Web應用安全性檢測包括以下內(nèi)容:
1)Web服務器(qì)脆弱性檢測
檢測WebServer和(hé)中間(jiān)件等Web服務程序的安全性,包括安全配置、補丁程序、日志(zhì)審計(jì)及輔助安全措施等方面進行(xíng)安全檢測。
2)業務安全脆弱性檢測
檢測客戶的專用業務系統的身份鑒别、口令認證、訪問控制(zhì)、安全配置、日志(zhì)審計(jì)、通(tōng)信安全等方面進行(xíng)安全檢測。
3)應用程序脆弱性檢測
檢測應用程序源代碼,用于發現應用程序可(kě)能存在的注入、跨站(zhàn)、權限管理(lǐ)不嚴等安全問題。
4)應用軟件脆弱性檢測
對系統所使用的FTP、Mail、DNS、防病毒等通(tōng)用應用程序的安全設置、補丁和(hé)安全漏洞等方面進行(xíng)安全檢測。
5)數(shù)據備份與恢複
檢測客戶信息系統的數(shù)據備份與恢複措施,以及這些(xiē)措施的運行(xíng)策略和(hé)有(yǒu)效性。
6)業務數(shù)據檢測
按照信息系統業務種類對不同業務系統進行(xíng)安全性分析,結合業務管理(lǐ)和(hé)業務流程,分析業務數(shù)據在系統內(nèi)部、系統所有(yǒu)對外端口以及網絡傳輸中的處理(lǐ)過程,找出其中可(kě)能出口安全風險的脆弱點。并對風險進行(xíng)深入、細緻和(hé)前瞻的分析,為(wèi)客戶後期業務決策提供詳細數(shù)據。
安全加固是根據專業安全評估結果,制(zhì)定相應的系統加固方案,針對不同目标系統,通(tōng)過打補丁、修改安全配置、增加安全機制(zhì)等方法,合理(lǐ)進行(xíng)安全性加強。
服務主要內(nèi)容:
微軟操作(zuò)系統
補丁、文件系統、帳号管理(lǐ)、網絡及服務、注冊表、共享、應用軟件、審計(jì)/日志(zhì),其它(包括緊急恢複、數(shù)字簽名等)。
UNIX操作(zuò)系統
補丁、文件系統、配置文件、帳号管理(lǐ)、網絡及服務、NFS系統、應用軟件、審計(jì)/日志(zhì),其它(包括專用安全軟件、加密通(tōng)信,及數(shù)字簽名等)。
根據安全策略中相關的數(shù)據庫安全策略,對已有(yǒu)的網絡數(shù)據庫系統做(zuò)加固措施,其策略的主要依據是根據前期安全策略的定制(zhì)結果。安全顧問在客戶方确認安全策略後,在客戶的協同下制(zhì)定相應的加固方案。
主要內(nèi)容包括主流數(shù)據庫系統(包括Oracle、SQL Server、Sybase、MySQL、Informix等)的補丁、賬号管理(lǐ)、口令強度和(hé)有(yǒu)效期檢查、遠程登陸和(hé)遠程服務、存儲過程、審核層次、備份過程、角色和(hé)權限審核、并發事件資源限制(zhì)、訪問時(shí)間(jiān)限制(zhì)、審核跟蹤、特洛依木馬等。
網站(zhàn)存活性監控是确保客戶網站(zhàn)持續性正常工作(zuò)的安全服務。
在服務周期內(nèi),提供每5~10分鍾一次,7*24小(xiǎo)時(shí)不間(jiān)斷Web有(yǒu)效性檢測(URL REQUEST 方式)。發現問題後,及時(shí)根據合同約定流程上(shàng)報客戶相關負責人(rén)員并進行(xíng)相應技(jì)術(shù)處理(lǐ)。(依事件危害程度啓動相應應急預案)
在web應用系統安全加固服務內(nèi)容的基礎上(shàng),提供雲端實時(shí)監控服務并定期向客戶發生(shēng)報告。
web應用系統安全加固是經過安全人(rén)員檢測後,針對現有(yǒu)web應用系統存在的安全問題,同客戶協商制(zhì)定加固方案,從代碼、配置層面提供具體(tǐ)的加固實施建議。
代碼審計(jì)可(kě)以檢測并報告客戶的應用程序代碼當前存在的遭黑(hēi)客攻擊的危險可(kě)能性。安全工程師(shī)将通(tōng)過應用掃描軟件和(hé)人(rén)工分析等手段對其進行(xíng)深入分析,并提供相應的報告。
主要檢查內(nèi)容包含惡意代碼的檢查、賬号安全檢查、注入檢查、跨站(zhàn)腳本注入檢查等。
面向普通(tōng)技(jì)術(shù)人(rén)員,講解系統安全管理(lǐ)的基本知識。此課程每次一天。
