97国产精品视频|欧美国产偷国产精品三区|在线欧美成人网站网址|亚洲在线色情日本无码视频网|高潮喷水在线日韩精品操|真真操逼视频国产免费啪啪片|超大波少妇欧美亚洲精品日韩一区|久久视频精品91午夜视频|亚洲无码成人动漫精品一区二区|中文字幕久久成人

1附件一：采購(gòu)內(nèi)容及要求一、服務(wù)范圍和內(nèi)容e龍巖安全保障服務(wù)△為保障e龍巖項(xiàng)目安全穩(wěn)定的為市民提供服務(wù)，提供1年期日常安全保障服務(wù)，保障e龍巖平臺(tái)應(yīng)用層面的安全，做好信息安全、數(shù)據(jù)安全、系統(tǒng)安全等全方位安全保障工作。主要將依托第三方安全公司，通過弱口令安全檢查、漏洞掃描、木馬后門檢查、基線安全檢查等定期安全巡檢服務(wù)來維持平臺(tái)關(guān)鍵信息基礎(chǔ)設(shè)施常態(tài)化安全，通過滲透測(cè)試、互聯(lián)網(wǎng)資產(chǎn)探測(cè)等深度威脅分析服務(wù)來全面排查攻擊風(fēng)險(xiǎn)，通過重要時(shí)期專項(xiàng)安全保障、應(yīng)急演練、應(yīng)急響應(yīng)等服務(wù)來堅(jiān)守網(wǎng)絡(luò)安全防線。1服務(wù)要求★提供1年期日常安全保障服務(wù)，保障e龍巖平臺(tái)應(yīng)用及移動(dòng)端的安全，做好信息安全、數(shù)據(jù)安全、系統(tǒng)安全等全方位安全保障工作。2服務(wù)內(nèi)容▲主要測(cè)試工作包括：安全漏洞掃描、弱口令測(cè)試、滲透測(cè)試、安全加固、應(yīng)急響應(yīng)、重要時(shí)期安全保障、主機(jī)安全態(tài)勢(shì)感知服務(wù)、API安全監(jiān)測(cè)服務(wù)等。2111△安全漏洞掃描和弱口令測(cè)試服務(wù)安全漏洞掃描是指使用指定的安全掃描產(chǎn)品/工具對(duì)獲得授權(quán)的信息系統(tǒng)進(jìn)行脆弱性評(píng)估，獲得設(shè)備---漏洞對(duì)應(yīng)及分布情況，并提供可操作的安全建議或臨時(shí)解決辦法。21111服務(wù)范圍安全漏洞掃描服務(wù)可以為客戶提供包括網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫(kù)、常見應(yīng)用服務(wù)器以及WEB應(yīng)用等范圍的掃描。漏洞掃描的詳細(xì)服務(wù)范圍如下：◆操作系統(tǒng)2Windows、發(fā)行版Linux、AIX、UNIX通用、Solaris、FreeBSD、HP-UX、BSD等主流操作系統(tǒng)?！魯?shù)據(jù)庫(kù)Oracle、MySQL、MSSQL、Sybase、DB2、Informix等主流數(shù)據(jù)庫(kù)?！舫Ｒ姂?yīng)用服務(wù)Apache、IIS、Tomcat、Weblogic等主流應(yīng)用服務(wù)，常見FTP、EMAIL、DNS、TELENT、POP3、SNMP、SMTP、Proxy、RPC服務(wù)等。◆Web應(yīng)用程序ASP、PHP、JSP、NET、Perl、Python、Shell等語言編寫的WEB應(yīng)用程序。◆網(wǎng)絡(luò)設(shè)備常見的路由器、交換機(jī)等設(shè)備。