还剩9页未读,继续阅读
本资源只提供10页预览,全部文档请下载后查看!喜欢就下载吧,查找使用更方便
文本内容:
在线安全监测L1网站安全监测背景当前,互联网在中国政治、经济、文化以及社会生活中发挥着愈来愈重要的作用,作为国家关键基础设施和新的生产、生活工具,互联网的发展极大地促进了信息流通和共享,提高了社会生产效率和人民生活水平,促进了经济社会的发展网络安全形势日益严峻,针对中国互联网基础设施和金融、证券、交通、能源、海关、税务、工业、科技等重点行业的联网信息系统的探测、渗透和攻击逐渐增多基础网络防护能力提升,但安全隐患不容忽视;政府网站篡改类安全事件影响巨大;以用户信息泄露为代表的与网民利益密切相关的事件,引起了公众对网络安全的广泛关注;遭受境外的网络攻击持续增多;网上银行面临的钓鱼威胁愈演愈烈;工业控制系统安全事件呈现增长态势;手机恶意程序现多发态势;木马和僵尸网络活动越发猖獗;应用软件漏洞呈现迅猛增长趋势;DDoS攻击依然呈现频率高、规模大和转嫁攻击的特点2网站安全监测服务介绍
1.
1.基本信息安全分析
1.
1.
2.1对网站基本信息进行扫描评估,如网站使用的WEB发布系统版本,使用的BBS、CMS版本;检测网站是否备案等备案信息;另域名劫持检测能检测到类似的污染,即篡改响应数据包内容GFW DNSDNS的行为;能检测到大部分域名劫持ISP探测目标网站得到响应的速度PING Ping探测请求目标网站得到响应的速度HTTP HTTP应用探测站点信息Web支持应用及版本的识别,涵盖包括国内外最常见的Web检测框架等类型的应用CMS,BBS,Blog,eShop,web Web服务端指纹识别精准识别目标网站的操作系统类型、容器类型、服务端语Web言及相关的版本信息网站服务器端口检测网站服务器的端口开放情况,比如数据库端口,额外的Web检测服务端口,服务端口等FTP网站备案检测检测网站是否备案网站信息检测网站域名的信息,域名是否到期等whois whois检测暗链检测网站内容检测网站是否被嵌入暗链地址,一般为在浏览器中隐藏不可见安全检测的广告链接,如网游、博彩,色情等广告链接内容泄露检测检测网站是否存在以下内容泄露内网地址信息泄露、数据IP库信息泄露、网站调试信息泄露、网站目录浏览、服务器路Web径信息泄露、电子邮件地址信息泄露、不安全的参数配置Flash文件泄露检测检测网站是否存在以下文件泄露网站敏感目录泄露、网站备份文件泄露、数据库备份文件泄露、信息泄露、文件svn phpinfo信息泄露、服务器探针文件信息泄露、检测webshell编辑器临时文件信息泄露、历史文件信息泄漏Shell工作时间LI.3本阶段工作期限为24个月参与人员山东XX山东XX技术总监项目顾问项目经理技术工信息科技部门程师人数不限人数3-5人交付成果
1.
1.5项目验收招交付如下工作成果»每月出具一份《互联网信息系统安全监测报告》>发现攻击或漏洞及时通知并记录外判断目标网站使用的应用系统是否存在已公开的安全漏洞,是否有调试信息泄露等安全隐患等网站可用性及平稳度监测拒绝服务、域名劫持等是网站可用性面临的重要威胁;远程监测的方式对拒绝服务的检测,可用性指经过PING、HTTP等判断网站的响应速度,然后经分析用以进一步判断网站是否被拒绝服务攻击等域名安全方面,能够判断域名解析速度检测,即DNS请求解析目标网站域名成功解析IP的速度网站挂马监测功能
1.
1.
2.3挂马攻击是指攻击者在已经获得控制权的网站的网页中嵌入恶意代码(一般是经过IFrame、Script引用来实现),当用户访问该网页时,嵌入的恶意代码利用浏览器本身的漏洞、第三方ActiveX漏洞或者其它插件(如Flash、PDF插件等)漏洞,在用户不知情的情况下下载并执行恶意木马网站被挂马不但严重影响到了网站的公众信誉度,还可能对访问该网站的用户计算机造成很大的破坏一般情况下,攻击者挂马的目的只有一个利益如果用户访问被挂网站时,用户计算机就有可能被植入病毒,这些病毒会偷盗各类账号密码,如网银账户、游戏账号、邮箱账号、QQ及MSN账号等植入的病毒还可能破坏用户的本地数据,从而给用户带来巨大的损失,甚至让用网站敏感内容及防篡改监测户计算机沦为僵尸网络中的一员基于远程Hash技术,实时对重点网站的页面真实度进行监测,判断页面是否存在敏感内容或遭到篡改,并根据相应规则进行报苟攵网站安全漏洞监测
1.
