绿盟科技安全评估服务白皮书(节选)6262.docx
《绿盟科技安全评估服务白皮书(节选)6262.docx》由会员分享,可在线阅读,更多相关《绿盟科技安全评估服务白皮书(节选)6262.docx(7页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、绿盟科技安全评估服务白皮书绿盟科技技安全评评估服务务白皮书书(节选选)目录绿盟科技技安全评评估服务务白皮书书(节选)1目录1安全评估估服务22应用安全全评估33应用安全全评估服服务简介介3服务内容容3服务案例例7安全评估估服务 要获得得有针对对性的安安全服务务,就需需要专业业安全顾顾问在对对您的信信息系统统进行充充分调研研和访谈谈的基础础上,配配合使用用专业的的安全工工具,对对系统实实际情况况进行专专业的安安全现状状分析和和报告,并并以此为为基础进进行后续续的定制制和设计计工作。这这个针对对信息系系统的安安全分析析和报告告的过程程就是常常说的安安全评估估服务。绿盟科技技的安全全评估服服务包括括
2、全面的的风险评评估服务务、远程程安全扫扫描、本本地安全全评估、应应用安全全评估和和渗透性性测试等等多种方方式,通通过安全全评估服服务可以以帮助您您明确目目前信息息系统或或者应用用系统面面临着什什么样的的信息安安全风险险,同时时在业务务发展过过程中可可能会遇遇到什么么安全问问题?安安全风险险可能导导致的损损失是多多少?当当前主要要的安全全威胁是是什么,应应如何划划分安全全区域和和安全建建设的优优先级等等一系列列问题。绿盟科技技的安全全评估服服务包括括如下模模块:模块编号号模块名称称模块说明明SES-04001全面风险险评估全面风险险评估是是对信息息系统的的影响、威威胁和脆脆弱性进进行全方方位评估
3、估,归纳纳并总结结信息系系统所面面临的安安全风险险,为信信息系统统的安全全建设提提供决策策依据。SES-04002远程漏洞洞扫描利用安全全评估系系统对客客户信息息系统进进行远程程技术脆脆弱性评评估。SES-04003本地安全全检查利用安全全工具和和人工服服务对客客户信息息系统进进行远程程或本地地的技术术脆弱性性评估。SES-04004应用安全全评估利用人工工或自动动的方式式,评估估客户应应用系统统的安全全性并协协助进行行改善和和增强。SES-04005渗透测试试评估利用各种种主流的的攻击技技术对网网络做模模拟攻击击测试,以以发现系系统中的的安全漏漏洞和风风险点。应用安全全评估应用安全全评估服服
4、务简介介应用系统统评估服服务是绿绿盟科技技在20002年年就开始始为用户户提供的的评估服服务模块块之一。早早期主要要以评估估CGII程序的的安全性性为主要要内容。经经过两年年的工作作,绿盟盟科技的的应用系系统评估估的范围围,已经经扩展到到了更多多的评估估项目和和更有体体系的评评估方法法。对于一个个完整的的可运行行的应用用系统(通通常为BB/S结结构或CC/S结结构)来来说,一一般由支支持这个个应用系系统的网网络环境境(包括括网络设设备和线线路)、操操作系统统、应用用系统服服务程序序组成。因此广义的应用安全评估包括了对整个应用系统从应用系统网络结构、操作系统到应用程序设计与实现本身三个层次的评估
5、;而狭义的应用系统评估则仅包括应用系统的程序设计与实现这一个层次的评估。服务内容容对于网网络层次次的安全全评估更更多的关关注应用用系统部部署时所所使用的的网络环环境的可可用性和和保密性性,主要要包括:l 网络结构构的合理理性l 网络冗余余设计l 网络访问问控制设设计l 网络层次次加密技技术的应应用l .对于操操作系统统层次的的评估主主要集中中在系统统层次方方面的漏漏洞,包包括:l 操作系统统的补丁丁安装情情况l 操作系统统对外提提供的通通用网络络服务安安全l 操作系统统的审计计能力l 操作系统统的口令令策略l 其他安全全漏洞l 由于应用用系统程程序通常常安装在在通用操操作系统统上,因因此保证证
6、操作系系统自身身的安全全性,是是保证应应用系统统安全性性的重要要基础。我我们建议议在对已已经投入入使用的的应用系系统进行行评估时时,尽量量安排对对操作系系统安全全性的评评估。对应用系系统程序序的评估估主要基基于CCC(ISSO-1154008,通通用评估估准则)的要求求,能够够全面的的对不同同类型的的应用系系统的不不同安全全功能进进行评价价,并给给出评分分和建议议。在应用用系统评评估中需需要评估估的目标标和方法法列表如如下:有效性验验证是否应应用系统统、补丁丁软件都都必须通通过验证证后才能能被安装装是否能能对系统统已安装装组件进进行有效效性验证证数据输入入、输出出控制是否对对数据输输入、输输出
7、进行行了合法法性检查查(特别别是各种种外部数数据,例例如系统统时间、用用户输入入等等)系统应应确保数数据不输输出到错错误的地地点,同同时也不不能有非非法的信信息流入入(包括括用户输输入/输输出和系系统各个个功能/模块间间输入/输出)数据输入入、输出出抗抵赖赖是否能能够证明明接收方方接收到到的数据据的确来来自声称称的发送送方是否能能够证明明发送方方发送的的数据的的确被接接收方接接受数据输入入、输出出完整性性检查是否能能够检查查输入、输输出数据据的完整整性数据输入入、输出出可用性性检查是否能能够检查查输入、输输出数据据的可用用性数据输入入、输出出保密性性保证是否在在数据输输入、输输出使用用了加密密
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 科技 安全 评估 服务 白皮书 节选 6262
限制150内