一、需求分析
2.1XX高级人民法院网络安全现状分析
XXX高级人民法院的基础网络设施、服务器及安全防护设施均部署在三楼机房内,内、外网系统通过网闸实现逻辑隔离。内网系统主要由2台核心路由器、1台核心交换机及若干服务器组成;外网系统主要由1台核心交换机、1台防火墙、1台入侵检测、1台网页防篡改、1台上网行为网关及若干服务器等组成,目前内、外网系统无恶意代码防范措施,存在单点故障隐患,尤其内网系统无任何安全防护措施。
2.1网络安全服务需求分析
为了有效保障XXX高级法院业务系统正常运行,保证网络信息安全,XXXX公司依据《中华人民共和国网络安全法》、信息安全等级保护要求等法律法规及标准要求,建立符合PDCA全生命周期的网络安全服务体系,通过开展事前测评规划、事中监测预警与评估检查、事后整改处置,为客户提供全面完整的信息安全解决方案,保障业务系统网络与信息安全,有效降低安全风险。
省高法网络安全服务实施采用“平台+专家”的服务方式实施。平台化服务为网站安全监测服务。专家安全服务包括等级保护测评咨询、渗透测试、合规性检查、代码安全审计、安全加固、安全培训。
平台服务基于XXXX公司网络安全监测平台提供7*24小时实时监
1
XX省高级人民法院等级保护网络安全建设方案
测服务。
专家服务由专业信息安全工程师组成(人员均具备信息安全专业认证),通过现场或远程的方式提供服务。 2.2信息系统等级保护测评需求分析 2.2.1安全风险分析
(一) 设备安全风险
XXX高级人民法院信息系统网络设备的安全风险主要来自两个方面,一个是设备自身的安全风险,另外一个是外界环境的安全风险。具体的设备安全风险如下:
设备自身的安全缺陷或未能够及时修复的安全缺陷,导致的针对该设备的缺陷利用,影响信息系统业务的连续性、可靠性和完整性;
承载业务系统硬件、网络环境等方面的威胁; 业务系统自身安全威胁。 (二) 网络安全风险 网络安全风险主要如下:
来自XXX高级人民法院信息系统网络内部和外部可能的网络攻击,如DDOS攻击、利用系统漏洞进行的各类攻击等等;
蠕虫病毒入侵,局域网内部病毒等恶意软件的传播,尤其是维护终端、磁盘介质使用等导致的病毒扩散;
利用管理和技术漏洞,或者内部资源成为僵尸网络、木马的被控资源,信息系统资源被用作攻击外部网络的工具WEB类应用被挂
2
XX省高级人民法院等级保护网络安全建设方案
马,成为木马大范围传播的主要途径;
由于对信息系统网络进行维护不恰当,而导致的安全威胁。 (三) 应用层安全风险
为了保证审判流程、审判辅助、司法档案、司法统计等业务连续性、保证数据与业务的安全是IT建设必须要面对与亟待解决的问题。
XXX高级人民法院信息系统应用层的安全威胁主要来自以下两个方面:
伴随着数据大集中,来自原互联网、内部恶意用户的安全威胁更加严重;
木马病毒的肆意传播,导致网络瘫痪。 (四) 数据安全风险 ➢ 外网公开庭审数据
庭审数据,主要指开庭审理案件时视屏影像、文字等资料,其安全威胁主要如下:
数据传输过程中被窃取,篡改、破坏; 越权访问; 病毒入侵导致丢失;
其它误操作、系统故障、介质问题等原因导致的数据丢失、泄漏。 ➢ 内网业务数据
内网业务数据,主要指XXX高级人民法院内网的案件库数据、公文文字数据。其安全威胁一方面来自于各个业务的不同要求,另外更主要的一方面是这些业务数据的存放,具体如下:
3
XX省高级人民法院等级保护网络安全建设方案
病毒、木马、间谍软件的入侵; 针对敏感数据的非法篡改、获取;
数据的存储安全威胁,包括数据存储磁盘管理不善,数据访问管理不善带来的威胁等。
(五) 帐号口令
口令密码明文保存导致失窃; 弱口令导致的暴力破解; 网络监听明文传输的帐号口令。 2.2.2测评需求分析 (一)技术需求分析
XXX高级人民法院整体系统由WEB应用、网络设备、操作系统、数据库、中间件等网络元素共同构建,系统承担着数据采集、存储、分析、展示等功能,依据《信息安全技术信息安全等级保护基本技术要求》,物理层面、网络层面、系统层面、应用层面和数据层面面临如下安全威胁:
1) 物理层安全:物理层面面临盗窃和破坏、雷击、火灾、静电、
停电等威胁。
2) 系统层安全:该层的安全问题来自网络运行的操作系统。安
全性问题表现在两方面:一是操作系统本身的不安全因素,主要包括身份认证、访问控制、系统漏洞等;二是操作系统的安全配置存在问题。
4
XX省高级人民法院等级保护网络安全建设方案
3) 网络层安全:该层的安全问题主要指网络信息的安全性,包
括网络层身份认证,网络资源的访问控制,数据传输的保密与完整性、远程接入、域名系统、路由系统的安全,入侵检测的手段等。
4) 应用层安全:该层的安全考虑网络对用户提供服务所采用的
应用软件和数据的安全性,包括:数据库软件、Web服务、域名系统、交换与路由系统、防火墙及应用网管系统、业务应用软件以及其它网络服务系统等。 5) 数据层风险:数据传输泄露、数据损坏等。
因此,有必要通过安全产品与安全服务的方式,发现以上五个层面存在的安全隐患,比对问题采取相应的加固和处理措施,满足XXX高级人民法院信息安全等级保护的技术要求。 (二)管理需求分析
该系统不仅需要考虑技术防护手段,也需要通过合理的安全管理规范,避免人为因素导致的系统破坏。依据《信息安全技术信息安全等级保护基本技术要求》。应制定完善的安全管理体系,以满足系统的安全管理要求,管理体系应考虑如下五个方面:
1) 安全管理制度
根据安全管理制度的基本要求制定各类管理规定、管理办法和暂行规定。从安全策略主文档中规定的安全各个方面所应遵守的原则方法和指导性策略引出的具体管理规定、管理办法和实施办法,是具有可操作性,且必须得到有效推行和实施的制度。
5
XX省高级人民法院等级保护网络安全建设方案
2) 安全管理机构
根据基本要求设置安全管理机构的组织形式和运作方式,明确岗位职责;
设置安全管理岗位,设立系统管理员、网络管理员、安全管理员等岗位,根据要求进行人员配备,配备专职安全员;成立指导和管理信息安全工作的委员会或领导小组,其最高领导由单位主管领导委任或授权;制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求。
3) 人员安全管理
根据基本要求制定人员录用,离岗、考核、培训几个方面的规定,并严格执行;规定外部人员访问流程,并严格执行。
4) 系统建设管理
根据基本要求制定系统建设管理制度,包括:系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、系统备案、等级评测、安全服务商选择等方面。从工程实施的前、中、后三个方面,从初始定级设计到验收评测完整的工程周期角度进行系统建设管理。
5) 系统运维管理
根据基本要求进行信息系统日常运行维护管理,利用管理制度以及安全管理中心进行,包括:环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事
6
XX省高级人民法院等级保护网络安全建设方案
件处置、应急预案管理等,使系统始终处于相应等级安全状态中。
二、方案设计
2.1XXXX网络安全服务能力
XXXX公司网络安全团队拥有多年互联网应用安全防卫、网络安全审计、数据库安全审计的深厚技术背景,拥有全省领先的信息安全技术经验;同时长期参与各类应用系统的建设、开发和维护,积累了丰富的项目管理经验,对WEB应用系统有着深刻的理解。拥有一支在安全技术研究和应用领域优势突出的队伍,在安全漏洞发掘、Web应用安全、网络和数据库安全问题研究等诸多领域积累了大量的实践经验,团队成员先后获得第三届XXX网络安全攻防大赛第三名,第四届XXX网络安全攻防大赛第一名等名次。
XXXX公司具备XXX信息安全等级保护服务能力资质,XXX信息安全等级保护服务能力推荐证书,国家信息安全测评信息安全服务一级资质等专业安全资质。公司拥有多名国际注册信息安全工程师(CISSP)、国家注册信息安全注册信息安全工程师(CISP-CISE)、国家注册信息安全渗透测试工程师(CISP-PTE)、国家注册信息安全信息系统审计师(CISP-CISA),以及Security+、信息安全保障人员认证(CISAW)等安全领域专业认证,此外XXXX公司也拥有网络、系统、数据和应用方面的专家,拥有全省领先的信息安全技术经验。
7
