XXX高校信息安全服务解决方案

最新推荐文章于 2024-08-31 08:46:13 发布

努力工作的网安人

最新推荐文章于 2024-08-31 08:46:13 发布

阅读量3.2k

点赞数 5

分类专栏：等级保护文章标签：其他经验分享安全网络

本文链接：https://blog.csdn.net/qq_20004095/article/details/124093127

版权

等级保护专栏收录该内容

5 篇文章 1 订阅

订阅专栏

XXX高校网络安全服务解决方案

1.综述

1.1.项目背景

2014年是中国信息安全行业获得重要发展的一年。信息安全问题已成为社会的热点问题，得到政府和社会的高度重视。近几年来，XXX大学的网络信息化建设发展很快，各级各类网站超过400多个，联网计算机6万多台，数量多、分布广、类型杂。学校的信息化进程面临各种安全威胁，一方面互联网高危漏洞频发，如2013年7月的struts2漏洞，2014年4月openssl heartbleed漏洞，已影响到学校系统的正常运行。另一方面校内安全工作也需要进一步重视，需要防范网站被入侵涂改、关键数据被篡改、服务器资源被滥用等恶意行为。急需借助专业的安全服务，对XXX大学各类重要信息系统进行安全检查和风险防范处置，以增强XXX大学整体信息安全保障力量，提高安全防护水平。

对XXX大学各类网站和系统的安全检查和漏洞修复涉及工作量巨大、技术要求较高，在信息中心人员储备不足的情况下，需要借助第三方信息安全机构的协助，共同完成对学校信息网站和信息系统的加固与完善，促进信息安全体系建设，加强有关人员的技术水平和安全意识。

1.2.项目目标

本项目旨在通过安全服务项目的建设，提高对XXX大学学校网站和信息系统进行全面保护，应用国内外先进的信息安全技术，在成熟且规范的安全服务体系约束下，配合XXX大学进行更优化的信息安全服务保障建设。消除校内基础业务系统网站的安全风险，提升校园整体网络的安全性，尽量避免重大安全事件的发生，对突发事件有完善的处理应对流程；保障网络及系统实现安全、可靠、有序、高效的运行，保障信息的机密性、完整性、可用性、可控性和不可否认性，避免各种潜在的威胁，为XXX大学各项业务稳定、安全运行提供必要的支持。

1.3.项目范围

本次服务对象涵盖XXX个校重点信息系统集群与XXX个党群、院系网站，兼顾校园网所有网站。整个项目涉及对象包括：

ü校重点信息系统，包括www主页、zupo办公网在内的校门户网站，校院办OA、校财务系统、科研管理系统等，以及信息中心ldap、Oracle、vpn等校园网基础设施系统；

ü校主要信息系统，包括党群系统、学院部门的门户网站，内部办公系统、对外业务系统等。

ü其他校内信息系统，包括各类在校园网内部运行的实验室、课题组网站、科研用服务器等。

1.4.安全需求分析

按照国际权威的信息安全标准与等级保护要求，应用国内外先进的信息安全技术，对XXX大学的重要网站和信息系统进行全面的安全检查，检查方式包括月度的安全扫描、每季度深度的安全评估、渗透测试、24小时自动对重要网站的实时监测、关键系统的代码审计等，并提交相应的检查报告，对发现的安全问题协助信息中心完成修复。在修复之后进行复验测试。

网上发生的实时安全事件和最新发布的可能涉及到学校网站和业务系统的安全漏洞是学校信息安全的动态威胁，需要由专业安全工程师提供及时的安全形势通报；对学校可能发生的安全事件提供应急响应，在要求的时间内进行远程和现场的技术支持，以及时消除安全事件的影响，降低事件造成的损失。

单次的安全服务只能解决现有的问题，为了将XXX大学的信息安全保障水平维持在一个较高水平，需要推进XXX大学整体的信息安全管理体系的建设。将提供具有丰富体系建设经验的信息安全管理专家，协助完善XXX大学的信息安全管理体系，提供实时的安全管理和技术的专业咨询，制定针对性的培训计划，以高XXX大学信息中心技术和管理人员的安全知识和专业技能。

2.安全服务概述

2.1.安全服务的必要性

信息安全一向是一个发展和交互的过程，使用任何一种功能再强大的防范产品都不能解决一直在日益变化的安全问题，因为：

n安全是动态的不断变化和发展的过程，单纯的产品部署无法确保客户整体安全；

n安全建设是一项复杂的系统工程，安全不是简单的产品的堆砌；

n安全产品无法解决所有问题；

人员的操作水平和系统的复杂性之间的差距，造成现有的系统管理员对目前先进、复杂的网络的管理能力有限；

我们认为，信息安全并不是按照说明书安装几个安全产品就能解决问题的。它需要合适的安全体系和合理的安全产品组合，需要根据网络及网络用户的情况和需求规划、设计和实施一定的安全策略以及其他多种安全服务。

安全服务与安全产品是相辅相成的，两者如砖头和水泥的关系，一方面，脱离服务的产品无法发挥其固有的能力，另一方面，脱离产品的服务效率低下、成本过高。因此，提出“产品服务化、服务产品化”的理念，以优秀的产品、满意的服务为客户网络安全提供保证。

优秀的产品需要有良好的服务支持，我们提出“产品服务化”，就是把安全服务贯穿在包括售前设计/咨询、售中实施/集成、售后维护/保修这一条安全建设时间线上，通过专业的服务，使安全产品发挥出最大的效能。

同时，专业的服务需要有优秀的产品作为辅助。的专业服务不是一种概念，而是标准化、规范化、专业化的服务工具。服务工程化和体系化，体现了的专业技术优势和服务保障。作为“服务产品化”，安全服务自身也是一种可销售的产品，能够为客户提供清晰的可量化服务。

安全服务工程是一项综合服务，由公司经验丰富的安全技术专家，基于用户网络结构的特性和其个性化的需求来提供有针对性的安全解决方案，通过将来自一线的经验变成用户所需要的安全服务，从而保障客户相关重要系统和资源的安全，有效地减少用户单位由于安全问题引起的不可估量的损失。

2.2.安全服务原则

在安全服务项目中，遵循如下原则：

最小影响原则

会从项目管理层面和工具技术层面，将可能影响降低到最低限度，包括安全服务设计蓝图、资产单元风险规避的个性化、工具最小影响措施，以及和客户充分的沟通机制；

n 适用性原则

根据甲方信息系统的实际需求，提出对应的解决方案，并按照保护强度进行安全服务项目的方案设计、实施等工作。

n 标准性原则

整个服务过程遵循国际和国内的多项标准，包括BS7799，ISO13335，《信息安全等级保护管理办法》等，具体包括：

ü 国际信息安全管理标准BS 7799

ü ISO 13335，即IT 安全管理指南（Guidelines for the Management of IT Security，GMITS）

ü国家标准征求意见稿《信息系统安全风险评估指南》

ü国家标准征求意见稿《信息系统安全风险管理指南》

ü 《信息技术、安全技术、信息安全管理实用规则》（GB/T22081-2008）

《信息技术安全技术信息技术安全性评估准则》（GB/T 18336-2008）

ü 《信息安全技术信息安全风险评估规范》（GB/T20984-2007）

ü 《信息技术安全性评估通用准则》（ISO15408 CC）

ü 《信息技术信息安全管理规范》（BS 7799-2：2002）

ü 《信息技术IT安全管理指导方针》（ISO/IEC TR 13335）

ü 《业务连续性管理》（BS25999：2006）

n 规范性原则

在服务工作中的过程和文档，严格遵循的内部规范：《安全服务项目管理规范》、《信息安全服务规范》；

n 可控性原则

进行项目实施时，公司将从用户信誉、成功经验、人员水平、工具可控性、项目过程可控性多个角度保证整个项目过程和结果的可控性；

ü 服务可控性

服务方应事先在工作沟通会议中向用户介绍安全服务流程，明确需要得到客户协作的工作内容，确保安全服务工作的顺利进行。

ü 人员与信息可控性

所有参与服务的人员应共同签署保密协议，以保证项目信息的安全；应对工作过程数据和结果数据严格管理，未经授权不得泄露给任何单位和个人。

ü 过程可控性

应按照项目管理要求，成立项目实施团队，项目经理负责制，达到项目过程的可控。

ü 工具可控性

安全服务人员所使用的工具应该事先通告用户，并在项目实施前获得用户的许可，包括产品本身、测试策略等。

n 整体性原则

项目实施中，公司将从国际标准、规范、BDH需求分析和长期的实施经验等多个角度保证整体全面，包括安全涉及的各个层面，避免遗漏；

n 保密性原则

公司和参加此次安全服务项目的所有项目组成员，都必须和客户签署相关的保密协议和非侵害协议。

2.3.安全服务方针

PDCA循环是信息安全工作中的一个重要模型，它是全面信息安全管理所应遵循的科学程序。全面信息安全管理活动的全部过程，就是信息安全计划的制订和组织实现的过程，这个过程就是按照PDCA循环，不停顿地周而复始地运转。

PDCA循环是能使任何一项活动有效进行的一种合乎逻辑的工作程序，特别是在信息安全管理中得到了广泛的应用。P、D、C、A四个英文字母所代表的意义如下：

1、 P（Plan）——计划。包括方针和目标的确定以及活动计划的制定；

2、 D（DO）——执行。执行就是具体运作，实现计划中的内容；

3、 C（Check）——检查。就是要总结执行计划的结果，分清哪些对了，哪些错了，明确效果，找出问题；

4、A（Action）——行动（或处理）。对总结检查的结果进行处理，成功的经验加以肯定，并予以制定固定方法，便于以后工作时遵循；对于失败的教训也要总结，以免重现。对于没有解决的问题，应提给下一个PDCA循环中去解决。 PDCA循环就是按照这样的顺序进行信息安全管理，并且循环不止地进行下去的科学程序。

全面信息安全管理活动的运转，离不开管理循环的转动，这就是说，改进与解决信息安全问题，赶超先进水平的各项工作，都要运用PDCA循环的科学程序。提高信息安全管理水平，需要先提出目标，即信息安全提高到什么程度，要有个计划；这个计划不仅包括目标，而且也包括实现这个目标需要采取的措施；计划制定之后，就要按照计划进行检查，看是否达实现了预期效果，有没有达到预期的目标；通过检查找出问题和原因；最后就要进行处理，将经验和教训制订成标准、形成制度。

技术支持方案

3.1安全服务一览表

序号	项目	内容	备注
1	月度漏洞扫描	每月使用专业的扫描工具，对校内主要信息系统的网站WEB漏洞扫描、操作系统漏洞扫描和数据库漏洞扫描三个层面进行脆弱性评估	12次／年每月7日
2	实时安全监测	提供7*24小时的系统网站安全检测，实时发现问题进行应急响应，规避风险，每个月提供监控情况报告。	一年期内7*24小时
3	季度安全巡检	在一年的服务期内，每季度对XXX大学重要信息系统进行巡检，要求提供巡检详细的方法、手段及工作安排，根据巡检情况对信息系统存在的问题提供修复加固改进方案，协助XXX大学进行修复加固。	4次／年
4	渗透测试	渗透测试：在一年的服务期内，对市XXX大学系统网站进行一次模拟黑客的攻击方法对信息系统进行非破坏性质的攻击性测试，提供系统所存在的安全威胁和风险报告，并能及时修复漏洞和提供加固方式。	4次／年
5	代码审计	通过安全审计发现web代码层的风险点，提供代码安全审计报告，提供代码安全修复方案等。	1次
6	安全加固服务	在一年的服务内针对安全评估报告，提供加固方案与回退方案，帮助XXX大学的信息系统通过安全加固服务，增强信息系统抵抗风险的能力，从而提高整个系统的安全性。	1年期间内
7	应急响应	在一年服务期内，提供724小时的应急支持，针对XXX大学信息系统出现安全风险、恶意攻击、入侵等威胁时，能2小时之内到达现场及时提供安全应急响应服务，协助XXX大学查找风险来源，确定威胁过程，提供故障恢复方案，并协助XXX大学进行修复加固。跟踪业界最新的安全动态以及常见多发的安全威胁和各类漏洞，提供每月的安全通报。对校内发生的紧急应用安全事件提供724小时的远程服务响应与现场技术支持，对互联网最新公布的重大安全漏洞进行应急检测。	1年期间内，7*24小时支持
8	安全培训	根据要求提供黑客技术培训、安全加固培训、安全体系政策培训、安全风险意识培训等。	单次，并提供2名cisp标准的工程师培训
9	安全通告	“信息”每周向XXX大学提供实时安全动态，帮助了解最新的安全技术和安全理念。	一年内
10	安全咨询	为XXX大学提供信息安全相关的技术和管理的咨询，安全体系建设的咨询	1年

