djcp-assessment

---
name: "djcp-assessment"
description: "网络安全等级保护测评（等保2.0）全流程：定级→差距分析→现场测评→渗透测试→复测→报告，基于Kali Linux环境，按GB/T 22239-2019/28448-2019标准执行。"
---

# 网络安全等级保护测评技能（等保2.0）

本技能在Kali Linux环境中执行等保2.0（GB/T 22239-2019）全流程测评，覆盖安全通用要求与云计算/工控/物联网/大数据/移动互联扩展要求。

## 何时使用

- 用户请求执行等保测评、安全合规评估
- 需要做系统定级、差距分析、基线检查
- 渗透测试、漏洞扫描、安全加固建议
- 生成等保测评报告、整改建议书

## 等保级别速查

| 等级 | 名称 | 典型对象 | 测评周期 |
|------|------|----------|----------|
| 第一级 | 自主保护级 | 小型企业内网 | 不定级 |
| 第二级 | 指导保护级 | 一般企业门户/邮件 | 每两年一次 |
| 第三级 | 监督保护级 | 政务/金融/运营商 | 每年一次 |
| 第四级 | 强制保护级 | 国家重要信息系统 | 每半年一次 |
| 第五级 | 专控保护级 | 国家核心机密系统 | 视情况而定 |

> 本技能以**第二级和第三级**为主，这也是企业最常见的等保测评级别。

## 测评全流程（六阶段）

```
系统定级 → 备案 → 差距分析 → 现场测评（访谈/核查/测试） → 整改加固 → 复测 → 报告
```

### 阶段0：系统定级与备案

确认客户目标系统已按《信息安全等级保护管理办法》完成定级和备案。

**定级检查要点：**
1. 定级报告是否经专家评审 → 查阅定级报告、评审会议纪要
2. 是否向公安机关备案 → 查验备案证明
3. 备案等级与系统实际重要程度是否匹配 → 比对业务描述与等级要求
4. 系统边界是否明确 → 查阅系统拓扑图与网络架构文档

### 阶段1：差距分析

#### 资产全发现
```bash
# 存活主机发现
nmap -sn -PE -PP -PM <目标网段>/24 -oA phase1_live_hosts

# 全端口快速扫描
masscan -p1-65535 --rate=2000 -oJ masscan_all.json $(cat phase1_live_hosts.gnmap | awk '/Up$/{print $2}' | tr '\n' ' ')

# 服务识别
nmap -sS -sV -sC -O --script banner -p $(jq -r '[.[].ports[].port]|unique|join(",")' masscan_all.json) -iL hosts.list -oA phase1_service_detect
```

#### 文档审查清单
- 安全管理体系：安全管理制度、安全策略文件、岗位职责
- 建设过程文档：安全方案设计、产品采购合同、验收报告
- 运维过程记录：巡检记录、变更审批、应急预案
- 人员管理记录：保密协议、培训记录、离职交接单
- 技术配置文档：网络拓扑图、IP分配表、系统配置清单

### 阶段2：现场测评（核心）

遵照GB/T 28448-2019 **访谈 → 核查 → 测试** 三维度交叉验证。

#### 2.1 安全物理环境（二级5%/三级3%）
- 机房位置、物理访问控制（门禁/登记表/尾随测试）
- 防盗窃（设备固定/标签）
- 温湿度控制、电力UPS、消防、防水防潮

#### 2.2 安全通信网络（二级15%/三级10%）
**核查命令：**
```bash
# VLAN隔离检测
nmap -sn <VLAN_A网段> <VLAN_B网段>

# TLS通信加密验证
nmap --script ssl-enum-ciphers -p 443 <目标IP>
testssl.sh --csvfile tls_report.csv <目标IP>
```

#### 2.3 安全区域边界（二级20%/三级15%）
**核查与测试：**
```bash
# 防火墙规则检测
nmap --script firewall-bypass -p 22,80,443,3389,8080 <目标IP>

# 高危端口开放
nmap -p 21,23,135,139,445,3389,6379,27017 --open <目标网段>

# ACL有效性验证（hping3构造特殊包）
hping3 -S -p 80 -c 3 <目标IP>
```

#### 2.4 安全计算环境（二级25%/三级20%）
> 身份鉴别·访问控制·安全审计·入侵防范·恶意代码·数据完整性·数据保密性·数据备份恢复·剩余信息保护·个人信息保护

##### 身份鉴别 — Linux核查
```bash
# 口令策略
cat /etc/login.defs | grep -E '^PASS_MAX_DAYS|^PASS_MIN_DAYS|^PASS_MIN_LEN|^PASS_WARN_AGE'
cat /etc/pam.d/common-password | grep pam_pwquality
cat /etc/security/pwquality.conf

# 空口令/特权账户
awk -F: '($2 == "" || $2 == "!" || $2 == "*") {print "空/锁账户:", $1}' /etc/shadow
awk -F: '($3 == 0) {print "特权用户:", $1}' /etc/passwd

# root远程登录
grep "^PermitRootLogin" /etc/ssh/sshd_config
```

##### 身份鉴别 — Windows/SMB核查
```bash
enum4linux -U <目标IP>
enum4linux -P <目标IP>
crackmapexec smb <目标IP> --pass-pol
```

##### 访问控制核查
```bash
# SUID/SGID文件
find / -perm -4000 -o -perm -2000 2>/dev/null

# 共享目录权限
nmap --script smb-enum-shares -p 445 <目标IP>
showmount -e <目标IP>
nmap --script nfs-showmount <目标IP>
```

