互联网系统在线安全监测技术方案标书样本.doc

1、资料内容仅供您学习参考，如有不当之处，请联系改正或者删除。 1.1 在线安全监测 1.1.1 网站安全监测背景 当前, 互联网在中国政治、 经济、 文化以及社会生活中发挥着愈来愈重要的作用, 作为国家关键基础设施和新的生产、 生活工具, 互联网的发展极大地促进了信息流通和共享, 提高了社会生产效率和人民生活水平, 促进了经济社会的发展。 网络安全形势日益严峻, 针对中国互联网基础设施和金融、 证券、 交通、 能源、 海关、 税务、 工业、 科技等重点行业的联网信息系统的探测、 渗透和攻击逐渐增多。基础网络防护能力提升, 但安全隐患不容忽视; 政府网站篡改类安全事件影响巨大; 以用户信息

2、泄露为代表的与网民利益密切相关的事件, 引起了公众对网络安全的广泛关注; 遭受境外的网络攻击持续增多; 网上银行面临的钓鱼威胁愈演愈烈; 工业控制系统安全事件呈现增长态势; 手机恶意程序现多发态势; 木马和僵尸网络活动越发猖獗; 应用软件漏洞呈现迅猛增长趋势; DDoS攻击依然呈现频率高、 规模大和转嫁攻击的特点。 1.1.2 网站安全监测服务介绍 1 1.1.2.1 基本信息安全分析 对网站基本信息进行扫描评估, 如网站使用的WEB发布系统版本, 使用的BBS、 CMS版本; 检测网站是否备案等备案信息; 另外判断目标网站使用的应用系统是否存在已公开的安全漏洞, 是否有调试信息泄露等

3、安全隐患等。 1.1.2.2 网站可用性及平稳度监测 拒绝服务、 域名劫持等是网站可用性面临的重要威胁; 远程监测的方式对拒绝服务的检测, 可用性指经过PING、 HTTP等判断网站的响应速度, 然后经分析用以进一步判断网站是否被拒绝服务攻击等。 域名安全方面, 能够判断域名解析速度检测, 即DNS请求解析目标网站域名成功解析IP的速度。 1.1.2.3 网站挂马监测功能 挂马攻击是指攻击者在已经获得控制权的网站的网页中嵌入恶意代码 ( 一般是经过IFrame、 Script引用来实现) , 当用户访问该网页时, 嵌入的恶意代码利用浏览器本身的漏洞、 第三方ActiveX漏洞或者其

4、它插件( 如Flash、 PDF插件等) 漏洞, 在用户不知情的情况下下载并执行恶意木马。 网站被挂马不但严重影响到了网站的公众信誉度, 还可能对访问该网站的用户计算机造成很大的破坏。一般情况下, 攻击者挂马的目的只有一个: 利益。 如果用户访问被挂网站时, 用户计算机就有可能被植入病毒, 这些病毒会偷盗各类账号密码, 如网银账户、 游戏账号、 邮箱账号、 QQ及MSN账号等。 植入的病毒还可能破坏用户的本地数据, 从而给用户带来巨大的损失, 甚至让用户计算机沦为僵尸网络中的一员。 1.1.2.4 网站敏感内容及防篡改监测 基于远程Hash技术, 实时对重点网站的页面真实度进行监测,

5、判断页面是否存在敏感内容或遭到篡改, 并根据相应规则进行报警 1.1.2.5 网站安全漏洞监测 Web时代的互联网应用不断扩展, 在方便了互联网用户的同时也打开了罪恶之门。在地下产业巨大的经济利益驱动之下, 网站挂马形势越来越严峻。 全球知名反恶意软件组织StopBadware的研究报告显示, 全球有10%的站点都存在恶意链接或被挂马。一旦一个网站被挂马, 将会很快使得浏览该网站用户计算机中毒, 导致客户敏感信息被窃取, 反过来使得网站失去用户的信任, 从而丧失用户; 同时当前主流安全工具、 浏览器、 搜索引擎等都开展了封杀挂马网站行动, 一旦网站出现挂马, 将会失去90%以上用户。 网

