3.1.4 系统目标及客户价值
1、 产品目标
运行平台监控系统产品的集成监管目标如下:
无-》[无任何监管]
被动监控-》[产生故障后报警]
主动监控-》[故障前数据分析预警]
数据分析-》[通过数据分析辅助决策] 提升绩效-》[业务系统可靠稳定运行]
使用运行平台监控系统,会根据网站实际需求建立一个完善全面、系统科学的信息安全监管体系,解决现实工作中面临的各种信息安全及可靠性问题,加强网站工作电子化、信息化服务的深度,从而实现更好的工作效率保障、更完善的服务于大众。
2、 客户价值
? 即时告警,减少损失 ? 提前预警,避免损失 ? 性能分析,精确预算 ? 节省人力,增加效益 ? 工作考核,提高效率 ? 综合监管,提升满意
运行平台监控系统是个动态的运维监管系统,可以根据网站信息化业务系统的发展变化,及时扩展、迅速适应。因此随着时间的推移,产品将不断的积累运维的新经验,形成持续发展的知识库;而用户的运维成本、IT系统的故障率也会持续降低,IT系统的服务质量也将持续提升。
3.2 网站安全评估检测系统
网站安全评估是从风险管理的角度,运用科学的方法和手段,全面检测网络和信息系统存在的脆弱性,系统分析和评估安全防护水平,从而有针对性地提出抵御威胁的防护对策和整改措施,将安全风险控制在可接受的水平,最大限度的保障网络和信息安全。
网站系统基本的组成为网站代码和后台数据,在系统结构方面由Web服务器和数据库服务器构成。综合服务平台将利用专业的Web应用安全评估系统,对Web应用进行深层次多角度地检查,挖掘出数据库数据泄漏、SQL注入、跨站脚本、网页木马、上传漏洞、Web站点管理员账号弱口令、敏感信息泄露等严重威胁网站应用安全的弱点漏洞,按照每月一次(可定制)的定期安全评估。 3.2.1 Web应用程序安全评估
综合服务平台运营中心主要利用国内领先的Web应用弱点扫描器、数据库弱点扫描器及其他主机评估工具,针对网站Web应用系统、数据库应用系统、相应重要主机进行漏洞扫描,同时采用人工检查的方式进行人工评估。
? 漏洞扫描主要依靠带有安全漏洞知识库的网络安全扫描工具对网站进行基
于网络层面安全扫描,其特点是能对被评估目标进行覆盖面广泛的安全漏洞查找,并且评估环境与被评估对象在线运行的环境完全一致,能较真实地反映主机系统、网络设备、应用系统所存在的网络安全问题和面临的网络安全威胁;
? 漏洞扫描对网络的影响很小,可以在不影响被扫描对象正常业务的情况下,
对其安全状况做出全面、准确的评估;
? 整理Web应用系统、数据库应用系统、主机系统漏洞列表;
? 人工对Web应用系统、数据库应用系统、主机系统漏洞列表进行漏洞匹配。 3.2.1.1
漏洞检测
应用系统以及相关应用程序在开发过程中,由于开发者的疏忽导致应用系统
存在可利用的安全漏洞。一般包括SQL注入漏洞、跨站脚本漏洞等安全漏洞。
1、 SQL注入漏洞
SQL注入漏洞的产生原因是网站程序在编写时,没有对用户输入数据的合法性进行判断,导致应用程序存在安全隐患。SQL注入漏洞攻击就是是利用现有应用程序没有对用户输入数据的合法性进行判断,将恶意的SQL命令注入到后台数据库引擎执行的黑客攻击手段。
2、 跨站脚本漏洞
跨站脚本攻击简称为XSS又叫CSS (Cross Site Script Execution),是指服务器端的CGI程序没有对用户提交的变量中的HTML代码进行有效的过滤或转换,允许攻击者往WEB页面里插入对终端用户造成影响或损失的HTML代码。
3、第三方软件漏洞
第三方软件漏洞一般是指网站后台编辑器、服务器软件如IIS、Apatch等本身可能存在的安全漏洞,导致对外服务网站存在入侵隐患。
4、敏感信息泄露
错误页面、Web站点发布的相应页面中的备注中、网站备份文件、目录列表等存在的敏感信息泄露,为黑客攻击提供了相应信息收集的渠道。 3.2.1.2
系统配置
由于系统管理员或网络管理员的疏忽或安全意识的缺乏导致应用系统存在可利用的安全漏洞。一般包括弱口令、CGI漏洞等。
1、 弱口令
弱口令通常有以下几种情况:用户名和密码是系统默认、口令长度过短、口令选择与本身特征相关等。
系统、应用程序、数据库存在弱口令可以导致远程入侵者直接得到系统权限、修改盗取数据库中敏感数据、任意篡改页面等。
2、 CGI漏洞
CGI漏洞是指由于网站配置管理疏忽,导致网站敏感信息泄漏。一般敏感信息包括有关Web应用系统的信息,例如,用户名、物理路径、目录列表和软件版本。尽管泄漏的这些信息可能不重要,然而当这些信息联系到其他漏洞或错误设置时,可能产生严重的后果。
例如:某源代码泄漏了SQL服务器系统管理员账号和密码,且SQL服务器端口能被攻击者访问,则密码可被攻击者用来登录SQL服务器,从而访问数据或运行系统命令。 3.2.1.3
木马检测
由于应用系统存在可被利用的安全漏洞,可能已被恶意人员进行挂马获取相应权限或用以传播病毒。
综合服务平台运营中心主要通过人工检查的方式对WEB应用系统中可能已经存在的恶意代码进行安全检测,及时发现并清除木马病毒。 3.2.1.4
渗透测试
渗透测试是对安全情况最客观、最直接的评估方式。
网站安全评估系统通过模拟黑客的攻击方法对Web应用进行非破坏性质的攻击性测试,目的是侵入系统,获取系统控制权并将入侵的过程和细节产生报告给用户,由此证实Web应用系统所存在的安全威胁和风险,并能及时提醒Web应用系统管理员完善安全策略。
1、 测试流程
综合服务平台运营中心所进行的渗透测试,主要通过利用目标网络的安全弱