##### 入侵防范核查
```bash
# 已知漏洞快速检测
nmap --script vuln --script-timeout 30s <目标IP>
nmap --script smb-vuln-ms17-010 -p 445 <目标IP>
nmap --script ssl-heartbleed -p 443 <目标IP>
nmap --script rdp-vuln-ms12-020 -p 3389 <目标IP>
```

##### 中间件安全
```bash
# Tomcat/JBoss/WebLogic
nmap --script http-tomcat-brute -p 8080 <目标IP>
nmap --script http-jboss-status -p 8080,9990 <目标IP>
nmap --script http-weblogic-t3 -p 7001,7002 <目标IP>

# 敏感文件泄露
curl -s http://<目标IP>/.git/HEAD
curl -s http://<目标IP>/.env
```

##### 数据库安全
```bash
# 各数据库空口令/未授权检测
nmap --script mysql-empty-password,mysql-enum -p 3306 <目标IP>
nmap --script ms-sql-empty-password,ms-sql-info -p 1433 <目标IP>
nmap --script mongodb-info -p 27017 <目标IP>
nmap --script redis-info -p 6379 <目标IP>
redis-cli -h <目标IP> INFO server
curl -s http://<目标IP>:9200/_cat/indices   # ES未授权
```

#### 2.5 安全管理中心（三级必备 10%）
```bash
# SOC/SIEM探活
nmap -p 443,8443,9443 --open <管理网段>
nmap -p 5601,9200 --open <管理网段>    # Elastic/Kibana
nmap -p 8000,8089 --open <管理网段>    # Splunk
```

#### 2.6 虚拟化安全专项
```bash
# vSphere/ESXi
nmap -p 443,902,903 --script http-vmware-path-vuln <虚拟化平台IP>

# Docker/etcd/K8s
curl -s http://<目标IP>:2375/containers/json
curl -k https://<目标IP>:6443/version
curl http://<目标IP>:2379/v2/keys
```

### 阶段3：渗透测试

> ⚠️ 必须获得客户书面授权后方可执行

**Web应用渗透：**
```bash
# Nikto Web扫描
nikto -h <目标URL> -output nikto_report.html -Format html

# Nuclei模板扫描
nuclei -u <目标URL> -t cves/ -t vulnerabilities/ -t exposures/ -t misconfiguration/

# SQL注入
sqlmap -u "<目标URL>?id=1" --batch --dbs --level=3 --risk=2

# XSS测试
dalfox url <目标URL>
```

**系统渗透与横向移动：**
```bash
# 已知漏洞利用
searchsploit --nmap scan_report.xml

# 权限提升
# Linux: linpeas
# Windows: winPEAS

# 横向移动
crackmapexec smb <内网段> -u user -H NTLM_HASH --shares
python3 /usr/share/doc/python3-impacket/examples/psexec.py -hashes :NTLM_HASH domain/user@<目标IP>
```

### 阶段4：整改加固建议

| 问题分级 | 定义 | 整改时限 |
|----------|------|----------|
| 高危 | 可直接导致系统被攻击、数据泄露 | 立即整改 |
| 中危 | 存在安全隐患，可能被利用 | 30天内 |
| 低危 | 安全配置建议，优化项 | 90天内 |

**常见整改速查：**

| 不合规项 | 整改方案 |
|----------|----------|
| 密码策略弱 | 修改/etc/login.defs + pwquality.conf |
| 未限制登录失败 | 配置pam_tally2或fail2ban |
| root远程登录 | PermitRootLogin no |
| 默认SNMP团体字 | 修改SNMP v3或复杂团体字 |
| 高危端口开放 | 关闭不安全服务 |
| 日志未集中管理 | 配置rsyslog转发 |
| 未配置HTTPS | 部署SSL证书，强制HTTPS |
| 存在已知CVE | 升级版本或配置虚拟补丁 |

### 阶段5：复测验证

1. 逐一核实高危和中危不符合项整改情况
2. 对整改项执行原测试命令做回归验证
3. 截图/录屏保存整改证据
4. 更新测评记录表 → 确认关闭或降级为残余风险

### 阶段6：报告生成

**必须生成的文档：**
- 测评方案（指标、对象、方法）
- 现场测评记录（原始记录）
- 测评报告（结论、分数、不符合项清单）
- 整改建议书（可落地的技术步骤）
- 复测报告（回归验证结果）

## 全流程自动化脚本

`scripts/djbh_full_scan.sh` — 一键执行资产发现→基线检查→漏洞扫描→汇总报告。

## 约束与安全

- ⚠️ **授权必要**：必须取得客户书面授权书，明确测评范围和允许的操作
- ⚠️ **生产环境**：渗透测试和口令爆破默认跳过，需显式配置 `ENABLE_PENTEST=true`
- ⚠️ **业务影响**：全端口扫描可能在防火墙上产生大量告警，建议在维护窗口执行
- **环境**：Kali Linux，预装 nmap/masscan/sqlmap/hydra/testssl/nikto/nuclei 等工具

## 故障排查

| 问题 | 处理 |
|------|------|
| masscan无结果 | 确认目标IP/网段可达，防火墙是否屏蔽ICMP |
| nmap脚本超时 | 加 `--script-timeout 30s` |
| hydra爆破无响应 | 确认登录接口正确（检查POST表单字段名） |
| 报告目录为空 | 确认扫描结果已复制到对应子目录 |

---

*基于 OpenOcta 等保测评 Skill 移植，遵循 OpenClaw 技能规范。*
*来源：https://github.com/openocta/openocta_skills/tree/main/等保测评skill*