且执行。针对客户端的跨站攻 击有两种，一是攻击者在存在问题的页面地址上构造连接，欺骗别的 用户点击，事实上该所执行的脚本是另外系统的，有可能是恶意脚本。另外一个是攻击者在目标系统上可以通过恶意提交

5、，在目标系统上生 成带有恶意代码的页面，让浏览者执行恶意脚本。这种问题在论坛上较为常见， 也较大。特别是访问量较大的站点，浏览者可能被盗取，或者被种植木马。 3) 应用结构分析通过对系统进行智能搜索扫描，从结构上剖析了整个系统的组织结 构，可以更加直观的看到整个系统的实施。通过分析系统整个系统结构上的目录和文件取名习惯，以及系统结构层次的分析，能够得到管理员的建站习惯，可能导致恶意用户猜测管理员 或其他配置错误。通过分析目录结构，可以了解系统使用的建站模板，从而通过该模板可能存在的漏洞进行安全测试。也可以从目录中寻找地址， 进一步测试。 4) 目录遍历探测通过遍历每个存在的目录，智能搜索并探测

6、除公开网页中包含的所有目录以外，是否存在非授权不能访问却被访问的目录。这些目录很有可能就是系统管理员 程序所在目录或者是数据库所在目录。如果这些目录没有做好权限设置，那么极有可能导致系统 失陷于此。该问题是 Web 服务器常见的Apache 设置错误，恶意用户可以读取任意可读文件。 5) 隐藏文件探测通过隐藏文件的智能探测，除了已有的所有公开页面以外，智能搜索并探测在这些目录下是否存在隐藏文件。这些文件很有可能就是 系统的一些配置文件，或者是系统管理员忘记删除的程序说明书，或 者是系统 登陆的重要文件。这些文件极有可能导致系统重要数据的泄漏，最终导致整个系统权限的沦陷。 6) 备份文件探测通过

7、备份文件的智能探测，除了已有的所有公开页面以外，智能 搜索并探测在这些目录下是否存在备份文件。这些文件很有可能就是 系统的一些重要文件的备份信息，或者是系统管理员忘记删除的系统 数据库备份。这些文件是最有可能导致系统重要数据的泄漏的风险点， 直接威胁着整个系统的整体安全。 7) 管理 探测通过对管理 的探测，找到系统管理、参数设置和配置的入口， 通过对身份鉴别的绕过或 猜解，获取和管理员一样的身份，从而 影响系统内容的安全性。甚至通过 管理功能，上传脚本木马或者下载数据库，更改系统显示的内容，开启和关闭系统的功能。 8) 身份验证绕过检测对前台或 的身份鉴别页面，通过 Cookies 欺骗或其

8、他绕过手段，跳过身份鉴别部分，直接获取管理员的权限。 9) 默认数据库检测采用通用模板构建的系统，其 数据库地址往往没有修改，采用的是默认地址。对一些常见的系统默认地址，部分管理员也采用常见的命名习惯。通过对这些数据库地址的检测，在获取地址后，对没有防止下载的ACCESS 数据库可以进行下载探测。 10) 上传漏洞检测通过对系统上 能， 文章、信息发布地址中上 能的检测，检查是否进行了严格的文件类型过滤。在没有过滤严格，或存在 漏洞的上 能和页面，可以上传脚本后门从而控制系统。 11) 旁注检测旁注攻击是 SQL 注入攻击的一种扩展攻击方式。当目标系统所在服务器上存在多个站点。攻击者的攻击目标

9、站点不存在可以利用的 漏洞，但别的系统存在漏洞。若系统服务器对系统之间的执行角色没有做好严格的权限划分，攻击者可以利用同服务器问题系统的漏洞间接的入侵欲攻击的目标系统。 12) HTTP 协议追踪若 WEB 服务支持 TRACE 方法，若参数配置错误，则可能产生 信息泄露或跨站漏洞的问题。 13) Cookies 欺骗检测系统的代码若对身份验证部分做的不够严谨， 单纯采用COOKIES 方式判断的话，可能存在 COOKIES 欺骗的方式。通过这样的攻击，攻击者可以绕过 登陆的身份验证直接访问管理页面进行恶意操作。 14) 弱 猜解系统若存在管理 ，如果系统管理员安全意识不到位，将设置的较简单，

