天天看點
傳回

網絡安全服務解決方案參考模闆

網絡安全服務解決方案參考模闆

XXX機關&企業安全服務解決方案

目 錄

1. 技術解決方案 3

1.1. 項目背景及需求 3

1.2. 安全服務方案設計 3

1.2.1. 事前預警 3

1.2.2. 事中防護 3

1.2.3. 事後追溯 3

1.3. 網站安全監測服務 4

1.3.1. 服務類型 4

1.3.2. 服務特點 5

1.4. 雲防護服務 5

1.4.1. 網站防護 5

1.4.2. CDN加速 7

1.4.3. 防DDOS、CC攻擊 7

1.4.4. 永久線上 7

1.4.5. 可視化安全防護 7

1.4.6. 使用者資料報表 8

1.5. 主機安全掃描服務 8

1.5.1. 掃描工具-遠端安全評估系統 8

1.5.2. 項目實施過程風險控制措施 10

1.6. 滲透測試服務 11

1.6.1. 概述 11

1.6.2. 測試内容 13

1.6.3. 漏洞分級 20

1.6.4. 滲透用例 21

1.6.5. 測試影響 23

1.6.6. 風險規避 23

1.6.7. 系統備份與恢複措施 24

1.7. 協助安全加強 24

1.7.1. 服務概述 24

1.7.2. 加強内容 26

1.7.3. 項目風險規避措施 30

1.8. 應急響應服務 30

1.8.1. 服務概述 30

1.8.2. 應急内容 30

1.8.3. 服務方式 31

1.8.4. 等級分類 31

1.8.5. 應急流程 33

技術解決方案

項目背景及需求

現有網絡安全防護裝置統計分析顯示,安全風險明顯增大,為有效應對風險,急需對現有網絡安全裝置固件和規則庫進行版本更新,對安全政策和規則進行配置優化。同時,結合現有網絡安全裝置情況,對網站進行主機掃描、滲透測試,提供7*24小時網站監測、雲防護服務,并在發生安全事件時提供應急響應。

安全服務方案設計

事前預警

通過網站7x24小時安全監測平台與人工執勤分析處理相結合的方式,對機關網站(含電腦、手機、pad等各類終端版本)進行實時安全監測,第一時間發現潛在威脅,及時清除威脅,完善網絡安全。通過網站7x24小時監測服務針對網站首頁以以及相關的連結進行全天7x24小時網站安全監測服務(網站漏洞監測、網頁挂馬監測、頁面篡改監測、關鍵字監測、可用性監測),結合監測平台的大資料、專家決策等處理過程,第一時間發現機關web應用系統存在的安全異常。

通過專業的主機安全掃描服務和滲透測試服務從風險管理的角度,運用科學的方法和手段,全面檢測目标資訊系統存在的脆弱性,系統分析和評估安全防護水準,進而有針對性地提出抵禦威脅的防護對策和整改措施,将風險控制在可接受的水準,最大限度的保障網絡和資訊安全。

事中防護

通過在網絡中部署網站雲端安全防護方案,在對目标網絡安全域劃分的基礎上,從邊界安全防護的角度進行有效建設,對外部網絡黑客利用防火牆為合法的使用者通路而開放的端口穿透防火牆對内網發起的各種進階、複雜的攻擊行為進行檢測和阻斷,提升資訊網絡的抗攻擊能力同時,加強對基礎網絡的安全控制和監控手段,來提升基礎網絡的安全性,進而為上層應用提供安全的運作環境。

事後追溯

通過專業的人工應急響應服務對目标網絡裝置、安全裝置、主機和應用系統日志進行全面分析,針對發生的安全事件進行深度調查、分析、驗證,了解原因和問題所在,并最快速恢複系統的保密性、完整性和可用性,阻止和降低安全威脅事件帶來的嚴重性影響。

網站安全監測服務

資訊提供全新的SaaS(軟體即服務)服務模式,無需部署軟硬體産品平台即可實作對網站内容的安全監測,主要用于對網頁漏洞監測、木馬監測、網站可用性、關鍵字監測等,支援安全事件觸發及時告警,根據需要對安全事件進行溯源、追蹤和驗證,分析整體安全态勢,提供7*24小時專家團隊線上監測服務,當監測到安全問題時可在第一時間通過郵件、短信通知管理者,為資訊系統安全管理提供決策支援。

服務類型

1 網頁木馬監測 采用特征分析和沙箱行為分析技術對網站進行木馬監測,監測精度高達99%,進而實作快速、準确地發現和定位網頁木馬,確定使用者在第一時間發現感染的木馬并及時消除。
2 網頁篡改監測 通過遠端定時監測技術,可以有效地監測網頁篡改行為,特别是一些越權篡改、暗鍊篡改等情形。并針對篡改方式提供篡改截圖驗證功能,極大地提升了事件處理效率。
3 網站可用性監測 基于遠端監測技術可以有效的監測到域名劫持、DNS中毒、ISP線路等原因導緻的網站可用性問題。提供多線路監測技術,使使用者對網站的可用性獲得更為全面詳細的資料,如業務中斷、通路延時、不同ISP服務品質等。
4 網頁關鍵字監測 采用中文關鍵詞以及語義分析技術對網站進行敏感關鍵字監測,實作精确的敏感字識别,確定網站内容符合網際網路相關規定,避免出現敏感資訊以及被監管部門封殺。
5 WEB漏洞監測 定期自動監測網站的漏洞,并跟蹤漏洞的修複情況進而使網站的漏洞得以快速修複,降低網站被入侵的風險。

服務特點

1 功能合規性 本平台提供的監測功能充分考慮了各行業對網站監測的要求,如政府行業《國務院辦公廳關于進一步加強政府網站管理工作的通知》所要求的監測類型、等級保護對電子政務及金融的要求,如銀監會、證監會等金融監管機構對門戶網站、網上業務系統的監測要求,進而確定監測平台的服務能滿足各行業政策及監管的要求。
2 監測範圍全面 網站安全監測平台提供的監測功能覆寫安全時間軸的事前漏洞監測;事中實時網馬監測、關鍵字監測、可用性監測;事後篡改監測。協助使用者實作網站安全可用的安全保障目标。
3 驗證式監測 監測平台采用業界最先進的監測與驗證技術,確定監測到的每一個安全問題都能進行驗證式确認,極大地降低了誤報率:如SQL注入漏洞驗證資料庫内容、跨站腳本驗證跨站效果代碼、篡改監測驗證篡改截圖等。一方面減少運維人員對WEB安全知識的嚴重依賴,提高安全監管的效率;另一方面為使用者确認和修複問題提供更為直接的幫助。
4 安全勢态跟蹤 監測平台提供網站曆史安全勢态的跟蹤功能,提供橫向安全對比報告便于監管人員對網站進行考評、跟蹤網站的安全處理情況。如:網站風險值評定與排名、漏洞修複狀态跟蹤、篡改事件彙總與修複跟蹤等。
5 性能可擴充性 監測平台采用先進的技術架構實作性能無極擴充,依據不同的業務需求可配置相應規模的監測引擎,進而實作不需使用者端的任何修改即可實作對數千網站的遠端安全監測。

