互联网系统在线安全监测技术方案(标书)

1.1 在线安全监测网站安全监测背景当前，互联网在我国政治、经济、文化以及社会生活中发挥着愈来愈重要的作用，作关、税务、工业、科技等重点行业的联网信息系统的探测、渗透和攻击逐渐增多。根底网络防护力气提升，但安全隐患不容无视；政府网站篡改类安全事件影响巨大；以用户信息泄露为代表的与网民利益亲热相关的大事，引起了公众对网络安全的广泛关注；患病境外的网络攻击持续增多；网上银行面临的钓鱼威胁愈演愈烈；工业把握系统安全大事呈现增长态势；手机恶意程序现多发态势；木马和僵尸网络活动更加猖獗；应用软件漏洞呈现迅猛增长趋势；DDo攻击照旧呈现频率高、规模大和转嫁攻击的特点。网站安全监测效劳介绍根本信息安全分析对网站根本信息进展扫描评估，如网站使用的WEB公布系统版本，使用的BBS、CMS版本；检测网站是否备案等备案信息；另外推断目标网站使用的应用系统是否存在已公开的安全漏洞，是否有调试信息泄露等安全隐患等。网站可用性及平稳度监测的检测，可用性指通过PING、等推断网站的响应速度，然后经分析用以进一步推断网站是否被拒绝效劳攻击等。域名安全方面，可以推断域名解析速度检测，即名成功解析IP的速度。

DNS恳求解析目标网站域网站挂马监测功能挂马攻击是指攻击者在已经获得把握权的网站的网页中嵌入恶意代码 〔通常是通过IFrame、Script引用来实现〕，当用户访问该网页时，嵌入的恶意代码利用扫瞄器本身的漏洞、第三方ActiveP漏洞或者其它插件〔如Flash、PDF插件等〕漏洞，在用户不知情的状况下下载并执行恶意木马。网站被挂马不仅严峻影响到了网站的公众信誉度， 还可能对访问该网站的用户计算机造成很大的破坏。一般状况下，攻击者挂马的目的只有一个：利益。如果用户访问被挂网站时，用户计算机就有可能被植入病毒，这些病毒会偷盗各类账号密码，如网银账户、玩耍账号、邮箱账号、 QQ及MSN账号等。植入的病毒还可能破坏用户的本地数据，从而给用户带来巨大的损失，甚至让用户计算机沦为僵尸网络中的一员。网站敏感内容及防篡改监测基于远程Hash技术，实时对重点网站的页面真实度进展监测，否存在敏感内容或遭到篡改，并依据相应规章进展报警网站安全漏洞监测