3.2月度漏洞扫描

3.2.1综述

在网络安全体系的建设中，安全扫描工具花费低、效果好、见效快、与网络的运行相对独立、安装运行简单，可以大规模减少安全管理员的手工劳动，有利于保持全网安全政策的统一和稳定，因此，安全扫描是检查系统脆弱性的有效手段。

本项目的月度的漏洞扫描工作由经验丰富的工程师实施，于每月7日前联系XXX大学项目组相关联系人，确认后建立扫描任务，于15个工作日内提交扫描结果报告。

3.2.2扫描对象

本项目中的扫描服务是指应用一套专业的扫描工具－包括web漏洞扫描器、数据库漏洞扫描器、主机扫描器及本地评估套件，对校重点信息系统与校主要信息系统进行WEB漏洞扫描、操作系统漏洞扫描和数据库漏洞扫描三个层面进行脆弱性评估。

3.2.3扫描过程

1. 1. 1. 漏洞扫描

在本项目中，安全扫描主要是通过评估工具以本地扫描的方式对评估范围内的系统和网络进行安全扫描，从内网和外网两个角度来查找网络结构、网络设备、数据和用户账号/口令等安全对象目标存在的安全风险、漏洞和威胁。

为了确保扫描的可靠性和安全性，信息技术有限公司将根据XXX大学信息系统评估业务情况，与XXX大学一起确定扫描计划。计划主要包括扫描开始时间、扫描对象、预计结束时间、扫描项目、预期影响、需要对方提供的支持等等。信息技术有限公司将与XXX大学信息中心项目组一起协商具体需要扫描的项目。比如，为了防止对系统和网络的正常运行造成影响，信息技术有限公司将修改、配置一定的扫描、审计策略使资源消耗降低至最小，限制或不采用拒绝服务模块进行扫描。对那些危险的模块和重要主机则主要采用手动检查的方式。另外，信息技术有限公司将在评估前将协助评估节点进行必要的系统备份，并检查本地的应急恢复计划是否合理。

在实际开始评估扫描时，信息技术有限公司会正式通知XXX大学信息中心项目组成员。信息技术有限公司将按照预定计划，在规定时间内进行并完成评估工作。如遇到特殊情况（如设备问题、停电、网络中断等不可预知的状况）不能按时完成扫描计划或致使扫描无法正常进行时，由双方召开临时协调会协商予以解决。

1. 1. 1. 漏洞验证

扫描完成后，由信息安全专家团队对扫描器结果进行人工逐条筛选判断，验证漏洞是否可以利用，过滤误判、重复结果，对于发现的安全漏洞提供处理办法。

1. 1. 输出成果

月度扫描检查最少输出以下成果：

《XXX大学web应用安全巡检服务报告》
《XXX大学操作系统安全巡检服务报告》
《XXX大学数据库安全巡检服务报告》
《XXX大学网络信息安全服务评估报告》

3.3实时网站安全监测

1. 1. 服务内容

为了满足用户7*24小时网站安全监测的需求，结合多年安全服务的经验以及安全产品的优势，信息整合出网站远程安全监测服务解决方案，除了提供传统的网站漏洞检测服务外，还扩展了网站可用性监测服务，新增了网页木马监测服务、网页防篡改监测服务，以及结合“中心”提供更加可靠的远程专家值守服务，进一步提高网站远程安全检测服务的水准。

网站漏洞检测：通过网站远程安全监测服务，定期对网站进行漏洞检测，从而鉴别出网站存在的潜在风险，进一步缩短网站漏洞暴露的时间，提升网站快速响应的能力。

网页木马监测：在云计算强大的性能支持下，网页木马监测服务提供快速的对网站关键页面进行木马检查。通过网页木马特征库以及专业的web安全沙箱技术对网马进行精确认别，准确定位至感染网页木马的网页，并及时告知用户尽快处理存在木马的网页。
网页篡改监测：采用网页水印对比技术以及网站内容特征分析技术，对网页是否被篡改进行检查，例如：篡改url，篡改内容，篡改时间等。支持多种篡改检测，如：增加js脚本、插入未知窗口、嵌入未知的动画或flash、增加未知内容、图片伪装等篡改行为。
网站可用性监测：通过对网站关键页面的读取进行验证网站的可用性，检测到网站响应延迟过大或网站无法打开时，及时通告用户，根据事件等级不同，通过电子邮件、短信、电话等多种方式通知用户，并告知紧急处理措施，从而使业务中断时间尽可能缩短。
网页敏感关键字：根据监测引擎内置的关键字库技术，对被监测网站提供敏感关键字监测服务。提供单一关键词、主辅关键词分析技术，并根据用户需要，提供人工审核接口，从而进一步提高关键字检查的精确度。

本次安全服务对XXX大学所属的重要网站系统进行7*24小时实时安全监控，及时发现网络中断、网页篡改、网页挂马、敏感信息发布等安全事件，针对网站域名提供网站访问平稳度检测、网站域名解析监测，每周进行一次DNS记录配置核查，并提供电话、邮件等多种预警方式，发现异常情况30分钟内通知，确保能够及时发现和处理网站安全问题，保障网站系统安全、稳定的运行。

3.4网站远程安全监测服务介绍

网站远程安全监测服务的监测引擎部署在全国各大主要机房，用于对广大用户群体提供远程安全监测服务。用户无需安装任何软件或调整网络架构，仅需提供网站域名信息及Email等联系方式，信息将在第一时间把监测到的网站安全问题及时通报给用户，并给予专业的技术指导以协助用户及时消除安全威胁。

3.4.1网站远程安全监测服务的特色

3.4.1.1安全基线式的安全监测模式

基于应用程序异常反应检测的原理，采用注入深度扫描算法、异步调用等黑盒测试的方式，对网站应用进行深度漏洞扫描。当发现某个网页存在安全漏洞时，自动生成检测报告及提供安全加固建议。

对同一网站多次重复扫描的检测结果进行保存，然后对保存的历史数据进行分析，提供纵向比较，比较的内容包括：

n 取值范围为1~100的网站系统风险值

n各类型安全漏洞

n已经修补漏洞的URL

n未修补漏洞的URL

n新发现漏洞的URL

通过基线扫描模式可以实现对网站安全状态的全程跟踪，及时了解网站安全态势以及了解到网站是否采取了必要的安全措施。

3.4.1.2监测服务与安全专家的有效整合

不同于市面上其它的互联网远程安全监测服务，信息网站远程安全监测服务解决方案不仅提供自动化监测，还引入全程安全专家分析，提供“自动化监测+专家分析”的服务模式。

新的服务模式，除了向用户告知存网站的安全问题，如存在网页木马、网页被篡改等基本的信息，还会有安全专家辅助提供全面的安全指导，提醒用户采取有效的措施从根本上解决安全问题。

安全专家的引入不但提高了服务的质量，还拉高了整个网站远程安全监测服务的整体水平。

3.3.2.1.3.与现有安全产品的无缝融合

网站远程安全监测服务能够很好的和用户现有的WEB应用安全产品形成整体的安全解决方案。信息目前已有安全评估、安全防御、安全审计、安全监测等一系列的WEB应用安全解决方案及相关产品，通过这些产品的配合，网站远程安全监测服务能够更加完善的为用户提供网站安全保障。如在专家建议中，会告知如何配置WEB应用防火墙来对存在的漏洞进行加固，从而在最短时间内修复网站代码的安全问题等。

3.4.1.3服务指标

ü 网站监测支持7*24小时自动监测，实现对网站漏洞监测、网页木马监测、敏感内容、可用性实时监测；平台支持周期性、单次与指定时间的监测；

ü 网站监测平台支持http、https、wap协议；支持web2.0解析、Flash解析；支持包括Basic、Digest、NTLM在内的认证方式。

ü 平台支持策略的灵活配置，可配置网站中扫描页面黑白名单，爬行名单等，可支持在权限较高的管理后台中监测；可限制扫描引擎的最大并发连接数，防止对网站产生过大访问压力。

ü 平台支持对注入类漏洞进行渗透功能，能实现提取数据库类型、名称、表与字段等数据；平台支持对漏洞进行自定义检测功能，可修改测试请求再次检测。

平台支持对注入类漏洞进行渗透功能，能实现提取数据库类型、名称、表与字段等数据平台支持对漏洞进行自定义检测功能，可修改测试请求再次检测。

3.5主要核心技术

3.5.1漏洞扫描

网站远程安全监测服务集成了信息多年积累的漏洞扫描经验，可以实现快速、准确的定位出网站存在的问题，并且可以根据用户需求，提供个性化的扫描任务。

漏洞扫描的主要特点如下：

3.5.1智能、快速的深度漏洞扫描

采用强大的过滤模块，过滤掉重复或者不必要的网页链接，提高运行效率，用户无需担心扫描数据量过大影响网站正常运行的问题。扫描过程中实时存储扫描数据和结果，扫描数据不会丢失，并且支持断点续扫。除此之外，还能执行多任务并发扫描，有效提高系统深度扫描速率。

3.5.2全面、准确的应用弱点检测

n 支持OWASP TOP 10等主流安全漏洞（A1-注入攻击、A2-跨站脚本（XSS）、A3-失效的认证和会话管理：、A4-不安全的直接对象引用、A5-跨站请求伪造、A6-安全配置错误、A7-限制URL访问失败、A8-尚未认证的重定向和转发、A9-不安全的密码储藏、A10-传输层保护不足）：SQL注入、XSS跨站脚本、伪造跨站点请求（CSRF）、隐藏字段、表单绕过、AJAX注入、弱配置、敏感信息泄漏、HI－JACK攻击、弱口令、Xpath注入、LDAP注入、框架注入、链接注入、操作系统命令注入、Flash源代码泄漏、Flash跨域攻击、Cookie注入、敏感文件、第三方软件、其他各类CGI漏洞

n支持国际目前主流WEB应用类型：全面支持WEB 2.0，支持各类JavaScript脚本解析；全面支持FLASH解析；支持WAP类及WMLScript脚本类应用系统；支持基于HTTPS应用系统的检测，能够自动获取所有必须的要素，对基于SSL传输的内容进行分析，可对网银、证券交易等基于HTTPS协议的WEB应用进行自动安全评估；支持所有类型的动态页面；支持HTTP 1.0和1.1标准的WEB应用系统。

n支持几乎所有主流数据库的配置审计：Oracle、MSSQL、DB2、Informix、Sybase、Mysql、PostgreSQL、Access、Ingres等。

n支持基于各类身份认证方式的WEB应用的安全检测：支持基于包括Basic、Digest、NTLM在内的身份认证方式。支持HTTP和SOCKS代理，并支持各种代理的身份认证方式。

3.5.3灵活、丰富可自定义的漏洞扫描模式

提供非常丰富的扫描选项，如爬行、检测、过滤、网络环境等，用户可根据目标扫描网站的特点以及所在的网络环境，对扫描过程进行定制：

n扫描模式：提供简单扫描（单个域名）和批量扫描（多个域名）。

n扫描范围：提供当前URL、当前子域名、整个域、任何URL四种扫描范围的选择。

n扫描深度：根据需要可设置扫描的深度，支持无限扫描深度。

n扫描线程：根据实际的网络连接情况和测试目标的承受能力可设置扫描线程。

n扫描例外：支持路径例外、文件例外两种设置。

n语法区分：可在扫描过程中设定是否区分目录、文件等名称的大小写语法。

n强制检测：支持对单独的可能存在问题的URL进行强制检测和渗透测试。

3.5.4木马分析

网站远程安全监测服务的网页木马检测，主要由网页恶意代码分析技术和网页行为分析技术组成。通过两种主要的算法使网页木马检测实现了误报率低、漏报率底、能发现部分未知网页木马的效果。从测试情况来看可实现对传统杀毒厂商提供的木马样本99%以上的识别率。

网页恶意代码分析技术

本技术是通过对网页中的恶意脚本的链接进行分析，基于链接分析的网页木马检测技术，利用网页中的链接，追查出网页木马传播的病毒、木马程序所在位置，从而解决网络中有害程序的准确定位。为清除有害程序、追查病毒、木马传播人员提供线索，为上网用户提供安全的网络环境。

本技术中主要使用了特征码检测和Shellcode探测分析相结合的检测方法。可以识别出利用CVE-2010-0806、CVE-2009-1136、CVE-2010-3962等漏洞的网页木马，以及JS.Agent.NBM、JS.Kryptik.R、JS.Kryptik.I等加密变种。通过Shellcode探测分析技术，可以对抗灵活多变的网页木马“免杀”机制，并具备对利用0day漏洞的未知网页木马的检测能力；而且通过此技术，可以检测出网页木马内部的恶意链接，精确定位出网页木马宿主站点的网络位置。