雲防護服務

網站防護

提供了目前業界覆寫範圍最廣、防護能力最強的安全防護,對Web網站或應用進行嚴格的保護。安全政策來自于Snort、CWE、OWASP組織,以及安全研究院對國内典型應用的深入研究成果,覆寫範圍如下:

  • HTTP協定規範性檢查

檢查送出的封包是否符合HTTP協定架構,如異常的請求方法、不同字段的合規性、特殊字元、重點字段的缺失、HTTP方法控制、超長封包造成的溢出攻擊以及對高危檔案的通路等,黑客在使用非浏覽器工具調試時可迅速攔截。

  • 檔案B超

對使用者上傳的檔案字尾名和檔案内容進行全方面檢查,杜絕Webshell的上傳和通路。

  • 注入攻擊防護

對使用者送出的URL、參數、Cookie等字段進行檢查,采用SQL語義解析技術防止風險系數極高的SQL注入攻擊,采用字元偏移技術對代碼、指令、檔案、LDAP、SSI等注入攻擊的檢測,有效地防護了對作業系統和應用的注入攻擊。

  • 跨站腳本攻擊防護

采用字元差分技術對使用者送出的腳本進行檢查,防止不合法跨站腳本。

  • 網頁木馬防護

對頁面内容進行逐行掃描,檢查是否存在網頁木馬,防止用戶端被感染。

  • 資訊洩漏防護

對伺服器響應狀态碼、伺服器錯誤資訊、資料庫錯誤資訊、源代碼資訊洩露進行過濾,防止伺服器資訊被黑客利用進行有效攻擊。

  • 智能防護

采用行為識别算法有效識别掃描器或黑客持續性攻擊,避免被掃描器持續猜測攻擊或黑客持續滲透攻擊。

  • 第三方元件漏洞防護

對WEB伺服器容器、應用中間件、CMS系統等漏洞進行有效防護。

  • CSRF跨站請求僞造防護

通過Referer算法和token算法有效對CSRF攻擊進行防護。

  • 防盜鍊

通過Referer和Cookie算法有效防止非法外鍊,和對使用者資源内容的盜鍊。

CDN加速

雲防護在全國擁有20多個節點,可對所有省、直轄市的通路使用者進行CDN加速,包括内置Webcache及Webrar子產品,Webcache子產品對靜态頁面進行高速緩存,提升使用者通路速率,Webrar子產品對頁面内容進行壓縮,提升伺服器帶寬使用率。

防DDOS、CC攻擊

與國内知名雲計算廠商合作,擁有300G DDOS防護能力,有效防護實作對Syn-flood、upd-flood、tcp-flood等DDOS攻擊,擁有專利級防CC攻擊算法,可有效解決應用層CC攻擊,一方面解決了使用者網站被DDOS攻擊時的可用性問題,另一方面對本身也加強了防護,這樣可持續保證使用者的網站穩定運作。

永久線上

當使用者網站因為伺服器故障、線路故障、電源等問題出現無法連接配接時,可顯示雲防護中的緩存頁面;

當在敏感期或特殊時期時,使用者網站會主動關閉,在這期間可顯示雲防護中的緩存頁面。

可視化安全防護

可實時檢視可視化态勢感覺,實時了解安全防護狀态。

使用者資料報表

使用者可檢視通路流量報表、安全防護報表,安全防護報表包含攻擊次數态勢分析、攻擊者區域态勢分析、攻擊者IP統計、被攻擊頁面統計、被攻擊域名統計、攻擊事件統計、攻擊威脅等級統計等。

主機安全掃描服務

通過自動化掃描工具對指定網站的作業系統等進行全面的安全掃描檢測,人工驗證結果及提供掃描報告。

根據提供的安全掃描清單,使用資訊具備自主知識産權的漏洞掃描工具為主,其他商用工具為輔,執行定期的安全掃描。本次評估通過工具對其業務資訊系統進行脆弱性掃描,其重點是以應用伺服器為主的應用系統和作業系統掃描評估。通過整體評估,最終形成技術評估報告。

掃描工具-遠端安全評估系統

安全評估系統嚴格按照計算機資訊系統安全的國家标準、相關行業标準設計、編寫、制造。遠端安全評估系統可以對不同作業系統下的計算機(在可掃描IP範圍内)進行漏洞檢測。主要用于分析和指出有關網絡的安全漏洞及被測系統的薄弱環節,給出詳細的檢測報告,并針對檢測到的網絡安全隐患給出相應的修補措施和安全建議。遠端安全評估系統最終目标是成為加強中國網絡資訊系統安全功能,提高内部網絡安全防護性能和抗破壞能力,檢測評估已運作網絡的安全性能,為網絡系統管理者提供實時安全建議等的主流工具。網絡安全評估系統作為一種積極主動的安全防護技術,提供了對内部攻擊、外部攻擊和誤操作的實時保護,在網絡系統受到危害之前可以提供安全防護解決方案。并可根據使用者需求對該系統功能進行更新。

遠端安全評估系統是一種以Web、資料庫、作業系統、軟體的安全檢測為核心,弱密碼、端口與服務探測為輔助的綜合漏洞探測系統。并且系統使用一種先進技術,實作分布式、叢集式漏洞掃描功能,大大縮短掃描周期,提高長期安全監控能力。通過B/S架構及完善的權限控制系統,滿足您最大程度上的安全協作要求。

特點 簡要說明
領先的漏洞掃描産品線 為了滿足不同的使用者的應用需求,提供便攜式、機架式、軟體版三大類6款系列化産品。
領先的掃描技術 先進的掃描引擎,集合了智能服務識别、多重服務檢測、腳本依賴、腳本智能排程、資訊動态抛出、安全掃描、優化掃描、拒絕服務腳本順序掃描、斷點恢複等先進技術,確定了掃描的高準确性、高速度。
強大的檢測漏洞庫 漏洞按服務分為48大類别,按風險分為緊急、高、中、低、資訊五個級别,現漏洞庫數量已經超過30000條。每周至少更新漏洞庫一次,每月數量大于20條。
支援CVE、CNVD國内、國際标準 基于國内CNVD、國際CVE标準建立的安全漏洞庫,及時更新與國際标準同步。
強大的報表分析 提供html、word、pdf等多種格式;提供詳盡的漏洞描述與漏洞修補建議;提供多元度統計圖表。
自身高度安全 基于安全優化的LINUX系統; 系統的分級分層授權。
完善的三級服務體系 包括:産品本身(提供詳細的解決方案)、産品網站(為使用者提供周到會員制服務)、安全專業小組(免費400電話咨詢服務)。