XX省高级人民法院等级保护网络安全建设方案
2.2信息安全等级保护测评服务
2.2.1等保测评范围
根据《信息安全技术信息系统安全等级保护测评要求》和《信息安全技术信息系统安全等级保护测评过程指南》等文件的要求,对于XXX高级人民法院信息系统开展信息安全等级保护测评服务,使之符合信息系统安全等级保护三级要求。 2.2.2测评方式
当根据信息系统的业务重要性及其他相关因素对信息系统进行划分,确定了信息系统的安全保护等级后,需要了解不同级别的信息系统或子系统当前的安全保护与相应等级的安全保护基本要求之间存在的差距,这种差距是一种安全需求,是进行安全方案设计的基础。传统的安全需求分析方法有很多,如风险分析法,但是作为了解信息系统或子系统当前的安全保护状况与相应等级的安全保护基本要求之间存在的差距的简便方法,莫过于等级评估测评法。 2.2.2.1活动目标
本活动的目标是通过信息安全等级测评机构对已经完成等级保护建设的信息系统定期进行等级测评,确保信息系统的安全保护措施符合相应等级的安全要求。
8
XX省高级人民法院等级保护网络安全建设方案
2.2.2.2活动输入
信息系统详细描述文件,信息系统安全保护等级定级报告,信息系统测评计划,信息系统测评方案。 2.2.2.3活动描述
参见有关信息系统安全保护等级测评的规范或标准。 2.2.2.4活动输出
安全等级测评评估报告。信息系统安全测评包括资料审查、核查测试、综合评估如下三个部分内容: (一)资料审查
a) 测评机构接受用户提供的测评委托书和测评资料;
b) 测评机构对用户提供的测评委托书和测评资料进行形式化审查,判断是 否需要补充相关资料; (二)核查测试
a) 测评机构依据用户提供的资料、评估机构实地调研资料及定级报告等,制定系统安全评估测评计划;
b) 依据系统安全测评计划制定系统安全评估测评方案; c) 依据系统安全测评方案实施现场核查测试;
d) 对核查测试结果进行数据整理记录,并形成核查测试报告。 (三)综合评估
a) 对用户资料,评估机构实地调研资料和测试报告进行综合分析,形
9
XX省高级人民法院等级保护网络安全建设方案
成分析意见;
b) 就分析意见与用户沟通确认,最终形成系统安全测评综合评估报告; c) 对系统安全测评综合评估报告进行审定;
d) 出具最终《信息系统安全测评综合评估报告》测评数据处理 a) 对信息系统现场核查记录进行汇总分析,完成信息系统现场核查报告;
e) 对系统安全性测评过程得到的被测单位提供的申请资料、方案的形式化 审查报告、信息系统现;
f) 场核查记录、现场核查报告以及测试过程中所有的书面记录,经分析整 理后,形成信息系统安全测评综合评估报告;
g) 系统安全性测评过程所产生的全部数据、记录、资料应归档管理; h) 系统安全性测评过程所产生的全部数据、记录、资料不得以任何方式向第三方透露;
i) 系统安全性测评过程所产生的全部数据、记录、资料的处置应符合相关法令法规的规定。 (四)测评结论
a) 信息系统经测评机构安全测评后,向被测评单位出具信息系统安全测评综合评估报告;
b) 信息系统安全测评综合评估报告是客观反映被测单位信息系统在管理 方面及技术方面的安全状况,其中包括了信息系统在安全性方面存在的漏洞、潜在的风险以及相应的建议性改进意见
10
XX省高级人民法院等级保护网络安全建设方案
2.2.2.5测评工具 (一)调查问卷
调查问卷是现场核查的方法之一。调查问卷根据本规范制定,其调查内容应涵盖被测信息系统的各个方面,利用调查问卷对系统安全技术、安全管理措施等 进行逐项审核,将调查结果记录在相应的问卷上,供现场核查分析之用。 (二)系统安全性技术检查工具
典型的系统安全性技术检查工具有以下几种:
a) Web 应用安全扫描器:主要扫描 Web 应用安全中存在的危险函数调用、软件陷门;
b) 基于主机的扫描器:检测主机操作系统中与系统密切相关的安装配置问题及其他系统目标的安全策略漏洞情况;
c) 基于网络的扫描器:通过网络扫描确定系统的状态及收集信息,判断网络中是否存在安全隐患。例如操作系统类型、开放的端口及服务、安全漏洞及木马程序等。检测范围包括所有的信息系 设备:服务器、防火墙、交换机、路由器等网络中所有设备;
d) 网络协议分析仪:分析信息系统传输数据流,检测信息系统异常现象;
e) 入侵检测工具:分析系统外部或内部的入侵行为及其行为特征(根据用户需求); f) 其它检查工具。
11
XX省高级人民法院等级保护网络安全建设方案
2.2.2.6测评工具使用原则
a) 根据信息系统安全要求配置测评工具,选择适用的、针对性强的测评工具;
b) 应优先选用性能较好,由国内开发的测评工具或经过测评认证确认安全 的测评工具;
c) 对已经投入运行的系统不得使用攻击性测试工具,防止系统崩溃造成不 必要的损失;
d) 使用攻击性测试工具要经过被测评用户授权。 2.2.2.7测评方法
在整个项目过程中,我公司将在不同阶段派遣不同人员参与项目,主要包括以下几个角色:管理人员,项目启动会、计划、监督、协调组织项目验收等管理性工作。
安全工程师,会议、座谈、现场走访、问卷调查、调查和收集现有单位相关材料。
咨询师,交流安全需求、安全策略分析、网络规划、安全建议。 攻防人员,使用专业工具进行技术类指标的评定,对指标验证后提出建议。
文档人员,整理文档、书写报告。
12
XX省高级人民法院等级保护网络安全建设方案
2.2.3测评报告 2.2.3.1测评分析 (一)测评范围
本项目范围为对XXX高级人民法院已定级信息系统的等级保护测评。
(二)测评对象
本次测评对象为XXX高级人民法院信息系统。 (二)测评架构图
本次测评结合XXX高级人民法院信息管理特点,进行不同层次的测评工作,如下表所示: (三)测评内容
本项目主要分为两步开展实施。第一步,XXX高级人民法院信息系统系统进行定级和备案工作。第二步,对XXX高级人民法院已经定级备案的系统进行十个安全层面的等级保护安全测评(物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理)。 其中安全测评分为差距测评和验收测评。差距测评主要针对XXX高级人民法院已定级备案系统执行国家标准的安全测评,差距测评交付差距测评报告以及差距测评整改方案;差距整改完毕后协助完成系统配置方面的整改。最后进行验收测评,验收测评将按照国家标准和国家公安承认的测评要求、测评过程、测评报告,协助对XXX高级人
13
XX省高级人民法院等级保护网络安全建设方案
民法院已定级备案的系统执行系统安全验收测评,验收测评交付具有国家承认的验收测评报告。
信息系统安全等级保护测评包括两个方面的内容:一是安全控制测评,主要测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况;二是系统整体测评,主要测评分析信息系统的整体安全性。其中,安全控制测评是信息系统整体安全测评的基础。 安全控制测评使用测评单元方式组织,分为安全技术测评和安全管理测评两大类。安全技术测评包括:物理安全、网络安全、主机系统安全、应用安全和数据安全五个层面上的安全控制测评;安全管理测评包括:安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理五个方面的安全控制测评。
系统整体测评涉及到信息系统的整体拓扑、局部结构,也关系到信息系统的具体安全功能实现和安全控制配置,与特定信息系统的实际情况紧密相关。在安全控制测评的基础上,重点考虑安全控制间、层面间以及区域间的相互关联关系,分析评估安全控制间、层面间和区域间是否存在安全功能上的增强、补充和削弱作用以及信息系统整体结构安全性、不同信息系统之间整体安全性。
综合测评总结将在安全控制测评和系统整体测评两个方面的内容基础上进行,由此而获得信息系统对应安全等级保护级别的符合性结论。
(三)测评对象
依照信息安全等级保护的要求、参考业界权威的安全风险评估标
14
XX省高级人民法院等级保护网络安全建设方案
准与模型,同时结合本公司多年的安全风险评估经验与实践,从信息系统的核心资产出发,以威胁和弱点为导向,对比信息安全等级保护的具体要求,全方面对信息系统进行全面评估。 测评对象种类主要考虑以下几个方面: 1. 2. 3. 4. 5. 6. 7. 8. 9.
