渗透测试风险评估核心技术专业方案.docx

一、渗透测试 1.1、概述 渗透测试关键依据已经发觉安全漏洞，模拟黑客攻击方法对系统和网络进行非破坏性质攻击性测试，此次将作为评定关键对浙江省水利厅应用网站系统每个月一次进行全方面渗透测试，从而从深层次发觉浙江省水利厅应用系统存在安全问题。 1.2、渗透测试方法 黑客攻击入侵需要利用目标网络安全弱点，渗透测试也是一样道理。它模拟真正黑客入侵攻击方法，以人工渗透为主，辅助以攻击工具使用，这么确保了整个渗透测试过程全部在能够控制和调整范围之内。 1.3、渗透测试前后系统状态 因为采取可控制、非破坏性质渗透测试，所以不会对被评定系统造成严重影响。在渗透测试结束后，系统将基础保持一致。 1.4、渗透测试过程 渗透测试步骤图以下图所表示： 渗透测试步骤图 Ø 预攻击阶段操作简述 1) 踩点获取目标基础信息 踩点能够了解目标主机和网络部分基础安全信息，关键有： u 管理员联络信息，电话号，传真号； u IP地址范围； u DNS服务器； u 邮件服务器。 相关搜索方法： 搜索网页 确定目标信息，为以后发动字典和木马入侵做准备；寻求网页源代码找注释和隐藏域，寻求隐藏域中"FORM"标识。比如： <FORM action=/Poll/poll.asp method=post> <input type=hidden name=vice value=vice> </FORM> 能够提议SQL注入攻击，为以后入侵数据库做准备。 相关工具：UNIX下Wget,Windows下Teleport等。 链接搜索 目标网站所在服务器可能有其它含有弱点网站，能够进行迂回入侵，而且能够发觉一些隐含信息。 搜索方法介绍：经过多种搜索引擎：如谷歌。 2) 查点 确定目标域名和相关网络信息 Whois查询，经过Whois数据库查询能够得到以下信息： 1，注册机构：显示相关注册信息和相关Whois服务器； 2，机构本身：显示和某个特定机构相关全部信息； 3，域名：显示和某个特定域名相关全部信息 4，网络：显示和某个特定网络或单个IP地址相关全部信息； 5，联络点:显示和某位特定人员相关全部信息 利用ARIN数据库查询某个域名所对应网络地址分配信息 知道了目标所在网络，能够进行迂回渗透，寻求微弱点，进入目标网络，然后再攻击目标。 DNS信息查询 域名系统许可把一个DNS命名空间分割成多个区，各个去分别保留一个或多个DNS域名字信息。 区复制和区传送：DNS服务器之间是采取区传送机制来同时和复制区内数据。区传送安全问题不在于所传输域名信息，而在于其配置是否正确。因为有些域名信息当中包含了不应该公开内部主机和服务器域名信息。 3) 网络扫描 经过使用漏洞扫描工具和定制脚本工具这些自动化工具对浙江省水利厅应用系统进行扫描，发觉存在显著安全漏洞。大多数网络攻击者就是使用这种简便快捷方法来搜集被攻击系统相关信息，从而有针对性对系统进行攻击。 4) 获取深入信息 从这一步能够得到比之前更多更具体有用信息，比如：帐户信息等。 Windows系统查点技术 利用NetBIOS规则，首先介绍NetBIOS,NetBOIS在TCP/IP之上，定义了多个TCP和UDP端口。 TCP方法 （1），139：nbsession:NetBOIS会话。 比如：net use \\IP\ipc$ " " /user:" ". （2），42：WINS：Windows Internet名字系统（UDP端口也是42）。 UDP方法 （1）137：nbname:名字查询。 比如：nbtstat -A IP //03中显示不是计算机名就是用户名 （2）138：nbdatagram:UDP数据报服务 比如：net send /d:domain-name "Hello" Ø 渗透攻击阶段 1) WEB注入 现在入侵事件，攻击WWW居多，原因也很简单，那就是程序员在编写 WEB脚本程序时根本不重视安全原因，造成了上传shell,提升权限之类严重后果，入侵渗透测试关键经过以下多个方面进行测试： 搜索SQL注入点； 搜索特定目录和文件，比如：上传程序文件； 寻求管理员登陆网页，进行字典或SQL饶过入侵； 寻求WEB程序源代码，进行漏洞挖掘，关键包含漏洞类型有：SQL注入， 跨站脚本，文件包含漏洞，目录跳转漏洞，以脚本文件格式保留错误日志漏 洞，上传漏洞； 2) 远程溢出 这是目前出现频率最高、威胁最严重，同时又是最轻易实现一个渗透方法，一个含有通常网络知识入侵者就能够在很短时间内利用现成工具实现远程溢出攻击。 