定向网络攻击主要风险检查表

一、互联网入口攻击

二、内部网络横向攻击

三、集权类系统风险和要求

软件开发全资料获取：点我获取

定向网络攻击主要风险检查表
分类	测评项	风险描述	检查项	检查结果	整改建议
互联网入口攻击	应用网站安全漏洞	应用系统和网站存在高风险安全漏洞，可能直接被攻击者利用，从而直接或间接获取服务器权限，进而对系统及内部网络进行攻击。	应用系统上线前是否进行源代码审计	£是  £否	定期开展渗透测试，上线前进行代码审计，针对发现的漏洞要全面整改类似漏洞，不能只单点修复报告中的问题
			应用系统是否定期开展渗透测试工作	£是  £否
			针对发现的漏洞是否定期修改	£是  £否
	弱口令、默认口令	互联网可以访问的网站系统、应用系统或管理后台等，如果其用户使用弱口令或默认口令（厂商初始化口令），可以轻易被攻击者猜测、破解，进而上传后门、获取权限，获得互联网攻击入口	互联网用户主机是否存在弱口令	£是  £否	修改所有用户弱口令和默认口令，要求应用系统和中间件等开启口令策略，口令须满足复杂度要求并定期更换。
			是否开启口令复杂度要求	£是  £否
	应用和中间件管理后台暴露	网站应用系统后台或中间件管理后台对互联网开放，攻击者可对其进行攻击，利用漏洞或破解口令，获取后台权限，进而上传后门、获取权限，获得互联网攻击入口	是否允许互联网访问应用管理后台	£是  £否	全面排查向互联网暴露的资产是否存在管理后台，利用防火墙等关闭管理后台互联网访问，并按照最小化原则开放后台访问权限。
			是否针对管理后台开启严格的访问权限控制	£是  £否
			是否针对管理后台访问权限进行限制	£是  £否
	服务器互联网暴露	服务器应只向互联网开放业务所需的http和https等端口，如服务器向互联网暴露了过多端口，极易被攻击者攻击，攻击者可直接控制服务器，进而对内部网络进行跳板攻击。	对外网开放端口是否存在危险端口，如3389、445等	£是  £否	采用资产发现全面排查向互联网暴露的资产和开放的端口，同时梳理防火墙策略，对互联网开放的服务器多余端口进行关闭。
			防火墙策略限制粒度是否为端口级	£是  £否
	服务器外联风险	所有服务器，包括DMZ和应用、数据库服务器等，均应禁止访问互联网，如开放了向互联网访问的策略，攻击者可通过建立反向代理等方式远程控制服务器，进而对内部网络进行扩散攻击，通过获取口令远程控制服务器，利用此服务器对同一网络区域进行跳板攻击，类似这样的攻击场景，安全设备基本无法监测和防护。	服务器是否针对互联网开放访问权限	£是  £否	对所有服务器关闭互联网访问权限，如因业务需要开放，应按照最小化原则，只针对特定ip开放特定端口
			若对外开放，是否开启严格的访问控制，限制特定IP进行访问。	£是  £否
内部网络横向攻击	弱口令、默认口令	内部网络资产如使用弱口令、默认口令，极易被攻击者利用跳板机攻击控制，进而扩大攻击面，特别是运维使用的管理系统，包括堡垒机、网管系统、域控等，其权限很大并包含了大量的管理数据，被攻击者控制会造成重大风险。	内部网络资源是否存在弱口令及默认口令？	£是  £否	全面排查修改内部网络弱口令和默认口令，包括管理系统、服务器、网络设备和安全设备等，特别是管理系统，要求开启口令策略，口令须满足复杂度要求并定期更换。
			管理系统设备是否开启口令复杂度要求	£是  £否
	设备使用同一口令	为方便记忆和使用，网络内大量设备使用同样的一个或几个口令，如口令被攻击者破解或获取，攻击者可以利用口令直接获取大量设备的权限，且因未发起网络攻击，安全设备很难监测告警。	网络内设备是否为同一口令	£是  £否	全面排查网络内设备的口令，对同一口令进行修改，要求开启口令策略，口令须满足复杂度要求并定期更换。
			是否开启口令复杂度要求	£是  £否