21112服務(wù)內(nèi)容安全漏洞掃描會(huì)對(duì)信息系統(tǒng)內(nèi)的網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、應(yīng)用軟件、中間件和服務(wù)等進(jìn)行安全漏洞識(shí)別，詳細(xì)內(nèi)容如下：211121網(wǎng)絡(luò)層漏洞識(shí)別◆版本漏洞，包括但不限于IOS存在的漏洞，涉及包括所有在線網(wǎng)絡(luò)設(shè)備及安全設(shè)備?！糸_放服務(wù)，包括但不限于路由器開放的Web管理界面、其他管理方式等。◆空弱口令，例如空/弱telnet口令、snmp口令等?！艟W(wǎng)絡(luò)資源的訪問控制：檢測(cè)到無線訪問點(diǎn)等◆域名系統(tǒng)：ISCBINDSIG資源記錄無效過期時(shí)間拒絕服務(wù)攻擊漏洞，MicrosoftWindowsDNS拒絕服務(wù)攻擊等◆路由器：CiscoIOSWeb配置接口安全認(rèn)證可被繞過，Nortel交換機(jī)/路由器缺省口令漏洞，華為網(wǎng)絡(luò)設(shè)備沒有設(shè)置口令等211122操作系統(tǒng)層漏洞識(shí)別?操作系統(tǒng)（包括Windows、AIX和Linux、HPUX、Solaris、VMware等）的系統(tǒng)補(bǔ)丁、漏洞、病毒等各類異常缺陷等。?空/弱口令系統(tǒng)帳戶檢測(cè)，例如：身份認(rèn)證：通過telnet進(jìn)行口令猜測(cè)等。?訪問控制：注冊(cè)表HKEY_LOCAL_MACHINE普通用戶可寫，遠(yuǎn)程主機(jī)允許匿名FTP登錄，ftp服務(wù)器存在匿名可寫目錄等。3?系統(tǒng)漏洞：SystemV系統(tǒng)Login遠(yuǎn)程緩沖區(qū)溢出漏洞，MicrosoftWindowsLocator服務(wù)遠(yuǎn)程緩沖區(qū)溢出漏洞等。?安全配置問題：部分SMB用戶存在薄弱口令，試圖使用rsh登錄進(jìn)入遠(yuǎn)程系統(tǒng)等。211123應(yīng)用層漏洞識(shí)別?應(yīng)用程序（包括但不限于數(shù)據(jù)庫(kù)Oracle、DB2、MSSQL，Web服務(wù)，如Apache、WebSphere、Tomcat、IIS等，其他SSH、FTP等）缺失補(bǔ)丁或版本漏洞檢測(cè)等。?空弱口令應(yīng)用帳戶檢測(cè)。?數(shù)據(jù)庫(kù)軟件：Oracletnslsnr沒有設(shè)置口令，MicrosoftSQLServer2000Resolution服務(wù)多個(gè)安全漏洞等。?Web服務(wù)器：ApacheMod_SSL/Apache-SSL遠(yuǎn)程緩沖區(qū)溢出漏洞，MicrosoftIIS50printerISAPI遠(yuǎn)程緩沖區(qū)溢出，SunONE/iPlanetWeb服務(wù)程序分塊編碼傳輸漏洞等。?電子郵件系統(tǒng)：Sendmail頭處理遠(yuǎn)程溢出漏洞，MicrosoftWindows2000SMTP服務(wù)認(rèn)證錯(cuò)誤漏洞等。?防火墻及應(yīng)用網(wǎng)管系統(tǒng)：AxentRaptor防火墻拒絕服務(wù)漏洞等。?其它網(wǎng)絡(luò)服務(wù)系統(tǒng)：WingatePOP3USER命令遠(yuǎn)程溢出漏洞，Linux系統(tǒng)LPRng遠(yuǎn)程格式化串漏洞等。2112△滲透測(cè)試服務(wù)21121概述滲透測(cè)試（PenetrationTesting）是由具備高技能和高素質(zhì)的安全服務(wù)人員發(fā)起、并模擬常見黑客所使用的攻擊手段對(duì)目標(biāo)系統(tǒng)進(jìn)行模擬入侵。