面向普通(tōng)工作(zuò)人(rén)員,普及個(gè)人(rén)安全的基本知識,灌輸安全意識。面向安全産品的使用人(rén)員,從安全技(jì)術(shù)的原理(lǐ)對特定安全産品的功 能、性能和(hé)使用進行(xíng)闡述和(hé)培訓。面向普通(tōng)技(jì)術(shù)人(rén)員,講解系統安全管理(lǐ)的基本知識。
安百科技(jì)定期指派專業人(rén)員對客戶信息系統進行(xíng)定期巡檢,定期提供信息系統安全巡檢彙報,使客戶能夠及時(shí)掌控信息系統的安全狀況。對設備進行(xíng)有(yǒu)效的定期安全巡檢,及時(shí)發現并消除網絡故障和(hé)安全隐患,保障客戶網絡和(hé)系統處于健康、安全的狀态,确保業務持續運行(xíng)。
安全巡檢的主要工作(zuò)內(nèi)容是指派具有(yǒu)豐富經驗并且經過專業系統化培訓的安全服務人(rén)員定期對應用、操作(zuò)系統、服務器(qì)、數(shù)據庫及其他設備,如路由器(qì)、交換機、防火(huǒ)牆等的運行(xíng)狀況、資源利用情況、網絡鏈接情況等進行(xíng)檢查,檢查系統的健康狀況。如果發現問題及時(shí)與客戶負責人(rén)進行(xíng)溝通(tōng),并提出解決方案,得(de)到客戶負責人(rén)确認後對出現的問題進行(xíng)解決,做(zuò)到及時(shí)、準确,保證無差錯。
依據《GB/T 20984-2007 信息安全技(jì)術(shù)信息安全風險評估規範》,通(tōng)過風險評估項目的實施,對信息系統的重要資産、資産所面臨的威脅、資産存在的脆弱性、已采取的防護措施等進行(xíng)分析,對所采用的安全控制(zhì)措施的有(yǒu)效性進行(xíng)檢測,綜合分析、判斷安全事件發生(shēng)的概率以及可(kě)能造成的損失,判斷信息系統面臨的安全風險,提出風險管理(lǐ)建議,為(wèi)系統安全保護措施的改進提供參考依據。
滲透測試
安百科技(jì)滲透測試專業人(rén)員盡可(kě)能完整地模拟攻擊者使用的漏洞發現技(jì)術(shù)和(hé)攻擊手段,從攻擊者的角度對目标網絡、系統、主機、應用的安全性做(zuò)深入的非破壞性的測試,發現系統的脆弱環節。滲透測試以非常明(míng)顯、直觀的結果來(lái)反映系統的安全現狀,從而使系統的管理(lǐ)者能夠直觀地知道(dào)系統所面臨地安全問題。
漏洞掃描
利用由安百科技(jì)自主研發地漏洞掃描工具,對應用系統進行(xíng)漏洞掃描。結合最新地安全理(lǐ)念,為(wèi)客戶提供漏洞檢測結果與解決方案緊密結合地掃描檢測報告,并提供全方位地網絡安全支持服務。
服務流程:
準備和(hé)計(jì)劃,接到事件通(tōng)知後,迅速确定處理(lǐ)問題必須的組織和(hé)人(rén)員,啓動文檔紀錄,建立支持事件響應活動的基礎設施。
檢測與分析,對事件進行(xíng)評估,确定事件是否已經發生(shēng)還(hái)是正在進行(xíng),查找黑(hēi)客蹤迹,掃描系統漏洞并對安全事件進行(xíng)确認。
調查與取證,分析系統狀态,提取日志(zhì)紀錄,探測攻擊來(lái)源,如果有(yǒu)必要,根據法律顧問的指導,通(tōng)知本地有(yǒu)關執法部門(mén)。
服務流程:
檢測到安全事件漏洞,提取相關證據後,出具修複建議方案,并進行(xíng)模拟測試在得(de)到客戶單位相關工作(zuò)人(rén)員認可(kě)後進行(xíng)加固工作(zuò)。
在安全應急事件處理(lǐ)完成後的72小(xiǎo)時(shí)內(nèi),服務工程師(shī)根據需要從遠程或本地繼續監視(shì)客戶系統運營情況(主要監視(shì)重複性攻擊和(hé)由于遏制(zhì)步驟所導緻的錯誤配置),确保故障根本上(shàng)得(de)到解決,并填寫監控報告。
最後,将所有(yǒu)筆記、記錄彙編成一份綜合性安全意外事件活動日志(zhì),審查安全事件發生(shēng)的原因,改善預防措施,防止未來(lái)再發生(shēng)的意外事件和(hé)相關攻擊,幫助客戶單位更新和(hé)完善現有(yǒu)信息安全策略。
