第三方安全测评服务评估技术方案.docx

第三方安全测评服务评估技术方案目录1技术建议书11.1 服务方案11.1.1 项目概况11.1.2 建设目标11.1.3 服务方法21.1.3.1 11常安全工作21.1.3.1.1 灌透测试柢述21.1.3.1.2 透测试意义31.1.3.1.3 渗透测试步骤41.1.3.1.4 浊透测试流程71.1.3.1.5 渗域测试报告91.1.3.2 三同步工作101.13.2.1 新业务上线安全检查目标101.13.2.2 2新业务上跳安全检查范围101.13.2.3新业务上线安全检杳内容101.1.3.3安全运维111.1.3.3.1 执行运维作业计划111.1.33.2设备运行运维111.1.3,3.3安全预警服务221.1.33.4应急响应演练251.1,3.4系统运雉311.1.3.4.1 系统运维柢述321.1.3.4.2 系统运维漉程321.1.3.4.3 统运维的内容341.1.3.4.4 系统运维的类型351.1.3.4.5 系统运维注意事项361.1.3.5.2 加大节日安全保障范用371.1.3.5.3 大节日安全保障内容381.13.6安全加固服务381.1.3.6.1 加固方法确定381.1.3.6.2 安全加固流程381.1.3.6.3 安全加固步骤411.1.3.6.4 实施验证411.1.3.6.5 加固蛤证411.1.3.6.6 补丁管理421.1.4 服务流程421.1.5 项目时间安排431.1.6 实施人员简历441.2 分工界面451.2.1 项目组织451.2.2 项目组织461.2.2.1 人员角色461.2.2.2 项目办公环境471.2.2.3 审计顾问访谈471.2.2.4 资料文档481.2.2.4.1 信息资产清单481.2.2.4.2 安全策略文档481.2.2.5 网络系统信息491.2.2.6 现有安全文档491.2.2.7 项目设备491.3 工具评细说明501.3.1 代码审计工具501.3.1.1 代码审计的系统原理5013.1.2.1软件功能分类511.3.1,2,2功能模块5113.1.2.3功能列表521.1.1.2.4 功能描述521.1.1.2.5 软件和安装所在便件设备对照表521.1.2 .3软件的体系结构5413.1.4 关犍技术541.3.1.5工具特点551.3.1.5.1 操作系统独立551.3.1.5.2 编译器独立、实除环境独立，搭建测试环境简单快速I1.统一5S1.3.1.5.3 工具学习、培训和使用的成本少，最小化影响实施进度5513.1.5.4I1.SiKJ1.i551.3.1.5.5 安全漏洞段前面广且全面（低漏报）561.3.1.5.6 安全查沏现则清晰且完全公开实现561.3.1.5.7 安全规则自定义简单而效561.3.1.5.8 审计性能571.3.1.5.9 规则自定义简单高效571.3.1.5.10 业务逻辑和架构WII险调查571.3.1.5.11 攻击路径的可视化,并以3。形式展现581.3.1.5.12 代码实践的加强581.3.1.5.13 该产品目前支持主流语言581.3.1.5.14 支持的主液框架O581.3.1.5.15 服务独立，全面的团队审计支持581.3.1.5.16 高度自动化审计任务591.3.1.5.17 支持多任务591.3.1.5.18 云服务实现591.3.2.2系统功能特性和性能指标591.3.2.2.1 软件功能分类591.3.2.2.2 能模块601.3.2.2.3 功能列表621.3.2.2.4 功能描述641.3.2.2.5 软件和安装所在硬件设在对照表6413.2.3软件的体系结构6S1.3,2.4关键技术6513.2.5工具特点661.3.3安全工具说明6613.3.1 信息收集工具6713.3.1.1.1 统介绍6713.3.1.1.2 行环境6713.3.1.1.3 源要求6713.3.2 网络扫描工具6713.3.2.1.1 具介绍6713.3.2.1.2 行环境6813.3.2.1.3 源要求681.3.3.3漏洞扫描系统681.3.33.1 系统介绍681.3.33.2 运行环境681.3.33.3 资源要求691.3.3.4 应用扫描系统691.3.3.4.1 系统介绍691.3.3.4.2 运行环境691.3.3,43资源要求691.3.3.5 安全配置核查系统691.3.3.5.1 运行环境701.3.3.5.2 资源要求7013.3.6 集成海透测试系统7013.3.6.1.1 系统介名47013.3.6.1.2 行环境7113.3.6.1.3 源要求7113.3.7 注入工具7113.3.7.1.1 具介绍7113.3.7.1.2 行环境7113.3.7.1.3 源要求7113.3.8 应用代理7213.3.8.1.1 具介绍7213.3.8.1.2 行环境7213.3.8.1.3 源要求7213.3.9 协议分析工具7213.3.9.1.1 具介绍7213.3.9.1.2 行环境7213.3.9.1.3 源要求721.4 技术资料详细清单731.4.1 信息资产清单731.4.2 