与网页木马特征库技术相比，通过Shellcode探测分析技术，可以具备未知网马的检测能力，并且可以溯源定位网马内部的恶意链接。由于网页木马的触发条件多样、严格，因此与使用传统的动态检测技术相比，漏报率更低，并且检测效率更高。

网页行为分析技术

为了进一步提高网页木马的识别率，使用网页行为分析技术作为辅助检测技术，即安全沙箱分析技术。

本技术主要使用于网页恶意代码检测之后发现一些可疑代码片段、无法正常理解的编码内容、网页中嵌入的flash、ActiveX等无法分析代码组件的网页木马分析。针对上述的内容，网页木马检测引擎通过构建试验样本，然后利用各种软件工具结合适当方法采集其代码行为和运行行为的特征，以进程监视技术为核心，结合内核模式下的API函数调用拦截技术，通过拦截浏览器激活网页木马所必需的API函数实现检测,并通过拦截报警方式解决可能存在的误报问题，从而实现基于网页行为分析的网页木马检测。

3.5.5篡改监测

网页篡改监测采用html标签域比对技术实现监测，监测引擎对网站进行初始化采样建立篡改监测基准，并对基准内容进行泛格式化处理，解析出html的相关标签作为后续比对的基准。

篡改监测技术的基础是网页变更监测，但若将所有的网页变更都认为是篡改将导致大量的误判。网站远程安全监测服务使用了四个级别的监测策略：低度变更、中度变更、高度变更、确认篡改。客户可自定义篡改策略，如网页的title标签如果检测到变更将视为确认篡改，或通过定义监测到某特定的关键字即视为确认篡改。

3.5.6大数据分析

安全分析是安全防御的基础，安全分析的重心是网站监测平台安全评和各种安全设备的日志汇总信息。通过安全分析可以清晰的认识到当前存在的主要问题以及所面临的安全威胁。

中心的大数据分析模块接收来自网站安全监测平台和WAF等安全设备（支持主流第三方厂商安全产品）加密回传的数据，根据各种异构海量数据进行解析处理，直观的呈现结果如：攻击来源、攻击手法、攻击次数、攻击时间、持续时间等，可根据不同维度的追踪和分析来挖掘安全告警日志存在重要价值的信息，以供安全专家进一步分析事件的影响程度，正确采用分级别的处理措施。

3.5.7专家分析

经过了大数据的处理过程后，数据以各种统计结果的形式展现给中心工作人员,由24小时值守的安全专家对结果进行甄别、反馈记录，如：

n人工排除误报安全监测报告是通过软件搜集各类数据进行综合分析，而自动生成的结果。虽然平台算法已非常优良和成熟，但只要是软件就不可避免存在一定的误报率，输出的报告经过安全专家进行审核和排除误报后再发送到管理员，提高报告的精确度

3.6季度深度安全巡检

3.6.1服务概述

安全巡检作为主动运维的一种手段，将主动发现安全隐患来代替被动解决安全问题，极大的提高信息系统的安全防护水平。将每季度对XXX大学重点信息系统中包括网络设备、主机设备、安全设备进行全面地深度的安全巡检，安全服务团队将与网站主管方深入交流沟通，不仅包括常规工具扫描、应用漏洞监测，还从授权登陆检查、源代码分析、安全制度管理方面排查系统存在的安全疏漏。

深度安全巡检由于每季度首月进行，安全巡检工作结束后信息安全工程师联系信息中心相关联系人，配合进行校重点信息系统检查，检查工作最迟于每季度末月中旬结束。

服务特点

服务功能

——定期对客户的重要服务器、应用系统、网络设备、安全设备等进行安全检查，发现信息系统存在的安全漏洞。
——根据安全评估结果制定安全加固方案，并对安全漏洞进行修补，消除安全隐患，全面提升客户信息系统的安全保障能力。
——对安全巡检的过程和结果进行详细描述，帮助用户总结安全现状，提出安全保障工作建议。

3.6.2安全巡检内容

防火墙安全巡检

网络边界处是否部署防火墙；
是否设置防火墙策略；
防火墙位置与DMZ区设置是否合理；
是否定期检查防火墙日志。

网络设备安全巡检

网络设备是否安全使用；
网络的接入是否管理有效。

主机防护安全巡检

用户权限与访问控制策略是否安全；
是否及时更新操作系统补丁程序；
系统日志管理是否完备，对现有主机系统进行日志分析审计。

系统运行安全巡检

是否指定系统运行值班操作人员；
是否提供常见和简便的操作命令手册；
是否对运行值班过程中所有现象、操作过程等信息进行记录；
是否有信息系统运行应急预案。

防病毒安全巡检

安装防病毒软件覆盖率是否达到100%；
是否对关键服务器实时查、杀毒，对客户端定期进行查、杀毒，并备有查、杀记录；
是否有专责人员负责严重病毒的通告及病毒库及时更新；
是否限制从网上随意下载软件；
外来设备（硬盘、U盘等）使用前是否进行杀毒处理。

数据备份巡检

是否制定信息系统数据备份相关管理规程；
是否对关键系统进行定期系统备份与数据备份；

物理机房巡检

对机房的物理环境包括适当的安全屏障和入口控制，以及环境安全（防火、防水、防雷击等自然灾害）；
设备和介质的防盗窃防破坏等方面。

定期漏洞扫描

1.采用的明鉴WEB应用弱点扫描器、明鉴数据库弱点扫描器、半自动化渗透测试工具对web应用、主机操作系统、网络设备进行扫描；

2.针对漏洞扫描结果提供合理的整改建议方案。

3.6.3服务收益

安全巡检工作为客户提供周期性安全服务，以保障客户单位工作的正常开展及提高整体信息系统的安全性。

主动发现企业存在的信息安全问题，分级呈现风险等级；
根据发现问题提供合理的整改建议方案；
周期性巡检报告的比对结果呈现，监督安全整改成效；
保障企业信息安全工作顺利开展，提高信息系统安全防护能力；
为客户提供最新的信息安全走向，有利于企业向更好的方向发展；

3.6.4成果输出

本服务项目为没季度巡检结束后，由根据巡检结果出局《XXX大学重点系统安全服务报告》。

3.7渗透测试

概述

渗透性测试是对安全情况最客观、最直接的评估方式，主要是模拟黑客的攻击方法对系统和网络进行非破坏性质的攻击性测试，目的是侵入系统，获取系统控制权并将入侵的过程和细节产生报告给用户，由此证实用户系统所存在的安全威胁和风险，并能及时提醒安全管理员完善安全策略。

渗透性测试是工具扫描和人工评估的重要补充。工具扫描具有很好的效率和速度，但是存在一定的误报率，不能发现高层次、复杂的安全问题；渗透测试需要投入的人力资源较大、对测试者的专业技能要求很高（渗透测试报告的价值直接依赖于测试者的专业技能），但是非常准确，可以发现逻辑性更强、更深层次的弱点。

本项服务主要针对基于扫描结果的渗透性测试服务，以模拟黑客入侵的方式取得漏洞的直接证据。提供首次渗透测试及加固后的验证测试。

测试流程

“信息”渗透测试服务的主要流程如下：

信息收集

信息收集是指渗透实施前尽可能多地获取目标信息系统相关信息，例如网站注册信息、共享资源、系统版本信息、已知漏洞及弱口令等等。通过对以上信息的收集，发现可利用的安全漏洞，为进一步对目标信息系统进行渗透入侵提供基础。

弱点分析

对收集到的目标信息系统可能存在的可利用安全漏洞或弱点进行分析，并确定渗透方式和步骤实施渗透测试。

获取权限

对目标信息系统渗透成功，获取目标信息系统普通权限。

权限提升

当获取目标信息系统普通管理权限后，利用已知提权类漏洞或特殊渗透方式进行本地提权，获取目标系统远程控制权限。

测试内容

根据网站扫描结果服务项目需求，每月针对XXX大学的重点网站或者系统进行渗透测试，重点发现网站应用层业务流程和逻辑上的安全漏洞和敏感信息泄露的风险，输出渗透测试报告。主要是通过网络层、系统层、应用层三个方面进行渗透测试。

1. 1. 1. 网络层安全

针对该系统所在网络层进行网络拓扑的探测、路由测试、防火墙规则试探、规避测试、入侵检测规则试探、规避测试、无线网安全、不同网段Vlan之间的渗透、端口扫描等存在漏洞的发现和通过漏洞利用来验证此种威胁可能带来的损失或后果，并提供避免或防范此类威胁、风险或漏洞的具体改进或加固措施。

由于服务器系统和网络设备研发生产过程中所固有的安全隐患及系统管理员或网络管理员的疏忽，一般网络层安全漏洞包括以下安全威胁：

明文保存密码

由于管理员的疏忽，设备配置密码以明文的方式保存，这带来了一定的安全威胁。

未配置登录超时

对系统没有甚至登录超时的时间，这当登录系统没有及时退出的时候，可能导致被其他人利用。

未配置AAA认证

系统没有配置统一的AAA认证，这不便于权限的管理。

未配置管理ACL

交换机没有配置管理IP的ACL，可导致任意地址访问设备，应该增加ACL进行限制。

其他配置问题

服务器系统、数据库系统及网络设备在使用过程中由于管理人员或开发人员的疏忽，可能未对这些默认配置进行必要的安全配置和修改，这就很容易引起越权操作，从而导致信息泄漏或篡改。

1. 1. 1. 系统层安全

通过采用适当的测试手段，发现测试目标在系统识别、服务识别、身份认证、数据库接口模块、系统漏洞检测以及验证等方面存在的安全隐患，并给出该种隐患可能带来的损失或后果，并提供避免或防范此类威胁、风险或漏洞的具体改进或加固措施。

版本过低

系统版本过低，没有及时更新或升级，导致系统存在众多未修复的安全漏洞（如Apache版本过底，可能存在大量溢出漏洞）。

远程溢出漏洞

溢出漏洞的产生是由于程序中的某个或某些输入函数（使用者输入参数）对所接收数据的边界验证不严密而造成。根据程序执行中堆栈调用原理，程序对超出边界的部分如果没有经过验证自动去掉，那么超出边界的部分就会覆盖后面的存放程序指针的数据，当执行完上面的代码，程序会自动调用指针所指向地址的命令。根据这个原理，恶意使用者就可以构造出溢出程序。

本地提权漏洞

本地提权漏洞是指低权限、受限制的用户，可以提升到系统最高权限或比较大的权限，从而取得对网站服务器的控制权。

弱口令

弱口令通常有以下几种情况：用户名和密码是系统默认、空口令、口令长度过短、口令选择与本身特征相关等。系统、应用程序、数据库存在弱口令可以导致入侵者直接得到系统权限、修改盗取数据库中敏感数据、任意篡改页面等。

权限过大

权限过大是指某用户操作权限超出他本身安全操作权限范围之外，这存在一定的安全风险。

高危服务/端口开放

系统很多高危服务和端口会被默认开放，例如，80，443，843，8001 – 8010，其中8001~8010同时支持TCP和UDP协议，SSH、Telnet、X-windows、Rlogin、ms-rpc、SNMP、FTP、TFTP等服务，这些服务和端口的开放可能会带来安全问题。

允许匿名IPC$连接

允许匿名IPC$连接，是一个远程登录功能，同时所有的逻辑盘(c$,d$,e$……)和系统目录winnt或windows(admin$)资源可共享，存在一定的安全风险。

其他配置问题

系统可能存在未对某些高危默认配置进行必要的安全配置和修改，导致被恶意攻击者利用，从而导致信息泄漏或篡改等严重后果。

1. 1. 1. 应用层安全

通过采用适当测试手段，发现测试目标在信息系统认证及授权、代码审查、被信任系统的测试、文件接口模块报警响应等方面存在的安全漏洞,并现场演示再现利用该漏洞可能造成的客户资金损失，并提供避免或防范此类威胁、风险或漏洞的具体改进或加固措施。

应用程序及代码在开发过程中，由于开发者缺乏安全意识，疏忽大意极为容易导致应用系统存在可利用的安全漏洞。一般包括SQL注入漏洞、跨站脚本漏洞、上传漏洞、CSRF跨站请求伪造漏洞等。

SQL注入

SQL注入漏洞的产生原因是网站程序在编写时，没有对用户输入数据的合法性进行判断，导致应用程序存在安全隐患。SQL注入漏洞攻击就是利用现有应用程序没有对用户输入数据的合法性进行判断，将恶意的SQL命令注入到后台数据库引擎执行的黑客攻击手段。

