滲透測試服務(Web/主機/網絡安全)測試主要面向Web應用(yòng)、Web服務、數據庫、API接口、操作系統、網絡結構、網絡設備、業務服務等。 安全加固 網絡與應用(yòng)系統加固和(hé)優化(huà)服務是實現客戶信息系統安全的(de)關鍵環節。通(tōng)過使用(yòng)該項服務,将在客戶信息系統的(de)網絡層、主機層和(hé)應用(yòng)層等層次建立符合客戶安全需求的(de)安全狀态,并以此作爲保證客戶信息系統安全的(de)起點。
安全加固概述
網絡與應用(yòng)系統加固和(hé)優化(huà)服務是實現客戶信息系統安全的(de)關鍵環節。通(tōng)過使用(yòng)該項服務,将在客戶信息系統的(de)網絡層、主機層和(hé)應用(yòng)層等層次建立符合客戶安全需求的(de)安全狀态,并以此作爲保證客戶信息系統安全的(de)起點。
網絡與應用(yòng)系統加固和(hé)優化(huà)服務的(de)目的(de)是通(tōng)過對(duì)主機和(hé)網絡設備所存在安全問題執行以下(xià)操作:
● 正确的(de)安裝;
● 安裝最新和(hé)全部OS和(hé)應用(yòng)軟件的(de)安全補丁;
● 操作系統和(hé)應用(yòng)軟件的(de)安全配置;
● 系統安全風險防範;
● 系統功能測試;
● 系統安全風險測試;
上述工作的(de)結果決定了(le)網絡與應用(yòng)系統加固和(hé)優化(huà)的(de)流程、實施的(de)内容、步驟和(hé)複雜(zá)程度。具體說,則可(kě)以歸納爲:
(1)加固目标也(yě)就是确定系統在做(zuò)過加固和(hé)優化(huà)後,達到的(de)安全級别,通(tōng)常不同環境下(xià)的(de)系統對(duì)安全級别的(de)要求不同,由此采用(yòng)的(de)加固方案也(yě)不同。
(2)明(míng)确系統運行狀況的(de)内容包括:
● 系統的(de)具體用(yòng)途,即明(míng)确系統在工作環境下(xià)所必需開放的(de)端口和(hé)服務等。
● 系統上運行的(de)應用(yòng)系統及其正常所必需的(de)服務。
● 我們是從網絡掃描及人(rén)工評估裏來(lái)收集系統的(de)運行狀況的(de)。
(3)明(míng)确加固風險:網絡與應用(yòng)系統加固是有一定風險的(de),一般可(kě)能的(de)風險包括停機、應用(yòng)程序不能正常使用(yòng)、最嚴重的(de)情況是系統被破壞無法使用(yòng)。這(zhè)些風險一般是由于系統運行狀況調查不清導緻,也(yě)有因爲加固方案的(de)代價分(fēn)析不準确,誤操作引起。因此在加固前做(zuò)好系統備份是非常重要的(de)。
(4)系統備份:備份内容包括:文件系統、關鍵數據、配置信息、口令、用(yòng)戶權限等内容;最好做(zuò)系統全備份以便快(kuài)速恢複。
加固和(hé)優化(huà)流程概述
網絡與應用(yòng)系統加固和(hé)優化(huà)的(de)流程主要由以下(xià)四個(gè)環節構成:
1. 狀态調查
對(duì)系統的(de)狀态調查的(de)過程主要是導入以下(xià)服務的(de)結果:
● 系統安全需求分(fēn)析
● 系統安全策略制訂
● 系統安全風險評估(網絡掃描和(hé)人(rén)工評估)
對(duì)于新建的(de)系統而言,主要是導入系統安全需求分(fēn)析和(hé)系統安全策略制訂這(zhè)兩項服務的(de)結果。在導入上述服務的(de)結果後,應确定被加固系統的(de)安全級别,即确定被加固系統所能達到的(de)安全程度。同時(shí),也(yě)必須在分(fēn)析上述服務結果的(de)基礎上确定對(duì)網絡與應用(yòng)系統加固和(hé)優化(huà)的(de)代價。
制定加固方案
制訂加固方案的(de)主要内容是根據系統狀态調查所産生的(de)結果制訂對(duì)系統實施加固和(hé)優化(huà)的(de)内容、步驟和(hé)時(shí)間表。
實施加固
對(duì)系統實施加固和(hé)優化(huà)主要内容包含以下(xià)兩個(gè)方面:
● 對(duì)系統進行加固
● 對(duì)系統進行測試
對(duì)系統進行測試的(de)目的(de)是檢驗在對(duì)系統實施安全加固後,系統在安全性和(hé)功能性上是否能夠滿足客戶的(de)需求。上述兩個(gè)方面的(de)工作是一個(gè)反複的(de)過程,即每完成一個(gè)加固或優化(huà)步驟後就要測試系統的(de)功能性要求和(hé)安全性要求是否滿足客戶需求;如果其中一方面的(de)要求不能滿足,該加固步驟就要重新進行。
對(duì)有些系統會存在加固失敗的(de)情況,如果發生加固失敗,則根據客戶的(de)選擇,要麽放棄加固,要麽重建系統。
生成加固報告
加固報告是向用(yòng)戶提供完成網絡與應用(yòng)系統加固和(hé)優化(huà)服務後的(de)最終報告。其中包含以下(xià)内容:
● 加固過程的(de)完整記錄
● 有關系統安全管理(lǐ)方面的(de)建議(yì)或解決方案
● 對(duì)加固系統安全審計結果
