I年安全技术服务技术建议书二○一五年十二月II目录1.项目概况简述.................................................................................................................11.1项目原则.........................................................................................................................12.项目解决方案.................................................................................................................12.1渗透测试解决方案.........................................................................................................22.2代码审计服务解决方案...............................................................................................132.3基础设备安全评估解决方案.......................................................................................202.4应急响应和演练解决方案...........................................................................................502.5APP安全评估解决方案...............................................................................................532.6安全加固整改建议解决方案.......................................................................................602.7新业务上线安全检查解决方案...................................................................................672.8安全培训解决方案.......................................................................................................673.项目实施方案...............................................................................................................703.1项目组成员...................................................................................................................703.2项目分工界面...............................................................................................................733.3工作量的计算方法及依据...........................................................................................783.4项目进度.......................................................................................................................783.5项目质量保证措施.......................................................................................................804.项目售后服务...............................................................................................................865.安全工具简述...............................................................................................................865.1渗透测试工具...............................................................................................................865.2代码审计工具...............................................................................................................941.项目概况简述1.1项目原则安全服务的方案设计与具体实施满足以下原则:(1)保密原则:对服务的过程数据和结果数据严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据进行任何侵害求方网络的行为,否则求方有权追究的责任。(2)标准性原则:服务方案的设计与实施依据国内或国际的相关标准进行;(3)规范性原则:服务提供商的工作中的过程和文档,具有严格的规范性,可以便于项目的跟踪和控制;(4)可控性原则:服务用的工具、方法和过程要在双方认可的范围之内,服务的进度要跟上进度表的安排,保证求方对于服务工作的可控性;(5)整体性原则:服务的范围和内容当整体全面,包括安全涉及的各个层面,避免由于遗漏造成未来的安全隐患;(6)最小影响原则:服务工作尽可能小的影响系统和网络的正常运行,不能对现网的运行和业务的正常提供产生显著影响(包括系统性能明显下降、网络拥塞、服务中断,如无法避免出现这些情况在答书上详细描述);针对上述各项,在技术方案中落实诸原则各方面,并予以详细解释。2.项目解决方案该部分重点针对各类系统,主动发现安全隐患及不符合相关规范的问题,及时整改,防患未然。主要包括安全管理咨询服务和安全技术评估服务。对服务系统提供周期性的安全评估服务。该服务严格参照和各类系统安全配置规范执行,防护能力测评按照工信部《网络单元安全防护检测评分方法(试行)》执行。具体服务内容详见以下正文。2.1渗透测试解决方案2.1.1渗透测试简介2.1.1.1渗透测试概念渗透测试(PenetrationTest),是完全模拟黑客可能使用的攻击技术和漏洞发现技术,对目标系统的安全做深入的探测,发现系统最脆弱的环节。渗透测试:主要通过对目标系统信息的全面收集、对系统中网路设备的探测、对服务器系统主机的漏洞扫描、对应用平台及数据库系统的安全性扫描及通过应用系统程序的安全性渗透测试等手段来完成对整个系统的安全性渗透检测。该渗透测试是一个完整、系统的测试过程,涵盖了网络层面、主机层面、数据层面以及安全服务层面的安全性测试。2.1.1.2渗透测试原理渗透测试主要依据CVE(CommonVulnerabilities&Exposures公共漏洞和暴露)已经发现的安全漏洞,以及隐患漏洞。模拟入侵者的攻击方法对应用系统、服务器系统和网络设备进行非破坏性质的攻击性测试。2.1.1.3渗透测试目标渗透测试利用各种安全扫描器对网站及相关服务器等设备进行非破坏性质的模拟入侵者攻击,目的是侵入系统并获取系统信息并将入侵的过程和细节总结编写成测试报告,由此确定存在的安全威胁,并能及时提醒安全管理员完善安全策略,降低安全风险。人工渗透测试和工具扫描可以很好的互相补充。工具扫描具有很好的效率和速度,但是存在一定的误报率,不能发现高层次、复杂的安全问题;渗透测试对测试者的专业技能很高(渗透测试报告的价值直接依赖于测试者的专业技能),但是非常准确,可以发现逻辑性更强、更深层次的弱点。2.1.1.4渗透测试特点入侵者的攻击入侵要利用目标网络的安全弱点,渗透测试也是同样的道理。测试人员模拟真正的入侵者入侵攻击方法,以人工渗透为主,辅助以攻击工具的使用,以保证整个渗透测试过程都在可以控制和调整的范围之内,同时确保对网络没有造成破坏性的损害。由于采用可控制的、非破坏性质的渗透测试,因此不会对被评估的客户信息系统造成严重的影响。在渗透测试结束后,客户信息系统将基本保持一致。2.1.2渗透测试的安全意义从渗透测试中,客户能够得到的收益有:(1)协助用户发现组织中的安全最短木板一次渗透测试过程也就是一次黑客入侵实例,其中所利用到的攻击渗透方法,也是其它具备相关技能的攻击者所最可能利用到的方法;由渗透测试结果所暴露出来的问题,往往也是一个企业或组织中的安全最短木板,结合这些暴露出来的弱点和问题,可以协助企业有效的了解目前降低风险的最迫切任务,使在网络安全方面的有限投入可以得到最大的回报。(2)作为网络安全状况方面的具体证据和真实案例渗透测试的结果可以作为向投资方或管理人员提供的网络安全状况方面的具体证据,一份文档齐全有效的渗透测试报告有助于IT组织管理者以案例的形式向相关人员直观展示目前企业或组织的安全现状,从而增强员工对信息安全的认知程度,提高相关人员的安全意识及素养,甚至提高组织在安全方面的预算。(3)发现系统或组织里逻辑性更强、更深层次的弱点渗透测试和工具扫描可以很好的互相补充。工具扫描具有很好的效率和速度,但是存在一定的误报率和漏报率,并且不能发现高层次、复杂、并且相互关联的安全问题;渗透测试的价值直接依赖于实施者的专业技能和素养但是非常准确,可以发现系统和组织里逻辑性更强、更深层次的弱点。(4)发现渗透测试和信息安全风险评估未暴露的其它安全问题目前的渗透测试,更多的仍然是从一个外部人员的角度,模拟黑客攻击的一个过程。往往来说,渗透测试的实施人员并不能完全掌握组织或企业的全部安全现状及信息,的渗透测试行为及方法都是局限于自己所掌握的已有信息,因此暴露出来的问题也是有限的(比如说,有些问题单纯从技术上来说利用价值不大,但若是结合一些管理上的缺陷或者是本身具有的某些其它便利,往往可以导致严重风险)。正因为如此,如果换作是一个对企业组织的相关情况更为了解的内部人员来说,结合渗透测试中所暴露出来的某些问题,他能更有效和更全面的发现组织和企业中一些安全风险及问题。(5)从整体上把握组织或企业的信息安全现状信息安全是一个整体项目,一个完整和成功的渗透测试案例可能会涉及系统或组织中的多个部门、人员或对象,有助于组织中的所有成员意识到自己所在岗位对系统整体安全的影响,进而采取措施降低因为自身的原因造成的风险,有助于内部安全的提升。2.1.3渗透测试流程和授权2.1.3.1渗透测试流程2.1.3.2渗透测试授权测试授权是进行渗透测试的必要条件。用户应对渗透测试所有细节和风险的知晓、所有过程都在用户的控制下进行。2.1.4渗透测试方法及步骤凭借着在众多项目中的实施经验,形成了一套具有自身特色且行之有效的渗透测试方法。渗透测试实际就是一个模拟黑客攻击的过程,因此其