6、站挂马的根本原因, 绝大多数是由于网站存在SQL注入漏洞和跨站脚本漏洞导致。特别是随着自动化挂马工具的发展, 这些工具会自动大面积扫描互联网, 自动找到存在SQL注入漏洞的网站, 并自动注入挂马代码。因此解决挂马问题需要从源头上加强网站的安全。 1. SQL注入漏洞检测 经过对多个字段进行注入测试, 除了对传统的get参数字段进行检测, 还对COOKIE, REFERER 、 URL中的PATH字段等HTTP头部字段进行检测。同时, 经过使用网页动态参数判定、 网页结构分析等技术, 有效过滤非动态参数, 大大提高了检测效率, 降低了误报的可能性。采用多种业内领先的识别技术进行漏洞判定, 如

7、关键字匹配、 返回信息智能识别等技术。 2. XSS跨站脚本漏洞检测 经过使用网页动态参数判定、 网页结构分析等技术, 有效过滤非动态参数, 大大提高了检测效率, 降低了误报的可能性。采用多种业内领先的识别技术进行漏洞判定, 如关键字匹配、 返回信息智能识别等技术。 针对XSS跨站漏洞的特殊性和检测环境的复杂性, 储备了大量的XSS检测代码, 从而保证了漏洞检出的成功率, 避免出现未做深入的研究及优化, 导致误报率特别高。 3. 其它漏洞检测 可检测其它WEB应用常见漏洞, 如CSRF漏洞检测、 CGI漏洞检测、 表单绕过漏洞等检测。 1.1.2.6 主机脆弱性扫描 1. 脆弱性

8、扫描与分析 渐进式的扫描方法能够利用已经发现的资产信息进行针对性扫描, 以发现主机上不同应用对象( 操作系统和应用软件) 的弱点和漏洞, 同时保证扫描过程的快速和结果的准确。当前, 可检测的漏洞数量已经超过3000种, 涵盖了各种常见的网络主机、 操作系统、 应用系统和数据库系统的安全漏洞。 任务管理和策略管理功能, 能够使用户的扫描操作变得更加方便和灵活。用户能够使用默认扫描策略或者自定义扫描策略, 创立特定或者自动计划任务, 调整扫描参数以提高扫描效率, 甚至能够在同一个任务中对不同的对象采用不同的策略进行扫描, 从而方便的实现更具针对性的脆弱性扫描。 在扫描任务执行的过程中, 就能

9、够将扫描的过程信息、 阶段性的扫描结果实时显示出来, 而且能够生成在线报表。在扫描任务结束后, 使用报表管理功能能够对扫描结果进行细致全面的分析, 生成面向不同安全管理角色诸如主管领导、 管理人员、 技术人员的客户化报表。报表能够分漏洞扫描、 资产统计和弱点评估3大类20多种, 以统计、 比较、 交叉、 评估、 详述等多种方法对扫描结果进行分析, 支持以XML、 HTML、 WORD、 Excel、 PDF、 RTF等多种常见格式导出, 方便用户使用。 2. 脆弱性风险评估 对漏洞、 主机和网络的脆弱性风险进行评估和定性。 采用最新的CVSS v2标准来对所有漏洞进行统一评级, 客观的展

10、现其危险级别。在此基础上, 利用漏洞的CVSS评分, 综合被扫描资产的保护等级和资产价值, 采用参考国家标准制定的风险评估算法, 能够对主机、 网络的脆弱性风险做出定量和定性的综合评价, 帮助用户明确主机和网络的脆弱性风险等级, 制定出合理的脆弱性风险管理策略。 漏洞信息的描述中包含CVSS评分, 主机和网络的脆弱性风险评估结论会在弱点评估报表中直接体现, 而且对风险控制措施做出建议。 3. 弱点修复指导 经过CVSS评分, 能够直接给修复工作提供优先级的指导, 以确保最危险的漏洞被先修复。下表显示了CVSS评分和修复工作优先级的关系, 并给出推荐的修复工作时限: CVSS分值 优