整体网络拓扑结构; 机房环境、配套设施;
网络设备:包括路由器、核心交换机、汇聚层交换机等; 安全设备:包括防火墙、IDS/IPS、防病毒网关等; 主机系统(包括操作系统和数据库系统); 业务应用系统;
重要管理终端(针对三级以上系统);
安全管理员、网络管理员、系统管理员、业务管理员; 涉及到系统安全的所有管理制度和记录。
根据信息系统的测评强度要求,在执行具体的核查方法时,在广度上要做到从测评范围中抽取充分的测评对象种类和数量;在执行具体的检测方法,在深度上要做到对功能等各方面的测试。 (四)测评指标
对于三级系统,如业务信息安全等级为S3,系统服务安全等级为A3,则该系统的测评指标应包括GB/T 22239-2008《信息系统安全保护等级基本要求》中“技术要求”部分的3级通用指标类(G3),3级业务信息安全指标类(S3),3级系统服务安全指标类(A3),以及第3级“管理要求”部分中的所有指标类。
15
XX省高级人民法院等级保护网络安全建设方案
(四)测评流程
等级保护测评实施过程包括以下四个阶段: a)测评准备阶段
测评项目组组建:明确项目经理、测评人员及职责分工。 项目计划书编制:项目计划书包含项目概述、工作依据、技术思路、工作内容和项目组织等。
信息系统调研:通过查阅被测系统已有资料或使用调查表格的方式,了解整个系统的构成和保护情况,明确被测系统的范围(特别是信息系统的边界),了解被测系统的详细构成,包括网络拓扑、业务应用、业务流程、设备信息(服务器、数据库、网络设备、安全设备、数据库等)、管理制度等。
工具和表单准备:根据被测系统的实际情况,准备测评工具和各类测评表单。 b)方案编制阶段
测评对象确定:根据已经了解到的被测系统信息,分析整个被测系统及其涉及的业务应用系统,确定出本次测评的测评对象。 测评指标确定:根据已经了解到的被测系统定级结果,确定出本次测评的测评指标。
测评工具接入点确定:确定需要进行工具测试的测评对象,选择测试路径,根据测试路径确定测试工具的接入点。
测评内容确定:确定现场测评的具体实施内容,即单元测评内容。 测评实施手册开发:编制测评实施手册,详细描述现场测评的工
16
XX省高级人民法院等级保护网络安全建设方案
具、方法和操作步骤等,具体指导测评人员如何进行测评活动。 c)现场测评阶段
现场测评实际上就是单项测评,分别从技术上的物理安全、网络安全、主机系统安全、应用安全和数据安全五个层面和管理上的安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理五个方面分别进行。
物理安全:通过人员访谈、文档审查和实地察看的方式测评信息系统的物理安全保障情况。主要涉及对象为物理基础设施。在内容上,物理安全层面测评实施过程涉及10个测评单元,包括:物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护。
网络安全:通过访人员访谈、配置检查和工具测试的方式测评信息系统的网络安全保障情况。主要涉及对象为网络互联设备、网络安全设备和网络拓扑结构。在内容上,网络安全层面测评实施过程涉及7个测评单元,包括:结构安全、访问控制、安全审计、边界完整性检查、入侵防范、网络设备防护、恶意代码防范(针对三级系统)。 主机安全:通过人员访谈、配置检查和工具测试的方式测评信息系统的主机安全保障情况。主要涉及对象为各类服务器的操作系统、数据库管理系统。在内容上,主机系统安全层面测评实施过程涉及7个测评单元,包括:身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、资源控制、剩余信息保护(针对三级系统)。 应用安全:通过人员访谈、配置检查和工具测试的方式测评信息
17
XX省高级人民法院等级保护网络安全建设方案
系统的应用安全保障情况,主要涉及对象为各类应用系统。在内容上,应用安全层面测评实施过程涉及9个测评单元,包括:身份鉴别、访问控制、安全审计、通信完整性、通信保密性、软件容错、资源控制、剩余信息保护(针对三级系统)、抗抵赖(针对三级系统)。 数据安全:通过人员访谈、配置检查的方式测评信息系统的数据安全保障情况,主要涉及对象为信息系统的管理数据及业务数据等。在内容上,数据安全层面测评实施过程涉及3个测评单元,包括:数据完整性、数据保密性、备份和恢复。
安全管理制度:通过人员访谈、文档审查和实地察看的方式测评信息系统的安全管理制度情况。在内容上,安全管理制度方面测评实施过程涉及3个测评单元,包括:管理制度、制定和发布、评审和修订。
安全管理机构:通过人员访谈、文档审查的方式测评信息系统的安全管理机构情况。在内容上,安全管理机构方面测评实施过程涉及5个测评单元,包括:岗位设置、人员配备、授权和审批、沟通和合作、审核和检查。
人员安全管理:通过人员访谈、文档审查的方式测评信息系统的人员安全管理情况。在内容上,人员安全管理方面测评实施过程涉及5个测评单元,包括:人员录用、人员离岗、人员考核、安全意识教育和培训、外部人员访问管理。
系统建设管理:通过人员访谈、文档审查的方式测评信息系统的系统建设管理情况。在内容上,系统建设管理方面测评实施过程涉及
18
XX省高级人民法院等级保护网络安全建设方案
11个测评单元,包括:系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、安全服务商选择、系统备案(针对三级系统)、系统测评(针对三级系统)。
系统运维管理:通过人员访谈、文档审查的方式测评信息系统的系统运维管理情况。在内容上,系统运维管理方面测评实施过程涉及13个测评单元,包括:环境管理、资产管理、介质管理、设备管理、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、监控管理和安全管理中心(针对三级系统)。 d)分析与报告编制阶段
单项测评结果分析:针对测评指标中的单个测评项,结合具体测评对象,客观、准确地分析测评证据。
单元测评结果判定:将单项测评结果进行汇总,分别统计不同测评对象的单项测评结果,从而判定单元测评结果,并以表格的形式逐一列出。
整体测评:针对单项测评结果的不符合项,采取逐条判定的方法,从安全控制间、层面间和区域间出发考虑,给出整体测评的具体结果,并对系统结构进行整体安全测评。
风险分析:据等级保护的相关规范和标准,采用风险分析的方法分析等级测评结果中存在的安全问题可能对被测系统安全造成的影响。
19
XX省高级人民法院等级保护网络安全建设方案
等级测评结论形成:在测评结果汇总的基础上,找出系统保护现状与等级保护基本要求之间的差距,并形成等级测评结论。 测评报告编制:根据等级测评结论,编制测评报告,包括概述、被测系统描述、测评对象说明、测评指标说明、测评内容和方法说明、单元测评、整体测评、测评结果汇总、风险分析和评价、等级测评结论、整改建议等。 (五)测评方法
在等级保护测评过程中,将采用以下测评方法: a)工具测试
利用技术工具(漏洞扫描工具、渗透测试工具、压力测试工具等)对系统进行测试,包括基于网络探测和基于主机审计的漏洞扫描、渗透测试等。 b)配置检查
利用上机验证的方式检查主机、服务器、数据库、网络设备、安全设备、应用系统的配置是否正确,是否与文档、相关设备和部件保持一致,对文档审核的内容进行核实(包括日志审计等),测评其实施的正确性和有效性,检查配置的完整性,测试网络连接规则的一致性,从而测试系统是否达到可用性和可靠性的要求。
c)人员访谈
与被测系统有关人员(个人/群体)进行交流、讨论等活动,获取相关证据,了解有关信息。在访谈范围上,不同等级信息系统在测评
20
XX省高级人民法院等级保护网络安全建设方案
时有不同的要求,一般应基本覆盖所有的安全相关人员类型,在数量上可以抽样。 d)文档审查
检查制度、策略、操作规程、制度执行情况记录等文档(包括安全方针文件、安全管理制度、安全管理的执行过程文档、系统设计方案、网络设备的技术资料、系统和产品的实际配置说明、系统的各种运行记录文档、机房建设相关资料、机房出入记录等过程记录文档)的完整性,以及这些文件之间的内部一致性。 e)实地查看
通过实地的观察人员行为、技术设施和物理环境状况判断人员的安全意识、业务操作、管理程序和系统物理环境等方面的安全情况,测评其是否达到了相应等级的安全要求。 (六)测评工具