跨站脚本

跨站脚本攻击简称为XSS又叫CSS (Cross Site Script Execution)，是指服务器端的CGI程序没有对用户提交的变量中的HTML代码进行有效的过滤或转换，允许攻击者往WEB页面里插入对终端用户造成影响或损失的HTML代码。

表单绕过

表单绕过是指在登录表单时可以利用一些特殊字符绕过对合法用户的认证体系，这造成对用户输入的字符没有进行安全性检测，攻击者可利用该漏洞进行SQL注入攻击。

上传漏洞

上传漏洞是指网站开发者在开发时在上传页面中针对文件格式（如asp、php等）和文件路径过滤不严格，导致攻击者可以在网站上上传木马，非法获取webshell权限。

文件包含

目标网站允许用户调用网站程序函数进行文件包含，同时未对所包含文件的类型及内容进行严格过滤。

已知木马

目标网站被攻击者植入恶意木马，已知木马包括攻击者在进行网站入侵时留下的后门程序和网页挂马两种：后门程序严重危害网站安全，攻击者可利用该后门直接获取整个网站的控制权限，可对网站进行任意操作，甚至以网站为跳板，获取整个内网服务器的控制权限；网页挂马严重危害网站用户安全，用户对已被挂马的网页进行浏览和访问，其PC机自动下载并执行木马程序，导致用户PC机被攻击，同时严重危害网站的信誉和形象。

敏感信息泄露

敏感信息泄漏漏洞指泄漏有关WEB应用系统的信息，例如，用户名、物理路径、目录列表和软件版本。尽管泄漏的这些信息可能不重要，然而当这些信息联系到其他漏洞或错误设置时，可能产生严重的后果。例如：某源代码泄漏了SQL服务器系统管理员账号和密码，且SQL服务器端口能被攻击者访问，则密码可被攻击者用来登录SQL服务器，从而访问数据或运行系统命令。

以下几个是比较典型的敏感信息泄露漏洞：

源码信息泄露；
备份信息泄露；
错误信息泄露；
测试账户泄露；
测试文件泄露；
绝对路径泄露；
……

恶意代码

恶意代码泛指没有作用却带来危险的代码，其普遍的特征是具有恶意的目的；本身是一个独立的程序，通过执行发生作用。由于应用系统存在可被利用的安全漏洞，可能已被恶意人员植入恶意代码以获取相应权限或用以传播病毒。

解析漏洞

解析漏洞是指没有对解析的内容进行严格的定义，被攻击者利用，可能会使系统对带有木马的文件进行了解析并执行，导致敏感信息被窃取、篡改，甚至是系统奔溃。

远程代码执行漏洞

远程执行任意代码漏洞是指由于配置失误（有时我们在用户认证只显示给用户认证过的页面和菜单选项，而实际上这些仅仅是表示层的访问控制而不能真正生效），攻击者能够很容易的就伪造请求直接访问未被授权的页面。

任意文件读取

系统开发过程中没有重视安全问题或使用不安全的第三方组件等，导致任意文件可读取，可导致入侵者获得数据库权限，并利用数据库提权进一步获得系统权限。

目录遍历是指由于程序中没有过滤用户输入的../和./之类的目录跳转符,导致攻击者通过提交目录跳转来遍历服务器上的任意文件。

目录列出是指攻击者通过对访问的URL分析，得到一个敏感的一级或二级目录名称，然后访问该目录，返回结果会将会显示指定目录及其子目录下的所有文件，从而可以寻找并获取敏感信息（如备份文件存放地址、数据库连接文件源码、系统敏感文件内容等），甚至可以通过在地址栏中修改URL来挖掘这个目录结构。

跨站请求伪造

跨站请求伪造（Cross-site request forgery，缩写为CSRF），也被称成为“one click attack”或者session riding，通常缩写为CSRF或者XSRF，是一种对网站的恶意利用。尽管听起来像跨站脚本（XSS），但它与XSS非常不同，并且攻击方式几乎相左。XSS利用站点内的信任用户，而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比，CSRF攻击往往不大流行（因此对其进行防范的资源也相当稀少）和难以防范，所以被认为比XSS更具危险性。

弱口令

不安全对象引用

不安全的对象引用是指程序在调用对象的时候未对该对象的有效性、安全性进行必要的校验，如：某些下载程序会以文件名作为下载程序的参数传递，而在传递后程序未对该参数的有效性和安全性进行检验，而直接按传递的文件名来下载文件，这就可能造成恶意用户通过构造敏感文件名而达成下载服务端敏感文件的目的。

安全配置错误

某些HTTP应用程序，或第三方插件，在使用过程中由于管理人员或开发人员的疏忽，可能未对这些程序或插件进行必要的安全配置和修改，这就很容易导致敏感信息的泄露。而对于某些第三方插件来说，如果存在安全隐患，更有可能对服务器获得部分控制权限。

链接地址重定向

重定向就是通过各种的方法将各种网络请求重新定个方向转到其它位置（如：网页重定向、域名的重定向、路由选择的变化也是对数据报文经由路径的一种重定向）。

而某些程序在重定向的跳转过程中，对重定向的地址未进行必要的有效性和安全性检查，且该重定向地址又很容易被恶意用户控制和修改，这就可能导致在重定向发生时，用户会被定向至恶意用户事先构造好的页面或其他URL，而导致用户信息受损。

跳转漏洞

跳转漏洞是指网站用户访问时对其输入的参数没有进行验证，浏览器直接返回跳转到指定的URL，跳转漏洞可引发XSS漏洞，攻击者可利用这个漏洞进行恶意欺骗。

后台管理

后台管理是指由于网站设计者的疏忽、后台管理员的配置不当或失误，导致攻击者可通过某些非法手段直接访问后台数据库页面，从而获取重要敏感信息，上传木马，甚至可获取后台管理员的权限，可进行删除、添加等非法操作，篡改后台数据库数据。

会话管理

会话管理主要是针对需授权的登录过程的一种管理方式，以用户密码验证为常见方式，通过对敏感用户登录区域的验证，可有效校验系统授权的安全性，测试包含以下部分：

通过对表单认证、HTTP认证等方式的简单口令尝试，以验证存在用户身份校验的登录入口是否存在易猜解的用户名和密码。

验证码是有效防止暴力破解的一种安全机制，通过对各登录入口的检查，以确认是否存在该保护机制。

某些管理地址虽无外部链接可介入，但由于采用了容易猜解的地址（如：admin）而导致登录入口暴露，从而给外部恶意用户提供了可乘之机。

某些验证程序返回错误信息过于友好，如：当用户名与密码均错误的时候，验证程序返回“用户名不存在”等类似的信息，通过对这一信息的判断，并结合HTTP Fuzzing工具便可轻易枚举系统中存在的用户名，从而为破解提供了机会。

会话管理主要是针对验证通过之后，服务端程序对已建立的、且经过验证的会话的处理方式是否安全，一般会从以下几个角度检测会话管理的安全性：

Session作为验证用户身份信息的一个重要字符串，其随机性是避免外部恶意用户构造Session的一个重要安全保护机制，通过抓包分析Session中随机字符串的长度及其形成规律，可对Session随机性进行验证，以此来确认其安全性。

Session是否变更

通过身份校验的用户所持有的Session应与其在经过身份验证之前所持有的Session不同。

会话存储是存储于客户端本地（以cookie的形式存储）还是存储于服务端（以Session的形式存储），同时检测其存储内容是否经过必要的加密，以防止敏感信息泄露。

无效验证码

目标系统管理入口（或数据库外部连接）存在缺少验证码，攻击者可利用弱口令漏洞，通过进行暴力猜解，获取网站管理权限，包括修改删除网站页面、窃取数据库敏感信息、植入恶意木马；甚至以网站为跳板，获取整个内网服务器控制权限。

漏洞分级

根据漏洞危害程度将漏洞等级分为高危、中危、低危三个级别：

高危：漏洞很明显，容易被利用，黑客通过该漏洞可获取完全验证权限，执行管理员操作，非法上传文件等严重恶意行为，影响到所有用户或关键用户，同时攻击者通过该漏洞可随意再次攻击，初学者也能在短期内可以掌握攻击方法；
中危：该漏洞需通过深入挖掘发现，攻击者利用该漏洞可获得敏感信息，影响到部分用户，同时攻击者在一定时间内可重复攻击。
低危：该漏洞发现困难，利用难度大，重复攻击难，危害影响小。

渗透用例

以下列举小部分测试用例，由于渗透测试存在大量不确定因数，所以具体测试用户会根据实际测试情况确定。

远程溢出漏洞测试

序号	项目	内容
1	测试对象	网络设备、操作系统或第三方软件
2	测试成功标准	获取远程shell或增加系统帐号
3	测试内容	MS05039 MS05051 MS06040等可远程利用漏洞、ServerProtect Agent远程溢出漏洞
4	测试影响	可能会造成以下服务停止： Plug and Play(提供即插即用硬件的支持) Msdtc(提供分布式数据库事务支持) Server(提供网络打印、共享以及管道支持) 溢出测试存在较大风险，如果存在溢出漏洞需要进一步测试建议在测试环境中进行

远程密码破解测试

序号	项目	内容
1	测试对象	各种网络设备、操作系统、数据库、各种服务器软件
2	测试成功标准	得到口令
3	测试内容	密码强度
4	测试影响	如果设置帐户锁定策略，会造成某些帐号不可用

finger信息获取测试

序号	项目	内容
1	测试对象	网络设备、操作系统
2	测试成功标准	能够利用该信息为后续渗透提供帮助
3	测试内容	获取finger有用信息
4	测试影响	无

snmp存在public与private字符串测试

序号	项目	内容
1	测试对象	操作系统、网络设备
2	测试成功标准	能够利用该信息为后续渗透提供帮助；修改系统配置
3	测试内容	获取或设置系统配置信息
4	测试影响	无

ARP欺骗测试

序号	项目	内容
1	测试对象	网络设备、操作系统
2	测试成功标准	成功进行ARP欺骗，获取敏感数据(如密码)
3	测试内容	捕获敏感信息
4	测试影响	可能导致网络问题

SQL 注入测试

序号	项目	内容
1	测试对象	WEB应用系统
2	测试成功标准	能够发现注入点，获取敏感数据(如密码)、webshell、修改网页或系统权限
3	测试内容	测试内部访问的web程序是否存在SQL Injection漏洞
4	测试影响	无

上传文件测试

序号	项目	内容
1	测试对象	WEB应用系统
2	测试成功标准	能够成功绕过上传文件限制，上传asp或其他IIS可以解析文件；能够执行上传后的asp或其他IIS可以解析的文件
3	测试内容	测试内部访问的WEB程序的文件上传是否可以被绕过，上传asp文件
4	测试影响	无

XSS测试

序号	项目	内容
1	测试对象	WEB应用系统
2	测试成功标准	利用XSS，为后续渗透测试提供帮助
3	测试内容	测试WEB应用程序是否存在XSS漏洞
4	测试影响	无

深入渗透阶段

这一阶段主要是扩大“渗透测试阶段”取得的成果，进一步模拟渗透者在获取目标系统低权限操作时进行权限的提升以及进一步渗透其他系统。

该阶段的测试方法包括：

利用操作系统漏洞提升权限

利用其他软件漏洞进行权限提升

寻找其他方面的漏洞

测试影响

黑客的攻击入侵需要利用目标网络的安全弱点，渗透测试也是同样的道理。它模拟真正的黑客入侵攻击方法，以人工渗透为主，辅助以攻击工具的使用，这样保证了整个渗透测试过程都在可以控制和调整的范围之内。

由于采用可控制的、非破坏性质的渗透测试，因此不会对被渗透的系统造成严重的影响。在渗透测试结束后，系统将保持一致。

风险规避

渗透测试过程的最大的风险在于测试过程中对业务产生影响，为此我们在本项目采取以下措施来减小风险：

在渗透测试中不使用含有拒绝服务的测试策略;

渗透测试时间尽量安排在业务量不大的时段或者晚上;

在渗透测试过程中如果出现被渗透系统没有响应的情况，应当立即停止渗透工作，与工作人员一起分析情况，在确定原因后，并待正确恢复系统，采取必要的预防措施（比如调整测试策略等）之后，才可以继续进行。

“信息”应用安全研究工程师与信息系统的管理员保持良好沟通，随时协商解决出现的各种难题。

系统备份与恢复措施

为防止在渗透性测试过程中出现的异常的情况，所有被渗透系统均应在被渗透之前作一次完整的系统备份或者关闭正在进行的操作，以便在系统发生灾难后及时恢复。

操作系统类：制作系统应急盘，对系统信息，注册表，sam文件，/etc中的配置文件以及其他含有重要系统配置信息和用户信息的目录和文件进行备份，并应该确保备份的自身安全。