1.
2.5Web时代的互联网应用不断扩展,在方便了互联网用户的同时也打开了罪恶之门在地下产业巨大的经济利益驱动之下,网站挂马形势越来越严峻全球知名反恶意软件组织StopBadware的研究报告显示,全球有io%的站点都存在恶意链接或被挂马一旦一个网站被挂马,将会很快使得浏览该网站用户计算机中毒,导致客户敏感信息被窃取,反过来使得网站失去用户的信任,从而丧失用户;同时当前主流安全工具、浏览器、搜索引擎等都开展了封杀挂马网站行动,一旦网站出现挂马,将会失去90%以上用户网站挂马的根本原因,绝大多数是由于网站存在SQL注入漏洞和跨站脚本漏洞导致特别是随着自动化挂马工具的发展,这些工具会自动大面积扫描互联网,自动找到存在SQL注入漏洞的网站,并自动注入挂马代码因此解决挂马问题需要从源头上加强网站的安全注入漏洞检测
1.SQL经过对多个字段进行注入测试,除了对传统的get参数字段进彳亍检测,还又寸COOKIE,REFERER、URL中的PATH字段等HTTP头部字段进行检测同时,经过使用网页动态参数判定、网页结构分析等技术,有效过滤非动态参数,大大提高了检测效率,降低了误报的可能性采用多种业内领先的识别技术进行漏洞判定,如关键字匹配、返回信息智能识别等技术跨站脚本漏洞检测
2.XSS经过使用网页动态参数判定、网页结构分析等技术,有效过滤非动态参数,大大提高了检测效率,降低了误报的可能性采用多种业内领先的识别技术进行漏洞判定,如关键字匹配、返回信息智能识别等技术针对XSS跨站漏洞的特殊性和检测环境的复杂性,储备了大量的XSS检测代码,从而保证了漏洞检出的成功率,避免出现未做深入的研究及优化,导致误报率特别高其它漏洞检测
3.可检测其它WEB应用常见漏洞,如CSRF漏洞检测、CGI漏洞检测、表单绕过漏洞等检测主机脆弱性扫描
1.
1.
2.6脆弱性扫描与分析
1.渐进式的扫描方法能够利用已经发现的资产信息进行针对性扫描,以发现主机上不同应用对象(操作系统和应用软件)的弱点和漏洞,同时保证扫描过程的快速和结果的准确当前,可检测的漏洞数量已经超过3000种,涵盖了各种常见的网络主机、操作系统、应用系统和数据库系统的安全漏洞任务管理和策略管理功能,能够使用户的扫描操作变得更加方便和灵活用户能够使用默认扫描策略或者自定义扫描策略,创立特定或者自动计划任务,调整扫描参数以提高扫描效率,甚至能够在同一个任务中对不同的对象采用不同的策略进行扫描,从而方便的实现更具针对性的脆弱性扫描在扫描任务执行的过程中,就能够将扫描的过程信息、阶段性的扫描结果实时显示出来,而且能够生成在线报表在扫描任务结束后,使用报表管理功能能够对扫描结果进行细致全面的分析,生成面向不同安全管理角色诸如主管领导、管理人员、技术人员的客户化报表报表能够分漏洞扫描、资产统计和弱点评估3大类20多种,以统计、比较、交叉、评估、详述等多种方法对扫描结果进行分析,支持以XML、HTML、WORD、Excel.PDF、RTF等多种常见格式导出,方便用户使用脆弱性风险评估
2.对漏洞、主机和网络的脆弱性风险进行评估和定性采用最新的CVSS V2标准来对所有漏洞进行统一评级,客观的展现其危险级别在此基础上,利用漏洞的CVSS评分,综合被扫描资产的保护等级和资产价值,采用参考国家标准制定的风险评估算法,能够对主机、网络的脆弱性风险做出定量和定性的综合评价,帮助用户明确主机和网络的脆弱性风险等级,制定出合理的脆弱性风险管理策略漏洞信息的描述中包含CVSS评分,主机和网络的脆弱性风险评估结论会在弱点评估报表中直接体现,而且对风险控制措施做出建议弱点修复指导
3.经过CVSS评分,能够直接给修复工作提供优先级的指导,以确保最危险的漏洞被先修复下表显示了CVSS评分和修复工作优先级的关系,并给出推荐的修复工作时限分值优先级别修补时间CVSS0-1P4能够自由决定14P33-6个月〜47P2最多4周〜710P1最多2周〜漏洞修复工作的优先级别每个漏洞都有详细的描述,包括漏洞的说明、影响的系统、平台、危险级别以及标准的CNCVE、CVE、BUGTRAQ等对应关系以及链接信息,并提供修补方案,如系统加固建议、安全配置步骤、以及补丁下载链接等,这些信息能够帮助用户建立对漏洞的全面认识,正确完成弱点修复工作结果分析服务
1.
