安全技术服务技术整体解决方案

安全技术服务技术整体解决方案年安全技术服务技术建议书

二○一五年十二月

目录

1.项目概况简述 (1)

1.1项目原则 (1)

2.项目解决方案 (1)

2.1渗透测试解决方案 (2)

2.2代码审计服务解决方案 (13)

2.3基础设备安全评估解决方案 (20)

2.4应急响应和演练解决方案 (50)

2.5APP安全评估解决方案 (53)

2.6安全加固整改建议解决方案 (60)

2.7新业务上线安全检查解决方案 (67)

2.8安全培训解决方案 (67)

3.项目实施方案 (70)

3.1项目组成员 (70)

3.2项目分工界面 (73)

3.3工作量的计算方法及依据 (78)

3.4项目进度 (78)

3.5项目质量保证措施 (80)

4.项目售后服务 (86)

5.安全工具简述 (86)

5.1渗透测试工具 (86)

5.2代码审计工具 (94)

1. 项目概况简述

1.1项目原则

安全服务的方案设计与具体实施满足以下原则：

保密原则：对服务的过程数据和结果数据严格保密，未经授权不得泄露给任何单位和个人，不得利用此数据进行任何侵害求方网络的行为，否则求方有权追究的责任。

（2）标准性原则：服务方案的设计与实施依据国内或国际的相关标准进行；

（3）规范性原则：服务提供商的工作中的过程和文档，具有严格的规范性，可以便于项目的跟踪和控制；

可控性原则：服务用的工具、方法和过程要在双方认可的范围之内，服务的进度要跟上进度表的安排，保证求方对于服务工作的可控性；

（5）整体性原则：服务的范围和内容当整体全面，包括安全涉及的各个层面，避免由于遗漏造成未来的安全隐患；

最小影响原则：服务工作尽可能小的影响系统和网络的正常运行，不能对现网的运行和业务的正常提供产生显著影响（包括系统性能明显下降、网络拥塞、服务中断，如无法避免出现这些情况在答书上详细描述）；

针对上述各项，在技术方案中落实诸原则各方面，并予以详细解释。

2. 项目解决方案

该部分重点针对各类系统，主动发现安全隐患及不符合相关规范的问题，及时整改，防患未然。主要包括安全管理咨询服务和安全技术评估服务。

对服务系统提供周期性的安全评估服务。该服务严格参照和各类系统安全配置规范执行，防护能力测评按照工信部《网络单元安全防护检测评分方法（试

行）》执行。

具体服务内容详见以下正文。

2.1渗透测试解决方案

2.1.1渗透测试简介

2.1.1.1渗透测试概念

渗透测试（Penetration Test）,是完全模拟黑客可能使用的攻击技术和漏洞发现技术，对目标系统的安全做深入的探测，发现系统最脆弱的环节。

渗透测试：主要通过对目标系统信息的全面收集、对系统中网路设备的探测、对服务器系统主机的漏洞扫描、对应用平台及数据库系统的安全性扫描及通过应用系统程序的安全性渗透测试等手段来完成对整个系统的安全性渗透检测。该渗透测试是一个完整、系统的测试过程，涵盖了网络层面、主机层面、数据层面以及安全服务层面的安全性测试。

2.1.1.2渗透测试原理

渗透测试主要依据CVE（Common Vulnerabilities & Exposures公共漏洞和暴露）已经发现的安全漏洞，以及隐患漏洞。模拟入侵者的攻击方法对应用系统、服务器系统和网络设备进行非破坏性质的攻击性测试。

2.1.1.3渗透测试目标

渗透测试利用各种安全扫描器对网站及相关服务器等设备进行非破坏性质的模拟入侵者攻击，目的是侵入系统并获取系统信息并将入侵的过程和细节总结编写成测试报告，由此确定存在的安全威胁，并能及时提醒安全管理员完善安全策略，降低安全风险。

人工渗透测试和工具扫描可以很好的互相补充。工具扫描具有很好的效率和速度，但是存在一定的误报率，不能发现高层次、复杂的安全问题；渗透

测试对测试者的专业技能很高（渗透测试报告的价值直接依赖于测试者的专业技能），但是非常准确，可以发现逻辑性更强、更深层次的弱点。

2.1.1.4渗透测试特点

入侵者的攻击入侵要利用目标网络的安全弱点，渗透测试也是同样的道理。测试人员模拟真正的入侵者入侵攻击方法，以人工渗透为主，辅助以攻击工具的使用，以保证整个渗透测试过程都在可以控制和调整的范围之内，同时确保对网络没有造成破坏性的损害。

由于采用可控制的、非破坏性质的渗透测试，因此不会对被评估的客户信息系统造成严重的影响。在渗透测试结束后，客户信息系统将基本保持一致。

2.1.2渗透测试的安全意义

从渗透测试中，客户能够得到的收益有：

（1）协助用户发现组织中的安全最短木板

一次渗透测试过程也就是一次黑客入侵实例，其中所利用到的攻击渗透方法，也是其它具备相关技能的攻击者所最可能利用到的方法；由渗透测试结果所暴露出来的问题，往往也是一个企业或组织中的安全最短木板，结合这些暴露出来的弱点和问题，可以协助企业有效的了解目前降低风险的最迫切任务，使在网络安全方面的有限投入可以得到最大的回报。

（2）作为网络安全状况方面的具体证据和真实案例

渗透测试的结果可以作为向投资方或管理人员提供的网络安全状况方面的具体证据，一份文档齐全有效的渗透测试报告有助于IT 组织管理者以案例的形式向相关人员直观展示目前企业或组织的安全现状，从而增强员工对信息安全的认知程度，提高相关人员的安全意识及素养，甚至提高组织在安全方面的预算。

（3）发现系统或组织里逻辑性更强、更深层次的弱点

渗透测试和工具扫描可以很好的互相补充。工具扫描具有很好的效率