一、 服务项
网络架构分析:分析网络架构中存在安全风险的不合理的地方、提供分析报告和改进建议。
安全漏洞评估:检测网络设备、操作系统、数据库和应用服务中存在的安全漏洞,提供漏洞评估报告和修复建议。
安全配置评估:对系统中网络设备、操作系统、数据库和应用服务器的配置进行安全检查,提供安全配置评估报告和改进建议。乙方采用专业的配置核查系统开展服务,有两种服务模式,1、离线脚本检查模式:乙方提供脚本给甲方运行,甲方再返回脚本运行结果给乙方;2、远程登录目标系统检查模式,甲方提供目标系统账号密码,乙方采用自动登录扫描方式进行配置核查。
安全加固:针对安全漏洞和安全配置评估中发现的安全漏洞和配置缺陷,提供加固意见和方案,配合客户完成配置修复。
渗透测试:利用各种主流攻击技术对客户授权指定的应用系统做模拟攻击测试,提供渗透测试报告和改进建议。
日志安全分析:1. 安全设备:对客户现网中部署的安全设备进行有效的日志分析,找出系统存在的安全威胁,并形成日志分析报告。2. 核心服务器:通过人工以及工具对核心服务器日志进行安全分析,找出系统存在的安全威胁,如是否有入侵痕迹,是否存在挖矿病毒、是否有木马后门等,并形成服务器风险分析报告。
互联网资产稽查:为避免采购方存在未知的暴露资产,服务提供商通过威胁情报平台+人工服务的方式,以网段为单位,利用平台威胁情报平台大数据分析能力,帮助采购方秒速发现资产在互联网上的暴露面和安全状况,同时输出完善的报表进行数据展示并提供技术人员配合完成安全整改。
二、 服务方案
1. 网络架构分析
会对目标网络的网络现状、网络建设规范性、网络可靠性、网络边界安全、网络流量分析、网络通信安全、网络设备安全和网络安全管理这八个方面进行网络架构安全性的全面分析,对整体网络中的脆。弱点进行识别,评估结果包括定性和定量分析,让用户对网络中存在的风险了如指掌。
网络架构分析服务主要分为四个不同的阶段:资料采集,架构分析,问题反馈和架构整改。
1.1对评估范围内网络现状资料进行收集,获取被评估网络的整体布局信息,如前期网络建设方案和图表、查验文档、网络边界划分、人工访谈、实地考察等方式对现状进行深入调研。
1.2对获取到的信息进行专家分析,根据整体网络架构的具体信息和客户实际情况提供可执行的建议解决方案。
1.3将问题通过多种方式清晰准确的反馈给客户。
1.4用户参考网络架构分析结果及建议进行整改。
协助甲方规划并制作标准和专业的企业网络拓扑图。
2. 安全漏洞评估
绿盟科技安全漏洞扫描服务为客户提供包括网络设备、操作系统、数据库、常见应用服务器以及WEB应用等范围的扫描。
整个安全漏洞扫描服务的流程分为三个阶段:准备阶段、扫描过程和报告汇报。通过这三个阶段结合安全漏洞扫描内容和实际客户系统情况,完成安全漏洞扫描服务。
2.1准备阶段:前期技术交流包括相关安全扫描技术、扫描原理、扫描方式及扫描条件进行交流和说明;同时商谈安全漏洞扫描服务的范围,主要是哪些主机,网络设备,应用系统等;并结合实际业务情况需求,确定扫描范围,扫描实施的时间,设备接入点,IP地址的预留,配合人员及其他相关的整体漏扫方案。
2.2扫描过程:依据前期准备阶段的漏扫方案,进行漏洞扫描、漏洞分析和漏洞测试,扫描过程主要是进行范围内的漏洞信息数据收集,为下一步的报告撰写提供依据和数据来源。漏洞扫描,主要采用绿盟远程安全评估系统进行范围内的安全扫描。漏洞分析,主要是对扫描结果进行分析,安全工程师会结合扫描结果和实际客户系统状况,进行安全分析。漏洞验证,对部分需要人工确定和安全分析的漏洞,进行手工测试,以确定其准确性和风险性。
2.3报告与汇报:这个阶段主要对现场进行扫描后的数据进行安全分析,安全工程师对绿盟远程安全评估系统输出的报告,漏洞分析结果及漏洞测试具体情况进行综合梳理,分析,总结。最后给出符合客户信息系统实际情况的安全需求的安全建议。
3.安全配置评估
安全配置检查服务范围包括各种网络设备、安全设备、主机操作系统、数据库、常见中间件及网络服务应用等。
绿盟科技安全配置检查通过“自动化工具配合人工分析”方式来完成。安全配置检查的大致流程图如下:(蓝色为人工完成部分,绿色为自动化工具完成部分)
安全配置检查流程图
第一步:收集被检查系统相关的登录信息,并将登录凭证录入到自动化检查工具中;
第二步:自动化检查工具进行被检查系统登录;
第三步:自动化检查工具使用内置的检查规则,对被监测系统进行配置检查;
