渗透测试服务(Web/主机/网络安全)测试主要面向Web应用、Web服务、数据库、API接口、操作系统、网络结构、网络设备、业务服务等。 安全加固 网络与应用系统加固和优化服务是实现客户信息系统安全的关键环节。通过使用该项服务,将在客户信息系统的网络层、主机层和应用层等层次建立符合客户安全需求的安全状态,并以此作为保证客户信息系统安全的起点。
安全加固概述
网络与应用系统加固和优化服务是实现客户信息系统安全的关键环节。通过使用该项服务,将在客户信息系统的网络层、主机层和应用层等层次建立符合客户安全需求的安全状态,并以此作为保证客户信息系统安全的起点。
网络与应用系统加固和优化服务的目的是通过对主机和网络设备所存在安全问题执行以下操作:
● 正确的安装;
● 安装最新和全部OS和应用软件的安全补丁;
● 操作系统和应用软件的安全配置;
● 系统安全风险防范;
● 系统功能测试;
● 系统安全风险测试;
上述工作的结果决定了网络与应用系统加固和优化的流程、实施的内容、步骤和复杂程度。具体说,则可以归纳为:
(1)加固目标也就是确定系统在做过加固和优化后,达到的安全级别,通常不同环境下的系统对安全级别的要求不同,由此采用的加固方案也不同。
(2)明确系统运行状况的内容包括:
● 系统的具体用途,即明确系统在工作环境下所必需开放的端口和服务等。
● 系统上运行的应用系统及其正常所必需的服务。
● 我们是从网络扫描及人工评估里来收集系统的运行状况的。
(3)明确加固风险:网络与应用系统加固是有一定风险的,一般可能的风险包括停机、应用程序不能正常使用、最严重的情况是系统被破坏无法使用。这些风险一般是由于系统运行状况调查不清导致,也有因为加固方案的代价分析不准确,误操作引起。因此在加固前做好系统备份是非常重要的。
(4)系统备份:备份内容包括:文件系统、关键数据、配置信息、口令、用户权限等内容;最好做系统全备份以便快速恢复。
加固和优化流程概述
网络与应用系统加固和优化的流程主要由以下四个环节构成:
1. 状态调查
对系统的状态调查的过程主要是导入以下服务的结果:
● 系统安全需求分析
● 系统安全策略制订
● 系统安全风险评估(网络扫描和人工评估)
对于新建的系统而言,主要是导入系统安全需求分析和系统安全策略制订这两项服务的结果。在导入上述服务的结果后,应确定被加固系统的安全级别,即确定被加固系统所能达到的安全程度。同时,也必须在分析上述服务结果的基础上确定对网络与应用系统加固和优化的代价。
制定加固方案
制订加固方案的主要内容是根据系统状态调查所产生的结果制订对系统实施加固和优化的内容、步骤和时间表。
实施加固
对系统实施加固和优化主要内容包含以下两个方面:
● 对系统进行加固
● 对系统进行测试
对系统进行测试的目的是检验在对系统实施安全加固后,系统在安全性和功能性上是否能够满足客户的需求。上述两个方面的工作是一个反复的过程,即每完成一个加固或优化步骤后就要测试系统的功能性要求和安全性要求是否满足客户需求;如果其中一方面的要求不能满足,该加固步骤就要重新进行。
对有些系统会存在加固失败的情况,如果发生加固失败,则根据客户的选择,要么放弃加固,要么重建系统。
生成加固报告
加固报告是向用户提供完成网络与应用系统加固和优化服务后的最终报告。其中包含以下内容:
● 加固过程的完整记录
● 有关系统安全管理方面的建议或解决方案
● 对加固系统安全审计结果
