网络与信息安全管理中心安全值守技术方案.docVIP

1技术建议书

1.1服务方案

1.1.1项目概况

近几年来，信息安全的重要性逐步得到了各行业的广泛关注，国家相关部门也出台了多项政策、法规和标准，用以指导各行业的信息安全建设。由于信息安全相关的标准和法规相对抽象，加之信安中心承担了管理和生产职能，在突发事件处置等方面人员储备不足，受限于人员配置和资源问题，部分安全工作需要大量安全工具及专人参与。为保障中国公司结合自身情况制定长期、系统、有效的安全建设规划，提出驻场服务的需求。

1.1.2建设目标

1、为安全工作开展提供高质量的安全保障服务。

2、在发生网络调整，系统升级扩容，新系统上线等变更时，进行评估，给出明确的、可实施的安全建议及建设规划，配合相关安全工作开展。

3、在日常工作中，协助安全人员开展定期的自查评估工作，设备或系统上线时，实施上线前的安全评估和反馈相关的制度、规范和流程的落实情况。

4、保障日常工作中的网络安全。

5、应急响应及安全事件分析。

6、开展安全培训工作，提升相关人员的安全专业水平。

7、对重要系统(网络安全整合平台)进行协助运维和推广。

1.1.3服务方法

本次安全值守服务项目我们提供以下服务方法:

日常安全工作

常态化漏洞扫描，弱口令检查，web业务系统渗透测试及相关文档、总结撰写

定期安全检查:

,全网扫描(范围)。

,根据目标主机数量制定扫描计划，每个月能保证至少完成一次对全部维护对象

的安全扫描工作。

,出具安全扫描结果并和维护人员进行面对面沟通确认，督促维护人员进行整改

和加固，加固结束后进行再次复查并出具复查报告，对于不能加固的漏洞提供

安全解决建议。

系统上线安全检查:

对于新的业务系统上线前，值守人员配合完成上线设备的安全检查工作，安全检查包含以下几项工作:

,远程安全扫描

,通过使用现有远程安全评估系统对上线设备进行扫描，确保没有高、中等级的

安全问题，对于低等级的安全问题，应确保该问题不会泄露设备敏感信息

,本地安全检查

,配合安全加固的checklist对上线设备进行检查，以确保上线设备已进行了必要

的安全设置

,注:若已制定相关的安全准入规范，将使用提供的checklist替代的checklist

,远程渗透测试

,对复杂的应用系统，如:WEB系统，根据需求进远程渗透测试

.1渗透测试概述

渗透测试(PenetrationTest)是指是从一个攻击者的角度来检查和审核一个网络系统的安全性的过程。通常由安全工程师尽可能完整地模拟黑客使用的漏洞发现技术和攻击手段，对目标网络/系统/主机/应用的安全性作深入的探测，发现系统最脆弱的环节。渗

2/106

透测试能够直观的让管理人员知道自己网络所面临的问题。

作为一种专业的安全服务，类似于军队里的“实战演习”或者“沙盘推演”的概念，通过实战和推演，让清晰了解目前网络的脆弱性、可能造成的影响，以便采取必要的防范措施。

.2渗透测试意义

从渗透测试中，客户能够得到的收益至少有:

,协助发现组织中的安全短板

一次渗透测试过程也就是一次黑客入侵实例，其中所利用到的攻击渗透方法，也是其它具备相关技能的攻击者所最可能利用到的方法;由渗透测试结果所暴露出来的问题，往往也是一个企业或组织中的安全最短木板，结合这些暴露出来的弱点和问题，可以协助企业有效的了解目前降低风险的最迫切任务，使在信息安全方面的有限投入可以得到最大的回报。

,作为信息安全状况方面的具体证据和真实案例

渗透测试的结果可以作为向投资方或管理人员提供的信息安全状况方面的具体证据，一份文档齐全有效的渗透测试报告有助于IT组织管理者以案例的形式向相关人员直观展示目前企业或组织的安全现状，从而增强员工对信息安全的认知程度，提高相关人员的安全意识及素养，甚至提高组织在安全方面的预算。

,发现系统或组织里逻辑性更强、更深层次的弱点

渗透测试和工具扫描可以很好的互相补充。工具扫描具有很好的效率和速度，但是存在一定的误报率和漏报率，并且不能发现高层次、复杂、并且相互关联的安全问题;渗透测试的价值直接依赖于实施者的专业技能和素养但是非常准确，可以发现系统和组织里逻辑性更强、更深层次的弱点。

,从整体上把握组织或企业的信息安全现状

信息安全是一个整体工程，一个完整和成功的渗透测试案例可能会涉及系统或组织中的多个部门、人员或对象，有助于组织中的所有成员意识到自己所在岗位对系统整体安全的影响，进而采取措施降低因为自身的原因造成的风险，有助于内部安全的提升。

3/106

.3渗透测试步骤

渗透测试实际就是一个模拟黑客攻击的过程，因此其的实施过程也类似于一次完整

的黑客攻击过程，我们将其划分为如下几个阶段:

,预攻