我们在等级保护测评过程中使用的测评工具严格遵循可控性原则,即所有使用的测评工具将事先提交给甲方检查确认,确保在双方认可的范围之内,而且测评过程中采用的技术手段确保已经过可靠的实际应用。 (七)输出文档
本项目输出的主要输出文档为
《等级保护测评实施方案(资产收集、测评表)》 《等级保护测评差距分析报告》 《等级保护测评安全整改方案》
21
XX省高级人民法院等级保护网络安全建设方案
《XXX高级人民法院等级保护测评安全整改报告》 2.2.3.2其他相关事项 (一)风险规避
在测评过程中,可能会对被测系统造成影响,相应地会造成各种损失。这些影响包括信息泄漏、业务停顿或处理能力受损等。因此,必须充分考虑各种可能的影响及其危害并准备好相应的应对措施,尽可能减小对目标系统正常运行的干扰,从而减小损失。 (二)项目信息管理
为了保障XXX高级人民法院信息系统的安全,XXXX信息技术有限责任公司将严格遵守XXX高级人民法院关于保密方面的规定,自觉保守XXX高级人民法院信息系统秘密。XXX高级人民法院为方便项目实施所提供给投标人的工作流程、管理模式、规程、程序等相关资料文档以及实施过程中所产生的资料、文档、数据均属于XXX高级人民法院知识产权,未经XXX高级人民法院授权同意,XXXX信息技术有限责任公司不得另作他用,XXXX信息技术有限责任公司采用管理和技术措施保证信息的机密性。如因XXXX信息技术有限责任公司员工的原因导致上述资料、文档、数据或秘密泄露的,XXX高级人民法院有权要求XXXX信息技术有限责任公司采取措施消除影响,赔偿损失。 加强安全保密工作具体的控制措施如下: a)保密责任法律保证
XXXX信息技术有限责任公司和XXX高级人民法院签订《保密责任
22
XX省高级人民法院等级保护网络安全建设方案
协议》,对项目实施保密相关事宜予以法律保证。同时,保证所有参与项目的技术人员均具备等级测评技术资质,且均与XXXX信息技术有限责任公司已签订《保密责任书》。 b)现场安全保密管理
测评过程中,如确有安全保密需要,项目中XXXX信息技术有限责任公司人员使用的笔记本可由XXX高级人民法院提供,并且仅限于在XXX高级人民法院的工作环境内使用和保管,未经XXX高级人民法院允许严禁私自带出。在XXX高级人民法院办公环境中,除XXX高级人民法院提供或允许的U盘外,严禁出现其他存储介质。 c)文档安全保密管理
对需要XXX高级人民法院提供的文档资料,XXXX信息技术有限责任公司提交《文档调用单》给XXX高级人民法院,《文档调用单》上的“借出部分”须明确文档类别、文档内容、文档申请人员、文档使用人员、调用时间。文档资料未经XXX高级人民法院允许严禁带出现场,统一保管在XXX高级人民法院指定的文件柜里,使用完后XXXX信息技术有限责任公司返还给XXX高级人民法院,并填写《文档调用单》上“交回部分”的交回人员、交回时间。所有文档资料仅限于在XXX高级人民法院的工作环境内使用。
对于电子文档,所有传递须通过XXX高级人民法院提供或允许的U盘,保存在文档申请人员、文档使用人员的笔记本电脑上,笔记本电脑须设高安全级别口令或其他加密措施。
所有输出文档的非正式稿打印件和相关材料,均须现场粉碎处理。
23
XX省高级人民法院等级保护网络安全建设方案
d)离场安全保密管理
现场测评离场时,如果笔记本电脑为XXX高级人民法院提供,则笔记本电脑须交回XXX高级人民法院。同时由XXX高级人民法院有关人员检查所有的存储介质是否存储非测评需要的电子文档。 e)其他情况说明
遇到未列明的涉及保密方面的其他情况,双方就个案单独洽谈,由双方项目负责人签字确认。
2.3事中监测预警与评估检查
近年来,随着各单位办公业务迅速发展,以及云计算、虚拟化、大数据、物联网等新技术的出现和发展的大趋势,在将新的技术应用到信息系统的过程中,我们发现新的信息安全问题逐渐浮出水面。
一方面新的信息安全威胁层出不穷,城域网络级别的DDOS攻击、网站漏洞攻击、特种木马、0day漏洞、水坑攻击、钓鱼攻击甚至威胁更大的APT攻击已是呈现出区域化和集团化的特点,对于上述威胁的发现如果单纯依靠各单位对的安全设备已经越难越发现有价值的信息,对于威胁的快速发现以及快速处置造成了巨大的困难。
另一方面随着单位内部信息系统建设,信息系统产生的数据无法被有效收集、整理并加以利用,导致信息安全管理员无法通过数据分析发现隐藏在其中的安全威胁。如何解决新形势下的信息安全威胁则是信息安全保障下一步建设的关键所在。
2017年6月1日起正式实施的《网络安全法》中提出“国家建立
24
XX省高级人民法院等级保护网络安全建设方案
网络安全监测预警和信息通报制度。国家网信部门应当统筹协调有关部门加强网络安全信息收集、分析和通报工作,按照规定统一发布网络安全检测预警信息”。
因此,需要建设全覆盖、全方位、全天候的网络安全监测平台,通过国内先进的安全监测技术实时检测网络安全风险和威胁、综合分析网络安全态势、及时通报预警来应对网络安全威胁尤为迫切。 2.3.1网站安全监测服务
网站安全监测服务是通过XXXX网络安全监测平台,7×24小时持续监控网站存在的网页漏洞、网页挂马、网页篡改、敏感内容、网页暗链、域名劫持、网站平稳度问题等各类网站全风险,从而避免因为网站出现问题导致公众问题。
网站安全监测平台提供以下服务: (1)安全数据可视化分析
通过流量图、时序图、雷达图等对感洞网络安全态势感知平台所添加的资产情况进行统一、直观的展示。并且可以对展示信息的各个模块自定义配置,进行定制化的界面展示。如下图所示:
(2)漏洞监测
通过安全监测平台对网站漏洞进行监测分析。包括漏洞资产列表、漏洞详情等内容。
25
XX省高级人民法院等级保护网络安全建设方案
(3)事件监测
事件监测主要监测以下内容:监测网站是否存在敏感信息,包括非法言论、非法链接;监测网站内容,并通过DOM树对比技术,从网页结构上进行篡改判定,并对网页中的隐藏链接进行类型识别,若存在非法链接则进行告警;通过静态代码分析加动态执行两种方式共同判定是否存在挂马风险。
(4)可用性监测
可用性监测通过并发监测Web站点的HTTP请求响应时间以及Web服务器的Ping响应时间,实时监测网站是否正常运行。
(5)专项检查工具
通过心脏滴血专项检查工具、structs2漏洞工具等10个专项检查工具进行深度的漏洞检测,及时发现并解决安全问题。 2.3.2互联网安全情报共享预警服务
《中华人民共和国网络安全法》中明确指出,负责关键信息基础设施安全保护工作的部门,应当建立健全本行业、本领域的网络安全
26
XX省高级人民法院等级保护网络安全建设方案
监测预警和信息通报制度,并按照规定报送网络安全监测预警信息。
安全事件与威胁预警服务依靠网络安全监测平台,对互联网爆发的网络安全事件及威胁第一时间响应,深入分析事件可能造成的影响并形成安全事件与威胁预警报告向客户反馈。安全事件与威胁预警通报服务包括以下内容:
(1)预警通知
针对互联网爆发的网络安全威胁、安全事件等情报第一时间形成分析报告,通过邮件、微信等方式向客户反馈。
(2)安全威胁排查
针对互联网爆发的安全威胁,帮助客户进行安全隐患排查及整改,确保客户业务系统不受影响,能够稳定运行。 2.3.3 源代码安全审计
代码审计是由具备丰富编码经验,并对安全编码原则及应用安全具有深刻理解的安全技术人员,对应用的源代码和业务逻辑架构的安全性、可靠性进行全面的安全检查,其目的在于充分挖掘当前代码中存在的安全缺陷以及规范性缺陷,利用一定的编程规范和标准,针对应用程序源代码,从结构、脆弱性以及缺陷等方面进行审查,以发现当前应用程序中存在的安全缺陷以及代码的规范性缺陷,从而让客户在业务系统上线前了解应用系统可能会面临的威胁,并为修复提供依据,降低信息系统上线运行后的安全风险。
源代码安全审计依据国家公共漏洞表,国际十大Web漏洞以及设
27
XX省高级人民法院等级保护网络安全建设方案
备、软件厂商公布的漏洞库,结合XXXX公司源代码审计平台,对Web程序语言的源代码进行安全审计。通过审计,可以定位源代码中存在的安全漏洞、分析漏洞风险,给出修改建议。
代码审计图
2.4事后整改处置
事后整改处置包括网络安全加固服务、网络安全应急保障服务、网络安全培训服务。 2.4.1 网络安全加固
为了有效保障客户业务系统网络的安全运行,在对操作系统、数据库、中间件、安全设备进行漏洞扫描、基线检查、渗透测试后,需要对发现的安全风险进行修复,以提升设备和系统的安全性。