滲透測(cè)試服務(wù)的目的在于充分挖掘和暴露系統(tǒng)的弱點(diǎn)，從而讓管理人員了解其系統(tǒng)所面臨的威脅。滲透測(cè)試工作往往作為風(fēng)險(xiǎn)評(píng)估的一個(gè)重要環(huán)節(jié)，為風(fēng)險(xiǎn)評(píng)估提供重要的原始參考數(shù)據(jù)。211211滲透測(cè)試服務(wù)與脆弱性評(píng)估服務(wù)滲透測(cè)試不同于脆弱性評(píng)估，而且在實(shí)施方式和方向上也與其有著很大的區(qū)別。脆弱性評(píng)估是在已知系統(tǒng)上，對(duì)已知的弱點(diǎn)進(jìn)行排查。而滲透測(cè)試往往是“黑盒測(cè)試”，測(cè)試者模擬黑客，不但要在未知系統(tǒng)中發(fā)現(xiàn)弱點(diǎn)，而且還要驗(yàn)證弱點(diǎn)，甚至還會(huì)挖掘出一些未知的弱點(diǎn)。4211212滲透測(cè)試服務(wù)的必要性滲透測(cè)試是一般脆弱性評(píng)估的一種很好的補(bǔ)充。同時(shí)，由于主持滲透測(cè)試的測(cè)試人員一般都具備豐富的安全經(jīng)驗(yàn)和技能，所以其針對(duì)性比常見的脆弱性評(píng)估會(huì)更強(qiáng)、粒度也會(huì)更為細(xì)致。另外，滲透測(cè)試的攻擊路徑及手段不同于常見的安全產(chǎn)品，所以它往往能暴露出一條甚至多條被人們所忽視的威脅路徑，從而暴露整個(gè)系統(tǒng)或網(wǎng)絡(luò)的威脅所在。最重要的是，滲透測(cè)試最終的成功一般不是因?yàn)槟骋粋€(gè)系統(tǒng)的某個(gè)單一問題所直接引起的，而是由于一系列看似沒有關(guān)聯(lián)而且又不嚴(yán)重的缺陷組合而導(dǎo)致的。211213客戶收益對(duì)于客戶而言，滲透測(cè)試可以帶來以下收益：?明確安全隱患點(diǎn)滲透測(cè)試是一個(gè)從空間到面再到點(diǎn)的過程，測(cè)試人員模擬黑客的入侵，從外部整體切入最終落至某個(gè)威脅點(diǎn)并加以利用，最終對(duì)整個(gè)網(wǎng)絡(luò)產(chǎn)生威脅，以此明確整體系統(tǒng)中的安全隱患點(diǎn)。?提高安全意識(shí)如上所述，任何的隱患在滲透測(cè)試服務(wù)中都可能造成“千里之堤潰于蟻穴”的效果，因此滲透測(cè)試服務(wù)可有效督促管理人員杜絕任何一處小的缺陷，從而降低整體風(fēng)險(xiǎn)。?提高安全技能在測(cè)試人員與用戶的交互過程中，可提升用戶的技能。另外，通過專業(yè)的滲透測(cè)試報(bào)告，也能為用戶提供當(dāng)前流行安全問題的參考。21122滲透測(cè)試服務(wù)內(nèi)容211221信息收集技術(shù)無論是惡意用戶的攻擊還是安全人員的滲透測(cè)試工作，信息采集都是非常必要的一步工作，只有做到了“知己知彼”，才有可能針對(duì)被測(cè)試目標(biāo)的弱點(diǎn)進(jìn)行深度的挖掘和測(cè)試工作。?系統(tǒng)和應(yīng)用信息收集通過對(duì)遠(yuǎn)程服務(wù)的所啟動(dòng)的服務(wù)進(jìn)行掃描和手工提交等工作，根據(jù)其返回信息可以獲取遠(yuǎn)程系統(tǒng)及應(yīng)用的版本號(hào)等信息，對(duì)于存在弱點(diǎn)的應(yīng)用還可以進(jìn)一步挖掘更多的系統(tǒng)信息，例如：SMB、SNMP等。