1.
2.7远程网站安全检查服务是针对互联网网站安全需求,依托自动化安全检测平台和专业网站防护专家团队,结合漏洞扫描在实际环境使用中存在的问题,推出定制化人工的网页挂马检查服务和网页漏洞检查服务,经过与检测软件配合,最大化保证检测的真实性,这样能有效的辅助信息管理人员解决网络中应用存在的安全问题,便于公共安全工作的展开准确识别当前流行的挂马行为
1.经过与远程网站安全检查服务的结合,能够覆盖包括1frame框架挂马、JS文件挂马、JS变形加密等十余种当前流行的挂马方式,经过在自动化的安全检查平台沙箱虚拟环境中充分暴露其行为模式,准确的定位网页挂马所在的位置能辅助用户一针见血发现问题,同时也能提供更细化的安全解决意见.识别常见的应用漏洞2Web经过与远程网站安全检查服务基于先进的自动化安全检查平台,能够更精确的识别当前流行的Web应用漏洞,例如SQL注入、跨网站脚本攻击以及缓存溢出等,而且定位Web应用漏洞所在的位置,同时也能结合用户实际环境,提供合理的解决建议准确的标准化检测报告
3.对交付的自动化检测结果,可在安全专家的实际审核后形成这样的流程有效的避免了误报发生的可能性,确保检测结果的真实准确性,也能保证我们网监检测内容更准确,同时也能给出更合理、更科学的解决方案专家级的木马清除方案和漏洞修复建议
4.当最终交付的检测报告发现网站存在网页挂马现象或者WEB应用程序漏洞,安全专家还会在报告中提出专家级挂马清除方案和漏洞修复建议用户能够根据报告建议进行网站安全应急处理,保障了漏监测周期洞检测的真正意义本项目监测规模约为山东省XXX互联网系统,根据以往经验,按照平均每个域名1000URL进行估算我们建议可从网站的可用性、网站的脆弱性(漏洞)以及网站的内容安全(挂马、关键字、网页变更)等几个方面对网站进行监测,具体的监测策略建议如下:序号监控类别监控周期监控页面深度网站可用性、平稳度监5分钟/次首页1测5分钟/次首页网页敏感信息检测至二级页面,页面总数不超2及防篡改监测6小时/次过500网页挂马监测10分钟/次首页3检测至二级页面,页面总数不超24小时/次过500WEB漏洞监测7天/次全部页面4系统漏洞检测7天/次全部站点5安全监测功能列表
1.
1.
2.9篡改检测网页变更检测变更检测功能用来远程监控目标网站是否发生变更,是否被篡改网页木马检测内容安全对网站使用基于传统静态匹配特征、云特征等多种检测手段,检测判别网站页面是否存在挂马,准确率〉95%注入检测脆弱SQL检测网站是否存在注入漏洞,支持如下类型的注入检测WEB SQLGet性检测参数/Post参数/Cookie中变量/HTTP头部变量的注入检测优化的注入检测算法,能够智能归类属于同一模板文件的所有页SQL面,提高检测速度漏洞检测XSS检测网站是否存在漏洞,支持反射型、存储型和XSS XSSXSS型的检测D0M XSS漏洞检测检测网站是否存在漏洞,支持、、型的CSRF CSRFGet PostAjax检测CSRFWeb应用漏洞检基于Web漏洞库的Web漏洞检测,支持准确的Web应用、Web测容器、Web服务端语言、操作系统识别技术,包含500条以上的第三方软件漏洞漏洞检测覆盖全面的漏洞检测,能够支持条以上检测规则CGI CGI1000表单绕过检测准确识别出后台地址与登录的表单地址,支持检测基于弱口令的表单绕过,基于注入的表单绕过SQL系统脆弱操作系统脆弱检测常见操作系统如Microsoft WindowsSun SolarisHP性检测性检测Unix、IBM AIX、Linux、BSD等存在的系统漏洞应用系统脆弱检测主流的服务器如、等,主要的中WEB IISApache NginX性检测间件如Tomcat、Websphere、Weblogic等的系统漏洞数据库系统脆检测常见数据库如SQL ServerOracle SybaseDB2MySQL弱性检测存在的漏洞可用性检域名解析速度DNS请求解析目标网站域名成功解析IP的速度测检测。
个人认证
优秀文档
获得点赞 0