安全加固服务依据风险评估和等保测评结果形成的安全加固列表,逐一对指定目标的安全漏洞、安全配置进行修复、配置的全过程(不包含需设备采购的加固服务)。通过安全加固,能够有效修补设备和系统的安全漏洞和配置隐患,提升其安全防护能力;从技术层面
28
XX省高级人民法院等级保护网络安全建设方案
最大程度消除或降低系统的安全风险,做到风险可控,保障设备和系统的持续、安全、稳定运行。 2.4.2 网络安全应急保障
通过深入解读《中华人民共和国网络安全法》,第三十一条规定国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等关键信息基础设施,在等保制度基础上,实行重点保护;第三十八条规定关键信息基础设施每年至少进行一次检测评估;第二十五条规定网络运营者制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险,在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施。
省高法缺乏针对自身网络和信息系统安全应急管理的机制,导致在面对黑客层出不穷的攻击手段时,缺乏网络信息安全应急处置能力,不能在第一时间做出有效应对,可能导致安全事件的危害不可控。
网络安全应急处置服务依据网络安全法及相关标准要求,帮助客户建立信息安全应急体系,实现事前预防、事中监测、事后应急全过程,具体包括:制定应急预案、应急演练、应急处置。 2.4.3 网络安全培训
《网络安全法》第十九条要求,各级人民政府及其有关部门应当组织开展经常性的网络安全宣传教育,并指导、督促有关单位做好网络安全宣传教育工作。
29
XX省高级人民法院等级保护网络安全建设方案
XXXX公司根据用户具体情况与需求,定制个性化的安全培训课程计划,帮助关键岗位人员了解并掌握相关安全知识。通过培训,降低信息系统维护、使用人员由于安全知识的匮乏而造成信息安全事故。
通过安全培训,提高组织人员的安全意识、组织安全技术人员安全技术操作水平、提升组织整体的信息安全管理水平和能力。
2.5渗透测试服务
WEB应用目前在省高法得到了广泛的应用。WEB应用、APP面临着数量庞大、种类繁多的安全威胁,操作系统、通信协议、服务发布程序和编程语言等无不存在大量安全漏洞。WEB应用的安全事件频频发生,究其根源,关键原因有二:一是WEB应用自身存在技术上的安全漏洞和安全隐患;二是相关的防护设备和防护手段欠缺。WEB应用的体系架构一般分为三层,底层是操作系统,中间层是Web服务程序、数据库服务等通用组件,上层是内容和业务相关的网页程序。这三层架构中任何一层出现了安全问题都会导致整个WEB应用受到威胁,而这三层架构中任何一层都不可避免地存在安全漏洞,底层的操作系统(不管是Windows还是Linux)都不时会有黑客可以远程利用的安全漏洞被发现和公布;中间层的Web服务器(IIS或Apache等)、ASP、PHP等也常会有漏洞爆出;上层的网页程序有SQL注入、跨站脚本等Web漏洞。另一方面,目前很多WEB应用的防护设备和防护手段不够完善,虽然大部分网站都部署了防火墙,但针对WEB应用漏洞的攻击都是应用层的攻击,都可以通过80端口完成,所以防火墙对这类攻
30
XX省高级人民法院等级保护网络安全建设方案
击也是无能为力,另外,有些网站除了部署防火墙外还部署了IDS/IPS,但同样都存在有大量误报情况,导致检测精度有限。为此,带有攻击性安全测试成为发现和解决WEB安全问题最有效和最直接的手段。
(1)渗透测试依据
GB/T 18336-2001《信息技术安全技术 信息技术安全性评估准则》 GB/T 20274-2006《信息系统安全保障评估框架》 ISECOM制定的开源安全测试方法OSSTMM-v2.2 开放Web应用安全项目OWASP-v3
(2)渗透测试内容
渗透测试过程主要依据现今已经掌握的安全漏洞信息,模拟真实攻击方法对系统和网络进行非破坏性质的攻击性测试,渗透测试服务实施将在书面授权和监督下进行,通过渗透测试,可以达到以下目标:
➢ 从攻击者角度,发现省高法信息系统存在的安全隐患; ➢ 检测对外提供服务的业务系统的威胁防御能力;
➢ 深度挖掘渗透测试范围内应用系统各个层面(应用层、网络
层、系统层)的安全漏洞;
➢ 检验当前安全控制措施的有效性,针对发现的安全风险及时
进行整改,增强系统自身防御能力,提升安全保障体系的整体健壮性。
渗透测试流程严格依照下图执行,采用可控制的、非破坏性质的渗透测试,并在执行过程中把握好每一个步骤的信息输入/输出,控
31
XX省高级人民法院等级保护网络安全建设方案
制好风险,确保对网络不造成破坏性的损害,保证渗透测试前后信息系统的可用性、可靠性保持一致。
渗透测试流程图
渗透测试的目的是通过对系统的弱点、技术缺陷或漏洞主动分析,评估XXX高级人民法院计算机网络系统安全性,提供渗透测试服务,定期对XXX高级人民法院网络系统进行渗透性测试服务,输出渗透性测试报告,针对发现的问题提出整改加固建议,协助XXX高级人民法
32
XX省高级人民法院等级保护网络安全建设方案
院完成整改加固。
Web应用是网络应用和业务的集成,为所有用户提供方便的信息共享和应用共享。Web业务平台已经在电子商务、企业信息化中得到广泛的应用,企业都纷纷将应用架设在Web平台上,为客户提供更为方便、快捷的服务支持。伴随着这种趋势,入侵者也将注意力从以往对传统网络服务器的攻击逐步转移到了对 Web 业务的攻击上。根据 Gartner 的调查,信息安全攻击有 75% 都是发生在 Web 应用层而非网络层面上。同时,数据也显示,三分之二的 Web 站点都相当脆弱和易受攻击。
为保障XXX高级人民法院网站系统对外服务的安全,XXXX信息技术有限责任公司将根据具体需求,采用成熟、规范的测试方法和工具对XXX高级人民法院的应用进行渗透测试评估,以及时发现存在的问题,提出恰当的改进建议,为XXX高级人民法院网站应用安全提供保障。
2.5.1项目目标
针对本次项目,XXXX信息技术有限责任公司主要通过渗透测试的方式,发现和总结XXX高级人民法院应用中可能面临的各类安全风险,并提出针对性的安全改进建议。 2.5.2项目交付
通过本次网站应用渗透测试项目,XXXX信息技术有限责任公司
33
XX省高级人民法院等级保护网络安全建设方案
将为XXX高级人民法院交付以下成果: 《网站应用安全渗透测试报告》系列报告
本报告详细记录本次渗透测试的过程、方法、测试结果及结果分析等内容。
《网站应用安全扫描检测报告》系列报告
本报告主要依据工具扫描的结果对网站系统存在的安全问题予以描述并提出解决建议。 2.5.3项目原则
在项目实施全过程将遵循以下项目原则: 规范性原则:
在项目实施过程中,XXXX信息技术有限责任公司的工作团队采用规范、统一的标准化工作流程和工作方式;项目文档化遵循XXX高级人民法院的文档规范,文档的设计将依照国际、国内及行业内部的相关成熟标准和最佳实践。
可控性原则:
项目实施过程中所采用的工具、方法和过程要经XXX高级人民法院的认可,确保项目进度的推进,保证本次项目的可控性。
最小影响原则:
项目实施应尽可能小地影响系统和网络的正常运行,不能对现有网络的运行和业务的正常提供产生显著影响(包括系统性能明显下降、网络拥塞、服务中断等)。
34
XX省高级人民法院等级保护网络安全建设方案
保密原则:
对服务过程中的过程数据和结果数据严格保密,未经授权不泄露给任何单位和个人,不利用此数据进行任何侵害XXX高级人民法院的行为。
2.5.4测试过程
(一)客户书面授权
合法性即客户书面授权委托,并同意实施方案是进行渗透测试的必要条件。渗透测试首先必须将实施方法、实施时间、实施人员等具体的实施方案提交给客户,并得到客户的相应书面委托和授权。
本次书面授权应该做到XXXX信息技术有限责任公司对渗透测试所有细节和风险都知晓,所有过程都在XXX高级人民法院控制下进行。这也是专业渗透测试服务与黑客攻击的本质不同。
(二)制定实施方案
实施方案应当由我方与XXX高级人民法院相关技术人员进行沟通协商。调查了解客户对测试的基本接受情况。内容包括但不限于如下:
目标系统介绍、重点保护对象及特性。 是否允许数据破坏? 是否允许阻断业务正常运行?