遠端安全評估系統功能主要包含了Web、資料庫、作業系統及應用軟體、弱密碼、端口探測與服務識别5大掃描功能,以及分布式叢集掃描子產品、統計報告控制體系、使用者權限管理體系等輔助功能。

圖:功能子產品示意圖

項目實施過程風險控制措施

根據前面幾次實施的經驗,在業務低峰期進行自動化掃描,不會産生大流量,不會影響相關業務。

安全評估前的資料備份

建議在進行掃描前,對系統上的重要業務資料進行備份:

系統包括但不限于資料庫系統、涉密資訊存儲系統、重要業務應用系統、網絡裝置等;

備份資料包括但不限于資料庫表、重要文檔、應用配置資訊、主機裝置配置檔案、網絡裝置IOS、網絡裝置配置資訊、安全裝置配置資訊等;

建議在業務閑時對重要業務資料進行備份;

備份完成後建議測試備份媒體及其資料的可用性;

安全評估方案的探讨、确認

在掃描檢查實施前,針對于重要業務系統,安全服務顧問都會與系統管理者針對安全服務方案進行探讨,描述每個步驟可能帶來的風險及規避方法,提出的建議并由XXXX的管理者确認最終的安全服務方案。

掃描完成後确認

在完成掃描後,會對業務系統進行确認。對頁面進行掃描,檢視是否存在異常。如果發現異常,立即聯系相關人員處理。

滲透測試服務

概述

滲透性測試是對安全情況最客觀、最直接的評估方式,主要是模拟黑客的攻擊方法對系統和網絡進行非破壞性質的攻擊性測試,目的是侵入系統,擷取系統控制權并将入侵的過程和細節産生報告給使用者,由此證明使用者系統所存在的安全威脅和風險,并能及時提醒安全管理者完善安全政策。

滲透性測試是工具掃描和人工評估的重要補充。工具掃描具有很好的效率和速度,但是存在一定的誤報率,不能發現高層次、複雜的安全問題;滲透測試需要投入的人力資源較大、對測試者的專業技能要求很高(滲透測試報告的價值直接依賴于測試者的專業技能),但是非常準确,可以發現邏輯性更強、更深層次的弱點。

滲透測試服務通過利用目标應用系統的安全弱點模拟真正的黑客入侵攻擊方法,以人工滲透為主,以漏洞掃描工具為輔,在保證整個滲透測試過程都在可以控制和調整的範圍之内盡可能的擷取目标資訊系統的管理權限以及敏感資訊。

“資訊”滲透測試服務的主要流程如下:

  1. 資訊收集

資訊收集是指滲透實施前盡可能多地擷取目标資訊系統相關資訊,例如網站注冊資訊、共享資源、系統版本資訊、已知漏洞及弱密碼等等。通過對以上資訊的收集,發現可利用的安全漏洞,為進一步對目标資訊系統進行滲透入侵提供基礎。

  1. 弱點分析

對收集到的目标資訊系統可能存在的可利用安全漏洞或弱點進行分析,并确定滲透方式和步驟實施滲透測試。

  1. 擷取權限

對目标資訊系統滲透成功,擷取目标資訊系統普通權限。

  1. 權限提升

當擷取目标資訊系統普通管理權限後,利用已知提權類漏洞或特殊滲透方式進行本地提權,擷取目标系統遠端控制權限。

測試内容

根據網站評估和滲透測試服務項目需求,每月針對客戶的重點網站或者系統進行滲透測試,重點發現網站應用層業務流程和邏輯上的安全漏洞和敏感資訊洩露的風險,輸出滲透測試報告。主要是通過網絡層、系統層、應用層三個方面進行滲透測試。

  • 網絡層安全

針對該系統所在網絡層進行網絡拓撲的探測、路由測試、防火牆規則試探、規避測試、入侵檢測規則試探、規避測試、無線網安全、不同網段Vlan之間的滲透、端口掃描等存在漏洞的發現和通過漏洞利用來驗證此種威脅可能帶來的損失或後果,并提供避免或防範此類威脅、風險或漏洞的具體改進或加強措施。

由于伺服器系統和網絡裝置研發生産過程中所固有的安全隐患及系統管理者或網絡管理者的疏忽,一般網絡層安全漏洞包括以下安全威脅:

  1. 明文儲存密碼

由于管理者的疏忽,裝置配置密碼以明文的方式儲存,這帶來了一定的安全威脅。

  1. 未配置登入逾時

對系統沒有甚至登入逾時的時間,這當登入系統沒有及時退出的時候,可能導緻被其他人利用。

  1. 未配置AAA認證

系統沒有配置統一的AAA認證,這不便于權限的管理。

  1. 未配置管理ACL

交換機沒有配置管理IP的ACL,可導緻任意位址通路裝置,應該增加ACL進行限制。

  1. 其他配置問題

伺服器系統、資料庫系統及網絡裝置在使用過程中由于管理人員或開發人員的疏忽,可能未對這些預設配置進行必要的安全配置和修改,這就很容易引起越權操作,進而導緻資訊洩漏或篡改。

  • 系統層安全

通過采用适當的測試手段,發現測試目标在系統識别、服務識别、身份認證、資料庫接口子產品、系統漏洞檢測以及驗證等方面存在的安全隐患,并給出該種隐患可能帶來的損失或後果,并提供避免或防範此類威脅、風險或漏洞的具體改進或加強措施。

  1. 版本過低

系統版本過低,沒有及時更新或更新,導緻系統存在衆多未修複的安全漏洞(如Apache版本過底,可能存在大量溢出漏洞)。

  1. 遠端溢出漏洞

溢出漏洞的産生是由于程式中的某個或某些輸入函數(使用者輸入參數)對所接收資料的邊界驗證不嚴密而造成。根據程式執行中堆棧調用原理,程式對超出邊界的部分如果沒有經過驗證自動去掉,那麼超出邊界的部分就會覆寫後面的存放程式指針的資料,當執行完上面的代碼,程式會自動調用指針所指向位址的指令。根據這個原理,惡意使用者就可以構造出溢出程式。