数据库系统类：对数据库系统进行数据转储，并妥善保护好备份数据。同时对数据库系统的配置信息和用户信息进行备份。

网络应用系统类：对网络应用服务系统及其配置、用户信息、数据库等进行备份。

网络设备类：对网络设备的配置文件进行备份。

桌面系统类：备份用户信息，用户文档，电子邮件等信息资料。

复核

根据网站评估和渗透测试服务项目需求，信息在漏洞修复后针对发现问题进行复核，并提供复核报告。

服务收益

通过渗透测试服务，客户能更深入的了解网络架构的合理性、安全设备、应用系统的整体安全性；及时发现存在的弱点，部署整改措施；降低安全漏洞风险，规避带来的各类损失；使信息系统符合国家、行业安全性合规要求。

3.8代码审计

概述

扫描和渗透测试主是直观发现系统漏洞的手段，但需要真正了解系统更多更全面的脆弱性，需要从源代码层面做检查。本次代码审计主要针对校重点信息系统提供服务，采用白盒测试对系统源代码进行审计，找出编程缺陷，并提供改进建议及最佳安全编码实践。代码审计工作采用“工具扫描+人工验证”的方式，在了解业务流和各模块功能和结构的情况下，检查代码在程序编写上的安全性和脆弱性以及结构性的安全问题。

源代码审计工作是通过当前应用系统的源代码，通过了解其业务系统，从应用系统结构方面检查其各模块和功能之间的功能、权限验证等内容；从安全性方面，检查其脆弱性和缺陷的一项工作，在明确当前安全现状和需求的情况下，对下一步的编码安全规范性建设有重大的意义。

源代码审计工作利用一定的编程规范和标准，针对应用程序源代码，从结构以及脆弱性和缺陷方面做的一项审查工作，以发现应用程序中存在的安全缺陷以及代码的规范性缺陷。

审核目的

本次源代码审计工作是尽完整的收集当前系统的源代码、了解了业务流和各模块功能和结构的情况下，检查网站代码在程序编写上的安全性和脆弱性以及结构性安全而进行的。

审核依据

本次源代码审计工作主要突出代码编写的缺陷和脆弱性，以OWASP 2013 TOP 10为检查依据，针对OWASP统计的问题作重点检查。

审计范围

根据给出的代码，对网站脆弱性和缺陷、以及结构上的检查。通过了解业务系统，确定重点检查模块以及重要文件，提供可行性的解决方法。

审计方法

通过灰盒（模糊测试）+白盒的方式检查应用系统的安全性，白盒测试所采用的方法是工具扫描+人工确认+人工抽取代码检查，依照OWASP 2013 TOP 10所披露的脆弱性，根据业务流信息检查目标系统的脆弱性和缺陷以及结构上的问题

本次源代码审计流程定义为如下阶段：

信息收集

此阶段中，源代码审计人员需要对目标应用系统进行必要的信息收集，例如源代码、web服务器应用系统信息、业务流、开发文档、必要的测试帐号等。

编码脆弱性和缺陷分析

此阶段中，源代码审计人员会检查源代码的缺陷和脆弱性问题，主要包含以下内容：

API滥用。例如调用非本单位直接控制的资源、对象过于频繁调用、直接调用空对象导致系统资源消耗过大或是程序执行效率低下等；

代码质量。例如对象错误或不适合调用导致程序未能按预期的方式执行，功能缺失；类成员与其封装类同名，变量赋值后不使用等；

封装。多余的注释信息、调试信息问题导致应用系统信息暴露，错误的变量声明；

程序异常处理。忽略处理的异常、异常处理不恰当造成的信息泄露或是不便于进行错误定位等；

输入验证。SQL注入、跨站脚本、拒绝服务攻击，对上传文件的控制等因为未能较好的控制用户提交的内容造成的问题；

安全功能。请求的参数没有限制范围导致信息泄露，cookie超时和域范围等方面的配置等内容；

逻辑结构缺陷分析

此阶段中，源代码审计人员在第一阶段了解业务流系统、得到相关的开发文档后，需要针对源代码对目标应用系统进行必要的逻辑结构分析，检查应用系统在对业务流处理的时候，是存在权限控制不严格、表单逻辑处理的错误、功能缺失等因为结构控制造成的问题。

审计对象

1. 1. 1. 应用列表

本次代码审核对象包括：

基本信息
应用系统名称	Java项目，BS架构
主要语言类型	Java
附加语言类型	Javascript
调用框架	Struts、Spring、Hibernate
开发工具	MyEclipse
应用服务器	Tomcat
操作系统	Windows Server 2008R2
数据库	Oracle 11.2.0.4
代码行数	200873行（200KLOC）

现状分析

Web Server使用tomcat+Java的BS架构，重点将审查用户输入的安全问题和业务逻辑漏洞为主。

1. 1. 1. 命令注入漏洞分析

命令注入漏洞发生在程序接收处理用户输入的数据，并利用这些数据去执行系统命令。在许多情况下，攻击者可以控制这些数据，借以执行并非程序原先意图执行的命令。

当用户输入被用来创建命令列指令时就有可能产生命令注入的漏洞。即使用户仅能输入一个字符，只要在合适的地方插入命令分隔符 (例如分号) 就可以执行一个全新的指令。只要是原先指令执行者拥有执行权限的指令，攻击者都可以任意地加以执行。攻击者可以利用在应用程序内进行业务系统命令注入以取得更高的权限、执行任意的程序、进而入侵业务系统本身。

修补建议

修补此一漏洞最好的方法就是避免将外部输入放置于命令列字符串内。如果此一方法并不适用，另外一个可行的方法就是使用白名单进行严格的输入验证，或是采用间接选择 (indirect selection) 的方式，以确保使用者只能指定系统所允许的命令。
在某些情况下，因为用户要求输入包含特殊字符的内容，所以我们无法采用过滤的方式来验证使用者输入。为了避免这些特殊内容造成危害，我们通常建议采用编码的方式，将这些特殊字符转换成特殊的格式，以避免被服务器端或用户端所执行。

事实上，即使用户输入已经经过验证，或是数据并非来自于用户输入 (例如数据库)，我们还是强烈建议您采用编码的机制以避免遭受命令注入的攻击。强烈建议您采用可以帮助您完成输入验证的开放源码套件 (例如 ESAPI)，而非自行开发验证程序。要特别注意的是，需要编码的特殊字符与这些命令执行时所处的作业系统种类有关。

不符合规范的程序

下列程序依序执行 rmanDB.bat 与 cleanup.bat　两个批处理。批处理 rmanDB.bat 接受一个用来指定备份类型的命令列参数，而这个参数的数值经由使用者所提供。

...

String btype = request.getParameter("backuptype");

String cmd = new String("cmd.exe /c c:\\util\\rmanDB.bat " +

btype + "&&c:\\util\\cleanup.bat")

try {

Runtime.getRuntime().exec(cmd);

...

} catch (IOException ie) {

...

}

...

问题在于程序未对用户的输入做任何的验证动作。cmd.exe 这个指令将会执行所有经由双 And 符号 (&&) 所分隔的指令。假如攻击者输入 "&& del c:\\dbms\\*.*" 这个字符串以作为参数 backuptype 的内容，那么应用程序除了执行原先所指定的指令之外，还会额外执行这个指令。由于应用程序的特性，它必须以能够与数据库进行互动的权限执行指令，也就是说攻击者所插入的指令也将以同样的权限加以执行。

符合规范的程序

下列程序使用 ESAPI Encoder 界面的参考实作对用户输入进行编码处理，因此特殊字符 (例如 &) 都已被适当地编码。

...

String btype = request.getParameter("backuptype");

String cmd = new String("cmd.exe /c c:\\util\\rmanDB.bat " +

ESAPI.encoder().encodeForOS(new WindowsCodec(), btype) + "&&c:\\util\\cleanup.bat")

try {

Runtime.getRuntime().exec(cmd);

...

} catch (IOException ie) {

...

}

...

不符合规范的程序

下列程序的功能跟上一个范例一样。用户输入的数据未经任何的验证或编码就被当做 ProcessBuilder 的参数。

...

String btype = request.getParameter("backuptype");

String[] args = new String[] {"cmd", "/c", "c:\\util\\rmanDB.bat ",

btype, "&&c:\\util\\cleanup.bat"};

ProcessBuilder pBuilder = new ProcessBuilder(args);

try {

pBuilder.start();

...

} catch (IOException ie) {

...

}

...

符合规范的程序

下列程序使用 ESAPI Encoder 界面的参考实作对用户输入进行编码处理，因此特殊字符 (例如 &) 都已被适当地编码。

...

String btype = request.getParameter("backuptype");

String[] args = new String[] {"cmd", "/c", "c:\\util\\rmanDB.bat ",

ESAPI.encoder().encodeForOS(new WindowsCodec(), btype), "&&c:\\util\\cleanup.bat"};

ProcessBuilder pBuilder = new ProcessBuilder(args);

try {

pBuilder.start();

...

} catch (IOException ie) {

...

}

...

1. 1. 1. Session 参数污染问题分析

Session 参数污染发生于应用程序忽略或未适当地验证用户的输入，并将这些信息存放在 Session 中以用来决定应用程序的控制流程或数据流程。如此一来可能导致应用程序接收到非预期的数据，并且可能改变程序的流程、任意地控制资源、或是执行任意的程序。

修补建议

修补此一问题的最佳方法就是在将用户输入储存到 Session 前做好验证的动作。除此之外，从 Session 取出的数据如果其数值可由用户的输入加以控制，那么这些数据也必须当做是可疑的。

不符合规范的程序

下列程序因为直接将未经过验证的用户输入写入到 Session 中，并将此数据使用于安全相关的功能上，因此有可能遭受攻击。

...

HttpSession session = request.getSession();

String url = request.getParameter("url");

session.setAttribute("source", url);

...

try {

...

} catch (BusinessTransactionException bte) {

HttpSession session = request.getSession();

String url = (String)session.getAttribute("source");

response.sendRedirect(url);

}

符合规范的程序

下列程序在将用户输入写入到 Session 前已做好验证的动作。

...

HttpSession session = request.getSession();

String url = request.getParameter("url");

String validatedUrl = validate(url)

session.setAttribute("source", validatedUrl);

...

try {

...

} catch (BusinessTransactionException bte) {

HttpSession session = request.getSession();

String url = (String)session.getAttribute("source");

response.sendRedirect(url);

}

符合规范的程序

下列程序在从 Session 取出数据后进行验证的动作。

...

HttpSession session = request.getSession();

String url = request.getParameter("url");

session.setAttribute("source", url);

...

try {

...