Web應用安全性檢測包括以下內(nèi)容:
1)Web服務器(qì)脆弱性檢測
檢測WebServer和(hé)中間(jiān)件等Web服務程序的安全性,包括安全配置、補丁程序、日志(zhì)審計(jì)及輔助安全措施等方面進行(xíng)安全檢測。
2)業務安全脆弱性檢測
檢測客戶的專用業務系統的身份鑒别、口令認證、訪問控制(zhì)、安全配置、日志(zhì)審計(jì)、通(tōng)信安全等方面進行(xíng)安全檢測。
3)應用程序脆弱性檢測
檢測應用程序源代碼,用于發現應用程序可(kě)能存在的注入、跨站(zhàn)、權限管理(lǐ)不嚴等安全問題。
4)應用軟件脆弱性檢測
對系統所使用的FTP、Mail、DNS、防病毒等通(tōng)用應用程序的安全設置、補丁和(hé)安全漏洞等方面進行(xíng)安全檢測。
5)數(shù)據備份與恢複
檢測客戶信息系統的數(shù)據備份與恢複措施,以及這些(xiē)措施的運行(xíng)策略和(hé)有(yǒu)效性。
6)業務數(shù)據檢測
按照信息系統業務種類對不同業務系統進行(xíng)安全性分析,結合業務管理(lǐ)和(hé)業務流程,分析業務數(shù)據在系統內(nèi)部、系統所有(yǒu)對外端口以及網絡傳輸中的處理(lǐ)過程,找出其中可(kě)能出口安全風險的脆弱點。并對風險進行(xíng)深入、細緻和(hé)前瞻的分析,為(wèi)客戶後期業務決策提供詳細數(shù)據。
安全加固是根據專業安全評估結果,制(zhì)定相應的系統加固方案,針對不同目标系統,通(tōng)過打補丁、修改安全配置、增加安全機制(zhì)等方法,合理(lǐ)進行(xíng)安全性加強。
服務主要內(nèi)容:
微軟操作(zuò)系統
補丁、文件系統、帳号管理(lǐ)、網絡及服務、注冊表、共享、應用軟件、審計(jì)/日志(zhì),其它(包括緊急恢複、數(shù)字簽名等)。
UNIX操作(zuò)系統
補丁、文件系統、配置文件、帳号管理(lǐ)、網絡及服務、NFS系統、應用軟件、審計(jì)/日志(zhì),其它(包括專用安全軟件、加密通(tōng)信,及數(shù)字簽名等)。
根據安全策略中相關的數(shù)據庫安全策略,對已有(yǒu)的網絡數(shù)據庫系統做(zuò)加固措施,其策略的主要依據是根據前期安全策略的定制(zhì)結果。安全顧問在客戶方确認安全策略後,在客戶的協同下制(zhì)定相應的加固方案。
主要內(nèi)容包括主流數(shù)據庫系統(包括Oracle、SQL Server、Sybase、MySQL、Informix等)的補丁、賬号管理(lǐ)、口令強度和(hé)有(yǒu)效期檢查、遠程登陸和(hé)遠程服務、存儲過程、審核層次、備份過程、角色和(hé)權限審核、并發事件資源限制(zhì)、訪問時(shí)間(jiān)限制(zhì)、審核跟蹤、特洛依木馬等。
網站(zhàn)存活性監控是确保客戶網站(zhàn)持續性正常工作(zuò)的安全服務。
在服務周期內(nèi),提供每5~10分鍾一次,7*24小(xiǎo)時(shí)不間(jiān)斷Web有(yǒu)效性檢測(URL REQUEST 方式)。發現問題後,及時(shí)根據合同約定流程上(shàng)報客戶相關負責人(rén)員并進行(xíng)相應技(jì)術(shù)處理(lǐ)。(依事件危害程度啓動相應應急預案)
在web應用系統安全加固服務內(nèi)容的基礎上(shàng),提供雲端實時(shí)監控服務并定期向客戶發生(shēng)報告。
web應用系統安全加固是經過安全人(rén)員檢測後,針對現有(yǒu)web應用系統存在的安全問題,同客戶協商制(zhì)定加固方案,從代碼、配置層面提供具體(tǐ)的加固實施建議。
代碼審計(jì)可(kě)以檢測并報告客戶的應用程序代碼當前存在的遭黑(hēi)客攻擊的危險可(kě)能性。安全工程師(shī)将通(tōng)過應用掃描軟件和(hé)人(rén)工分析等手段對其進行(xíng)深入分析,并提供相應的報告。
主要檢查內(nèi)容包含惡意代碼的檢查、賬号安全檢查、注入檢查、跨站(zhàn)腳本注入檢查等。
面向普通(tōng)技(jì)術(shù)人(rén)員,講解系統安全管理(lǐ)的基本知識。此課程每次一天。