11、先级别 修补时间 0～1 P4 能够自由决定 1～4 P3 3-6个月 4～7 P2 最多4周 7～10 P1 最多2周 漏洞修复工作的优先级别 每个漏洞都有详细的描述, 包括漏洞的说明、 影响的系统、 平台、 危险级别以及标准的CNCVE、 CVE、 BUGTRAQ等对应关系以及链接信息, 并提供修补方案, 如系统加固建议、 安全配置步骤、 以及补丁下载链接等, 这些信息能够帮助用户建立对漏洞的全面认识, 正确完成弱点修复工作。 1.1.2.7 结果分析服务 远程网站安全检查服务是针对互联网网站安全需求, 依托自动化安全检测平台和专业网站防护专家团队, 结合

12、漏洞扫描在实际环境使用中存在的问题, 推出定制化人工的网页挂马检查服务和网页漏洞检查服务, 经过与检测软件配合, 最大化保证检测的真实性, 这样能有效的辅助信息管理人员解决网络中应用存在的安全问题, 便于公共安全工作的展开。 1. 准确识别当前流行的挂马行为 经过与远程网站安全检查服务的结合, 能够覆盖包括: Iframe框架挂马、 JS文件挂马、 JS变形加密等十余种当前流行的挂马方式, 经过在自动化的安全检查平台沙箱虚拟环境中充分暴露其行为模式, 准确的定位网页挂马所在的位置。能辅助用户一针见血发现问题, 同时也能提供更细化的安全解决意见。 2. 识别常见的Web应用漏洞 经过与远

13、程网站安全检查服务基于先进的自动化安全检查平台, 能够更精确的识别当前流行的Web应用漏洞, 例如SQL注入、 跨网站脚本攻击以及缓存溢出等, 而且定位Web应用漏洞所在的位置, 同时也能结合用户实际环境, 提供合理的解决建议。 3. 准确的标准化检测报告 对交付的自动化检测结果, 可在安全专家的实际审核后形成。这样的流程有效的避免了误报发生的可能性, 确保检测结果的真实准确性, 也能保证我们网监检测内容更准确, 同时也能给出更合理、 更科学的解决方案。 4. 专家级的木马清除方案和漏洞修复建议 当最终交付的检测报告发现网站存在网页挂马现象或者WEB应用程序漏洞, 安全专家还会在报告中

14、提出专家级挂马清除方案和漏洞修复建议。用户能够根据报告建议进行网站安全应急处理, 保障了漏洞检测的真正意义。 1.1.2.8 监测周期 本项目监测规模约为山东省XXX互联网系统, 根据以往经验, 按照平均每个域名1000URL进行估算。我们建议可从网站的可用性、 网站的脆弱性( 漏洞) 以及网站的内容安全( 挂马、 关键字、 网页变更) 等几个方面对网站进行监测, 具体的监测策略建议如下: 序号 监控类别 监控周期 监控页面深度 1 网站可用性、 平稳度监测 5分钟/次 首页 2 网页敏感信息 及防篡改监测 5分钟/次 首页 6小时/次 检测至二级页面, 页

15、面总数不超过500 3 网页挂马监测 10分钟/次 首页 24小时/次 检测至二级页面, 页面总数不超过500 4 WEB漏洞监测 7天/次 全部页面 5 系统漏洞检测 7天/次 全部站点 1.1.2.9 安全监测功能列表 功能模块 说明 篡改检测 网页变更检测 变更检测功能用来远程监控目标网站是否发生变更, 是否被篡改。 内容安全检测 网页木马检测 对网站使用基于传统静态匹配特征、 云特征等多种检测手段, 判别网站页面是否存在挂马, 准确率>95%。 WEB脆弱性检测 SQL注入检测 检测网站是否存在SQL注入漏洞, 支持如下类型的注入检测

