1、1.1 在线安全监测1.1.1 网站安全监测背景当前,互联网在国内政治、经济、文化以及社会生活中发挥着愈来愈重要作用,作为国家核心基本设施和新生产、生活工具,互联网发展极大地增进了信息流通和共享,提高了社会生产效率和人民生活水平,增进了经济社会发展。网络安全形势日益严峻,针对国内互联网基本设施和金融、证券、交通、能源、海关、税务、工业、科技等重点行业联网信息系统探测、渗入和袭击逐渐增多。基本网络防护能力提高,但安全隐患不容忽视;政府网站篡改类安全事件影响巨大;以顾客信息泄露为代表与网民利益密切有关事件,引起了公众对网络安全广泛关注;遭受境外网络袭击持续增多;网上银行面临钓鱼威胁愈演愈烈;工业控
2、制系统安全事件呈现增长态势;手机恶意程序现多发态势;木马和僵尸网络活动越发猖獗;应用软件漏洞呈现迅猛增长趋势;DDoS袭击依然呈现频率高、规模大和转嫁袭击特点。1.1.2 网站安全监测服务简介11.1.2.1 基本信息安全分析对网站基本信息进行扫描评估,如网站使用WEB发布系统版本,使用BBS、CMS版本;检测网站与否备案等备案信息;此外判断目的网站使用应用系统与否存在已公开安全漏洞,与否有调试信息泄露等安全隐患等。1.1.2.2 网站可用性及平稳度监测回绝服务、域名劫持等是网站可用性面临重要威胁;远程监测方式对回绝服务检测,可用性指通过PING、HTTP等判断网站响应速度,然后经分析用以进一
3、步判断网站与否被回绝服务袭击等。域名安全面,可以判断域名解析速度检测,即DNS祈求解析目的网站域名成功解析IP速度。1.1.2.3 网站挂马监测功能挂马袭击是指袭击者在已经获得控制权网站网页中嵌入恶意代码 (普通是通过IFrame、Script引用来实现),当顾客访问该网页时, 嵌入恶意代码运用浏览器自身漏洞、第三方ActiveX漏洞或者其他插件(如Flash、PDF插件等)漏洞, 在顾客不知情状况下下载并执行恶意木马。网站被挂马不但严重影响到了网站公众信誉度,还也许对访问该网站顾客计算机导致很大破坏。普通状况下,袭击者挂马目只有一种:利益。 如果顾客访问被挂网站时,顾客计算机就有也许被植入病
4、毒,这些病毒会偷盗各类账号密码,如网银账户、游戏账号、邮箱账号、QQ及MSN账号等。 植入病毒还也许破坏顾客本地数据,从而给顾客带来巨大损失,甚至让顾客计算机沦为僵尸网络中一员。1.1.2.4 网站敏感内容及防篡改监测基于远程Hash技术,实时对重点网站页面真实度进行监测,判断页面与否存在敏感内容或遭到篡改,并依照相应规则进行报警1.1.2.5 网站安全漏洞监测Web时代互联网应用不断扩展,在以便了互联网顾客同步也打开了罪恶之门。在地下产业巨大经济利益驱动之下,网站挂马形势越来越严峻。全球知名反恶意软件组织StopBadware研究报告显示,全球有10%站点都存在恶意链接或被挂马。一旦一种网站
5、被挂马,将会不久使得浏览该网站顾客计算机中毒,导致客户敏感信息被窃取,反过来使得网站失去顾客信任,从而丧失顾客;同步当前主流安全工具、浏览器、搜索引擎等都开展了封杀挂马网站行动,一旦网站浮现挂马,将会失去90%以上顾客。网站挂马主线因素,绝大多数是由于网站存在SQL注入漏洞和跨站脚本漏洞导致。特别是随着自动化挂马工具发展,这些工具会自动大面积扫描互联网,自动找到存在SQL注入漏洞网站,并自动注入挂马代码。因此解决挂马问题需要从源头上加强网站安全。1. SQL注入漏洞检测通过对各种字段进行注入测试,除了对老式get参数字段进行检测,还对COOKIE,REFERER 、URL中PATH字段等HTT
6、P头部字段进行检测。同步,通过使用网页动态参数鉴定、网页构造分析等技术,有效过滤非动态参数,大大提高了检测效率,减少了误报也许性。采用各种业内领先辨认技术进行漏洞鉴定,如核心字匹配、返回信息智能辨认等技术。2. XSS跨站脚本漏洞检测通过使用网页动态参数鉴定、网页构造分析等技术,有效过滤非动态参数,大大提高了检测效率,减少了误报也许性。采用各种业内领先辨认技术进行漏洞鉴定,如核心字匹配、返回信息智能辨认等技术。针对XSS跨站漏洞特殊性和检测环境复杂性,储备了大量XSS检测代码,从而保证了漏洞检出成功率,避免浮现未做进一步研究及优化,导致误报率特别高。3. 其她漏洞检测可检测其她WEB应用常用漏