测试之前是否应当知会相关部门接口人? 接入方式?外网和内网?
35
XX省高级人民法院等级保护网络安全建设方案
测试是发现问题就算成功,还是尽可能的发现多的问题? 渗透过程是否需要考虑社会工程?
在对客户具体情况充分了解的前提下,制定相应的测试流程,安全评估步骤如下: 2.5.5风险规避
渗透时间和策略
为减轻渗透测试对网络和主机的影响,渗透测试时间应尽量安排在业务量不大的时段或晚上。为了防止渗透测试造成网络和主机的业务中断,在渗透测试中不应使用拒绝服务等策略。
系统备份和恢复
为了防止在渗透测试过程中出现意外情况,所有评估系统最好在被评估之前做一次完整的系统备份,以便在系统发生灾难后及时恢复。
在渗透测试过程中,如果被评估系统没有响应或中断,应立即停止测试工作,与客户人员配合一起分析情况。确定原因后,及时恢复系统,并采取必要的预防措施,确保对系统没有影响,并经客户同意后才可继续进行。
沟通
在测试实施过程中,测试人员和客户方人员应当建立直接沟通渠道,并在出现难题的时候保持合理沟通。
36
XX省高级人民法院等级保护网络安全建设方案
2.5.6信息收集分析
信息收集是每一个渗透攻击的前提,通过信息收集可以有针对性的制定模拟攻击测试计划,提高模拟攻击的成功率,同时还可以有效降低攻击测试对系统正常运行的不利影响。
工具收集分析
使用nslookup.exe,superscan,x-scan,tracert,namp等探测收集目标主机环境及其所在的网络环境。
使用极光、榕基等漏洞扫描器,对目标网络中的主机进行漏洞扫描,并对扫描结果进行分析。
使用ethereal、sniffer pro等工具嗅探分析目标网络数据和私有协议交互。
手工收集分析
对目标主机环境及其所在网络环境,在工具分析基础上进行手工深入分析。判断是否存在远程利用漏洞和可以利用的敏感信息。
其他手段收集分析
可以由客户提供一些特定的资料,以便于我们查找漏洞。或者利用社会工程学或木马、间谍软件等收集有用信息。 2.5.7渗透测试
根据客户设备范围和项目时间计划,并结合前一步信息收集得到的设备存活情况、网络拓扑情况以及扫描得到的服务开放情况、漏洞情况制定计划,确定无误后实施。
37
XX省高级人民法院等级保护网络安全建设方案
攻击手段大概有以下几种:
主机存在重大安全问题,可以远程获取权限。但是这种可能性不大。
应用系统存在安全问题,如SSH系统可能存在溢出、脆弱口令等问题,严重的可以获取系统权限,轻则获取普通控制权限。
网络通信中存在加密薄弱或明文口令。
同网段或信任主机中存在脆弱主机,通过sniffer监听目标服务器远程口令。
2.5.8取得权限、提升权限
通过初步的信息收集分析和攻击,存在两种可能,一种是目标系统存在重大安全弱点,测试可以直接控制目标系统,但是可能性很小;另一种是目标系统没有远程重大的安全弱点,但是可以获得普通用户权限,这时可以通过普通用户权限进一步收集目标系统信息,并努力获取超级用户权限。 2.5.9评估报告
评估结束后根据分析状况,描述弱点,改进建议,措施,解决方案,整理完成《渗透测试报告》和《整改加固建议》。
(一)渗透测试报告
《渗透测试报告》将会详细的说明渗透测试过程中得到的数据和信息以及弱点。
38
XX省高级人民法院等级保护网络安全建设方案
(二)整改加固建议
《整改加固建议》根据渗透测试过程中发现的安全问题提供改进建议。
2.5.10网络层渗透测试
本次测试严格按照攻击者的步骤:攻击载体、利用点、入侵手段与方法、造成后果与达到的目的可将典型情况总结如下:
(一)门户网站WEB渗透测试
门户网站服务的对象是所有互联网用户,其风险和影响最大,如果出现网站被攻陷或网页被篡改等情况,可能会造成较大的社会或政治影响,因此需要专门针对XXX高级人民法院的门户网站进行WEB渗透测试。
(二)渗透测试范围
本次XXX高级人民法院应用渗透测试项目实施范围包括如下内容。
a)渗透测试方法 WEB服务器漏洞利用
通过被披露的各种服务器操作系统及应用软件(或模块)的安全漏洞,利用这些漏洞及相关工具对WEB服务器和网站及其应用进行漏洞利用测试。
SQL注入
对网站应用程序的输入数据进行合法性检查,对客户端参数中包
39
XX省高级人民法院等级保护网络安全建设方案
含的某些特殊内容进行不适当的处理,进行预判。SQL语句注入:通过向提交给应用程序的输入数据中“注入”某些特殊SQL语句,最终可能获取、篡改、控制网站服务器端数据库中的内容。
SQL Injection定义
所谓SQL Injection ,就是通过向有SQL查询的WEB程序提交一个精心构造的请求,从而突破了最初的SQL查询限制,实现了未授权的访问或存取。
SQL Injection原理
随着WEB应用的复杂化,多数WEB应用都使用数据库作为后台,WEB程序接受用户参数作为查询条件,即用户可以在某种程度上控制查询的结果,如果WEB程序对用户输入过滤的比较少,那么入侵者就可能提交一些特殊的参数,而这些参数可以使该查询语句按照自己的意图来运行,这往往是一些未授权的操作,这样只要组合后的查询语句在语法上没有错误,那么就会被执行。
SQL Injection危害
SQL Injection的危害主要包括: 1.露敏感信息
2.提升WEB应用程序权限 3.操作任意文件 4.执行任意命令 SQL Injection 技巧
利用SQL Injection的攻击技巧主要有如下几种:
40
XX省高级人民法院等级保护网络安全建设方案
1.逻辑组合法:通过组合多种逻辑查询语句,获得所需要的查询结果。
2.错误信息法:通过精心构造某些查询语句,使数据库运行出错,错误信息中包含了敏感信息。
3.有限穷举法:通过精心构造查询语句,可以快速穷举出数据库中的任意信息。
4.移花接木法:利用数据库已有资源,结合其特性立刻获得所需信息。
预防手段
要做到预防SQL Injection, 数据库管理员(MS SQL Server)应做到:
1.应用系统使用独立的数据库帐号,并且分配最小的库,表以及字段权限
2.禁止或删除不必要的存储过程 3.必须使用的存储过程要分配合理的权限 4.屏蔽数据库错误信息 WEB程序员则应做到:
1.对用户输入内容进行过滤(‘ , “ -- # %09 %20) 2.对用户输入长度进行限制 3.注意查询语句书写技巧 XSS跨站脚本攻击
通过跨站脚本的方式对门户网站系统进行测试。跨站脚本是一种
41
XX省高级人民法院等级保护网络安全建设方案
向其他Web用户浏览页面插入执行代码的方法。网站服务器端应用程序如果接受客户端提交的表单信息而不加验证审核,攻击者很可能在其中插入可执行脚本的代码,例如JavaScript、VBScript等,如果客户端提交的内容不经过滤地返回给任意访问该网站的客户端浏览器,其中嵌入的脚本代码就会以该网站服务器的可信级别被客户端浏览器执行。
漏洞成因
是因为WEB程序没有对用户提交的变量中的HTML代码进行过滤或转换。
漏洞形式
这里所说的形式,实际上是指WEB输入的形式,主要分为两种: 1.显示输入 2.隐式输入
其中显示输入明确要求用户输入数据,而隐式输入则本来并不要求用户输入数据,但是用户却可以通过输入数据来进行干涉。
显示输入又可以分为两种: 1.输入完成立刻输出结果
2.输入完成先存储在文本文件或数据库中,然后再输出结果 注意:后者可能会让你的网站面目全非!