10、可能被攻击者通过猜测的方式破解。 15) Web 服务程序安全检测WEB 应用程序若本身存在远程溢出的问题，则可能被利用入侵。目标系统若没设置好，会产生目录浏览的问题，暴露系统信息。该问题不可以直接入侵系统，但是可以暴露信息帮助入侵。 2.3. 服务流程图 3-1 渗透测试流程 参见上面的渗透测试流程图，信息的收集和分析伴随着每一个渗透测试步骤，每一个步骤又有三个部分组成：操作、响应和结果分析。从整体的实施流程上看，主要客户委托确认、全面信息收集、弱点利用和结果输出等阶段，以下对各个方面进行详细描述。 （1） 客户委托客户委托是我方开展渗透测试的必要条件，我方将尽最大努力做到客户对渗透测试所有

11、细节和风险的知晓、所有过程都在客户的控制下进行。这也是专业安全测试服务与 攻击入侵的本质不同。 渗透测试委托书（授权书）应包含以下内容： 渗透测试的范围（包括 IP 地址及域名）； 渗透测试时间（包括开始时间和结束时间）； 渗透测试委托书（授权书）以书面形式提交并盖有甲方单位的 公章； （2） 信息收集信息收集分析几乎是所有入侵攻击的前提/前奏/基础。“知己知彼， 百战不殆”，信息收集分析就是完成的这个任务。通过信息收集分析， 攻击者（测试者）可以相应地、有针对性地制定入侵攻击的计划，提 高入侵的成功率、减小暴露或被发现的几率。 信息收集的方法包括端口扫描、操作类型判别、应用判别、账号扫描、配

12、置判别等等。入侵攻击常用的工具包括 nmap、nc 等，有时， 操作系统中内置的许多工具（例如telnet、Internet Explorer 浏览器） 也可以成为非常有效的攻击入侵 。信息收集后的分析的基础是安全弱点的关键知识库。 （3） 弱点利用通过收集信息和分析，存在两种可能性，其一是目标系统存在重大弱点：测试者可以直接控制目标系统，这时测试者可以直接调查目标系统中的弱点分布、原因，形成最终的测试报告；其二是目标系统没 有远程重大弱点，但是可以获得远程普通权限，这时测试者可以通过该普通权限进一步收集目标系统信息。接下来，尽最大努力获取本地 权限，收集本地资料信息，寻求本地权限升级的机会。

13、这些不停的信息收集分析、权限升级的结果构成了整个渗透测试过程的输出。 从权限提升的目标来分析，也分为两种。其一是前面叙述的对本地主机权限进行提升。其二是利用已经获得权限的主机发起攻击获得其他服务器甚至整个网络的控制权限。 （4） 结果输出当渗透测试完成后，网安公司工程师将根据渗透测试的过程文档撰写相应的渗透测试结果报告，详细描述渗透测试的过程和结果，并 就发现的问题提出解决方案。 2.4. 服务方法我方对应用系统的渗透测试将遵循 OWASP 标准，采用白盒+黑盒相结合的测试手段，充分挖掘应用系统不同授权程度的安全隐患， 在实施方式上，根据用户实际的需求，内、外应用系统的部署环境， 经过双方协商