} catch (BusinessTransactionException bte) {

HttpSession session = request.getSession();

String url = (String)session.getAttribute("source");

String validatedUrl = validate(url)

response.sendRedirect(validatedUrl);

}

审计计划

以使用代码审计工具扫描+人工详细验证为例：

阶段	任务	参与角色	信息工作	折合工作量(人天)
项目启动	项目准备	项目经理	合同签订前1个工作日。	1
项目启动	项目启动	项目经理	合同签订日第1个工作日。	1
代码审计工具自动分析过程	对客户提供的源代码和相关文档进行分析并利用代码审计工具自动扫描代码漏洞，然后生成漏洞扫描报告。	项目成员	合同签订日起第2个工作天。	40（4人×10天）
人工验证结果过程	针对漏洞报告中的漏洞进行人工简约分析验证，或人工详细验证，或人工深入验证判断漏洞的严重级别并最初输出源代码审计报告（包含安全加固建议）。	项目成员	合同签订日起第10个工作天。	65（4人X15天）
项目验收	项目最终验收	项目经理	合同到期，服务完成后。	3

该项目在中标后开始启动准备工作，在合同签订后立即开始实施。

代码审计收益

采用代码审计将有以下收益：

1.CSO、CISO、CIO与信息安全审计人员，只需通过代码审计，就可以确实扼要地检查企业源码检测与验证结果。

2.高级管理人员可获得从执行管理层级的报告，检查项目进度、效益分析及团队工作效能。

3.信息安全与开发团队可以从技术报告中发现安全问题根源并获得最佳化的弱点矫正建议。

4.项目经理、程序员与安全设计师，可以快速地通过网页浏览器查看个性化的报表，持续评估政策落实、安全意识与训练效果。

项目经验

项目成员有多个业界主流代码审计工具使用经验，包括但不限于：AppsCan Source、Checkmarx、Klocwork、Coverity、Fortify等。覆盖审计语言包括Java, C# / .NET, PHP, C, C++, Visual Basic 6.0, VB.NET, Flash, APEX, Ruby, Javascript, ASP, Perl, Android, Objective C, PL/SQL, HTML5.等，同时向多个金融、运营商等企业和组织单位提供Web代码审计服务并取得客户良好反馈。

成果输出

根据针对重要信息系统的代码审计服务出具《XXX大学重点系统代码审计报告》。

3.9安全加固

服务概述

“信息”安全专家的信息安全加固工作是指：在包括漏洞扫描、渗透测试、源代码审计的评估之后，根据评估的结果强化信息系统安全防范能力的重要过程。信息安全加固优化服务是基础架构安全服务的实质阶段，参考当前网络和系统现状，为XXX大学重要信息系统架构的安全改进或升级提出切实可行的解决方案，在帮助实施的同时，提高系统的安全性；提高每一个信息主体的抵抗安全风险的能力。信息系统的加固主要包括三个方面：系统加固、网络设备加固和应用系统加固。

详细服务包括但不限于以下内容：

网络设备安全加固

包括：禁用不必要的网络服务、修改不安全的配置、利用最小特权原则严格对设备的访问控制、及时对系统进行软件升级、提供符合IPP要求的物理保护环境等。对网络设备进行检测评估，提出可行性的加固方案。

操作系统安全加固

包括：检查系统补丁、停止不必要的服务、修改不合适的权限、修改安全策略、检查账户与口令安全、开启审核策略、关闭不必要的端口等。

应用系统（WEB系统、数据库）安全加固

包括：对要使用的操作数据库软件（程序）进行必要的安全审核，比如对ASP、PHP等脚本，这是很多基于数据库的WEB应用常出现的安全隐患，对于脚本主要是一个过滤问题，需要过滤一些类似 , ‘ ; @ / 等字符，防止破坏者构造恶意的SQL语句。安装最新的补丁，使用安全的密码、账号策略，加强日志的记录审核，修改默认端口，使用加密协议，加固TCP/IP端口，对网络连接进行IP限制等。

加固内容

1. 1. 1. 服务流程

由安全专家出具安全巡检报告、重点系统安全服务报告后，提供的相应加固方案首先由用户方联系系统建设单位进行修复加固。确认系统管理方无法处理情况下，由安全专家在网络层面、主机层面或WebServer层面做加固。在外部层面无法防护的情况下，再由用户方联系建设单位进行授权登陆操作。

1. 1. 1. 设备层面

升级最新系统路由器类网络设备一般都提供给用户升级其操作系统的接口。旧的操作系统可能存在一些安全漏洞和应用BUG，如果不升级将可能导致性能低下，或者因为遭受攻击而拒绝服务，甚至被攻击者获得其配置文件、获得其管理权限，从而进一步威胁到网络内部的安全。

设置普通密码

通常路由器类设备都提供一个普通远程登录或从CONSOLE 上登录，对其进行配置管理的接口。设置一个普通登录密码，是保护路由器本身安全的最基本的配置。

设置超级密码

为了安全，一般路由器都提供了一个超级用户。普通用户一般只对某些资源有读的权限，而超级用户能对所有资源有读和写的权限。所以超级用户的密码必须设置复杂，并定期更换。超级密码必须加密码存储在配置中。路由器设备必须选用支持配置文件密码加密存储的设备。

设置访问控制列表

当该设备CPU、内存占用很小，网络流量也不大时，可以设置10 条以内的访问控制列表，一般路由器都能支持设置访问控制列表。

使用安全登录

如果设备支持，使用加密的远程登录方式或其它的安全登录方式。可以使用集中的认证，可以使用一次性密码（One Time Password）认证，也可以使用SSH 等方式。

其它访问控制配置

通常需要对边界路由器设置访问控制列表，防止一些伪造的IP 攻击包在网络中流入或流出此路由器，当所有边界路由器做了此设置，能很快定位一个网络中受到D.o.S.攻击的包来源。

关闭不必要的服务

一般网络设备还提供了一些其它的服务，方便用户进行管理或调试，例如HTTP、TFTP、FINGER 等等。可以关闭这些不必要的服务，在需要使用时再打开这些服务。

设置snmp

snmp 是简单网络管理协议，使网管系统能远程管理此设备。因为snmp协议本身的缺陷，一般来说如果此网络设备需要很强的安全性，最好关闭snmp的管理，如果一定要使用snmp 进行管理时，一定得修改缺省的snmp 的community string，不能使用public、private、以及公司名称或部门名称等相关的字符串。

配置日志

如果对网络流量影响无特别要求，而对安全需求更强，可以考虑设置对网络设备的特殊事件记录日志，日志可以通过syslog 记录到其它的日志服务器。

1. 1. 1. 系统层面

系统加固主要考虑如下方面：

补丁

从厂家网站或者可信任站点下载操作系统的补丁包，不同的操作系统版本以及运行不同的服务，都可能造成需要安装的补丁包不同，所以必须选择适合本机的补丁包安装。一般必需安装的是安全补丁和紧急补丁，应用程序的补丁为可选安装。

文件系统

系统的权限配置项目繁多，要求也很严格，不适当的配置可能造成用户非法取得操作系统超级用户的控制权，从而完全控制操作系统。对文件系统进行修补加固包括选用文件系统类型，设置对文件系统中文件的访问权限，对文件系统资源的使用量的限制，根据用户定制不同策略等多个方面。

账号管理

账号口令是从网络访问UNIX系统的基本认证方式，很多系统被入侵都是因为账号管理不善，设置超级用户密码强度，密码的缺省配置策略问题(例如：密码长度，密码更换时间，账号所在组，账号锁定等多方面)。有些系统可以配置使用更强的加密算法，和密码账号管理方式。如果有必要，也可以使用一次性登录密码管理等。对账号进行最小授权，例如不允许登录、不提供登录SHELL等。对于不使用的账号进行删除。

网络及服务

系统有很多缺省打开的服务，这些服务都可能泄露本机信息，或存在未被发现的安全漏洞，关闭不必要的服务，能尽量降低被入侵的可能性。.例如r系列服务和rpc的rstatd都出过不止一次远程安全漏洞。UNIX缺省的网络配置参数也不尽合理，例如TCP序列号随机强度，对D.o.S攻击的抵抗能力等，合理配置网络参数,能优化操作系统性能，提高安全性。

应用软件

建议操作系统安装最小软件包，例如不安装开发包，不安装不必要的库，不安装编绎器等，但很多情况下必须安装一些软件包。 APACHE或NETSCAPEENTERPRISE SERVER是一般UNIX首选的WEB服务器，其配置本身就是一项独立的服务，邮件和域名服务等都需要进行合理的配置。

审计,日志

做好系统的审计和日志工作，对于事后取证追查，帮助发现问题，都能提供很多必要信息。例如：打开账号审计功能，记录所有用户执行过的命令；实现日志集中管理，避免被入侵主机日志被删除等。

1. 1. 1. 应用层面

数据库系统的加固与实际应用联系相当紧密，这里列举出安全加固的通用原则。通常数据库系统包括ORACLE、SYBASE、SQLSERVER、MYSQL 等。

只安装必要的软件包
对某些缺省的用户账号设置为锁定和过期
改变缺省的用户密码
启用数据字典保护
安全最小权限原则
有效地设置强制性访问控制
限制网络访问
应用所有的安全补丁和工作环境

WEB 系统加固主要针对以下威胁：

脚本漏洞
恶意代码
网络病毒
数据源非法入侵
非法程序上传
……

项目风险规避措施

加固实施策略

时间：为了避免加固过程影响系统业务运行，加固时间应该选择在系统业务量最小，业务临时中断对外影响最小的时候。

操作：加固操作需要按照系统加固核对表，逐项按顺序执行操作。

记录：对加固后的系统，全部复查一次所作加固内容，确保正确无误。

系统备份和恢复

系统加固之前，先对系统做完全备份。加固过程可能存在任何不可预见的风险，当加固失败时，立即启动应急预案中的回退方案恢复到加固前状态。当出现不可预料的后果时，加固实施工程师首先使用备份恢复系统提供服务，同时与总部安全专家小组取得联系，寻求帮助并解决问题。

工程中合理沟通的保证

在工程实施过程中，确定不同阶段的测试人员以及客户方的配合人员，建立直接沟通的渠道，并在工程出现难题的过程中保持合理沟通。

复查及跟踪

实施安全加固后，除首次外，每月巡检扫描时对之前的安全加固情况进行持续性跟踪，监督、复查、检测安全加固工作的进展情况，统计各问题网站安全漏洞的修复速度，并为后续处理工作提供决策依据。提交一份《XXX大学网络信息安全评估报告》。内容包括安全加固后复查及跟踪情况。

服务收益

根据所发现的安全漏洞，提出了点对点整改意见，可以在第一时间对漏洞进行修复，提高客户的信息安全保障工作。

用户及时了解各个层面的安全隐患及获得相应解决方案；
获得新增软/硬件的安全配置规范建议；
避免各类系统、应用产生的安全隐患造成有形或无形的损失；
安全的加固回溯机制，避免加固后对系统造成的影响。

3.10应急响应

3.10.1服务概述

安全服务客户服务中心提供7*24小时的电话支持安全服务，XXX大学信息中心可以根据网络管理员或系统管理员的初步判断认为和安全事件相关，通过电话咨询信息安全客户服务人员，服务人员会根据客户信息提供电话支持服务，在XXX大学项目组相关人员和信息安全服务人员同时确认需要信息安全专家或安全服务队伍现场支持后，根据客户安全事件级别进行派出工程师实施当天－即24小时之内的现场应急响应。直到事态消除，系统恢复正常运作。

3.10.2应急内容

重要漏洞应急响应，包括：

业界新公布的重大安全漏洞
用户方上级部门下发的安全漏洞通知
网络安全平台曝光的高危漏洞进行应急检测

将提供及时的应急通知，提交《XXX大学安全漏洞应急服务报告》，包括具体系统漏洞情况、漏洞应用实例、安全加固方法。

紧急事件响应，是当安全威胁事件发生后迅速采取的措施和行动，其目的是最快速恢复系统的保密性、完整性和可用性，阻止和降低安全威胁事件带来的严重性影响。包括其他校内信息系统在内的校园网所有网站出现紧急安全事件需要信息中心响应时，将启动7*24小时服务安全专家参与事件的处理，已及时恢复系统。

紧急事件主要包括：

病毒和蠕虫事件
黑客入侵事件
误操作或设备故障事件

但通常在事件爆发的初始很难界定具体是什么事件。通常根据安全威胁事件的影响程度来分类：

单点损害：只造成独立个体的不可用，安全威胁事件影响弱。
局部损害：造成某一系统或一个局部网络不可使用，安全威胁事件影响较高。
整体损害：造成整个网络系统的不可使用，安全威胁事件影响高。

当入侵或者破坏发生时，对应的处理方法主要的原则是首先保护或恢复计算机、网络服务的正常工作；然后再对入侵者进行追查。因此对于客户紧急事件响应服务主要包括准备、识别事件（判定安全事件类型）、抑制（缩小事件的影响范围）、解决问题、恢复以及后续跟踪。

3.10.3服务方式

信息安全紧急响应服务方式分为远程支持或现场支持。

远程支持安全服务方式可以分为以下几种：

电话在线支持服务
7*24小时电话支持服务；
传真支持服务
E－MAIL支持服务

当远程支持无法解决问题时，将派遣专业的紧急响应服务人员在第一时间到达客户所在地提供现场支持服务，保证在任何时候客户都能及时找到我方的相关专业技术人员。当发生紧急安全事件，在征得客户许可的前提下，我方立即启动应急预案进行远程修复，必要时通过强制措施保护客户数据、资料安全。采取远程与现场支撑相结合的方式，第一时间处理显现威胁。

3.10.4等级分类

事件分类	事件描述	威胁级别	支持方式
紧急事件	客户业务系统由于安全问题崩溃、系统性能严重下降，已无法提供正常服务。客户出口路由由于网络安全原因非正常中断，严重影响用户使用。公众服务由于安全原因停止服务或者造成恶劣影响的。	高危险	现场支持
严重事件	用户内部的业务支持系统由于安全事件出现问题，导致不能运转正常不稳定。部分服务由于安全原因中断，影响用户正常使用。	中危险	远程支持或现场支持
一般事件	由于安全原因导致系统出现故障，但不影响用户正常使用。客户提出安全技术咨询、索取安全技术资料、技术支持等。	低危险	远程支持