  1. 本地提權漏洞

本地提權漏洞是指低權限、受限制的使用者,可以提升到系統最高權限或比較大的權限,進而取得對網站伺服器的控制權。

  1. 弱密碼

弱密碼通常有以下幾種情況:使用者名和密碼是系統預設、空密碼、密碼長度過短、密碼選擇與本身特征相關等。系統、應用程式、資料庫存在弱密碼可以導緻入侵者直接得到系統權限、修改盜取資料庫中敏感資料、任意篡改頁面等。

  1. 權限過大

權限過大是指某使用者操作權限超出他本身安全操作權限範圍之外,這存在一定的安全風險。

  1. 高危服務/端口開放

系統很多高危服務和端口會被預設開放,例如,80,443,843,8001 – 8010,其中8001~8010同時支援TCP和UDP協定,SSH、Telnet、X-windows、Rlogin、ms-rpc、SNMP、FTP、TFTP等服務,這些服務和端口的開放可能會帶來安全問題。

  1. 允許匿名IPC$連接配接

允許匿名IPC$連接配接,是一個遠端登入功能,同時所有的邏輯盤(c$,d$,e$……)和系統目錄winnt或windows(admin$)資源可共享,存在一定的安全風險。

  1. 其他配置問題

系統可能存在未對某些高危預設配置進行必要的安全配置和修改,導緻被惡意攻擊者利用,進而導緻資訊洩漏或篡改等嚴重後果。

  • 應用層安全

通過采用适當測試手段,發現測試目标在資訊系統認證及授權、代碼審查、被信任系統的測試、檔案接口子產品報警響應等方面存在的安全漏洞,并現場示範再現利用該漏洞可能造成的客戶資金損失,并提供避免或防範此類威脅、風險或漏洞的具體改進或加強措施。

應用程式及代碼在開發過程中,由于開發者缺乏安全意識,疏忽大意極為容易導緻應用系統存在可利用的安全漏洞。一般包括SQL注入漏洞、跨站腳本漏洞、上傳漏洞、CSRF跨站請求僞造漏洞等。

  1. SQL注入

SQL注入漏洞的産生原因是網站程式在編寫時,沒有對使用者輸入資料的合法性進行判斷,導緻應用程式存在安全隐患。SQL注入漏洞攻擊就是利用現有應用程式沒有對使用者輸入資料的合法性進行判斷,将惡意的SQL指令注入到背景資料庫引擎執行的黑客攻擊手段。

  1. 跨站腳本

跨站腳本攻擊簡稱為XSS又叫CSS (Cross Site Script Execution),是指伺服器端的CGI程式沒有對使用者送出的變量中的HTML代碼進行有效的過濾或轉換,允許攻擊者往WEB頁面裡插入對終端使用者造成影響或損失的HTML代碼。

  1. 表單繞過

表單繞過是指在登入表單時可以利用一些特殊字元繞過對合法使用者的認證體系,這造成對使用者輸入的字元沒有進行安全性檢測,攻擊者可利用該漏洞進行SQL注入攻擊。

  1. 上傳漏洞

上傳漏洞是指網站開發者在開發時在上傳頁面中針對檔案格式(如asp、php等)和檔案路徑過濾不嚴格,導緻攻擊者可以在網站上上傳木馬,非法擷取webshell權限。

  1. 檔案包含

目标網站允許使用者調用網站程式函數進行檔案包含,同時未對所包含檔案的類型及内容進行嚴格過濾。

  1. 已知木馬

目标網站被攻擊者植入惡意木馬,已知木馬包括攻擊者在進行網站入侵時留下的後門程式和網頁挂馬兩種:後門程式嚴重危害網站安全,攻擊者可利用該後門直接擷取整個網站的控制權限,可對網站進行任意操作,甚至以網站為跳闆,擷取整個内網伺服器的控制權限;網頁挂馬嚴重危害網站使用者安全,使用者對已被挂馬的網頁進行浏覽和通路,其PC機自動下載下傳并執行木馬程式,導緻使用者PC機被攻擊,同時嚴重危害網站的信譽和形象。

  1. 敏感資訊洩露

敏感資訊洩漏漏洞指洩漏有關WEB應用系統的資訊,例如,使用者名、實體路徑、目錄清單和軟體版本。盡管洩漏的這些資訊可能不重要,然而當這些資訊聯系到其他漏洞或錯誤設定時,可能産生嚴重的後果。例如:某源代碼洩漏了SQL伺服器系統管理者賬号和密碼,且SQL伺服器端口能被攻擊者通路,則密碼可被攻擊者用來登入SQL伺服器,進而通路資料或運作系統指令。

以下幾個是比較典型的敏感資訊洩露漏洞:

  • 源碼資訊洩露;
  • 備份資訊洩露;
  • 錯誤資訊洩露;
  • 測試賬戶洩露;
  • 測試檔案洩露;
  • 絕對路徑洩露;
  • ……
  1. 惡意代碼

惡意代碼泛指沒有作用卻帶來危險的代碼,其普遍的特征是具有惡意的目的;本身是一個獨立的程式,通過執行發生作用。由于應用系統存在可被利用的安全漏洞,可能已被惡意人員植入惡意代碼以擷取相應權限或用以傳播病毒。

  1. 解析漏洞

解析漏洞是指沒有對解析的内容進行嚴格的定義,被攻擊者利用,可能會使系統對帶有木馬的檔案進行了解析并執行,導緻敏感資訊被竊取、篡改,甚至是系統奔潰。

  1. 遠端代碼執行漏洞

遠端執行任意代碼漏洞是指由于配置失誤(有時我們在使用者認證隻顯示給使用者認證過的頁面和菜單選項,而實際上這些僅僅是表示層的通路控制而不能真正生效),攻擊者能夠很容易的就僞造請求直接通路未被授權的頁面。

  1. 任意檔案讀取

系統開發過程中沒有重視安全問題或使用不安全的第三方元件等,導緻任意檔案可讀取,可導緻入侵者獲得資料庫權限,并利用資料庫提權進一步獲得系統權限。

  1. 目錄周遊

目錄周遊是指由于程式中沒有過濾使用者輸入的../和./之類的目錄跳轉符,導緻攻擊者通過送出目錄跳轉來周遊伺服器上的任意檔案。

  1. 目錄列出

目錄列出是指攻擊者通過對通路的URL分析,得到一個敏感的一級或二級目錄名稱,然後通路該目錄,傳回結果會将會顯示指定目錄及其子目錄下的所有檔案,進而可以尋找并擷取敏感資訊(如備份檔案存放位址、資料庫連接配接檔案源碼、系統敏感檔案内容等),甚至可以通過在位址欄中修改URL來挖掘這個目錄結構。

