产品安全服务介绍.docxVIP

XX 安全服务介绍 目 录 — 渗透测试 3 服务概述 3 测试内容 5 1.2.1 网络层安全 .........................................................5.. 1.2.2 系统层安全 .........................................................6.. 1.2.3 应用层安全 .........................................................7.. 漏洞分级 12 测试影响 12 风险规避 12 系统备份与恢复措施 12 次月复核 13 二 安全培训服务 13 培训对象 13 培训目标 13 培训形式 14 培训资料 14 培训内容（举例客户类型：金融） 14 安全威胁分析 1.4. 安全防护措施 1.5. 三 应急响应服务 16 服务概述 16 应急内容 16 应急流程 17 服务方式 18 等级分类 19 — 渗透测试 服务概述 渗透性测试是对安全情况最客观、最直接的评估方式，主要是模拟黑客的攻击方法对系统和网络进行非破坏性质的攻击性测试，目的是侵入系统，获取系统控制权并将入侵的过程和细节产生报告给用户，由此证实用户系统所存在的安全威胁和风险，并能及时提醒安全管理员完善安全策略。 渗透性测试是工具扫描和人工评估的重要补充。工具扫描具有很好的效率和速度，但是存在一定的误报率，不能发现高层次、复杂的安全问题；渗透测试需要投入的人力资源较大、对测试者的专业技能要求很高（渗透测试报告的价值直接依赖于测试者的专业技能），但是非常准确， 可以发现逻辑性更强、更深层次的弱点。渗透测试服务通过利用目标应用系统的安全弱点模拟真正的黑客入侵攻击方法，以人工渗透为主，以漏洞扫描工具为辅，在保证整个渗透测试过程都在可以控制和调整的范围之内尽可能的获取目标信息系统的管理权限以及敏感信息。 XX 渗透测试服务流程如下： 一、 信息收集 信息收集是指渗透实施前尽可能多地获取目标信息系统相关信息，例如网站注册息、共享资源、系统版本信息、已知漏洞及弱口令等等。通过对以上信息的收集，发现可利用的安全漏洞， 为进一步对目标信息系统进行渗透入侵提供基础。 二、 弱点分析 对收集到的目标信息系统可能存在的可利用安全漏洞或弱点进行分析，并确定渗透方式和步骤实施渗透测试。 三、 获取权限 对目标信息系统渗透成功，获取目标信息系统普通权限。四、 权限提升 当获取目标信息系统普通管理权限后，利用已知提权类漏洞或特殊渗透方式进行本地提权，获取目标系统远程控制权限。 当获取目标信息系统普通管理权限后，利用已知提权类漏洞或特殊渗透方式进行本地提权， 获取目标系统远程控制权限。 测试内容 根据 XXXX 网站评估和渗透测试服务项目需求，每月针对 XXXX 的 1-2 个重点网站或者系统进行渗透测试，重点发现网站应用层业务流程和逻辑上的安全漏洞和敏感信息泄露的风险，输出渗透测试报告。XX 主要是通过网络层、系统层、应用层三个方面进行渗透测试。 网络层安全 针对该系统所在网络层进行网络拓扑的探测、路由测试、防火墙规则试探、规避测试、入侵检测规则试探、规避测试、无线网安全、不同网段 Vlan 之间的渗透、端口扫描等存在漏洞的发现和通过漏洞利用来验证此种威胁可能带来的损失或后果，并提供避免或防范此类威胁、风险或漏洞的具体改进或加固措施。由于服务器系统和网络设备研发生产过程中所固有的安全隐患及系统管理员或网络管理员的疏忽，一般网络层安全漏洞包括以下安全威胁： 1)明文保存密码 由于管理员的疏忽，设备配置密码以明文的方式保存，这带来了一定的安全威胁。2)未配置登录超时 对系统没有甚至登录超时的时间，这当登录系统没有及时退出的时候，可能导致被其他人利用。 3)未配置 AAA 认证 系统没有配置统一的 AAA 认证，这不便于权限的管理。4)未配置管理 ACL 交换机没有配置管理 IP 的 ACL，可导致任意地址访问设备，应该增加 ACL 进行限制。5)其他配置问题 服务器系统、数据库系统及网络设备在使用过程中由于管理人员或开发人员的疏忽，可能未对这些默认配置进行必要的安全配置和修改，这就很容易引起越权操作，从而导致信息泄漏或篡改。 系统层安全 通过采用适当的测试手段，发现测试目标在系统识别、服务识别、身份认证、数据库接口模块、系统漏洞检测以及验证等方面存在的安全隐患，并给出该种隐患可能带来的损失或后果，并提供避免或防范此类威胁、风险或漏洞的具体改进或加固措施。 版本过低 系统版本过低，没有及时更新或升级，导致系统存在众多未修复的安全漏洞（如Apache 版本过底，可能存