7、洞,如CSRF漏洞检测、CGI漏洞检测、表单绕过漏洞等检测。1.1.2.6 主机脆弱性扫描1. 脆弱性扫描与分析渐进式扫描办法可以运用已经发现资产信息进行针对性扫描,以发现主机上不同应用对象(操作系统和应用软件)弱点和漏洞,同步保证扫描过程迅速和成果精确。当前,可检测漏洞数量已经超过3000种,涵盖了各种常用网络主机、操作系统、应用系统和数据库系统安全漏洞。任务管理和方略管理功能,可以使顾客扫描操作变得更加以便和灵活。顾客可以使用默认扫描方略或者自定义扫描方略,创立特定或者自动筹划任务,调节扫描参数以提高扫描效率,甚至可以在同一种任务中对不同对象采用不同方略进行扫描,从而以便实现更具针对性脆弱
8、性扫描。在扫描任务执行过程中,就可以将扫描过程信息、阶段性扫描成果实时显示出来,并且可以生成在线报表。在扫描任务结束后,使用报表管理功能可以对扫描成果进行细致全面分析,生成面向不同安全管理角色诸如主管领导、管理人员、技术人员客户化报表。报表可以分漏洞扫描、资产记录和弱点评估3大类20各种,以记录、比较、交叉、评估、详述等各种办法对扫描成果进行分析,支持以XML、HTML、WORD、Excel、PDF、RTF等各种惯用格式导出,以便顾客使用。2. 脆弱性风险评估对漏洞、主机和网络脆弱性风险进行评估和定性。采用最新CVSS v2原则来对所有漏洞进行统一评级,客观呈现其危险级别。在此基本上,运用漏洞
9、CVSS评分,综合被扫描资产保护级别和资产价值,采用参照国标制定风险评估算法,可以对主机、网络脆弱性风险做出定量和定性综合评价,协助顾客明确主机和网络脆弱性风险级别,制定出合理脆弱性风险管理方略。漏洞信息描述中包括CVSS评分,主机和网络脆弱性风险评估结论会在弱点评估报表中直接体现,并且对风险控制办法做出建议。3. 弱点修复指引通过CVSS评分,可以直接给修复工作提供优先级指引,以保证最危险漏洞被先修复。下表显示了CVSS评分和修复工作优先级关系,并给出推荐修复工作时限:CVSS分值优先级别修补时间01P4可以自由决定14P33-6个月47P2最多4周710P1最多2周漏洞修复工作优先级别每个
10、漏洞均有详细描述,涉及漏洞阐明、影响系统、平台、危险级别以及原则CNCVE、CVE、BUGTRAQ等相应关系以及链接信息,并提供修补方案,如系统加固建议、安全配备环节、以及补丁下载链接等,这些信息可以协助顾客建立对漏洞全面结识,对的完毕弱点修复工作。1.1.2.7 成果分析服务远程网站安全检查服务是针对互联网网站安全需求,依托自动化安全检测平台和专业网站防护专家团队,结合漏洞扫描在实际环境使用中存在问题,推出定制化人工网页挂马检查服务和网页漏洞检查服务,通过与检测软件配合,最大化保证检测真实性,这样能有效辅助信息管理人员解决网络中应用存在安全问题,便于公共安全工作展开。1. 精确辨认当前流行挂
11、马行为通过与远程网站安全检查服务结合,可以覆盖涉及:Iframe框架挂马、JS文献挂马、JS变形加密等十余种当前流行挂马方式,通过在自动化安全检查平台沙箱虚拟环境中充分暴露其行为模式,准拟定位网页挂马所在位置。能辅助顾客一针见血发现问题,同步也能提供更细化安全解决意见。2. 辨认常用Web应用漏洞通过与远程网站安全检查服务基于先进自动化安全检查平台,可以更精准辨认当前流行Web应用漏洞,例如SQL注入、跨网站脚本袭击以及缓存溢出等,并且定位Web应用漏洞所在位置,同步也能结合顾客实际环境,提供合理解决建议。3. 精确原则化检测报告对交付自动化检测成果,可在安全专家实际审核后形成。这样流程有效避
12、免了误报发生也许性,保证检测成果真实精确性,也能保证咱们网监检测内容更精确,同步也能给出更合理、更科学解决方案。4. 专家级木马清除方案和漏洞修复建议当最后交付检测报告发现网站存在网页挂马现象或者WEB应用程序漏洞,安全专家还会在报告中提出专家级挂马清除方案和漏洞修复建议。顾客可以依照报告建议进行网站安全应急解决,保障了漏洞检测真正意义。1.1.2.8 监测周期本项目监测规模约为山东省XXX互联网系统,依照以往经验,按照平均每个域名1000URL进行估算。咱们建议可从网站可用性、网站脆弱性(漏洞)以及网站内容安全(挂马、核心字、网页变更)等几种方面对网站进行监测,详细监测方略建议如下:序号监控