  1. 跨站請求僞造

跨站請求僞造(Cross-site request forgery,縮寫為CSRF),也被稱成為“one click attack”或者session riding,通常縮寫為CSRF或者XSRF,是一種對網站的惡意利用。盡管聽起來像跨站腳本(XSS),但它與XSS非常不同,并且攻擊方式幾乎相左。XSS利用站點内的信任使用者,而CSRF則通過僞裝來自受信任使用者的請求來利用受信任的網站。與XSS攻擊相比,CSRF攻擊往往不大流行(是以對其進行防範的資源也相當稀少)和難以防範,是以被認為比XSS更具危險性。

  1. 弱密碼

弱密碼通常有以下幾種情況:使用者名和密碼是系統預設、空密碼、密碼長度過短、密碼選擇與本身特征相關等。系統、應用程式、資料庫存在弱密碼可以導緻入侵者直接得到系統權限、修改盜取資料庫中敏感資料、任意篡改頁面等。

  1. 不安全對象引用

不安全的對象引用是指程式在調用對象的時候未對該對象的有效性、安全性進行必要的校驗,如:某些下載下傳程式會以檔案名作為下載下傳程式的參數傳遞,而在傳遞後程式未對該參數的有效性和安全性進行檢驗,而直接按傳遞的檔案名來下載下傳檔案,這就可能造成惡意使用者通過構造敏感檔案名而達成下載下傳服務端敏感檔案的目的。

  1. 安全配置錯誤

某些HTTP應用程式,或第三方插件,在使用過程中由于管理人員或開發人員的疏忽,可能未對這些程式或插件進行必要的安全配置和修改,這就很容易導緻敏感資訊的洩露。而對于某些第三方插件來說,如果存在安全隐患,更有可能對伺服器獲得部分控制權限。

  1. 連結位址重定向

重定向就是通過各種的方法将各種網絡請求重新定個方向轉到其它位置(如:網頁重定向、域名的重定向、路由選擇的變化也是對資料封包經由路徑的一種重定向)。

而某些程式在重定向的跳轉過程中,對重定向的位址未進行必要的有效性和安全性檢查,且該重定向位址又很容易被惡意使用者控制和修改,這就可能導緻在重定向發生時,使用者會被定向至惡意使用者事先構造好的頁面或其他URL,而導緻使用者資訊受損。

  1. 跳轉漏洞

跳轉漏洞是指網站使用者通路時對其輸入的參數沒有進行驗證,浏覽器直接傳回跳轉到指定的URL,跳轉漏洞可引發XSS漏洞,攻擊者可利用這個漏洞進行惡意欺騙。

  1. 背景管理

背景管理是指由于網站設計者的疏忽、背景管理者的配置不當或失誤,導緻攻擊者可通過某些非法手段直接通路背景資料庫頁面,進而擷取重要敏感資訊,上傳木馬,甚至可擷取背景管理者的權限,可進行删除、添加等非法操作,篡改背景資料庫資料。

  1. 會話管理

會話管理主要是針對需授權的登入過程的一種管理方式,以使用者密碼驗證為常見方式,通過對敏感使用者登入區域的驗證,可有效校驗系統授權的安全性,測試包含以下部分:

  • 使用者密碼易猜解

通過對表單認證、HTTP認證等方式的簡單密碼嘗試,以驗證存在使用者身份校驗的登入入口是否存在易猜解的使用者名和密碼。

  • 是否存在驗證碼防護

驗證碼是有效防止暴力破解的一種安全機制,通過對各登入入口的檢查,以确認是否存在該保護機制。

  • 是否存在易暴露的管理登入位址

某些管理位址雖無外部連結可介入,但由于采用了容易猜解的位址(如:admin)而導緻登入入口暴露,進而給外部惡意使用者提供了可乘之機。

  • 是否提供了不恰當的驗證錯誤資訊

某些驗證程式傳回錯誤資訊過于友好,如:當使用者名與密碼均錯誤的時候,驗證程式傳回“使用者名不存在”等類似的資訊,通過對這一資訊的判斷,并結合HTTP Fuzzing工具便可輕易枚舉系統中存在的使用者名,進而為破解提供了機會。

會話管理主要是針對驗證通過之後,服務端程式對已建立的、且經過驗證的會話的處理方式是否安全,一般會從以下幾個角度檢測會話管理的安全性:

  • Session是否随機

Session作為驗證使用者身份資訊的一個重要字元串,其随機性是避免外部惡意使用者構造Session的一個重要安全保護機制,通過抓包分析Session中随機字元串的長度及其形成規律,可對Session随機性進行驗證,以此來确認其安全性。

  • 校驗前後Session是否變更

通過身份校驗的使用者所持有的Session應與其在經過身份驗證之前所持有的Session不同。

  • 會話儲存是否安全

會話存儲是存儲于用戶端本地(以cookie的形式存儲)還是存儲于服務端(以Session的形式存儲),同時檢測其存儲内容是否經過必要的加密,以防止敏感資訊洩露。

  1. 無效驗證碼

目标系統管理入口(或資料庫外部連接配接)存在缺少驗證碼,攻擊者可利用弱密碼漏洞,通過進行暴力猜解,擷取網站管理權限,包括修改删除網站頁面、竊取資料庫敏感資訊、植入惡意木馬;甚至以網站為跳闆,擷取整個内網伺服器控制權限。

漏洞分級

根據漏洞危害程度将漏洞等級分為高危、中危、低危三個級别:

  • 高危:漏洞很明顯,容易被利用,黑客通過該漏洞可擷取完全驗證權限,執行管理者操作,非法上傳檔案等嚴重惡意行為,影響到所有使用者或關鍵使用者,同時攻擊者通過該漏洞可随意再次攻擊,初學者也能在短期内可以掌握攻擊方法;
  • 中危:該漏洞需通過深入挖掘發現,攻擊者利用該漏洞可獲得敏感資訊,影響到部分使用者,同時攻擊者在一定時間内可重複攻擊。
  • 低危:該漏洞發現困難,利用難度大,重複攻擊難,危害影響小。

滲透用例

以下列舉小部分測試用例,由于滲透測試存在大量不确定因數,是以具體測試使用者會根據實際測試情況确定。

  1. 遠端溢出漏洞測試
序号 項目 内容
1 測試對象 網絡裝置、作業系統或第三方軟體
2 測試成功标準 擷取遠端shell或增加系統帳号
3 測試内容 MS05039 MS05051 MS06040等可遠端利用漏洞、ServerProtect Agent遠端溢出漏洞
4 測試影響

可能會造成以下服務停止:

Plug and Play(提供即插即用硬體的支援)

Msdtc(提供分布式資料庫事務支援)

Server(提供網絡列印、共享以及管道支援)