对于防火墙内系统一样存在这么风险，只要对跨接防火墙内外一台主机攻击成功，那么经过这台主机对防火墙内主机进行攻击就易如反掌。 3) 口令猜测 口令猜测也是一个出现概率很高风险，几乎不需要任何攻击工具，利用一个简单暴力攻击程序和一个比较完善字典，就能够猜测口令。 对一个系统账号猜测通常包含两个方面：首先是对用户名猜测，其次是对密码猜测。 4) 当地溢出 所谓当地溢出是指在拥有了一个一般用户账号以后，经过一段特殊指令代码取得管理员权限方法。使用当地溢出前提是首先要取得一个一般用户密码。也就是说因为造成当地溢出一个关键条件是设置不妥密码策略。 多年实践证实，在经过前期口令猜测阶段获取一般账号登录系统以后，对系统实施当地溢出攻击，就能获取不进行主动安全防御系统控制管理权限。 1.5、渗透测试计划 制订渗透测试计划将使得安全扫描将在浙江省水利厅授权和监督下进行，避免攻击意味和恶意攻击者乘势利用。同时渗透计划在确定后应控制在一定范围。 渗透测试能够分为黑盒和白盒渗透。黑盒渗透是浙江省水利厅只告诉被渗透目标域名（或IP），然后由渗透测试方去进行安全渗透测试，白盒渗透是浙江省水利厅提供被渗透目标域名、IP、系统版本、数据库版本、测试帐号等一系列信息，然后由渗透测试方去进行安全渗透测试。 渗透测试也能够分为外部渗透和内部渗透。外部渗透是渗透测试方在互联网上模拟入侵者对浙江省水利厅网站系统进行安全渗透测试，内部渗透是渗透测试方在中浙江省水利厅内部网模拟入侵者和内部人员进行渗透测试。 此次测试根据浙江省水利厅要求，能够用白盒或黑盒，外部或内部形式进行渗透测试。 1.6、渗透测试结果输出 渗透测试结果将以汇报（《渗透测试汇报》）形式（word）作为风险评定汇报一部分提交给浙江省水利厅，渗透测试能够作为安全威胁分析一个关键数据起源。 渗透测试汇报具体描述了渗透测试结果和过程，并使用文字和抓图形式来描述渗透测试过程。 1.7、系统备份和恢复方法 为预防在渗透测试过程中出现异常情况，全部被评定系统均应在被评定之前作一次完整系统备份或关闭正在进行操作，方便在系统发生灾难后立即恢复。 数据备份后进行恢复演练，检测备份数据和应急恢复步骤有效性。 Ø 操作系统类：制作系统应急盘，依据不一样系统对系统信息，注册表，sam文件，/etc中配置文件和其它含相关键系统配置信息和用户信息目录和文件进行备份，并应该确保备份本身安全。 Ø 数据库系统类：对数据库系统进行数据转储，并妥善保护好备份数据。同时对数据库系统配置信息和用户信息进行备份。 Ø 网络应用系统类：对网络应用服务系统及其配置、用户信息、数据库等进行备份。 1.8、风险和应对方法 渗透测试过程最大风险在于测试过程中对业务产生影响，为此我们在本项目采取以下方法来减小风险： l 在渗透测试中不使用含有拒绝服务测试策略； l 渗透测试时间尽可能安排在业务量不大时段或晚上； l 渗透测试在实施过程中，会增加被渗透网络和主机负载（5%以下），对系 统性能不会造成影响。不过假如网站程序不够健壮，可能会造成链接耗尽等 影响正常业务情况。在渗透测试过程中假如出现被评定系统没有响应或其 她显著错误情况，应该立即停止测试工作，和浙江省水利厅配合人员一起 分析情况，在确定原因后，并正确恢复系统，采取必需预防方法（比如调 整测试策略等）以后，才能够继续进行假如被渗透测试主机上除了有被渗透测试网站，还有其它网站，其它网站一样会受到上述影响，请相关人员做好备份等工作； l 实施人员在实施过程中，当渗透工作有进展时候，应立即通知浙江省水利 厅相关人员 l 当实施对系统影响较大操作时候（如：向数据库添加表），应先向浙江省水利厅相关人员申请，得到授权许可后再实施 l 测试者和浙江省水利厅管理员保持良好沟通，随时协商处理出现多种难题； 二、风险评定 2.1、风险评定范围 此次风险评定范围为省社保“金保”业务专网，包含对公众和对内提供服务73个业务系统和其所依靠物理环境、网络环境、主机操作系统和数据库系统，和安全管理情况。 