而隐式输入除了一些正常的情况外,还可以利用服务器或WEB程序处理错误信息的方式来实施。
漏洞危害
42
XX省高级人民法院等级保护网络安全建设方案
比较典型的危害包括但不限于: 1.获取其他用户Cookie中的敏感数据 2.屏蔽页面特定信息 3.伪造页面信息 4.拒绝服务攻击
5.突破外网内网不同安全设置
6.与其它漏洞结合,修改系统设置,查看系统文件,执行系统命令等
7.其它
一般来说,上面的危害还经常伴随着页面变形的情况。而所谓跨站脚本执行漏洞,也就是通过别人的网站达到攻击的效果,也就是说,这种攻击能在一定程度上隐藏身份。
解决方法
要避免受到跨站脚本执行漏洞的攻击,需要程序员和用户两方面共同努力,程序员应过滤或转换用户提交数据中的所有HTML代码,并限制用户提交数据的长度;而用户方则不要轻易访问别人提供的链接,并禁止浏览器运行JavaScript和ActiveX代码。
CRLF注入
CRLF注入攻击并没有像其它类型的攻击那样著名。但是,当对有安全漏洞的应用程序实施CRLF注入攻击时,这种攻击对于攻击者同样有效,并且对用户造成极大的破坏。
充分检测应用程序在数据执行操作之前,对任何不符合预期的数
43
XX省高级人民法院等级保护网络安全建设方案
据类型的字符过滤是否符合要求。
XPath注入
XPath注入攻击是指利用XPath 解析器的松散输入和容错特性,能够在 URL、表单或其它信息上附带恶意的XPath 查询代码,以获得权限信息的访问权并更改这些信息。XPath注入攻击是针对Web服务应用新的攻击方法,它允许攻击者在事先不知道XPath查询相关知 识的情况下,通过XPath查询得到一个XML文档的完整内容。
COOKIE操纵
浏览器与服务器之间的会话信息通常存储在Cookie或隐藏域中,通过修改这些会话参数,来对控制会话进行测试。参数操控一般发生在数据传输之前,因此SSL中的加密保护通常并不能解决这个问题。
Cookie欺骗:修改或伪造Cookie,达到入侵目的。 Google Hacking
使用google中的一些语法可以提供给我们更多的WEB网站信息,通过在搜索引擎中搜索WEB网站可能存在的敏感信息,获取有利用价值的攻击线索,并进行渗透测试攻击。
暴力猜解
对于采用口令进行用户认证的应用,将使用工具进行口令猜测以获取用户帐号/密码,口令猜测使用字典攻击和蛮力攻击。
木马植入
对网站进行信息收集,查找是否存在安全漏洞,是否可以利用漏洞上传一个后门程序以取得WEBSHELL,修改页面植入木马,对所有
44
XX省高级人民法院等级保护网络安全建设方案
访问者进行木马攻击。
病毒与木马检查
根据本次渗透测试范围要求对系统进行木马检查,检查系统是否感染病毒和木马。此次检测如系统存在病毒或木马,我方将和XXX高级人民法院工程师在第一时间进行彻底的查杀和清除,并将检查结果进行汇总分析,形成报告。
病毒木马检查主要内容包括: 启动项分析; 隐藏文件、内核检测; 网络异常连接检测; 恶意文件扫描; 注册表分析; 清除恶意文件; 修复系统; 其他项; 溢出攻击
通过前期资料收集掌握的网站程序及各种支撑中间件进行分析、总结,利用工具与工程经验结合的方式对网站运营支撑的各种应用程序和中间件进行缓冲区溢出攻击测试,发现存在溢出的程序,充分保障网站安全运行。
后门
利用工具对信息系统进行彻底扫描,对异常进程、网络异常连接、
45
XX省高级人民法院等级保护网络安全建设方案
异常流量、启动项等进行深入分析,查找系统是否存在后门。
欺骗
实时监控网络情况,对诸如网络钓鱼和其他虚假网站形成实时跟踪机制,及时发现欺骗行为,通过安全上报机制及时报告并协助加强安全防范。
通过搜索引擎对疑似钓鱼网站和错误链接进行风险排查,对重点可疑网站进行深度负面分析。一旦发现有假冒站点出现,便立刻向相关管理机构举报,关闭该虚假站点。通过这种方式,大力防范了钓鱼网站对客户的欺骗和攻击,及时抑制了欺骗对客户利益的损害,为客户打造了安全可靠的互联网环境,有效消除了客户疑虑,大大增强了客户信心。
2.5.11系统渗透测试
采用“黑盒”和“白盒”两种方式对XXX高级人民法院的系统从应用层、网络层和系统层等方面进行渗透。
(一)渗透测试方法 “黑盒”渗透测试
在只了解渗透对象的情况下,从互联网和XXX高级人民法院下各个安全域接入点位置从“内”“外”两个方向分别对各个系统进行渗透。通常这类测试的最初信息来自于DNS、Web、Email及各种公开对外的服务器。
“白盒”渗透测试
46
XX省高级人民法院等级保护网络安全建设方案
在黑盒渗透测试完毕后,结合XXX高级人民法院提供的网络拓扑、IP地址信息、网络设备和主机设备类型、代码片段等信息,重新制定渗透测试方案,有针对性的对网络和主机设备进行渗透测试。这类测试的主要目的是模拟组织内部雇员的越权操作,和预防万一组织重要信息泄露,网络黑客能利用这些信息对组织构成的危害。
已知漏洞攻击
通过被披露的操作系统及应用软件(或模块)的安全漏洞,利用这些漏洞及相关工具对网站及其应用进行测试。
针对操作系统已知漏洞的攻击。
针对应用软件(包括Web服务器和应用服务器等)已知漏洞的攻击。
口令猜解
对于采用口令进行用户认证的应用,将使用工具进行口令猜测以获取用户帐号/密码,口令猜测使用字典攻击和蛮力攻击。
指令注入
对网站应用程序的输入数据进行合法性检查,对客户端参数中包含的某些特殊内容进行不适当的处理,进行预判。具体方法主要为:
SQL语句注入 隐蔽命令执行 遍历目录/文件 缓冲区溢出攻击 异常处理
47
XX省高级人民法院等级保护网络安全建设方案
当应用程序中的方法调用出现故障时,应用程序进行哪些操作?显示了多少?是否返回友好的错误信息给最终用户?是否把有价值的异常信息传递回调用者?应用程序的故障是否适当。
后门
利用工具对信息系统进行彻底扫描,对异常进程、网络异常连接、异常流量、启动项等进行深入分析,查找系统是否存在后门。
病毒与木马检查
根据本次渗透测试范围要求对系统进行木马检查,检查系统是否感染病毒和木马。此次检测如系统存在病毒或木马,我方将和XXX高级人民法院工程师在第一时间进行彻底的查杀和清除,并将检查结果进行汇总分析,形成报告。
病毒木马检查主要内容包括: 启动项分析; 隐藏文件、内核检测; 网络异常连接检测; 恶意文件扫描; 注册表分析; 清除恶意文件; 修复系统; 其他项; 溢出攻击
通过前期资料收集掌握的系统运行的各种应用程序进行分析、总
48
XX省高级人民法院等级保护网络安全建设方案
结,利用工具与工程经验结合的方式对各种应用程序进行缓冲区溢出攻击测试,发现存在溢出的程序,充分信息系统安全运行。
审核及日志记录
审核和日志记录指应用程序如何记录与安全相关的事件,确保网站系统日志功能已开启,并被管理员经常审核,许多攻击行为在Web系统日志中均能找到一些蛛丝马迹,通过对网站系统日志的审计发现一些潜在的或已实施的攻击行为。
渗透测试风险规避措施
渗透测试过程的最大的风险在于测试过程中对业务产生影响,为此我们在本项目采取以下措施来减小风险:
在渗透测试中不使用含有拒绝服务的测试策略。 渗透测试时间尽量安排在业务量不大的时段或者晚上。 在渗透测试过程中如果出现被评估系统没有响应的情况,应当立即停止测试工作,与XXX高级人民法院相关人员一起分析情况,在确定原因后,并待正确恢复系统,采取必要的预防措施(比如调整测试策略等)之后,才可以继续进行。