16、 Get参数/Post参数/Cookie中变量/HTTP头部变量的注入检测 优化的SQL注入检测算法, 能够智能归类属于同一模板文件的所有页面, 提高检测速度 XSS漏洞检测 检测网站是否存在XSS漏洞, 支持反射型XSS、 存储型XSS和DOM型XSS的检测 CSRF漏洞检测 检测网站是否存在CSRF漏洞, 支持Get、 Post、 Ajax型的CSRF检测 Web应用漏洞检测 基于Web漏洞库的Web漏洞检测, 支持准确的Web应用、 Web容器、 Web服务端语言、 操作系统识别技术, 包含500条以上的第三方软件漏洞 CGI漏洞检测 覆盖全面的CGI漏洞检测, 能够

17、支持1000条以上检测规则 表单绕过检测 准确识别出后台地址与登录的表单地址, 支持检测基于弱口令的表单绕过, 基于SQL注入的表单绕过 系统脆弱性检测 操作系统脆弱性检测 检测常见操作系统如Microsoft Windows、 Sun Solaris、 HP Unix、 IBM AIX、 Linux、 BSD等存在的系统漏洞 应用系统脆弱性检测 检测主流的WEB服务器如IIS、 Apache、 NginX等, 主要的中间件如Tomcat、 Websphere、 Weblogic等的系统漏洞 数据库系统脆弱性检测 检测常见数据库如SQL Server、 Oracle、 Syb

18、ase、 DB2、 MySQL存在的漏洞 可用性检测 域名解析速度检测 DNS请求解析目标网站域名成功解析IP的速度 域名劫持检测 能检测到类似 GFW 的 DNS 污染, 即篡改 DNS 响应数据包内容的行为; 能检测到大部分 ISP 域名劫持 PING探测 Ping目标网站得到响应的速度 HTTP探测 HTTP请求目标网站得到响应的速度 站点信息检测 Web应用探测 支持Web应用及版本的识别, 涵盖包括国内外最常见的CMS, BBS, Blog, eShop, web框架等类型的Web应用 服务端指纹识别 精准识别目标网站的操作系统类型、 Web容器类型、 服

19、务端语言及相关的版本信息 网站服务器端口检测 检测网站服务器的端口开放情况, 比如数据库端口, 额外的Web服务端口, FTP服务端口等 网站备案检测 检测网站是否备案 网站whois信息检测 检测网站域名的whois信息, 域名是否到期等 网站内容安全检测 暗链检测 检测网站是否被嵌入暗链地址, 一般为在浏览器中隐藏不可见的广告链接, 如网游、 博彩, 色情等广告链接。 内容泄露检测 检测网站是否存在以下内容泄露: 内网IP地址信息泄露、 数据库信息泄露、 网站调试信息泄露、 网站目录浏览、 Web服务器路径信息泄露、 电子邮件地址信息泄露、 不安全的Flash参数

20、配置 文件泄露检测 检测网站是否存在以下文件泄露: 网站敏感目录泄露、 网站备份文件泄露、 数据库备份文件泄露、 svn信息泄露、 phpinfo文件信息泄露、 服务器探针文件信息泄露、 webshell检测 编辑器临时文件信息泄露、 Shell历史文件信息泄漏 1.1.3 工作时间 本阶段工作期限为24个月。 1.1.4 参与人员 山东XX 山东XX 信息科技部门 技术总监 项目顾问 项目经理 技术工程师 人数: 不限 人数: 3-5人 1.1.5 交付成果 项目验收将交付如下工作成果: Ø 每月出具一份《互联网信息系统安全监测报告》 Ø 发现攻击或漏洞及时通知并记录