3.10.5应急流程

准备阶段（Preparation）

在事件真正发生前为应急响应做好预备性的工作。

负责人准备内容
技术人员准备内容
市场人员准备内容

检测阶段（Examination）

检测范围及对象的确定；
检测方案的确定；
检测方案的实施；
检测结果的处理。

…》

抑制阶段（Suppresses）

限制事件扩散和影响的范围，限制潜在的损失与破坏，同时要确保封锁方法对涉及相关业务影响最小。

抑制方案的确定；
抑制方案的认可；
抑制方案的实施；
抑制效果的判定；

…》

根除阶段（Eradicates）

根除方案的确定；
根除方案的认可；
根除方案的实施；
根除效果的判定；

…》

恢复阶段（Restoration）

恢复方案的确定；

应急服务提供者应告知服务对象一个或多个能从安全事件中恢复系统的方法，及他们可能存在的风险；
应急服务提供者应和服务对象共同确定系统恢复方案，根据抑制和根除的情况，协助服务对象选择合适的系统恢复的方案；
如果涉及到涉密数据，确定恢复方法时应遵循相应的保密要求。

恢复信息系统；

应急响应实施小组应按照系统的初始化安全策略恢复系统；
恢复系统时，应根据系统中个子系统的重要性，确定系统恢复的顺序；
恢复系统过程宜包各方面的确定：
对于不能彻底恢复配置和清除系统上的恶意文件，或不能肯定系统在根除处理后是否已恢复正常时，应选择彻底重建系统；
应急服务实施小组应协助服务对象验证恢复后的系统是否正常运行；
应急服务实施小组宜帮助服务对象对重建后的系统进行安全加固；
应急服务实施小组宜帮助服务对象为重建后的系统建立系统快照和备份；

输出：《恢复处理记录表》、《..》

总结阶段（Summary）

事故总结；

应急服务提供者应及时检查安全事件处理记录是否齐全，是否具备可塑性，并对事件处理过程进行总结和分析；
应急处理总结的具体工作及分析：

事故报告；

应急服务提供者应向服务对象提供完备的网络安全事件处理报告；
应急服务提供者应向服务对象提供网络安全方面的措施和建议；
上述总结报告的具体信息参考Excel表《应急响应报告表》。

输出：《应急响应报告表》

3.10.6服务收益

应急响应服务可以在发现信息完全威胁后第一时间进行跟进处理，最大限度的降低安全事故带来的危害，减少安全事故带来的影响，将客户的安全损失降到最低。

3.10.7成果输出

重要漏洞应急响应：《XXX大学安全漏洞应急服务报告》，包括具体系统漏洞情况、漏洞应用实例、安全加固方法。

紧急事件应急响应：《XXX大学网站（系统）安全事件应急响应报告》，包括事件发生时间点，入侵原理及过程，安全团队响应时间点、处理过程，修复操作等

3.11安全通告

3.11.1通告内容

根据目前的信息安全形势，信息向XXX大学提供当前信息安全动态、信息安全隐患及建议等，具体内容如下：

系统漏洞信息：将每月内，各操作系统、应用系统、网络设备等最新安全漏洞编制成册，包括漏洞威胁、影响平台及修补方法等；
病毒信息：将每月内，将最具威胁性的病毒信息编制成册，包括病毒危害、感染原理及防护措施等；
安全预警：一旦出现将可能造成大规模网络攻击事件的安全漏洞或病毒木马，及时通知相关人员进行安全预警，积极进行补丁修复和安全防护工作；
信息安全事件：将每月内，相关信息安全事件编制成册，避免信息系统遭遇同样安全攻击，造成严重损失；
信息安全监管要求：即时通告国家及监管部门对行业的最新要求。

3.11.2通告流程

首先与XXX大学相关负责人制定固定的安全通告模版，一般安全通告通过Email告知，重大或与XXX大学相关的安全通告，进行现场告知，并对可能系统产生影响的风险，出具相应的解决方案。

3.11.3通告频率

一般通告每月一次，重大紧急安全信息即时通告，业界新公布的重大安全漏洞由则于互联网公布后24小时内通知XXX大学信息中心相关负责人，发送应急服务报告，并根据应急响应的标准，提供及时的应急响应服务。服务周期为12个月。

3.12安全咨询

3.12.1安全技术咨询服务

信息拥有一支具有丰富安全从业经验的资深安全技术团队，能够很好的解决用户信息系统运行期间可能遇到的各类安全问题。

为了解决XXX大学业务系统运营过程中遇到的各类安全问题和困难，信息设立了安全服务咨询热线，为XXX大学信息中心提供7*24小时不限次的远程安全技术和安全产品的技术支持服务、常见信息安全问题咨询服务。

信息具备完善的服务跟踪数据库，设备齐全的安全实验室，确保对包商银行的技术请求做出快速满意的响应。

咨询内容包括但不限于：

系统性能优化、操作系统安全配置建议、安全防护设备使用等
并对用户方其他来源的安全评估报告提供技术支持，包括报告分析与解读
对提供安全服务的技术向用户进行专业解释，提供检查过程和分析过程数据，进行技术人员培训

3.12.1安全保障体系完善

ISMS体系建设完善服务根据信息安全相关标准、行业最佳实践和行业监管要求，结合XXX大学原有信息安全管理体系自身特点，制定出未来3-5年的信息安全和管理架构成熟度改善计划。所设计的信息安全架构应整合现有的安全措施，并满足未来安全建设发展的需要。

信息咨询团队全面分析目前XXX大学信息系统的安全现状，深入挖掘各种安全风险，科学分析当前现状和国际、国家及行业安全目标之间的差距，并以此促进未来的信息安全规划，构建动态、完整、高效的信息安全保障体系，逐步形成持续完善、自我优化的安全运维体系和管理体系。确定安全方针和目标，汇总现有制度体系，分析各项差异性，设计适合的信息科技风险状况、技术水平以及管理体系，并辅助实施，从根本上提信息系统的整体安全能力，为保证业务的健康发展和提升核心竞争力提供坚实的基础保障。

本服务主要提供包括以下几个方面内容的咨询：

制定安全策略，并根据策略完善相关制度体系；
建立信息安全管理体系（ISMS），提升总体安全管理水平；
信息安全体系必须符合国家、行业相关规定和指引，并结合IS27000体系文件，实现ISMS落地实施；
建立安全运维管理体系；
结合信息安全整体规划进行实施；
结合安全域划分进行实施；
结合等级保护相关内容进行实施。

3.13安全产品部署

3.13.1网站卫士

®网站卫士网页防篡改系统是依托专业的安全团队，凭借雄厚的研发实力，结合多年的技术积累和沉淀研发出来国内技术最先进、功能最全面、应用最广泛、实施最简单的一款专注于网站内容安全的网页防篡改系统。广泛适用于“政府、金融、运营商、公安、能源、税务、工商、社保、交通、教育”等门户网站及以互联网为基本的电子商务门户网站。部署产品，可以为网站提供不间断的监控与保护，有效的保障网站的完整性和真实性。

自投放市场以来，已经为不同架构、不同运行环境的数百个网站提供了安全防护，其稳定性、可靠性得到了充分的验证。在2008北京奥运会/残奥会期间，采用进行防攻击、防篡改保护的网站均抵御了各种WEB应用攻击并且保证了7x24小时安全稳定运行，受到了最终客户的高度评价。已经成为目前国内政府、各企事业单位网站防篡改保护的首选安全产品。

主要功能

包含防攻击、防篡改两大子系统的多个功能模块，为网站安全建立全面、立体的防护体系。

防攻击：采用专利级Web入侵检测技术对网站进行多层次的安全检测分析，有效保护网站静态/动态网页及后台数据库信息

识别、阻止SQL注入攻击、跨站攻击、表单绕过、批量挂马等

识别、阻止其他已知/未知&变形攻击

自定义HTTP头各字段溢出防护

基于时间段，源IP自动调整防护策略

防篡改：支持多种保护模式，防止静态和动态网站内容被非法篡改。

新一代内核驱动级文件保护，确保防护功能不被恶意攻击者非法终止

采用核心内嵌技术，支持大规模连续篡改攻击防护

实时检测与内容恢复，完全杜绝被篡改内容被外界浏览

支持断线/连线状态下篡改检测，自带同步端HA功能

支持多服务器、多站点、各种文件类型的防护

产品特点

技术先进：采用第三代全新的防篡改技术，稳定、可靠、高效、兼容性高；
保护全面：即时内容恢复与实时动态攻击防护相结合，全面保护各类网页和网站数据安全；
内容传输：支持多Web服务器并行发布、断点续传、加密传输、同步端自带HA功能；
配置灵活：访问策略可以灵活配置、功能模块可以灵活组合、文件类型可以按需添加；
操作简便：全中文操作界面、导航式安装提示、内置安全模板，大大缩短部署时间；

部署方式

网站卫士由管理控制端(server)、监控端(agent)和发布端(push)三大程序模块构成。管理控制端可安装在任何一台服务器上，主要用于配置、管理和展显监控端、发布端的各种信息，并下发安全规则到监控端；监控端安装在WEB服务器上的，实现对站点进行保护、备份和监测；发布端安装在更新服务器上，实现对站点文件实时更新。

部署网站卫士网页防篡改系统，先部署管理控制端，然后在WEB服务器上安装监控端程序，通过管理控制端认证，即可实现管理控制端与监控端之间的安全连接。管理员通过管理控制端可以查看监控端的运行情况、配置防篡改策略、查看日志信息。同步端部署在发布服务器上，负责网站内容的更新和发布。

几大模块松藕合，可根据业务环境来设计灵活的部署方式。

3.13.2抗DDOS网关

针对当前的DOS/DDOS攻击现状，信息自主研发的抗拒绝服务产品——抗DDOS网关具有很强的DOS/DDOS攻击的防护能力。并可在多种网络环境下轻松部署，保证网络的整体性能和可靠性。

产品功能

DOS/DDOS攻击检测及防护

抗DDOS网关应用了自主研发的抗拒绝服务攻击算法，对SYN Flood，UDP Flood，ICMP Flood，IGMP Flood，Fragment Flood，HTTP Proxy Flood，CC Proxy Flood，Connection Exhausted等各种常见的攻击行为均可有效识别，并通过集成的机制实时对这些攻击流量进行处理及阻断，保护服务主机免于攻击所造成的损失。内建的WEB保护模式及游戏保护模式，彻底解决针对此两种应用的DOS攻击方式。

通用方便的报文规则过滤

抗DDOS网关除了提供专业的DOS/DDOS攻击检测及防护外，还提供了面向报文的通用规则匹配功能，可设置的域包括地址、端口、标志位，关键字等，极大的提高了通用性及防护力度。同时，内置了若干预定义规则，涉及局域网防护、漏洞检测等多项功能，易于使用。

专业的连接跟踪机制

抗DDOS网关系列产品，内部实现了完整的TCP/IP协议栈，具有强大的连接跟踪能力。每个进出的连接，防火墙都会根据其源地址进行分类，并显示给用户，方便用户对受保护主机状态的监控。同时还提供连接超时，重置连接等辅助功能，弥补了TCP协议本身的不足，使您的服务器在攻击中游刃有余。

简洁丰富的管理

抗DDOS网关系列产品具有丰富的设备管理功能，基于简洁的WEB的管理方式，支持本地或远程的升级。同时，丰富的日志和审计功能也极大地增强了设备的可用性，不仅能够针对攻击进行实时监测，还能对攻击的历史日志进行方便的查询和统计分析，便于对攻击事件进行有效的跟踪和追查。

广泛的部署能力

针对不同的客户，抗拒绝服务所面临的网络环境也不同，企业网、IDC、ICP或是城域网等多种网络协议并存，给抗拒绝服务系统的部署带来了不同的挑战。抗DDOS网关具备了多种环境下的部署能力。

防护原理

抗DDOS网关产品基于嵌入式系统设计，在系统核心实现了防御拒绝服务攻击的算法，创造性地将算法实现在协议栈的最底层，避开了IP/TCP/UDP等高层系统网络堆栈的处理，使整个运算代价大大降低。并采用自主研发的高效的防护算法，效率极高。方案的核心技术架构如下图所示：