溢出測試存在較大風險,如果存在溢出漏洞需要進一步測試建議在測試環境中進行
  1. 遠端密碼破解測試
序号 項目 内容
1 測試對象 各種網絡裝置、作業系統、資料庫、各種伺服器軟體
2 測試成功标準 得到密碼
3 測試内容 密碼強度
4 測試影響 如果設定帳戶鎖定政策,會造成某些帳号不可用
  1. finger資訊擷取測試
序号 項目 内容
1 測試對象 網絡裝置、作業系統
2 測試成功标準 能夠利用該資訊為後續滲透提供幫助
3 測試内容 擷取finger有用資訊
4 測試影響
  1. snmp存在public與private字元串測試
序号 項目 内容
1 測試對象 作業系統、網絡裝置
2 測試成功标準 能夠利用該資訊為後續滲透提供幫助;修改系統配置
3 測試内容 擷取或設定系統配置資訊
4 測試影響
  1. ARP欺騙測試
序号 項目 内容
1 測試對象 網絡裝置、作業系統
2 測試成功标準 成功進行ARP欺騙,擷取敏感資料(如密碼)
3 測試内容 捕獲敏感資訊
4 測試影響 可能導緻網絡問題
  1. SQL 注入測試
序号 項目 内容
1 測試對象 WEB應用系統
2 測試成功标準 能夠發現注入點,擷取敏感資料(如密碼)、webshell、修改網頁或系統權限
3 測試内容 測試内部通路的web程式是否存在SQL Injection漏洞
4 測試影響
  1. 上傳檔案測試
序号 項目 内容
1 測試對象 WEB應用系統
2 測試成功标準 能夠成功繞過上傳檔案限制,上傳asp或其他IIS可以解析檔案;能夠執行上傳後的asp或其他IIS可以解析的檔案
3 測試内容 測試内部通路的WEB程式的檔案上傳是否可以被繞過,上傳asp檔案
4 測試影響
  1. XSS測試
序号 項目 内容
1 測試對象 WEB應用系統
2 測試成功标準 利用XSS,為後續滲透測試提供幫助
3 測試内容 測試WEB應用程式是否存在XSS漏洞
4 測試影響
  1. 深入滲透階段

這一階段主要是擴大“滲透測試階段”取得的成果,進一步模拟滲透者在擷取目标系統低權限操作時進行權限的提升以及進一步滲透其他系統。

該階段的測試方法包括:

  1. 利用作業系統漏洞提升權限
  2. 利用其他軟體漏洞進行權限提升
  3. 尋找其他方面的漏洞

測試影響

黑客的攻擊入侵需要利用目标網絡的安全弱點,滲透測試也是同樣的道理。它模拟真正的黑客入侵攻擊方法,以人工滲透為主,輔助以攻擊工具的使用,這樣保證了整個滲透測試過程都在可以控制和調整的範圍之内。

由于采用可控制的、非破壞性質的滲透測試,是以不會對被滲透的系統造成嚴重的影響。在滲透測試結束後,系統将保持一緻。

風險規避

滲透測試過程的最大的風險在于測試過程中對業務産生影響,為此我們在本項目采取以下措施來減小風險:

在滲透測試中不使用含有拒絕服務的測試政策;

滲透測試時間盡量安排在業務量不大的時段或者晚上;

在滲透測試過程中如果出現被滲透系統沒有響應的情況,應當立即停止滲透工作,與從業人員一起分析情況,在确定原因後,并待正确恢複系統,采取必要的預防措施(比如調整測試政策等)之後,才可以繼續進行。

“資訊”應用安全研究工程師與資訊系統的管理者保持良好溝通,随時協商解決出現的各種難題。

系統備份與恢複措施

為防止在滲透性測試過程中出現的異常的情況,所有被滲透系統均應在被滲透之前作一次完整的系統備份或者關閉正在進行的操作,以便在系統發生災難後及時恢複。

作業系統類:制作系統應急盤,對系統資訊,系統資料庫,sam檔案,/etc中的配置檔案以及其他含有重要系統配置資訊和使用者資訊的目錄和檔案進行備份,并應該確定備份的自身安全。

資料庫系統類:對資料庫系統進行資料轉儲,并妥善保護好備份資料。同時對資料庫系統的配置資訊和使用者資訊進行備份。

網絡應用系統類:對網絡應用服務系統及其配置、使用者資訊、資料庫等進行備份。

網絡裝置類:對網絡裝置的配置檔案進行備份。

桌面系統類:備份使用者資訊,使用者文檔,電子郵件等資訊資料。

協助安全加強

服務概述

“資訊”安全專家的資訊安全加強工作是指:在安全掃描及滲透測試之後,根據評估的結果強化資訊系統安全防範能力的重要過程。資訊安全加強優化服務是基礎架構安全服務的實質階段,參考目前網絡和系統現狀,為客戶資訊安全架構的改進或更新提出切實可行的解決方案,在幫助客戶實施的同時,提高網絡的安全性;提高每一個資訊主體的抵抗安全風險的能力。資訊系統的加強主要包括三個方面:系統加強、網絡裝置加強和應用系統加強。

主要包括以下内容:

  1. 網絡裝置安全加強

包括:禁用不必要的網絡服務、修改不安全的配置、利用最小特權原則嚴格對裝置的通路控制、及時對系統進行軟體更新、提供符合IPP要求的實體保護環境等。對網絡裝置進行檢測評估,提出可行性的加強方案。

  1. 作業系統安全加強

包括:檢查系統更新檔、停止不必要的服務、修改不合适的權限、修改安全政策、檢查賬戶與密碼安全、開啟稽核政策、關閉不必要的端口等。

  1. 應用系統(WEB系統、資料庫)安全加強

包括:對要使用的操作資料庫軟體(程式)進行必要的安全稽核,比如對ASP、PHP等腳本,這是很多基于資料庫的WEB應用常出現的安全隐患,對于腳本主要是一個過濾問題,需要過濾一些類似 , ‘ ; @ / 等字元,防止破壞者構造惡意的SQL語句。安裝最新的更新檔,使用安全的密碼、賬号政策,加強日志的記錄稽核,修改預設端口,使用加密協定,加強TCP/IP端口,對網絡連接配接進行IP限制等。

加強内容

服務流程

網絡安全服務解決方案參考模闆

裝置層面

更新最新系統路由器類網絡裝置一般都提供給使用者更新其作業系統的接口。舊的作業系統可能存在一些安全漏洞和應用BUG,如果不更新将可能導緻性能低下,或者因為遭受攻擊而拒絕服務,甚至被攻擊者獲得其配置檔案、獲得其管理權限,進而進一步威脅到網絡内部的安全。