	操作系统、中间件安全漏洞	操作系统或中间件存在高风险漏洞，如weblogic反序列化、struts2漏洞、永恒之蓝漏洞等，攻击者可以从跳板机直接发起攻击，获得操作系统控制权限。在安全域划分完善、访问控制严格的网络中，中间件漏洞可能成为攻击者横向扩散的一个有效利用点，攻击者利用漏洞通过业务端口控制其它网段服务器，绕过网络访问控制。	针对系统及中间件等是否定期进行安全补丁更新	£是  £否	全面扫描系统和中间件漏洞并对高风险漏洞及时整改，建立定期漏洞扫描和整改追踪机制，确保高风险漏洞切实整改。
			针对系统及相关软件是否定期进行漏洞扫描	£是  £否
			针对发现的漏洞是否进行整改追踪	£是  £否
	内部系统安全漏洞	部分对内部开放的应用系统，攻击者取得跳板机后会对这些系统进行攻击测试，如系统存在安全漏洞，可被攻击者利用获取系统权限并控制服务器。对于内部系统，应和互联网系统同等对待，同样可能直接面临攻击者的攻击测试。	针对内部系统是否定期开展渗透测试	£是  £否	定期对内部系统开展渗透测试，上线前进行代码审计，针对发现的漏洞要全面整改类似漏洞，不能只单点修复报告中的问题。
			内部系统上线前是否经过代码审计	£是  £否
			针对发现的问题进行是否全面整改	£是  £否
集权类系统风险和要求	邮件服务器	邮件服务器若被外部攻击攻陷，则整个邮件服务器内保存的邮件信息则可被攻击者获取，可能会从其中获得隐藏在邮件中的敏感信息，如服务器口令，相关责任人信息，攻击者可通过此类信息进行下一步攻击。	口令，敏感文件等敏感信息是否禁止通过邮件方式传递	£是  £否	严禁在邮件中发送含敏感系统信息，包括但不限于网络拓扑架构、业务系统相关信息、服务器系统密码、服务器系统SSH密钥等，邮件系统与DMZ区ACL严格隔离。
	域控制器服务器(Domain Controller)/DNS服务器/备份服务器	域控制服务器等服务器权限较大服务器一旦被攻击者获得权限，可能会造成及其严重影响，如相关访问控制策略被删除，DNS服务被修改，备份信息被删除等。	针对系统是否定期安装安全补丁	£是  £否	定时更新系统补丁、强制定时更改域控管理员及krbtgt账号密码，且采用大小写数字特殊字符混合，密码位数不低于16位（三个月强制修改一次，不能采用历史密码）。
			是否定期修改管理员口令	£是  £否
			管理员口令是否开启复杂度要求	£是  £否
	ITSM运维管理系统/Zabbix/	相关集成监控维护系统及服务器权限较大，若被攻击者攻击并获得管理权限后，会造成极大影响，修改相关系统权限，获得服务器口令，甚至是控制全部监控维护系统下服务器权限。	是否针对重要集成监控维护服务器配置严格ACL进行严格控制	£是  £否	严格ACL访问控制，细化ACL规则，不同服务器采用不同的复杂且随机的密码，密码位数不低于16位的密码。严格限制以上系统后台/控制台对外开放，建议仅开放特定用户、特定IP访问以上系统后台/控制台。
	Nagios/堡垒机等集成监控维护系统		重要集权系统是否为相同口令	£是  £否
			是否开启管理员密码口令复杂度要求	£是  £否
			是否针对访问IP进行限制	£是  £否
	研发服务器/SVN/Git	相关研发服务器、SVN、Git等相关管理服务器权限较大或存放重要信息，若被攻击者攻击，会造成数据泄露，权限被恶意变更等严重事件。	是否针对重要服务器配置严格ACL进行严格控制	£是  £否	严格ACL访问控制，研发服务器/SVN/Git等服务器仅开放特定IP访问，如研发个人终端访问，同时建议访问服务器时采用双因素认证，如USBKey等。
			针对重要服务器是否开启访问控制权限	£是  £否
			是否针对访问服务器人员的身份进行双因子鉴定	£是  £否
	研发个人终端/运维个人终端	相关研发及运维人员终端所处的网段或IP权限较大，拥有访问相关重要信息系统服务器，若终端被黑为“肉鸡”，则攻击者可远程控制终端进行攻击行为甚至是破坏行为。	终端是否安装杀毒及安全防护软件并定期更新病毒库及防护规则	£是  £否	建议细化ACL规则，定时更新系统补丁、查杀病毒、定时修改系统密码、提高研发运维人员安全意识等。
			终端是否定期更改管理员密码	£是  £否