面向普通(tōng)工作(zuò)人(rén)員,普及個(gè)人(rén)安全的基本知識,灌輸安全意識。面向安全産品的使用人(rén)員,從安全技(jì)術(shù)的原理(lǐ)對特定安全産品的功 能、性能和(hé)使用進行(xíng)闡述和(hé)培訓。面向普通(tōng)技(jì)術(shù)人(rén)員,講解系統安全管理(lǐ)的基本知識。
安百科技(jì)定期指派專業人(rén)員對客戶信息系統進行(xíng)定期巡檢,定期提供信息系統安全巡檢彙報,使客戶能夠及時(shí)掌控信息系統的安全狀況。對設備進行(xíng)有(yǒu)效的定期安全巡檢,及時(shí)發現并消除網絡故障和(hé)安全隐患,保障客戶網絡和(hé)系統處于健康、安全的狀态,确保業務持續運行(xíng)。
安全巡檢的主要工作(zuò)內(nèi)容是指派具有(yǒu)豐富經驗并且經過專業系統化培訓的安全服務人(rén)員定期對應用、操作(zuò)系統、服務器(qì)、數(shù)據庫及其他設備,如路由器(qì)、交換機、防火(huǒ)牆等的運行(xíng)狀況、資源利用情況、網絡鏈接情況等進行(xíng)檢查,檢查系統的健康狀況。如果發現問題及時(shí)與客戶負責人(rén)進行(xíng)溝通(tōng),并提出解決方案,得(de)到客戶負責人(rén)确認後對出現的問題進行(xíng)解決,做(zuò)到及時(shí)、準确,保證無差錯。
依據《GB/T 20984-2007 信息安全技(jì)術(shù)信息安全風險評估規範》,通(tōng)過風險評估項目的實施,對信息系統的重要資産、資産所面臨的威脅、資産存在的脆弱性、已采取的防護措施等進行(xíng)分析,對所采用的安全控制(zhì)措施的有(yǒu)效性進行(xíng)檢測,綜合分析、判斷安全事件發生(shēng)的概率以及可(kě)能造成的損失,判斷信息系統面臨的安全風險,提出風險管理(lǐ)建議,為(wèi)系統安全保護措施的改進提供參考依據。
滲透測試
安百科技(jì)滲透測試專業人(rén)員盡可(kě)能完整地模拟攻擊者使用的漏洞發現技(jì)術(shù)和(hé)攻擊手段,從攻擊者的角度對目标網絡、系統、主機、應用的安全性做(zuò)深入的非破壞性的測試,發現系統的脆弱環節。滲透測試以非常明(míng)顯、直觀的結果來(lái)反映系統的安全現狀,從而使系統的管理(lǐ)者能夠直觀地知道(dào)系統所面臨地安全問題。
漏洞掃描
利用由安百科技(jì)自主研發地漏洞掃描工具,對應用系統進行(xíng)漏洞掃描。結合最新地安全理(lǐ)念,為(wèi)客戶提供漏洞檢測結果與解決方案緊密結合地掃描檢測報告,并提供全方位地網絡安全支持服務。
服務流程:
準備和(hé)計(jì)劃,接到事件通(tōng)知後,迅速确定處理(lǐ)問題必須的組織和(hé)人(rén)員,啓動文檔紀錄,建立支持事件響應活動的基礎設施。
檢測與分析,對事件進行(xíng)評估,确定事件是否已經發生(shēng)還(hái)是正在進行(xíng),查找黑(hēi)客蹤迹,掃描系統漏洞并對安全事件進行(xíng)确認。
調查與取證,分析系統狀态,提取日志(zhì)紀錄,探測攻擊來(lái)源,如果有(yǒu)必要,根據法律顧問的指導,通(tōng)知本地有(yǒu)關執法部門(mén)。
服務流程:
檢測到安全事件漏洞,提取相關證據後,出具修複建議方案,并進行(xíng)模拟測試在得(de)到客戶單位相關工作(zuò)人(rén)員認可(kě)後進行(xíng)加固工作(zuò)。
在安全應急事件處理(lǐ)完成後的72小(xiǎo)時(shí)內(nèi),服務工程師(shī)根據需要從遠程或本地繼續監視(shì)客戶系統運營情況(主要監視(shì)重複性攻擊和(hé)由于遏制(zhì)步驟所導緻的錯誤配置),确保故障根本上(shàng)得(de)到解決,并填寫監控報告。
最後,将所有(yǒu)筆記、記錄彙編成一份綜合性安全意外事件活動日志(zhì),審查安全事件發生(shēng)的原因,改善預防措施,防止未來(lái)再發生(shēng)的意外事件和(hé)相關攻擊,幫助客戶單位更新和(hé)完善現有(yǒu)信息安全策略。