  • 設定普通密碼

通常路由器類裝置都提供一個普通遠端登入或從CONSOLE 上登入,對其進行配置管理的接口。設定一個普通登入密碼,是保護路由器本身安全的最基本的配置。

  • 設定超級密碼

為了安全,一般路由器都提供了一個超級使用者。普通使用者一般隻對某些資源有讀的權限,而超級使用者能對所有資源有讀和寫的權限。是以超級使用者的密碼必須設定複雜,并定期更換。超級密碼必須加密碼存儲在配置中。路由器裝置必須選用支援配置檔案密碼加密存儲的裝置。

  • 設定通路控制清單

當該裝置CPU、記憶體占用很小,網絡流量也不大時,可以設定10 條以内的通路控制清單,一般路由器都能支援設定通路控制清單。

  • 使用安全登入

如果裝置支援,使用加密的遠端登入方式或其它的安全登入方式。可以使用集中的認證,可以使用一次性密碼(One Time Password)認證,也可以使用SSH 等方式。

  • 其它通路控制配置

通常需要對邊界路由器設定通路控制清單,防止一些僞造的IP 攻擊包在網絡中流入或流出此路由器,當所有邊界路由器做了此設定,能很快定位一個網絡中受到D.o.S.攻擊的包來源。

  • 關閉不必要的服務

一般網絡裝置還提供了一些其它的服務,友善使用者進行管理或調試,例如HTTP、TFTP、FINGER 等等。可以關閉這些不必要的服務,在需要使用時再打開這些服務。

  • 設定snmp

snmp 是簡單網絡管理協定,使網管系統能遠端管理此裝置。因為snmp協定本身的缺陷,一般來說如果此網絡裝置需要很強的安全性,最好關閉snmp的管理,如果一定要使用snmp 進行管理時,一定得修改預設的snmp 的community string,不能使用public、private、以及公司名稱或部門名稱等相關的字元串。

  • 配置日志

如果對網絡流量影響無特别要求,而對安全需求更強,可以考慮設定對網絡裝置的特殊事件記錄日志,日志可以通過syslog 記錄到其它的日志伺服器。

系統層面

系統加強主要考慮如下方面:

  • 更新檔

從廠家網站或者可信任站點下載下傳作業系統的更新檔包,不同的作業系統版本以及運作不同的服務,都可能造成需要安裝的更新檔包不同,是以必須選擇适合本機的更新檔包安裝。一般必需安裝的是安全更新檔和緊急更新檔,應用程式的更新檔為可選安裝。

  • 檔案系統

系統的權限配置項目繁多,要求也很嚴格,不适當的配置可能造成使用者非法取得作業系統超級使用者的控制權,進而完全控制作業系統。對檔案系統進行修補加強包括選用檔案系統類型,設定對檔案系統中檔案的通路權限,對檔案系統資源的使用量的限制,根據使用者定制不同政策等多個方面。

  • 賬号管理

賬号密碼是從網絡通路UNIX系統的基本認證方式,很多系統被入侵都是因為賬号管理不善,設定超級使用者密碼強度,密碼的預設配置政策問題(例如:密碼長度,密碼更換時間,賬号所在組,賬号鎖定等多方面)。有些系統可以配置使用更強的加密算法,和密碼賬号管理方式。如果有必要,也可以使用一次性登入密碼管理等。對賬号進行最小授權,例如不允許登入、不提供登入SHELL等。對于不使用的賬号進行删除。

  • 網絡及服務

系統有很多預設打開的服務,這些服務都可能洩露本機資訊,或存在未被發現的安全漏洞,關閉不必要的服務,能盡量降低被入侵的可能性。.例如r系列服務和rpc的rstatd都出過不止一次遠端安全漏洞。UNIX預設的網絡配置參數也不盡合理,例如TCP序列号随機強度,對D.o.S攻擊的抵抗能力等,合理配置網絡參數,能優化作業系統性能,提高安全性。

  • 應用軟體

建議作業系統安裝最小軟體包,例如不安裝開發包,不安裝不必要的庫,不安裝編繹器等,但很多情況下必須安裝一些軟體包。 APACHE或NETSCAPEENTERPRISE SERVER是一般UNIX首選的WEB伺服器,其配置本身就是一項獨立的服務,郵件和域名服務等都需要進行合理的配置。

  • 審計,日志

做好系統的審計和日志工作,對于事後驗證追查,幫助發現問題,都能提供很多必要資訊。例如:打開賬号審計功能,記錄所有使用者執行過的指令;實作日志集中管理,避免被入侵主機日志被删除等。

應用層面

資料庫系統的加強與實際應用聯系相當緊密,這裡列舉出安全加強的通用原則。通常資料庫系統包括ORACLE、SYBASE、SQLSERVER、MYSQL 等。

  • 隻安裝必要的軟體包
  • 對某些預設的使用者賬号設定為鎖定和過期
  • 改變預設的使用者密碼
  • 啟用資料字典保護
  • 安全最小權限原則
  • 有效地設定強制性通路控制
  • 限制網絡通路
  • 應用所有的安全更新檔和工作環境

WEB 系統加強主要針對以下威脅:

  • 腳本漏洞
  • 惡意代碼
  • 網絡病毒
  • 資料源非法入侵
  • 非法程式上傳
  • ……

項目風險規避措施

加強實施政策

時間:為了避免加強過程影響系統業務運作,加強時間應該選擇在系統業務量最小,業務臨時中斷對外影響最小的時候。

操作:加強操作需要按照系統加強核對表,逐項按順序執行操作。

記錄:對加強後的系統,全部複查一次所作加強内容,確定正确無誤。

系統備份和恢複

系統加強之前,先對系統做完全備份。加強過程可能存在任何不可預見的風險,當加強失敗時,立即啟動應急預案中的回退方案恢複到加強前狀态。當出現不可預料的後果時,加強實施工程師首先使用備份恢複系統提供服務,同時與總部安全專家小組取得聯系,尋求幫助并解決問題。

工程中合理溝通的保證

在工程實施過程中,确定不同階段的測試人員以及客戶方的配合人員,建立直接溝通的管道,并在工程出現難題的過程中保持合理溝通。

應急響應服務

服務概述

安全服務客戶服務中心提供7*24小時的電話支援安全服務,客戶可以根據網絡管理者或系統管理者的初步判斷認為和安全事件相關,通過電話咨詢資訊安全客戶服務人員,服務人員會根據客戶資訊提供電話支援服務,在客戶和資訊安全服務人員同時确認需要資訊安全專家或安全服務隊伍現場支援後,根據客戶安全事件級别進行應急響應。

應急内容

緊急事件響應,是當安全威脅事件發生後迅速采取的措施和行動,其目的是最快速恢複系統的保密性、完整性和可用性,阻止和降低安全威脅事件帶來的嚴重性影響。

緊急事件主要包括:

