一、 服務項
網絡架構分析:分析網絡架構中存在安全風險的不合理的地方、提供分析報告和改進建議。
安全漏洞評估:檢測網絡設備、操作系統、數據庫和應用服務中存在的安全漏洞,提供漏洞評估報告和修復建議。
安全配置評估:對系統中網絡設備、操作系統、數據庫和應用服務器的配置進行安全檢查,提供安全配置評估報告和改進建議。乙方采用專業的配置核查系統開展服務,有兩種服務模式,1、離線腳本檢查模式:乙方提供腳本給甲方運行,甲方再返回腳本運行結果給乙方;2、遠程登錄目標系統檢查模式,甲方提供目標系統賬號密碼,乙方采用自動登錄掃描方式進行配置核查。
安全加固:針對安全漏洞和安全配置評估中發現的安全漏洞和配置缺陷,提供加固意見和方案,配合客戶完成配置修復。
滲透測試:利用各種主流攻擊技術對客戶授權指定的應用系統做模擬攻擊測試,提供滲透測試報告和改進建議。
日志安全分析:1. 安全設備:對客戶現網中部署的安全設備進行有效的日志分析,找出系統存在的安全威脅,并形成日志分析報告。2. 核心服務器:通過人工以及工具對核心服務器日志進行安全分析,找出系統存在的安全威脅,如是否有入侵痕跡,是否存在挖礦病毒、是否有木馬后門等,并形成服務器風險分析報告。
互聯網資產稽查:為避免采購方存在未知的暴露資產,服務提供商通過威脅情報平臺+人工服務的方式,以網段為單位,利用平臺威脅情報平臺大數據分析能力,幫助采購方秒速發現資產在互聯網上的暴露面和安全狀況,同時輸出完善的報表進行數據展示并提供技術人員配合完成安全整改。
二、 服務方案
1. 網絡架構分析
會對目標網絡的網絡現狀、網絡建設規范性、網絡可靠性、網絡邊界安全、網絡流量分析、網絡通信安全、網絡設備安全和網絡安全管理這八個方面進行網絡架構安全性的全面分析,對整體網絡中的脆。弱點進行識別,評估結果包括定性和定量分析,讓用戶對網絡中存在的風險了如指掌。
網絡架構分析服務主要分為四個不同的階段:資料采集,架構分析,問題反饋和架構整改。
1.1對評估范圍內網絡現狀資料進行收集,獲取被評估網絡的整體布局信息,如前期網絡建設方案和圖表、查驗文檔、網絡邊界劃分、人工訪談、實地考察等方式對現狀進行深入調研。
1.2對獲取到的信息進行專家分析,根據整體網絡架構的具體信息和客戶實際情況提供可執行的建議解決方案。
1.3將問題通過多種方式清晰準確的反饋給客戶。
1.4用戶參考網絡架構分析結果及建議進行整改。
協助甲方規劃并制作標準和專業的企業網絡拓撲圖。
2. 安全漏洞評估
綠盟科技安全漏洞掃描服務為客戶提供包括網絡設備、操作系統、數據庫、常見應用服務器以及WEB應用等范圍的掃描。
整個安全漏洞掃描服務的流程分為三個階段:準備階段、掃描過程和報告匯報。通過這三個階段結合安全漏洞掃描內容和實際客戶系統情況,完成安全漏洞掃描服務。
2.1準備階段:前期技術交流包括相關安全掃描技術、掃描原理、掃描方式及掃描條件進行交流和說明;同時商談安全漏洞掃描服務的范圍,主要是哪些主機,網絡設備,應用系統等;并結合實際業務情況需求,確定掃描范圍,掃描實施的時間,設備接入點,IP地址的預留,配合人員及其他相關的整體漏掃方案。
2.2掃描過程:依據前期準備階段的漏掃方案,進行漏洞掃描、漏洞分析和漏洞測試,掃描過程主要是進行范圍內的漏洞信息數據收集,為下一步的報告撰寫提供依據和數據來源。漏洞掃描,主要采用綠盟遠程安全評估系統進行范圍內的安全掃描。漏洞分析,主要是對掃描結果進行分析,安全工程師會結合掃描結果和實際客戶系統狀況,進行安全分析。漏洞驗證,對部分需要人工確定和安全分析的漏洞,進行手工測試,以確定其準確性和風險性。
2.3報告與匯報:這個階段主要對現場進行掃描后的數據進行安全分析,安全工程師對綠盟遠程安全評估系統輸出的報告,漏洞分析結果及漏洞測試具體情況進行綜合梳理,分析,總結。最后給出符合客戶信息系統實際情況的安全需求的安全建議。
3.安全配置評估
安全配置檢查服務范圍包括各種網絡設備、安全設備、主機操作系統、數據庫、常見中間件及網絡服務應用等。
綠盟科技安全配置檢查通過“自動化工具配合人工分析”方式來完成。安全配置檢查的大致流程圖如下:(藍色為人工完成部分,綠色為自動化工具完成部分)
安全配置檢查流程圖