XXXX信息技术有限责任公司测试者会与XXX高级人民法院和安全管理人员保持良好沟通。随时协商解决出现的各种难题。
渗透测试部分工具介绍
该部分简要介绍渗透测试过程中可能使用到的工具,如果渗透测试中使用到别的工具不再另行说明。
信息收集工具
49
XX省高级人民法院等级保护网络安全建设方案
Nslookup:用于使用DNS查询的手段对被测网段主机进行DNS查询,并收集相应的主机名、DNS名。
Whois:进行NIC查询工具,了解被测网络的相关信息。 Tracert:进行路由查询,了解路由路径。判断网络链路和防火墙的相关情况。
网络扫描工具
DUMPSec:枚举Windows系统信息,包括用户组、注册表、打印和文件共享等信息。
Firewalk:该工具用于检测被测网络边界安全设备、包转发设备的访问控制策略及网络路径等。
LANguard Network Scanner:可用于对被测网络的端口进行扫描并探测操作系统指纹,通过NetBIOS查询获取主机信息。
Nmap:功能强大的开放源代码端口扫描工具,可以通过多种扫描方式对目标系统的开放端口和服务进行扫描。
Solarwinds:一套网络管理工具集合,包含了大量的网络管理和信息发现工具。
SuperScan:一个图形界面的端口扫描工具,可以快速的对开放端口进行扫描并探测主机存活情况,并带有DNS查询功能。
漏洞检测工具
Nessus:是一个免费的网络安全评估软件,功能强大且更新极快。该系统被设计为客户机/服务器模式,服务器端负责进行安全检查,客户端用来配置管理服务器端。可以对网络和主机存在的安全漏洞进
50
XX省高级人民法院等级保护网络安全建设方案
行扫描,检查的结果可以使用HTML、纯文本、XML、LaTeX等格式保存。
SARA:这是一个免费的网络安全评估软件,可以对网络和主机存在的安全漏洞进行扫描。
口令破解工具
John the Ripper:主要用于破解UNIX系统口令,但是该工具也支持多种HASH加密的口令破解。
L0pht Crack用于Windows NT、2000和XP的口令破解。 网络嗅探工具
Dsniff:可以收集网络中的机密信息,例如口令、电子邮件等,在渗透测试中,该工具还可用于中间人攻击。
Ethereal:可以在网络中被动的收集网络中的传输数据,并支持对数据进行细节分析,了解数据报文内容。
无线网络测试工具
Kismet:无线网络嗅探工具,支持大量无线网卡。 Netstumbler:用于检测网络中存在的无线接入点。 WEPCrack:可以支持对WEP加密进行破解。 其他WEB及数据库测试工具
包括部分公开及私有的WEB及数据库测试工具。 2.5.12渗透测试经验
51
XX省高级人民法院等级保护网络安全建设方案
渗透测试经验
XXX委网信办全省网络安全通报技术支撑 兰州公安局警务室技术支撑 中国电信集团公司探雷行动 XXX水利厅渗透测试服务
兰州市交通建设集团渗透测试服务 庆阳市西峰区政府渗透测试服务 2.6远程监控及预警服务 2.6.1Web 网站监控预警平台
Web 应用与云计算技术具有天然的联姻关系。基于 SaaS(软件即服务)的云计算技术模型,对 Web 安全监控系统提出好的解决思路。XXXX信息技术有限责任公司搭建 的Web 安全监测系统,对用户提供基于云计算(SaaS)模型的 Web 安全监测服务。
提供 7×24 小时的实时网站安全监测服务。一旦发现您的网站存在风险状况,我公司安全团队会第一时间通知您,并提供专业的安全解决建议。同时,基于 SaaS的 Web 安全监测系统结合公司安全专家团队为用户定期提供网站系统评估报告,及时、有效地掌握网站的风险状况及安全趋势,从而提供稳定、安全的 Web 应用环境。 2.6.2监控预警系统模型
如上图所示,云监控中心提供由二大部分组成:
52
XX省高级人民法院等级保护网络安全建设方案
(1)总控中心
总控中心提供三大功能: a)用户自助管理
用户可以注册到系统,进行自我评估和;同时查看当前网站系统运维情况信息汇总; b)规模监控管理
导入相关站点进行规模检测和防护处理;可以对垂直管理的下属机构进行评测监控处理,提早防范可能产生的外延威胁; c)趋势分析处理
针对系统具有的大量数据进行数据挖掘处理,预测、规整可能产生的攻击事前,提前预防。 (2)监控探针
探针,主要完成信息抓取、分析等工作,探针根据业务情况部署在不同区域,从而尽快感知整个网页态势。当前的主要在全国 5 个节点设置有探头。 2.6.3网站监控功能
网站安全监测服务涉及以下方面功能,如上图所示: Web系统扫描和漏洞扫描监控服务
目前该系统支持远程 OWASP 定义的 Web 威胁和及其相关的漏洞扫描监控服务。
通过远程的网站漏洞扫描服务,由XXXX安全专家定期进行网站
53
XX省高级人民法院等级保护网络安全建设方案
结构分析、漏洞分析,即时获得网站的漏洞情况,以及修补建议。 网站防钓鱼监控服务
防钓鱼系统,只针对 Web 业务处理进行监控服务。基于云 计算技术(SaaS),具有先天的防钓鱼有事。通过构建可信 URL 数据库、IP 信誉和自动化的扫描辅助以人工确认等综合手段,从而构建高效、准确的反钓鱼监控系统。 网页木马监测服务
系统基于“云安全”平台,采用业内领先的一体化挂马检测技术,高效、准确的识别网站页面中的恶意代码,从而使的网站管理员能够第一时间感知网站的安全状态,及时清除网页木马,避免给用户带来安全威胁,继而影响网站信誉。 远程网页篡改监测服务
对页面篡改监控提供二种模式处理
a)对于网站结构或者属性单一的用户,提供基于防护的篡改监控防护模式。用户可以根据自己情况,从管理中心下载与其服务器相对应的防篡改客户端,安装在自己服务器上,和管理中心互联,完成”监控-防护”的功能;
b)基于扫描的网页篡改监控服务。通过远程实时监测目标网站页面的信息,一旦发现页面被篡改情况,第一时间通知用户。用户可根据系统提供的安全建议及时修复被篡改页面,避免篡改事件影响扩散,给自身带来声誉和法律风险。 c)网页敏感信息监测服务
54
XX省高级人民法院等级保护网络安全建设方案
远程实时监测目标站点页面状况,发现页面出现敏感关键词,第一时间通知用户。用户可参考系统提供的安全建议及时删除敏感内容,避免事件影响扩散,给自身带来声誉和法律风险。用户也可以自定义所关心的敏感关键词。 d)网站应用监测服务
应用监控主要涉及以下指标:网站可用性、网站从不同线路来访问得速度情况、网站响应时间,从而判断是否能达到最优、最安全的服务质量。通过监测系统,从各省运营商网络线路远程实时监测目标站点在多种网络协议下的响应速度、首页加载时间等反映网站性能状况的内容,一旦发现网站无法访问,第一时间通知用户。 e)域名监测(DNS)服务
从各省运营商网络线路远程实时监测各地主流 ISP 的 DNS 缓存服务器和用户DNS 授权服务器的可用性,以及它们对被监测域名的解析结果情况。一旦发现用户域名无法解析或解析不正确,第一时间通知用户。用户可参考 WebRay 提供的安全建议恢复域名正常解析,避免域名不可用给访问者带来不好的体验。 f)安全情报分析
定期提供面向 Web 的安全漏洞、安全咨询以及 Web 攻击趋势分析报告,便于掌握并且规避相关安全问题。主要提供: 针对安全漏洞的分析和修复方案; 重大事件之前的安全预防以及相关通告;
定期关于网站威胁的分析报告,同时及推送国内的重大安全事件。
55
因篇幅问题不能全部显示,请点此查看更多更全内容