推断页面是Web时代的互联网应用不断扩展，在便利了互联网用户的同时也翻开了罪恶之门。在地下产业巨大的经济利益驱动之下，网站挂马形势越来越严峻。20PP年全球知名反恶意软件组织StopBadware10%的站点都存在恶意链接或被挂马。一旦90%以上用户。网站挂马的根本缘由，绝大多数是由于网站存在 SQL注入漏洞和跨站脚本漏洞导致。尤其是随着自动化挂马工具的进展，这些工具会自动大面积扫描互联网，自动找到存在SQL注入漏洞的网站，并自动注入挂马代码。所以解决挂马问题需要从源头上加强网站的安全。SQL注入漏洞检测通过对多个字段进展注入测试，除了对传统的get参数字段进展检测，还对COOKIE,REFERER、URL中的PATH字段等头部字段进展检测。同时，通过使用网页动态参数判定、网页构造分析等技术，有效过滤非动态参数，大大提高了检测效率，降低了误报的可能性。承受多种业内领先的识别技术进展漏洞判定，如关键字匹配、返回信息智能识别等技术。PSS跨站脚本漏洞检测通过使用网页动态参数判定、网页构造分析等技术，有效过滤非动态参数，大大提高了检测效率，降低了误报的可能性。承受多种业内领先的识别技术进展漏洞判定，如关键字匹配、返回信息智能识别等技术。针对PSS跨站漏洞的特别性和检测环境的简洁性，贮存了大量的PSS检测代码，从而其他漏洞检测可检测其他WEB应用常见漏洞，如CSRF漏洞检测、CGI漏洞检测、表单绕过漏洞等检测。主机脆弱性扫描脆弱性扫描与分析应用对象〔操作系统和应用软件〕确。目前，可检测的漏洞数量已经超过3000种，涵盖了各种常见的网络主机、操作系统、应用系统和数据库系统的安全漏洞。任务治理和策略治理功能，可以使用户的扫描操作变得更加便利和灵敏。用户可以使用默认扫描策略或者自定义扫描策略， 创立特定或者自动打算任务，调整扫描参数以提高扫描效率，甚至可以在同一个任务中对不同的对象承受不同的策略进展扫描，从而便利的实现更具针对性的脆弱性扫描。在扫描任务执行的过程中，就可以将扫描的过程信息、阶段性的扫描结果实时显示出来，并且可以生成在线报表。在扫描任务完毕后，使用报表治理功能可以对扫描结果进展细致全面的分析，生成面对不同安全治理角色诸如主管领导、治理人员、技术人员的客户化报表。报表可以分漏洞扫描、资产统计和弱点评估3大类20多种，以统计、比较、穿插、评估、详述等多种方法对扫描结果进展分析，支持以PML、HTML、WORD、EPcel、PDF、RTF等多种常用格式导出，便利用户使用。脆弱性风险评估对漏洞、主机和网络的脆弱性风险进展评估和定性。承受最的CVSSv2标准来对全部漏洞进展统一评级，客观的呈现其危急级别。在此根底上，利用漏洞的CVSS评分，综合被扫描资产的保护等级和资产价值，承受参考国家标准制定的风险评估算法，能够对主机、网络的脆弱性风险做出定量和定性的综合评价，漏洞信息的描述中包含CVSS评分，主机和网络的脆弱性风险评估结论会在弱点评估报表中直接表达，并且对风险把握措施做出建议。弱点修复指导通过CVSS评分，能够直接给修复工作供给优先级的指导，以确保最危急的漏洞被先修复。下表显示了CVSS评分和修复工作优先级的关系，并给出推荐的修复工作时限：0〜1P4可以自由打算1〜4P33-6个月4〜7P24周7〜10P12周CVSCVS鲂值优先级别修补时间每个漏洞都有具体的描述，包括漏洞的说明、影响的系统、平台、危急级别以及标准的CNCVE、CVE、BUGTRAQ等对应关系以及链接信息，并供给修补方案，如系统加固建议、安完成弱点修复工作。结果分析效劳网站防护专家团队，结合漏洞扫描在实际环境使用中存在的问题， 推出定制化人工的网页挂马检查效劳和网页漏洞检查效劳， 通过与检测软件协作，最大化保证检测的真实性，这样能有效的关心信息治理人员解决网络中应用存在的安全问题，便于公共安全工作的开放。准确识别当前流行的挂马行为通过与远程网站安全检查效劳的结合，能够掩盖包括：Iframe框架挂马、JS文件挂马、JS变形加密等十余种目前流行的挂马方式，通过在自动化的安全检查平台沙箱虚拟环境中充分暴露其行为模式，准确的定位网页挂马所在的位置。能关心用户一针见血觉察问题，同时也能供给更细化的安全解决意见。识别常见的Web应用漏洞通过与远程网站安全检查效劳基于先进的自动化安全检查平台， 能够更准确的识别目前流行的Web应用漏洞，例如SQL注入、跨网站脚本攻击以及缓存溢出等，并且定位Web应用漏洞所在的位置，同时也能结合用户实际环境，供给合理的解决建议。准确的标准化检测报告同时也能给出更合理、更科学的解决方案。专家级的木马去除方案和漏洞修复建议当最终交付的检测报告觉察网站存在网页挂马现象或者WEB应用程序漏洞,安全专家安全应急处理，保障了漏洞检测的真正意义。篡改检测网页变更检测篡改检测网页变更检测变更检测功能用来远程监控目标网站是否发生变更，是否被篡改。内容安全网页木马检测对网站使用基于传统静态匹配特征、云特征等多种检测手段，检测WEB脆弱判别网站页面是否存在挂马，准确率>95%。SQL性检测PSSCSRF测检测网站是否存在SQLGet参数/Post/Cookie/SQL提高检测速度检测网站是否存在PSSPSS、存储型PSS和DOM型PSS检测网站是否存在CSRFGet、Post、AjaPCSRF基于WebWebWebWebWeb条以上的第三方软件漏洞500CGI掩盖全面的CGI1000本工程监测规模约为山东省PPP互联网系统，依据以往阅历，依据平均每个域名1000URL进展估算。我们建议可从网站的可用性、网站的脆弱性〔漏洞〕以及网站的内容安全〔挂马、关键字、网页变更〕下：序号序号监控类别监控周期监控页面深度1网站可用性、平稳度监测5分钟/次首页5分钟/次首页网页敏感信息2检测至二级页面，页面总数不超过及防篡改监测 6小时/次50010分钟/次首页3网页挂马监测检测至二级页面，页面总数不超过24小时/次5004WEB漏洞监测7天/次全部页面5系统漏洞检测7天/次全部站点安全监测功能列表表单绕过检测 准确识别出后台地址与登录的表单地址，支持检测基于弱口令的表单绕过，基于SQL注入的表单绕过性检测测

检测检测数据库系统脆弱性检测域名解析速度检测

检测常见操作系统如MicrosoftWindows、SunSolaris、HPUniP、IBMAIP、LinuP、BSD检测主流的WEB效劳器如IIS、Apache、NginP如Tomcat、WebsphereWeblogic检测常见数据库如SQLServer、Oracle、SPbaseDB2、MPSQL存在的漏洞DNS恳求解析目标网站域名成功解析 IP的速度域名劫持检测 能检测到类似GFW的DNS污染，即篡改DNS响应数据包内容的行为；能检测到大局部 ISP域名劫持站点信息检Web测

Ping支持WebCMS，BBS，Blog，eShop，web框架等类型的Web应用效劳端指纹识别 的操作系统类型、语言及相关的版本信息

Web

检测网站备案检测网站whois检测暗链检测内容泄露检测

检测网站效劳器的端口开放状况，比方数据库端口，额外的检测网站是否备案检测网站域名的whois检测网站是否被嵌入暗链地址，一般为在扫瞄器中隐蔽不行见的广告链接，如网游、博彩，色情等广告链接。检测网站是否存在以下内容泄露：内网 IP地址信息泄露、数据库信息泄露、网站调试信息泄露、网站名目扫瞄、效劳器路径信息泄露、电子邮件地址信息泄露、担忧全的Flash