第一步:收集被檢查系統相關的登錄信息,并將登錄憑證錄入到自動化檢查工具中;
第二步:自動化檢查工具進行被檢查系統登錄;
第三步:自動化檢查工具使用內置的檢查規則,對被監測系統進行配置檢查;
第四步:自動化檢查工作將檢查收集到結果進行格式化保存,并與預定義的判斷依據進行對比分析;
第五步:將自動化工具對比分析結果進行統計分析;
第六步:形成安全配置檢查報告。
還有一種檢查方式是采用離線腳本安全配置檢查的方式。該方式的檢查流程如下:
離線腳本方式安全配置檢查流程圖
第一步:收集被檢查系統相關的登錄信息,并登錄該系統;
第二步:人工將離線檢查腳本上傳至被檢查系統;
第三步:運行離線檢查腳本,完成配置信息的檢查工作;
第四步:下載配置檢查完成后的原始數據報告;
第五步:將原始數據報告導入BVS對檢查結果進行統計分析;
第六步:形成安全配置檢查報告。
4.安全加固
安全加固服務并非直接的服務過程,需要通過前期對系統的資產調查、掃描、人工檢查和分析等過程,才可執行安全加固。
安全加固前需提出系統的安全加固方案,在加固過程中可能產生對系統的不同程度、不同方面的影響,因此,安全加固的方案內容需綜合考慮實際情況,針對不同的風險選擇不同的策略。
綠盟科技的具體安全加固服務工作流程如下:
5.滲透測試
內部測試和外部測試:內部測試是指經過用戶授權后,測試人員到達用戶工作現場,根據用戶的期望測試的目標直接接入到用戶的辦公網絡甚至業務網絡中。這種測試的好處就在于免去了測試人員從外部繞過防火墻、入侵保護等安全設備的工作。一般用于檢測內部威脅源和路徑。外部測試與內部測試相反,測試人員無需到達客戶現場,直接從互聯網訪問用戶的某個接入到互聯網的系統并進行測試即可。這種測試往往是應用于那些關注門戶站點的用戶,主要用于檢測外部威脅源和路徑。
黑盒測試和白盒測試:黑盒測試是指測試人員對除目標系統的IP或域名以外的信息一無所知的情況下對系統發起的測試工作,這種方式可以較好的模擬黑客行為,了解外部惡意用戶可能對系統帶來的威脅。
白盒測試則是指測試人員通過用戶授權獲取了部分信息的情況下進行的測試,如:目標系統的帳號、配置甚至源代碼。這種情況用戶模擬并檢測內部的惡意用戶可能為系統帶來的威脅。
滲透測試與漏洞評估區別:滲透測試不同于漏洞評估,而且在實施方式和方向上也與其有著很大的區別。
漏洞評估是在已知系統上,對已知的弱點進行排查。滲透測試往往是“黑盒測試”,測試者模擬黑客,不但要在未知系統中發現弱點,而且還要驗證部分高危險的弱點,甚至還會挖掘出一些未知的弱點。
根據一次滲透測試和二次復測結果,整理滲透測試服務輸出成果,最后匯報項目領導。
在滲透測試實施工作完成后三個工作日內,滲透測試人員將出示一份滲透測試報告。
根據測試結果,綠盟科技測試人員將針對每種威脅進行詳細描述,描述內容至少包括了測試范圍、過程、使用的技術手段以及獲得的成果。
除此之外,綠盟科技測試人員還將結合測試目標的具體威脅內容編寫解決方案和相關的安全建議,為管理員的維護和修補工作提供參考。
6.日志安全服務
日志安全分析服務主要分析日志如下方面的內容:
u 常見Web攻擊行為,包括XSS、SQLinj、暴力破解等;
u 操作系統可疑行為,包括關機、重啟、增刪賬戶等;
u 網絡可疑行為,包括網絡設備關機、重啟、配置變更等;
u 安全設備監控告警行為,包括檢測的攻擊行為、設備自身可疑操作行為等。
日志分析服務的大致流程圖如下:
第一步:日志分析支持申請;
第二步:判斷故障類型;
第二步:獲取對應的日志文件;
第三步:完成日志的分析;
第四步:形成日志分析報告;
第五步:整體匯報。
7.互聯網暴露資產稽查
對于企業IT管理人員來說,資產屬性,識別,位置以及變更情況都十分重要。要想時時刻刻掌控企業互聯網暴露資產環境,必須對新增資產,變化資產和資產脆弱性等信息了如指掌。
綠盟云提供企業互聯網暴露資產環境的資產感知和稽查功能,通過掃描指定的 IP 地址范圍,嗅探哪些設備新增,通過嗅探設備端口范圍,了解啟動哪些服務。通過單一通用端口探測并轉向多協議探測,發現更多網絡服務類型和相關數據,經過周期性對比和核實,構建資產安全脆弱性分析系統,實現根據異構網絡資產元數據和服務數據的圖譜構建和自動化分析,并提供可視化呈現和安全評估報告。
