绿盟科技安全评估服务白皮书(节选)目录绿盟科技安全评估服务白皮书(节选).................................................................1目录...........................................................................................................1安全评估服务.............................................................................................2应用安全评估.............................................................................................3应用安全评估服务简介.......................................................................3服务内容.............................................................................................3服务案例.............................................................................................7安全评估服务要获得有针对性的安全服务,就需要专业安全顾问在对您的信息系统进行充分调研和访谈的基础上,配合使用专业的安全工具,对系统实际情况进行专业的安全现状分析和报告,并以此为基础进行后续的定制和设计工作。这个针对信息系统的安全分析和报告的过程就是常说的安全评估服务。绿盟科技的安全评估服务包括全面的风险评估服务、远程安全扫描、本地安全评估、应用安全评估和渗透性测试等多种方式,通过安全评估服务可以帮助您明确目前信息系统或者应用系统面临着什么样的信息安全风险,同时在业务发展过程中可能会遇到什么安全问题?安全风险可能导致的损失是多少?当前主要的安全威胁是什么,应如何划分安全区域和安全建设的优先级等一系列问题。绿盟科技的安全评估服务包括如下模块:模块编号模块名称模块说明SES-0401全面风险评估全面风险评估是对信息系统的影响、威胁和脆弱性进行全方位评估,归纳并总结信息系统所面临的安全风险,为信息系统的安全建设提供决策依据。SES-0402远程漏洞扫描利用安全评估系统对客户信息系统进行远程技术脆弱性评估。SES-0403本地安全检查利用安全工具和人工服务对客户信息系统进行远程或本地的技术脆弱性评估。SES-0404应用安全评估利用人工或自动的方式,评估客户应用系统的安全性并协助进行改善和增强。SES-0405渗透测试评估利用各种主流的攻击技术对网络做模拟攻击测试,以发现系统中的安全漏洞和风险点。应用安全评估应用安全评估服务简介应用系统评估服务是绿盟科技在2002年就开始为用户提供的评估服务模块之一。早期主要以评估CGI程序的安全性为主要内容。经过两年的工作,绿盟科技的应用系统评估的范围,已经扩展到了更多的评估项目和更有体系的评估方法。对于一个完整的可运行的应用系统(通常为B/S结构或C/S结构)来说,一般由支持这个应用系统的网络环境(包括网络设备和线路)、操作系统、应用系统服务程序组成。因此广义的应用安全评估包括了对整个应用系统从应用系统网络结构、操作系统到应用程序设计与实现本身三个层次的评估;而狭义的应用系统评估则仅包括应用系统的程序设计与实现这一个层次的评估。服务内容对于网络层次的安全评估更多的关注应用系统部署时所使用的网络环境的可用性和保密性,主要包括:网络结构的合理性网络冗余设计网络访问控制设计网络层次加密技术的应用…….对于操作系统层次的评估主要集中在系统层次方面的漏洞,包括:操作系统的补丁安装情况操作系统对外提供的通用网络服务安全操作系统的审计能力操作系统的口令策略其他安全漏洞……由于应用系统程序通常安装在通用操作系统上,因此保证操作系统自身的安全性,是保证应用系统安全性的重要基础。我们建议在对已经投入使用的应用系统进行评估时,尽量安排对操作系统安全性的评估。对应用系统程序的评估主要基于CC(ISO-15408,通用评估准则)的要求,能够全面的对不同类型的应用系统的不同安全功能进行评价,并给出评分和建议。在应用系统评估中需要评估的目标和方法列表如下:有效性验证是否应用系统、补丁软件都必须通过验证后才能被安装是否能对系统已安装组件进行有效性验证数据输入、输出控制是否对数据...
