深信服安全服務工程師實戰

為了進一步解決全社會的網絡安全人才缺口的問題，深信服科技股份有限公司結合逾20 年的安全實踐和內部人才培養經驗，編寫本書。本書以安全服務工作為主線，全面涵蓋安全服務的主要工作。本書共9章，包括安全服務基礎、風險評估服務、基線核查服務、漏洞掃描服務、安全體檢服務、安全運營服務、應急響應服務、滲透測試服務、安全服務交付流程等。通過學習本書，讀者可以快速形成完整的安全服務觀念、系統的安全服務思路、標準的安全服務動作、規範的安全服務流程，從而為日後的安全服務工作打下扎實的基礎。 本書可作為深信服SCSSA（深信服安全服務認證工程師）的培訓教材，也可作為安全服務甲乙方單位內部網絡安全團隊的學習參考資料。

深信服团队。从2019年9月开始，深信服面向核心合作伙伴开放了这套培养方法，截至2020年底为全国400多家合作伙伴培养了近600名安全服务工程师，快速扩大了服务覆盖面，让更多的客户用得上、用得起专业的安全服务。为了给合作伙伴培养更多的安全服务工程师，深信服在2020年初设立安服学院专门负责培训工作。在一年多的培训实践基础之上，安服学院在2020年底组织一批从事一线安全服务的资深专家，结合深信服逾二十年的安全实践和内部人才培养经验，编撰了本书。