2.2、风险评定分析 在安全评定服务中，参考GB/T20984-安全模型，确定以下风险评定方法，以下图所表示： 风险评定模型 风险分析中要包含资产、威胁、脆弱性等基础要素。每个要素有各自属性，资产属性是资产价值；威胁属性是威胁出现频率；脆弱性属性是资产弱点严重程度。风险分析关键内容为： l 对资产进行识别，并对资产关键性进行赋值； l 对威胁进行识别，描述威胁属性，并对威胁出现频率赋值； l 对资产脆弱性进行识别，并对具体资产脆弱性严重程度赋值； l 依据威胁和脆弱性识别结果判定安全事件发生可能性； l 依据脆弱性严重程度及安全事件所作用资产关键性计算安全事件损失； l 依据安全事件发生可能性和安全事件损失，计算安全事件一旦发生对组织影响，即风险值。 2.3、风险管理计划 风险评定步骤 风险评定准备是整个风险评定过程有效性确保。组织实施风险评定是一个战略性考虑，其结果将受到组织业务战略、业务步骤、安全需求、系统规模和结构等方面影响。所以，在风险评定实施前，应做好以下工作准备： 确定风险评定范围：明确风险评定对象是正式进行风险评定前提，不然无法全方面、关键发觉问题； 组建合适评定管理和实施团体：针对此次项目要求指定协调接口人和专员，由省社保和安全评定服务商顾问团体共同组成风险评定管理和实施团体； 选择和组织相适应具体风险判定方法：依据此次项目要求，选择并确定风险分析方法； 取得最高管理者对风险评定工作支持：经过开启会议、沟通会和汇报会等方法不停加强和提升领导对于此项工作关注和重视。 2.4、风险汇报出具 我们采取下面矩阵方法来得到安全风险等级： 1.经过以下矩阵定义了威胁可能性和脆弱性等级对应关系。 威胁-脆弱性对应矩阵 低等级威胁 中等级威胁 高等级威胁 低等级脆弱性 低威胁可能 低威胁可能 中威胁可能 中等级脆弱性 低威胁可能 中威胁可能 高威胁可能 高等级脆弱性 中威胁可能 高威胁可能 高威胁可能 2.经过以下矩阵提供了资产风险确定方法。 风险等级矩阵 低威胁可能 中威胁可能 高威胁可能 低价值资产 低风险 低风险 中风险 中等价值资产 低风险 中风险 高风险 高价值资产 中风险 高风险 高风险 风险评定模型中，关键是以保护省社保信息资产为关键，所以风险计算也是围绕信息资产进行。关键分为两类风险：安全管理类风险、安全技术类风险。其中安全技术类风险又分为物理安全类风险、网络安全类风险、主机安全类风险、应用安全类风险和数据安全类风险。安全管理风险评定是以等级保护为标准，从整个宏观管理层面上对安全风险进行，和具体信息资产关联度不高，只对弱点和威胁进行评定，归纳出风险，而不单独和资产进行风险计算。 网络安全风险关键对现有网络安全构架进行分析，经过网络安全整体构架、安全域划分、网络可用性、安全设备监控及信息审计等多个方面评定。依据网络安全构架类风险普遍存在于信息资产中这一特点，所以在这两方面只进行弱点和威胁评定，归纳出风险，而不单独和信息资产进行风险计算。 主机安全风险评定关键是对主机平台进行安全性检验，评定设备所面临风险。考虑到各个平台设备安全配置管理将统一标准，所以对设备类风险赋值是以系统平台为对象，对设备存在威胁和弱点进行风险赋值。依据设备平台类风险普遍存在于信息资产中这一特点，所以在这两方面只进行弱点和威胁评定，归纳出风险，而不单独和信息资产进行风险计算。 应用系统是信息资产关键载体及表现形式，同时它也是和信息资产结合最紧密。对应用系统风险评定关键表现为信息资产评定，经过信息资产等级、其存在弱点和面临威胁，计算出信息资产风险等级。 综合上述对网络、主机、应用等相关资产评定，最终形成省社保“金保”业务专网《信息安全风险评定汇报》。