  1. 病毒和蠕蟲事件
  2. 黑客入侵事件
  3. 誤操作或裝置故障事件

但通常在事件爆發的初始很難界定具體是什麼事件。通常根據安全威脅事件的影響程度來分類:

  1. 單點損害:隻造成獨立個體的不可用,安全威脅事件影響弱。
  2. 局部損害:造成某一系統或一個局部網絡不可使用,安全威脅事件影響較高。
  3. 整體損害:造成整個網絡系統的不可使用,安全威脅事件影響高。

當入侵或者破壞發生時,對應的處理方法主要的原則是首先保護或恢複計算機、網絡服務的正常工作;然後再對入侵者進行追查。是以對于客戶緊急事件響應服務主要包括準備、識别事件(判定安全事件類型)、抑制(縮小事件的影響範圍)、解決問題、恢複以及後續跟蹤。

服務方式

資訊安全緊急響應服務方式分為遠端支援或現場支援。

遠端支援安全服務方式可以分為以下幾種:

  1. 電話線上支援服務
  2. 7*24小時電話支援服務;
  3. 傳真支援服務
  4. E-MAIL支援服務

當遠端支援無法解決問題時,将派遣專業的緊急響應服務人員在第一時間到達客戶所在地提供現場支援服務,保證在任何時候客戶都能及時找到我方的相關專業技術人員。當發生緊急安全事件,在征得客戶許可的前提下,我方立即啟動應急預案進行遠端修複,必要時通過強制措施保護客戶資料、資料安全。采取遠端與現場支撐相結合的方式,第一時間處理顯現威脅。

等級分類

事件分類 事件描述 威脅級别 支援方式
緊急事件 客戶業務系統由于安全問題崩潰、系統性能嚴重下降,已無法提供正常服務。客戶出口路由由于網絡安全原因非正常中斷,嚴重影響使用者使用。公衆服務由于安全原因停止服務或者造成惡劣影響的。 高危險 現場支援
嚴重事件 使用者内部的業務支援系統由于安全事件出現問題,導緻不能運轉正常不穩定。部分服務由于安全原因中斷,影響使用者正常使用。 中危險 遠端支援或現場支援
一般事件 由于安全原因導緻系統出現故障,但不影響使用者正常使用。客戶提出安全技術咨詢、索取安全技術資料、技術支援等。 低危險 遠端支援

準備階段(Preparation)

  • 目标:在事件真正發生前為應急響應做好預備性的工作。
  • 角色:技術人員、市場人員。
  • 内容:根據不同角色準備不同的内容。
  • 負責人準備内容
  • 技術人員準備内容
  • 市場人員準備内容
  • 輸出:《準備工具清單》、《事件初步報告表》、《實施人員工作清單》

檢測階段(Examination)

  • 目标:接到事故報警後在服務對象的配合下對異常的系統進行初步分析,确認其是否真正發生了資訊安全事件,制定進一步的響應政策,并保留證據。
  • 角色:應急服務實施小組成員、應急響應日常運作小組;
  • 内容:
  • 檢測範圍及對象的确定;
  • 檢測方案的确定;
  • 檢測方案的實施;
  • 檢測結果的處理。
  • 輸出:《檢測結果記錄》、《…》

抑制階段(Suppresses)

  • 目标:及時采取行動限制事件擴散和影響的範圍,限制潛在的損失與破壞,同時要確定封鎖方法對涉及相關業務影響最小。
  • 角色:應急服務實施小組、應急響應日常運作小組。
  • 内容:
  • 抑制方案的确定;
  • 抑制方案的認可;
  • 抑制方案的實施;
  • 抑制效果的判定;
  • 輸出:《抑制處理記錄表》、《…》

根除階段(Eradicates)

  • 目标:對事件進行抑制之後,通過對有關事件或行為的分析結果,找出事件根源,明确相應的補救措施并徹底清除。
  • 角色:應急服務實施小組、應急響應日常運作小組。
  • 内容:
  • 根除方案的确定;
  • 根除方案的認可;
  • 根除方案的實施;
  • 根除效果的判定;
  • 輸出:《根除處理記錄表》、《…》

恢複階段(Restoration)

  • 目标:恢複安全事件所涉及到得系統,并還原到正常狀态,使業務能夠正常進行,恢複工作應避免出現誤操作導緻資料的丢失。
  • 角色:應急服務實施小組、應急響應日常運作小組。
  • 内容:
  • 恢複方案的确定;
  • 應急服務提供者應告知服務對象一個或多個能從安全事件中恢複系統的方法,及他們可能存在的風險;
  • 應急服務提供者應和服務對象共同确定系統恢複方案,根據抑制和根除的情況,協助服務對象選擇合适的系統恢複的方案;
  • 如果涉及到涉密資料,确定恢複方法時應遵循相應的保密要求。
  • 恢複資訊系統;
  • 應急響應實施小組應按照系統的初始化安全政策恢複系統;
  • 恢複系統時,應根據系統中個子系統的重要性,确定系統恢複的順序;
  • 恢複系統過程宜包各方面的确定:
  • 對于不能徹底恢複配置和清除系統上的惡意檔案,或不能肯定系統在根除處理後是否已恢複正常時,應選擇徹底重建系統;
  • 應急服務實施小組應協助服務對象驗證恢複後的系統是否正常運作;
  • 應急服務實施小組宜幫助服務對象對重建後的系統進行安全加強;
  • 應急服務實施小組宜幫助服務對象為重建後的系統建立系統快照和備份;
  • 輸出:《恢複處理記錄表》、《..》

總結階段(Summary)

  • 目标:通過以上各個階段的記錄表格,回顧安全事件處理的全過程,整理與事件相關的各種資訊,進行總結,并盡可能的把所有資訊記錄到文檔中。
  • 角色:應急服務實施小組、應急響應日常運作小組。
  • 内容:
  • 事故總結;
  • 應急服務提供者應及時檢查安全事件處理記錄是否齊全,是否具備可塑性,并對事件處理過程進行總結和分析;
  • 應急處理總結的具體工作及分析:
  • 事故報告;
  • 應急服務提供者應向服務對象提供完備的網絡安全事件處理報告;
  • 應急服務提供者應向服務對象提供網絡安全方面的措施和建議;
  • 上述總結報告的具體資訊參考Excel表《應急響應報告表》。
  • 輸出:《應急響應報告表》
網絡安全服務 網絡安全 服務解決 安全服務 解決方案
上一篇: Java String Format 使用執行個體
下一篇: 科普:訂票短信通知都是如何實作發送的?

繼續閱讀