14、，在网络边界，业务边界，逻辑边界选择不同渗透接入点进行测试，进一步测试和验证各项安全防护措施的有效性。 （1） 工具测试a) 测试方式：工具测试使用的工具主要包括： 安全扫描工具：自动化地扫描发掘系统的弱点以及其他信息； 漏洞利用工具：对发现的弱点进行验证和利用； 辅助工具：方便渗透测试的工作进行，帮助了解分析目标主机的信息。 工具测试的除安全扫描外，其他工作基本上都是与人工测试紧密结合来共同完成测试目标的。 b） 常用工具：渗透测试工作中常用的扫描工具如下： SuperScan3 （端口扫描） Nessus 安全扫描软件（系统扫描） X-Scan-v3.3 安全扫描软件（系统扫描） Reti

15、na Network Security Scanner 安全扫描软件（系统扫描） Nikto 安全扫描软件 （CGI 扫描） Acunetix Web Vulnerability Scanner（系统应用扫描） MatriXay（SQL 注入扫描） 渗透测试工作中常用的 SQL 注入利用工具如下： Domain3.5 Nbsi3.0 Pangolin DSQLTools渗透测试工作中常用的漏洞利用以及辅助工具如下： WEBTOOL V4.2 （系统安全检测工具） Metasploit SQLInjectEncode SQL 综合利用工具 渗透测试工作中常用的在线工具如下： http:/www.

16、（ IP 地址查询） （ whois 服务器查询） （Md5 在线） http:/ip.wen.la/ （同 IP 站点查询） 本次渗透测试过程中使用的工具将根据系统实际情况以及最小影响的原则进行选择。 （2） 人工测试a) 测试方式：人工测试的主要工作是对扫描发现的弱点以及信息进行分析验证， 找到真实存在的漏洞并进行利用或者发掘出新的弱点。人工测试是渗 透测试工作最主要的部分，它完全依靠工程师的个人经验进行。因此 每个工程师测试和利用的方法以及选用工具都会不同。 b) 可能的影响：由于采用

17、可控制的、非破坏性质的渗透测试，因此不会对被评估的系统造成严重的影响。在渗透测试结束后，系统将基本保持一致。 渗透测试过程透明化，所有测试过程及记录均由被测单位相关人员进行批准和审查。由于人工对系统的测试就相当于普通状态 量系统内容， 因此人工测试对服务器以及数据库的影响基本可以忽略。 2.5. 服务交付物序号交付物备注1应用系统安全测试服务方案 包括确定实施对象、计划、工具、配合 人员，风险控制等内容。 2应用系统安全性测试报告 主要内容包括渗透测试对象、实施时间、使用的工具、发现的安全问题概述、详细的漏洞测试结果、关键问题标识，针对渗透测试发现的应用系统安全漏洞和隐患，提出相应的可行性整改

18、解决方 案。 3. 漏洞扫描服务3.1. 服务概述安全检测服务是一项从信息安全风险管理的角度出发，通过安全检测工具、 漏洞知识库搜集和人工分析的技术手段，全面评估重要服务器、应用系统、中间件、数据库网络设备和安全系统等资产存在的安全漏洞及其关联性和影响程度， 并形成基础网络与信息系统的整体脆弱性的专业性安全服务。 安全扫描器是信息安全脆弱性扫描中的一个重要工具，我们提供的安全扫描 器可以根据不断丰富完善的漏洞库，检测出系统中终端、服务器、数据库、网络设备等的弱点并进行安全风险分析，同时对发现的安全隐患提出针对性的解决方案和建议，对发现的安全弱点采取加固措施，这样可以提高信息系统的安全性， 增强

19、对入侵和病毒的防御能力。 图 3-3 漏洞管理体系 安全扫描工具作为主要的安全测试工具之一，在现场测试中主要应用于以下几个方面： 主机信息收集及漏洞扫描。安全扫描系统可以有效的识别被测主机的操作系 统类型，如 Windows、UNIX、Linux 等，并可获得主机名、用户帐号等信息。基于已知的漏洞库，安全扫描系统可以对目标主机进行有选择的漏洞检测扫描。 网络设备、安全设备端口扫描。是否存在多余开放端口或服务是对网络安全设备的一项重要测试项目，安全扫描系统可以对被测目标进行可定制的端口扫描，通过多种端口扫描方式，基本可以探测被测目标全部开放端口。 数据库、中间件等应用信息收集及漏洞扫描。安全扫描