13、类别监控周期监控页面深度1网站可用性、平稳度监测5分钟/次首页2网页敏感信息及防篡改监测5分钟/次首页6小时/次检测至二级页面,页面总数不超过5003网页挂马监测10分钟/次首页24小时/次检测至二级页面,页面总数不超过5004WEB漏洞监测7天/次所有页面5系统漏洞检测7天/次所有站点1.1.2.9 安全监测功能列表功能模块阐明篡改检测网页变更检测变更检测功能用来远程监控目的网站与否发生变更,与否被篡改。内容安全检测网页木马检测对网站使用基于老式静态匹配特性、云特性等各种检测手段,鉴别网站页面与否存在挂马,精确率95%。WEB脆弱性检测SQL注入检测检测网站与否存在SQL注入漏洞,支持如下类
14、型注入检测:Get参数/Post参数/Cookie中变量/HTTP头部变量注入检测优化SQL注入检测算法,可以智能归类属于同一模板文献所有页面,提高检测速度XSS漏洞检测检测网站与否存在XSS漏洞,支持反射型XSS、存储型XSS和DOM型XSS检测CSRF漏洞检测检测网站与否存在CSRF漏洞,支持Get、Post、Ajax型CSRF检测Web应用漏洞检测基于Web漏洞库Web漏洞检测,支持精确Web应用、Web容器、Web服务端语言、操作系统辨认技术,包括500条以上第三方软件漏洞CGI漏洞检测覆盖全面CGI漏洞检测,可以支持1000条以上检测规则表单绕过检测精确辨认出后台地址与登录表单地址,
15、支持检测基于弱口令表单绕过,基于SQL注入表单绕过系统脆弱性检测操作系统脆弱性检测检测常用操作系统如Microsoft Windows、Sun Solaris、HP Unix、IBM AIX、Linux、BSD等存在系统漏洞应用系统脆弱性检测检测主流WEB服务器如IIS、Apache、NginX等,重要中间件如Tomcat、Websphere、Weblogic等系统漏洞数据库系统脆弱性检测检测常用数据库如SQL Server、Oracle、Sybase、DB2、MySQL存在漏洞可用性检测域名解析速度检测DNS祈求解析目的网站域名成功解析IP速度域名劫持检测能检测到类似 GFW DNS 污染,
16、即篡改 DNS 响应数据包内容行为;能检测到大某些 ISP 域名劫持PING探测Ping目的网站得到响应速度HTTP探测HTTP祈求目的网站得到响应速度站点信息检测Web应用探测支持Web应用及版本辨认,涵盖涉及国内外最常用CMS,BBS,Blog,eShop,web框架等类型Web应用服务端指纹辨认精准辨认目的网站操作系统类型、Web容器类型、服务端语言及有关版本信息网站服务器端口检测检测网站服务器端口开放状况,例如数据库端口,额外Web服务端口,FTP服务端口等网站备案检测检测网站与否备案网站whois信息检测检测网站域名whois信息,域名与否到期等网站内容安全检测暗链检测检测网站与否被
17、嵌入暗链地址,普通为在浏览器中隐藏不可见广告链接,如网游、博彩,色情等广告链接。内容泄露检测检测网站与否存在如下内容泄露:内网IP地址信息泄露、数据库信息泄露、网站调试信息泄露、网站目录浏览、Web服务器途径信息泄露、电子邮件地址信息泄露、不安全Flash参数配备文献泄露检测检测网站与否存在如下文献泄露:网站敏感目录泄露、网站备份文献泄露、数据库备份文献泄露、svn信息泄露、phpinfo文献信息泄露、服务器探针文献信息泄露、webshell检测编辑器暂时文献信息泄露、Shell历史文献信息泄漏1.1.3 工作时间本阶段工作期限为24个月。1.1.4 参加人员山东XX山东XX信息科技部门技术总监项目顾问项目经理技术工程师人数:不限人数:3-5人1.1.5 交付成果项目验收将交付如下工作成果: 每月出具一份互联网信息系统安全监测报告 发现袭击或漏洞及时告知并记录
浙ICP备2021020529号-1 | 浙B2-20240490 