安全策略文档731.4.3 测试工具文档741.5 服务内容751.6 实施计划761.6.1 实施方案761.6.1.1 项目启动计划761.6.1.2 项目进度时表771.6.13.1项目进度质量保证781.6.1.3,2项目进度控制方法781.6.13.3项目执行跟踪监控791.6.1.3.4项目管理会议措俺811.6.2项目质量管理841.6.2.1 质量控制841.6.2.2 质量记录851.6.2.3 标识可追溯851.6.2.4 审核与评审851.6.2.5 误差控制861.6.2.6 加固质量保隙871.6.2.7 评估质量保证871.63应急安全保障871.6.3.1 风险规避871.6.3.2 应急流程891.6.3.3 事件处理901.7成果验收911.7.1 项目成果交付911.7.1.1 安全评估交付物911.7.1.2 测试整改交付物921.7.1.3 其他项目交付物921.7.2 项目验收方案931.7.2.1 项目验收标准9417.2.2项目内容验收941.7.2.3项目质量验收951.8安全培训服务961.1.1 安全培训服务内容961.8.4 培训计划971.8.5 培训原则981.8.6 培训流程981.8.6.1 培训准备阶段981.8.6.2 培训实施阶段991.8.6.3 培训评估阶段991.8.6.4 培训流程示图1001.8.7 培训质量管理1001.8.8 培训楣关文档1012安全暮a议IOi2.1 概述1012.2 目标1012.3 安全整改措施1022.3.1 关于与组织管理的整改1022.3.2 关于网络与系统安全的整改1022.3.3 关于网络服务与应用系统的整改1032.3.4 关于安全技术管理与设备运行状况的整改1032.3.5 关于存他备份系统的整改1032.3.6 关于介质安全的整改1043项目蚪安排1051技术建议书1.1 服务方案1.1.1 项目概况近儿年来,信息安全的重要性逐步得到了各行业的广泛关注.国家相关部门也出台了多项政策、法规和标准，用以指导各行业的信息安全建设。由于信息安全相关的标准和法规相对抽象，加之信安中心承担了管理和生产职能，在突发事件处设等方面人员储备不足，受限于人员配置和资源问咫，部分安全工作需要大批安全工具及专人参与。为保障中国公司结合自身情况制定长期、系统、仃效的安全建设规划，提出驻场服务的需求。1.1.2 建设目标1、为安全工作开展提供高质量的安全保障服务。2、在发生网络调整，系统升级扩容，新系统上线等变更时，进行评估，给出明确的、可实施的安全建议及建设规划，配合相关安全工作开展。3、在日常工作中，协助安全人员开展定期的自查评估工作，设备或系统上线时，实施上线前的安全评估和反馈相关的制度、规范和流程的落实情况。4、保障日常工作中的网络安全。5、应急响应及安全事件分析.6、开展安全培训工作，提升相关人员的安全专业水平。7、对重要系统（网络安全整合平台）进行协助运维和推广。1.1.3服务方法本次安全值守服务项目我们提供以下服务方法，1.1.3.1 日常安全工作常态化漏洞扫描，弱口令检查，业务系统渗透测试及相关文档、总结撰写定期安全检查， 全网扫描（范围）。 根据目标主机数量制定扫描计划，每个月能保证至少完成一次对全部维护对象的安全扫描工作。 出具安全扫描结果并和维护人员进行面对面沟通确认，杼促维护人员进行整改和加固，加固结束后进行再次更查并出具更查报告，对于不能加固的漏洞提供安全解决建议。系统上线安全检杳：对手新的业务系统上线前，值守人抗配合完成上线设备的安全检查工作，安全检查包含以下几项工作：远程安全扫描 通过使用现有远程安全评估系统对上线设备进行扫描，确保没有离、中等级的安全问题，对于低等级的安全问题，应画保该问题不会泄露设备破惨信息本地安全检查 配合安全加固的对上线设备进行检查,以确保上线设备已进行了必要的安全设置 注：若已制定相关的安全准入规范，将使用提供的替代的远程油透窝试 对发杂的应用系统，如：系统，根据需求进远程渗透测试1.1.3.1.1 渗透测试概述渗透测试（）是指是从一个攻击者的角度来检查和审核一个网络系统的安全性的过程.通常由安全工程师尽可能完整地模拟黑客使用的漏涧发现技术和攻击手段，对目标网络/系统/主应用的安全性作深入的探测，发现系统最脆弱的环节。渗透测试能够直观的让管理人m知道自己网络所面临的问题作为一种专业的安全服务，类似于军队里的“实战演习”或者“沙盘推演”的概念，通过实战和推演，让清晰J'解目前网络的脆弱性、可能造成的影响，以便采取必要的防范措施。1.1.3.1.2 渗透测试意义从涵透测试中，客户能够得到的收益至少仃： 协助发现组织中的安全短板一次渗透测试过程也就是一次黑客入侵实例，其中所利用到的攻击渗透方法，也是其它具备相关技能的攻击者所最可能利用到的方法：由渗透测试结果所暴露出来的问卷.往往也是一个企业或组织中的安全最短木板，结合这些暴露出来的弱点和问题，可以协助企业有效的r解目前降低风险的最迫切任务，使在信息安全方面的有限投入可以得到最大的回报。 作为信息安全状况方面的具体证据和真实案例渗透测试的结果可以作为向投资方或管理人员提供的信息安全状况方面的具体证据，一份文档齐全有效的浅透测