20、系统可以有效的识别被测主机中安装数据库以及中间件信息，通过原理扫描及版本扫描的方式， 基于已知的漏洞库，可以识别出当前存在的漏洞情况。 图 3-4 漏洞扫描支持对象 针对漏洞扫描结果，我方工程师会从宏观和微观两个角度对风险进行了透彻 地分析。宏观上，从多个视角深刻反映网络的整体安全状况，对漏洞分布、 主机信息等多视角信息进行了细粒度的统计分析，并通过柱状图、饼图等形式， 直观、清晰的从总体上反映了网络资产的漏洞分布情况；微观上，对检测到的每 个漏洞都提供了详细的解决方案，使得管理员可以快速准确地解决各种安全问题， 同时支持用户自己输入关键字进行相关信息的检索，以便用户能够具体了解某台 主机或者

21、某个漏洞的详细信息。 3.2. 服务特点网安安全漏洞检测服务通过多年来获取行业客户最佳实践经验，具备以下四个方面的服务特点： 1） 在不同网络区域设置接入点的横向检测，可评估不同安全域和边界的防护有效性； 2） 在不同阶段设置时间点的纵向检测，充分展示安全脆弱性的变化； 3） 通过进一步人工的分析验证，减少漏洞误报情况； 4） 通过合理地控制检测时间、策略、并发量，最大限度地降低工具检测工 作对于业务运营的影响。 3.3. 实施流程准备阶段实施阶段整改阶段结束阶段客户沟通工具检测安全建议收集信息制定方案人工分析修复协助提交结果数据入库报告编制安全漏洞检测服务包括准备阶段、实施阶段、整改阶段和结

22、束阶段等四个阶段，每个阶段由不同的工作内容构成，如下图 3-4 所示。 图 3-5 漏洞检测服务实施流程 根据中山大信通实际需求，根据前期风险评估结果，针对关键系统每季度进行一次漏洞扫描，其他系统每半年进行一次漏洞扫描。时间可以根据实际情况调整； 对项目范围内的服务器进行漏洞扫描和安全评估，并且提供安全修复建议。 4. 安全基线检查服务4.1. 服务概述管理系统等业务系统支持平台对象，进行全面的本地化安全核查、差 距分析，评估对象的整体安全状态、各项安全防护措施、 恢复能力和系统风险控制水平等方面状况并提出整改解决建议的一项专业性安全服务。 4.2. 服务内容安全基线服务包含了对不同类型系统的

23、安全基准检查、专项入侵检测、安全日志分析和安全漏洞核查等四大不同功能的服务模块，全 面、细致审计系统的安全状况。 安全基准检查 通过人工检查分析涉及账号、口令安全配置策略、最小化服务、 合理权限设置、敏感信息防泄漏配置、恶意代码防护、安全审计措施、安全选项设定、端口开放情况、可能存在漏洞的应用软件以及重要数据备份情况等安全基准内容。 专项入侵检测 通过人工分析和安全工具检测相结合的技术手段，对业务服务器上可能潜伏、隐藏的计算机病毒、木马、后门、 工具和 软件等恶意程序执行细致的专项检测。 安全日志分析 通过对业务服务器、应用系统、数据库系统和防病毒系统的运行日志的定期审计分析，能够提前发现 探测行为、正在发生或已经发生过的恶意攻击 ，甚至来自内部人员非授权访问动作。 安全漏洞核查 通过登录服务器、网络设备、应用和数据库等系统，从本地上识别、分析和验证使用漏洞扫描工具从网络进行漏洞检测出现设备误报 和漏报结果，更加客观、准确地反映系统的安全状况。 4.3. 服务特点n 本地化审计 通过登录到服务器、网络设备、应用中间件和数据库等系统的本地上，能够更加直接、准确对系统的安全风险状况进行检测，获得更 加可信的审计