第 1章 安全服務基礎 1

1.1 安全服務簡介 1

1.2 網絡基礎 1

1.2.1 網絡分層體系結構 2

1.2.2 常見網絡協議 4

1.2.3 Web服務架構 5

1.2.4 Web服務構成與工作原理 6

1.2.5 常見Web服務器組件 6

1.3 安全基礎 10

1.3.1 深信服安全評估工具 10

1.3.2 Nmap埠掃描工具 10

1.3.3 sqlmap數據庫註入工具 11

1.3.4 AWVS網站漏洞掃描工具 11

1.3.5 Burp Suite網站安全測試工具 11

1.3.6 Metasploit漏洞驗證工具 11

1.3.7 Nessus 12

第 2章 風險評估服務 13

2.1 風險評估介紹 13

2.1.1 風險評估的現狀與標準 14

2.1.2 風險評估目的 16

2.1.3 風險評估方式 18

2.1.4 風險評估原則 18

2.1.5 風險評估方法 19

2.2 服務詳情 20

2.2.1 評估模型 20

2.2.2 評估方法 21

2.2.3 評估範圍 23

2.3 服務流程 25

2.3.1 評估準備 26

2.3.2 資產評估 27

2.3.3 威脅評估 30

2.3.4 脆弱性評估 33

2.3.5 風險綜合分析 35

2.3.6 風險處置計劃 36

2.3.7 總結會議和服務驗收 37

第3章 基線核查服務 38

3.1 基線核查的概念 38

3.2 基線的分類 38

3.3 基線核查的主要對象 39

3.4 基線核查的內容 41

3.5 基線核查的方式 43

3.6 基線核查的實施流程 43

3.7 基線核查的案例講解 44

第4章 漏洞掃描服務 48

4.1 服務概述 48

4.1.1 服務必要性 48

4.1.2 服務收益 50

4.2 實施標準和原則 50

4.2.1 政策文件或標準 50

4.2.2 服務原則 51

4.3 服務詳情 51

4.3.1 服務內容 52

4.3.2 服務範圍 53

4.3.3 服務方式 54

4.3.4 服務流程 54

4.4 服務工具 55

4.5 漏洞驗證 55

4.5.1 Web漏洞驗證方法 56

4.5.2 系統漏洞驗證方法 62

第5章 安全體檢服務 64

5.1 服務依據 64

5.2 服務介紹 65

5.3 服務詳情 66

5.4 服務流程 66

5.4.1 準備階段 66

5.4.2 實施階段 68

5.4.3 總結匯報階段 70

5.5 服務註意事項 70

第6章 安全托管服務 72

6.1 術語與定義 72

6.2 安全現狀分析 73

6.3 服務概述 74

6.3.1 服務概念 74

6.3.2 服務必要性 75

6.3.3 服務收益 76

6.4 實施標準和原則 76

6.4.1 政策文件或標準 76

6.4.2 服務原則 77

6.5 服務詳情 78

6.5.1 服務範圍 78

6.5.2 服務方式 78

6.5.3 服務流程 79

6.6 服務工具與關鍵技術 86

6.6.1 安全運營平臺 86

6.6.2 運營組件 87

6.6.3 SOAR技術 89

6.6.4 基於ATT&CK構建的安全用例 90

6.6.5 基於安全專家實戰經驗固化的事件響應指導手冊 90

6.6.6 基於安全雲腦的威脅情報關聯分析技術 90

6.7 產品服務 91

6.7.1 安全托管服務 91

6.7.2 精準預警與極速響應 92

6.7.3 服務過程可視化 92

6.7.4 工單管理系統 93

6.7.5 安全資質 93

6.7.6 安全服務團隊 94

6.7.7 服務質量 96

第7章 應急響應服務 97

7.1 網絡安全應急響應概述 97

7.1.1 網絡安全應急響應基本概念 97

7.1.2 常見安全事件分類 98

7.1.3 網絡安全應急響應現場處置流程 100

7.2 網絡安全應急響應基礎 102

7.2.1 系統排查 102

7.2.2 賬號排查 103

7.2.3 埠排查 105

7.2.4 網絡連接排查 105

7.2.5 定時任務排查 106

7.2.6 自啟動排查 106

7.2.7 服務排查 107

7.2.8 進程排查 107

7.2.9 文件排查 108

7.2.10 內存分析 110

7.2.11 歷史命令分析 112

7.3 安全日誌分析 113

7.3.1 日誌分析基礎 113

7.3.2 系統日誌分析 116

7.3.3 Web日誌分析 119

7.4 勒索病毒網絡安全應急響應 121

7.4.1 勒索病毒概述 121

7.4.2 常規處置方法 123

7.5 挖礦病毒網絡安全應急響應 125

7.5.1 挖礦病毒概述 125

7.5.2 常規處置流程 127

7.6 Web入侵網絡安全應急響應 131

7.6.1 Webshell概述 131

7.6.2 常見黑鏈現象及處置 132

7.6.3 常規處置方法 134

第8章 滲透測試服務 136

8.1 滲透測試與紅隊演練 136

8.2 滲透測試分類與服務流程 137

8.2.1 滲透測試分類 137

8.2.2 服務工具 140

8.3 信息收集 140

8.4 漏洞發現和利用 141

8.5 內網滲透 142

8.6 報告編寫規範 143

8.6.1 滲透測試說明規範 144

8.6.2 問題總覽規範 145

8.6.3 滲透測試工作內容 146

8.6.4 滲透測試漏洞細節 147

第9章 安全服務交付流程 148

9.1 項目管理概述 148

9.1.1 項目角色定義與職責 148

9.1.2 項目管理流程階段 149

9.1.3 項目分級 149

9.1.4 項目流程具體活動說明 150

9.1.5 立項規範 153

9.1.6 問題分級標準 154

9.1.7 項目變更參考 155

9.1.8 服務項目評價 155

9.2 項目交付概述 156

9.2.1 準備階段 157

9.2.2 計劃階段 157

9.2.3 啟動階段 158

9.2.4 交付階段 158

9.2.5 收尾階段 158

9.3 項目準備 159

9.3.1 項目準備概念 159

9.3.2 項目立項 159

9.3.3 項目的售前售後移交 160

9.3.4 識別項目乾系人 161

9.3.5 預估項目成本 163

9.3.6 授權與工具準備 164

9.3.7 準備階段的溝通內容 165

9.4 項目計劃 165

9.4.1 項目計劃的概念 166

9.4.2 項目里程碑 166

9.4.3 制訂項目計劃 168

9.4.4 制訂項目實施方案 171

9.4.5 計劃階段溝通內容 172

9.5 項目啟動 173

9.5.1 項目啟動會概述 173

9.5.2 項目服務範圍 174

9.5.3 項目實施計劃 175

9.5.4 項目服務人員及職責 176

9.5.5 召開會議 177

9.6 項目實施 178

9.6.1 項目交付階段概述 178

9.6.2 項目管理與指導工作 178

9.6.3 項目範圍管理 180

9.6.4 項目質量管理 182

9.6.5 項目風險管理 183

9.6.6 項目其他管理 185

9.7 安全加固方案：勒索病毒防護解決方案 187

9.7.1 常見入侵方式及防護挑戰 188

9.7.2 設計原則 190

9.7.3 建設範圍與規模 192

9.7.4 方案部署說明 199

9.7.5 方案價值 201