第四步:自动化检查工作将检查收集到结果进行格式化保存,并与预定义的判断依据进行对比分析;
第五步:将自动化工具对比分析结果进行统计分析;
第六步:形成安全配置检查报告。
还有一种检查方式是采用离线脚本安全配置检查的方式。该方式的检查流程如下:
离线脚本方式安全配置检查流程图
第一步:收集被检查系统相关的登录信息,并登录该系统;
第二步:人工将离线检查脚本上传至被检查系统;
第三步:运行离线检查脚本,完成配置信息的检查工作;
第四步:下载配置检查完成后的原始数据报告;
第五步:将原始数据报告导入BVS对检查结果进行统计分析;
第六步:形成安全配置检查报告。
4.安全加固
安全加固服务并非直接的服务过程,需要通过前期对系统的资产调查、扫描、人工检查和分析等过程,才可执行安全加固。
安全加固前需提出系统的安全加固方案,在加固过程中可能产生对系统的不同程度、不同方面的影响,因此,安全加固的方案内容需综合考虑实际情况,针对不同的风险选择不同的策略。
绿盟科技的具体安全加固服务工作流程如下:
5.渗透测试
内部测试和外部测试:内部测试是指经过用户授权后,测试人员到达用户工作现场,根据用户的期望测试的目标直接接入到用户的办公网络甚至业务网络中。这种测试的好处就在于免去了测试人员从外部绕过防火墙、入侵保护等安全设备的工作。一般用于检测内部威胁源和路径。外部测试与内部测试相反,测试人员无需到达客户现场,直接从互联网访问用户的某个接入到互联网的系统并进行测试即可。这种测试往往是应用于那些关注门户站点的用户,主要用于检测外部威胁源和路径。
黑盒测试和白盒测试:黑盒测试是指测试人员对除目标系统的IP或域名以外的信息一无所知的情况下对系统发起的测试工作,这种方式可以较好的模拟黑客行为,了解外部恶意用户可能对系统带来的威胁。
白盒测试则是指测试人员通过用户授权获取了部分信息的情况下进行的测试,如:目标系统的帐号、配置甚至源代码。这种情况用户模拟并检测内部的恶意用户可能为系统带来的威胁。
渗透测试与漏洞评估区别:渗透测试不同于漏洞评估,而且在实施方式和方向上也与其有着很大的区别。
漏洞评估是在已知系统上,对已知的弱点进行排查。渗透测试往往是“黑盒测试”,测试者模拟黑客,不但要在未知系统中发现弱点,而且还要验证部分高危险的弱点,甚至还会挖掘出一些未知的弱点。
根据一次渗透测试和二次复测结果,整理渗透测试服务输出成果,最后汇报项目领导。
在渗透测试实施工作完成后三个工作日内,渗透测试人员将出示一份渗透测试报告。
根据测试结果,绿盟科技测试人员将针对每种威胁进行详细描述,描述内容至少包括了测试范围、过程、使用的技术手段以及获得的成果。
除此之外,绿盟科技测试人员还将结合测试目标的具体威胁内容编写解决方案和相关的安全建议,为管理员的维护和修补工作提供参考。
6.日志安全服务
日志安全分析服务主要分析日志如下方面的内容:
u 常见Web攻击行为,包括XSS、SQLinj、暴力破解等;
u 操作系统可疑行为,包括关机、重启、增删账户等;
u 网络可疑行为,包括网络设备关机、重启、配置变更等;
u 安全设备监控告警行为,包括检测的攻击行为、设备自身可疑操作行为等。
日志分析服务的大致流程图如下:
第一步:日志分析支持申请;
第二步:判断故障类型;
第二步:获取对应的日志文件;
第三步:完成日志的分析;
第四步:形成日志分析报告;
第五步:整体汇报。
7.互联网暴露资产稽查
对于企业IT管理人员来说,资产属性,识别,位置以及变更情况都十分重要。要想时时刻刻掌控企业互联网暴露资产环境,必须对新增资产,变化资产和资产脆弱性等信息了如指掌。
绿盟云提供企业互联网暴露资产环境的资产感知和稽查功能,通过扫描指定的 IP 地址范围,嗅探哪些设备新增,通过嗅探设备端口范围,了解启动哪些服务。通过单一通用端口探测并转向多协议探测,发现更多网络服务类型和相关数据,经过周期性对比和核实,构建资产安全脆弱性分析系统,实现根据异构网络资产元数据和服务数据的图谱构建和自动化分析,并提供可视化呈现和安全评估报告。
绿盟云互联网资产稽查团队接到新订单后,由值守人员将订单信息录入到互联网资产稽查平台系统中。当互联网资产稽查平台对客户提供的IP地址稽查完毕之后,输出稽查报告,并由专业人员根据稽查结果信息二次筛选、人工验证,经过判断如果确认为重复信息进行删重处理,根据资产暴露面评估对外暴露资产风险值,最后输出互联网资产稽查报告,递交客户。