网站安全解决方案.doc

安全解决方案
2011年5月
目录
项目背景及必要性
通过网站安全漏洞整治行动,堵塞安全漏洞;消除安全隐患,落实管理责任,加强安全管理,全面提高信息安全保障能力和水平,力争将存在安全漏洞网站比例控制在10%一下。
随着国民经济和社会事业的发展,网络信息技术在人们的日常工作和生活中发挥着越来越重要的作用,人们在积极参与国民经济和社会信息化进程的同时,也在充分享受信息技术为我们工作和生活所带来的便利。网站也因此逐步成为人们了解工作动态,查阅信息,指引公众办事,反映民情民意,实现网上办理事项等的重要服务“窗口”,但近年来,随着互联网技术的发展,所面临的Web应用安全问题越来越复杂,安全威胁正在飞速增长,尤其混合威胁的风险,如黑客攻击、蠕虫病毒、DDoS攻击、SQL注入、跨站脚本、Web应用安全漏洞利用等,极大地困扰着用户,给组织的信息网络和核心业务造成严重的破坏。能否及时发现并成功阻止网络黑客的入侵和攻击、保证Web应用系统的安全和正常运行成为所面临的一个重要问题。
本方案将根据网络实际情况,进行详细的方案规划、进度控制,保障网站业务的顺利开展和安全运行。
网站安全整体风险评估
网站风险评估的必要性
网站随着业务更新、web应用软件、以及操作系统漏洞的不断增加,会不时的带来新的隐患,需要定期对web服务器作深度的安全检测,即渗透测试,旨在证明,网络防御机制的运行与你认为的一样良好。有效的渗透测试可以证明你的防御确实有效,或者查出问题,帮助你阻挡未来攻击。请自己知道的人来发现网络中的漏洞,总比让自己不知道的人发现漏洞好得多。
渗透测试可以用来向第三方,譬如投资方或者你的管理人员提供网络安全状况方面的具体证据。事实上,你知道网络中存在的漏洞可能已有一段时日,但无法说服管理人员分配必要资源以补救漏洞。仅靠自己,网络或安全管理员的意见往往不会被董事会采纳。
有关渗透测试的合同或工作说明应该包括你从所得报告中想要获得的各个方面。如果你进行有限的测试,得到的只是计算机生成的报告。而渗透测试的真正价值在于由报告所衍生出的分析。进行测试的一方会详细介绍发现结果,并说明其重要性。在有的地方,测试人员还会提议采取何种补救方法,譬如更新服务器、禁用网络服务、改变防火墙规则等等。
渗透测试是为了证明网络防御按照预期计划正常运行而提供的一种机制。不妨假设,你的公司定期更新安全策略和程序,时时给系统打补丁,并采用了漏洞扫描器等工具,以确保所有补丁都已打上。如果你早已做到了这些,为什么还要请外方进行审查或渗透测试呢?因为,渗透测试能够独立地检查你的安全策略,换句话说,就是给你的系统安了一双眼睛。而且,进行这类测试的,都是寻找安全漏洞的专业人士。
渗透测试有时是作为外部审查的一部分而进行的。这种测试需要探查系统,以发现操作系统和任何网络服务,并检查这些网络服务有无漏洞。
渗透测试的作用一方面在于,解释所用工具在探查过程中所得到的结果。只要手头有漏洞扫描器,谁都可以利用这种工具探查防火墙或者是网络的某些部分。但很少有人能全面地了解漏洞扫描器得到的结果,更别提另外进行测试,并证实漏洞扫描器所得报告的准确性了。
渗透测试步骤
有些渗透测试人员通过使用两套扫描器进行安全评估。这些工具至少能够使整个过程实现部分自动化,这样,技术娴熟的专业人员就可以专注于所发现的问题。如果探查得更深入,则需要连接到任何可疑服务,某些情况下,还要利用漏洞扫描工具。
除了找到合适工具以及具备资质的组织进行渗透测试外,还应该准确确定测试范围。攻击者会借助社会工程学、偷窃、贿赂或者破门而入等手法,获得有关信息。真正的攻击者是不会仅仅满足于攻击某个企业网络的。通过该网络再攻击其它公司往往是黑客的惯用伎俩。攻击者甚至会通过这种方法进入企业的ISP。
为了从渗透测试上获得最大价值,应该向测试组织提供尽可能详细的信息。这些组织同时会签署保密协议,这样,你就可以更放心地共享策略、程序及有关网络的其它关键信息。
还要确定的是,哪些系统需要测试。虽然你不想漏掉可能会受到攻击的某个系统,但可能仍想分阶段把渗透测试外包出去,以便每个阶段专注于网络的不同部分。
你还应该制订测试准则,譬如说:渗透测试人员可以探查漏洞并进行测试,但不得利用,因为这可能会危及到你想要保护的系统。
此外,你还要提供合适的测试途径。如果你想测试在非军事区(DMZ)里面的系统,最好的测试地方就是在同一个网段内测试。让渗透测试人员在防火墙外面进行测试听起来似乎更实际,但内部测试可以大大提高发现防火墙原本隐藏的服务器安全漏洞的可能性。因为,一旦防火墙设置出现变动,就有可能暴露这些漏洞,或者有人可能通过漏洞,利用一台DMZ服务器攻击其它服务器。
以外部需要访问的We