抗DDOS网关防护原理图

攻击检测

抗DDOS网关利用了多种技术手段对DOS/DDOS攻击进行有效的检测，在不同的流量触发不同的保护机制，在提高效率的同时确保准确度；

协议分析

抗DDOS网关采用了协议独立的处理方法，对于TCP协议报文，通过连接跟踪模块来防护攻击；而对于UDP及ICMP协议报文，主要采用流量控制模块来防护攻击。

主机识别

抗DDOS网关可自动识别其保护的各个主机及其地址。某些主机受到攻击不会影响其它主机的正常服务。

连接跟踪

抗DDOS网关统针对进出的连接均进行连接跟踪，并在跟踪的同时进行防护，彻底解决针对TCP协议的各种攻击。

端口防护

建立在连接跟踪模块上的端口防护体制，针对不同的端口应用，提供不同的防护手段，使得运行在同一服务器上的不同服务，都可以受到完善的DOS/DDOS攻击保护。

产品功能

精确的DDoS攻击识别与清洗

DDOS识别与清洗功能是抗DDOS网关的核心，主要功能是对过往流量进行异常甄别和过滤净化。抗DDOS网关系列产品，采用协议分析技术，对带有明显攻击特征的违反RFC标准的畸形数据包、攻击数据包直接进行丢弃，采用了自主研发的新一代基于统计和阈值、专有反向探测等防拒绝服务攻击算法，可以对SYN FLOOD、ACK FLOOD、TCP CONNECTION FLOOD、UDP FLOOD、ICMP FLOOD、FRAG FLOOD等各种常见的危害很大而又易于发起的攻击方法进行快速有效的识别，在对网络数据报文进行统计的基础上，对于不同类型的DDoS攻击采取了相应的防御算法，从而可以准确而实时地在大流量背景下识别出恶意的DDoS流量，与其它同类产品相比，也减少了反向探测的数据流。内建的WEB保护模式及游戏保护模式，采用了专有的防护算法，使抗DDOS网关对应用层的攻击如HTTP GET FLOOD（CC攻击）、HTTP POST FLOOD、DNS QUERY FLOOD、网络游戏等攻击都能进行有效的防范。

方便的域名管理功能

手机互联网传播色情信息事件，严重影响了互联网产业的健康发展，根据国家严查、清理非法色情网站等相关规定，抗DDOS网关推出最新域名管理方案，实施域名黑、白名单管理模式，为各大运营商、数据中心管理WAP网站提供了有效的管理措施。

域名管理功能说明：

1) 抗DDOS网关域名审计功能可同时设置黑、白名单，放行已备案域名，屏蔽所有未备案域名；

2) 抗DDOS网关域名审计功能可匹配多级域名；

3) 抗DDOS网关域名设置及管理简单化，通过设置.txt文件导入管理即可完成操作

4) 抗DDOS网关可显示已设定域名的状态、地址及域名访问次数；

5) 取消原域名管理中的插件设置，设置web端口的域名审计功能不影响该web端口的防御。

抓包取证功能

抗DDOS网关提供了报文捕捉功能，管理员可以对全局数据包进行捕捉，也可以指定IP进行捕捉，有利于管理员在发生攻击时调查取证，也有利于在发生未知攻击时抓取数据包，进行数据分析。

自定义规则方便对未知攻击的防范

抗DDOS网关除了提供专业的DOS/DDOS攻击检测及防护外，还提供了面向报文的通用规则匹配功能，可设置的域包括地址、端口、标志位，关键字等，极大的提高了通用性及防护力度。抗DDOS网关基于算法与统计原理对攻击进行防护，能够有效的防范大部分的未知攻击，而对于一些抗DDOS网关不能进行防护的未知攻击，系统管理员抓包分析后，提取攻击特征，自定义防护规则，从而对未知攻击进行有效的防范。同时，内置了若干预定义规则，涉及局域网防护、漏洞检测等多项功能，易于使用。

灵活多样的管理与维护功能

抗DDOS网关提供灵活多样的管理与维护功能，系统提供多种管理方式，支持HTTP/HTTPS等多种管理方式，同时也支持命令行的管理方式。为了保证安全性，抗DDOS网关采用了用户的分权管理。登录用户分为四种：网络观察员：仅可以查看当前系统状态，无权更改；网络管理员：拥有网络观察员权限，并可变更参数设置；系统管理员：拥有网络管理员权限，并可创建子帐户；授权客户服务：用于远程服务的授权帐户。

完善的审计报表

抗DDOS网关提供完善的条件查询和报表审计功能，日志列表可清晰查看设备各项操作记录,并记录设备每分钟流量、CPU和内存使用情况，并可将日志下载或保存到日志服务器。分析报告查询某个主机的相关记录，并对其流量进行分析，生成报告，也可分析全局记录，并生成相关的报告。

黑白名单管理

黑白名单模块采用了简洁而高效的数据结构和算法，可以保存大量的黑白名单。用户可以根据业务需要设置白名单用于实现重要业务流量的快速通过，也可以设置黑名单以阻断已知的异常流量。系统在进行攻击防护时，防护算法会临时生成分级别的黑白名单，以提高防护效率，同时减少反向探测数据流。

灵活的部署方式

抗DDOS网关的客户涉及各个行业，面临的网络环境也复杂多样，无论是运营商骨干网、城域网、IDC，还是大型企业网络、政府网络、小型企业网，抗DDOS网关均能提供多种部署方式。抗DDOS网关在部署时支持透明串联接入，双机热备，集群部署，并支持旁路部署，在串联部署时，抗DDOS网关不仅能够实现对攻击检测，还能够进行有效的防护，在旁路部署时，抗DDOS网关与流量分析器联动形成一个完整的解决方案，既支持流量分析器与抗DDOS网关的联动，也支持抗DDOS网关与路由交换设备的联动，从而满足不同的客户需求。

典型案例

XX市经信委风险评估项目

项目名称	XX2012年度政府信息系统安全测评及检查项目	所属行业	政府
合同生效时间	2012.12	项目周期	12个月
项目进展	完成项目	项目验收	终验
项目概述	项目性质：系统安全评测项目内容简介： 1、根据XXX经济和信息化委员会对XXX政府各部门电子政务系统集中开展信息系统安全测评的要求，对XXX4个市级政府部门共33个信息系统，依据GB/T18336-2008《信息技术安全评估通用准则》、GB/T22081-2008《信息安全管理实用规则》等国家标准开展信息系统安全测评； 2、协助XXX经济和信息化委员会开展2012年度市级重要信息系统安全检查抽查工作，起草安全检查抽查规范，完成对16家抽查单位的信息安全技术抽查，完成检查小组安排的现场检查工作及检查后统计分析及结果反馈工作； 3、负责对XXX100个市级重要信息系统单位门户网站进行远程网站安全性监测，对各门户网站从SQL注入、跨站脚本、路径遍历、OS命令执行、错误认证及授权、内部信息泄露等方面进行远程安全性评估，监测频率为每半年一次，定期出具网站监测报告。实施效果经信委项目正在实施，目前已取得了阶段性成果，并且成果z逐步扩大：全面了解项目要求的各部门电子政务系统的整体安全状况；协助顺利完成了16家检查单位的信息安全技术抽查及反馈工作；全面检查XXX100个市级重要信息系统单位门户网站的网站安全性监测，掌握各大网站的安全状况，及时出具监测报告

XXX总行安全服务项目

项目名称	XXX互联网系统安全服务项目	所属行业	金融
合同生效时间	2013.12	项目周期	12个月
项目进展	完成	项目验收	终验
项目概述	项目性质：安全技术服务项目内容简介：渗透测试：对中国XXX辖内互联网地址段进行全面细致的扫描和测试，发现中国XXX互联网应用存在的安全问题，并提出改进建议。服务范围包括中国XXX所属互联网IP地址段内所有设备、系统和应用。测试内容包括但不限于网络、系统、应用、业务流程等层面。加固服务：针对中国XXX互联网应用存在的安全问题，提供安全加固服务，包括现场支持和远程支持两种方式。为中国XXX提供安全加固相关技术支持；协助中国XXX编写制定相关技术标准和规范；能够根据中国XXX需求，提供讲师，协助中国XXX开办安全加固相关的安全技术培训。针对中国XXX互联网应用中发现的安全漏洞，以及根据安全技术发展的最新趋势，向中国XXX提出系统安全加固建议，并提供对应的专家咨询。就发现的互联网安全威胁、安全漏洞及时通知中国XXX，并提供相关技术支持，帮助中国XXX提前做好风险抵御措施。实施效果中国XXX通过信息的安全服务，达到以下成果：全面掌握中国XXX互联网系统的安全问题，制定合理的风险规避措施；通过安全培训，给中国XXX增强了WEB应用防护的技术力量；通过全面的黑白盒测试，将应用系统潜在的弱点逐一发现与分析；

XXX科技网安全服务项目

项目名称	XXX科技网安全服务项目	所属行业	政府
合同生效时间	2013.09	项目周期	12个月
项目进展	完成	项目验收	终验
项目概述	项目性质：安全技术服务项目内容简介：定期安全评估及防护服务：重要网站定期进行安全检查、漏洞扫描、渗透测试、协助安全加固服务。上线预评估：对于重要网站上线之前进行安全检查、漏洞扫描、渗透测试等安全评估服务。应急响应：专业安全研究工程师快速现场技术支持（远程或现场应急响应）。安全通告：最新安全漏洞咨询，专业安全研究工程师电话、邮件告知安全漏洞。安全咨询：日常安全问题咨询，高级安全顾问现场、电话、邮件咨询等。实施效果 XXX科技网的项目已经实施完成，该网站的安全性和稳定性都得到了一定的提升：全面掌握XXX科技网系统的安全问题，制定合理的风险规避措施；通过定期安全评估，让XXX科技网的安全情况得到及时的修复，更好的实现网站的运行；通过上线预评估，XXX科技网在开始实施阶段就能进行有效的防御，使网站的威胁性得到很好的控制。

XXX人事考试办公室安全服务项目

项目名称	XXX人事考试办公室安全服务项目	所属行业	政府
合同生效时间	2013.12	项目周期	12个月
项目进展	完成	项目验收	终验
项目概述	项目性质：安全技术服务项目内容简介：深度安全评估采用自动化漏洞扫描设备，结合人工安全检测，对XXX人事考试办公室网站的代码层、系统层和应用层进行全面、深入的安全漏洞检测；根据深度安全评估结果，输出详尽的深度安全评估报告。协助安全加固对所发现的安全漏洞，提出了点对点整改意见，及时修复单点安全隐患；同时，从信息系统安全保障体系出发，提出安全保障建设意见；输出详尽的安全加固报告。安全通告通过邮件、电话等方式向XXX人事考试办公室提供WEB应用安全漏洞通告、重大WEB应用安全事件通告、安全预警。安全咨询提供邮件、热线等全天候7×24小时的安全相关咨询服务。安全监控对XXX人事考试办公室网站进行不间断安全监控，第一时间发现网站异常，并上报。应急响应对XXX人事考试办公室网站所发生的安全事件进行7×24小时应急响应，当安全事件发生后迅速采取措施和行动，快速恢复系统的保密性、完整性和可用性，阻止和降低安全威胁事件带来的严重影响。实施效果 XXX人事考试办公室通过信息的安全服务，总体达到了如下实施效果：对XXX人事考试办公室的实时监测，提供XXX人事考试办公室有效的攻击数据分析，为安全策略的制定提供有力的依据。全面掌握XXX人事考试办公室网站系统的安全问题，制定合理的风险规避措施；实施WEB应用防火墙，保证网站的安全运行、实时阻挡来自恶意者的攻击、降低网站及内部WEB应用运行风险；提供了重要的安全设备部署建议，完善XXX人事考试办公室互联网应用系统的整体安全策略；

XXX财政厅安全服务项目

项目名称	XXX财政厅安全服务项目	所属行业	政府
合同生效时间	2013.12	项目周期	12个月
项目进展	完成	项目验收	终验
项目概述	项目性质：安全技术服务项目内容简介：对甲方网站进行深度安全评估与渗透测试，模拟黑客攻击手法发现网站中的潜在威胁，每月提供网站安保工作报告，每季度提供网站安保测评纸质报告（包括测评方法内容结果和建议）；提供WEB应用防火墙租用服务（WAF-1000AG：2台），防御各种攻击，保护甲方网站安全，在租用期间负责进行产品上线以及后期维护，每月提供网站安保工作报告，每季度提供网站安保测评纸质报告；提供不限次7×24现场应急响应服务，对甲方网站发生的紧急事件进行分析处理，及时解决网站安全问题，恢复WEB网站正常运行；提供一次白盒源代码测试，在实际测试前一周，提供白盒源代码测试实施方案，全面诊断网站源代码存在的安全问题并协助解决。实施效果 XXX财政厅通过信息的安全服务，总体达到了如下实施效果：全面掌握门户网站系统的安全问题，制定合理的风险规避措施；通过全面的白盒测试，将应用系统潜在的弱点逐一发现与分析；对XXX财政厅门户网站的实时监测，提供XXX财政有效的攻击数据分析，为安全策略的制定提供有力的依据。