|
|
|
|
|
|
安全基线是一个信息系统的最小安全保证,即该信息系统最基本需要满足的安全要求。信息系统安全往往需要在安全付出成本与所能够承受的安全风险之间进行平衡,而安全基线正是这个平衡的合理的分界线。不满足系统最基本的安全需求,也就无法承受由此带来的安全风险,而非基本安全需求的满足同样会带来超额安全成本的付出,所以构造信息系统安全基线己经成为系统安全工程的首要步骤,同时也是进行安全评估、解决信息系统安全性问题的先决条件。 安言咨询为企业提供的信息系统全生命周期安全基线工作是以《国家信息系统安全等级保护基本要求》为基础,以相关行业信息安全及风险监管条例安全基线要求、信息安全技术信息系统通用安全技术要求、信息安全技术操作系统安全技术要求、信息安全技术数据库管理系统安全技术要求、信息安全技术服务器安全技术要求为参考,结合互联网应用环境中高危风险威胁分析,及客户方信息系统安全管理和安全技术现状,对服务端操作系统、中间件、数据库、应用系统,针对安全技术方面提出的不同安全等级的保护要求制定基线标准。 安全基线的梳理工作需要对操作系统、中间件、数据库各个版本的特性及区别以及应用系统的安全需求进行调...
1.目标 模拟黑客入侵的技术手段对目标网络系统进行安全检查,找出目标系统是否存在可以被攻击者真实利用的漏洞以及由此引起的风险大小,从而为制定相应的应对措施与解决方案提供实际的依据。2.渗透测试流程 安言咨询说提供的渗透测试过程主要包括以下阶段: 方案制定。获取到客户的书面授权许可后,才进行渗透测试的实施。并且将实施范围、方法、时间、人员等具体的方案与客户进行交流,并得到客户的认同。在测试实施之前,安全顾问会做到让客户对渗透测试过程和风险的知晓,使随后的正式测试流程都在客户的控制下。 确定范围。客户根据自己的需要,确定本次项目的范围;允许使用的攻击手段,是否允许使用暴力破解、拒绝服务等手段。 信息收集。这包括:操作系统类型指纹收集;网络拓扑结构分析;端口扫描和目标系统提供的服务识别等。可以采用一些商业安全评估系统(如:ISS、极光等);免费的检测工具(NESSUS、Nmap等)进行收集。 测试实施。这是整个评估过程中花费时间最长的一个阶段,安全工程师利用端口扫描、漏洞扫描等工具对渗透测试的目标进行安全漏洞检查,并根据扫描结果筛选可以利用的...
源代码审计又称为白盒测试,主要原理就是代码审计人员根据系统的类型和实现的方式,找出与之相匹配的漏洞攻击类型,通过工具或者人工的方式尝试在代码中找到可能导致漏洞的代码。 所有的安全漏洞都是由计算机程序代码造成的,因此安言咨询从软件开发的角度入手,从程序的业务功能、技术架构、代码着手,才能全面、高效、有效的发掘安全漏洞。代码审计适用于对安全水准要求较高,已经做过一些黑盒安全措施的系统。通过全面深入的代码安全审计,可以有效覆盖黑盒测试的盲区,显著提高系统安全性。通过代码审计发掘安全漏洞具有以下优势: 全面覆盖 代码中包含了软件系统所有的功能和逻辑细节以及安全漏洞。通过自动化和人工结合的代码安全审计,可以实现接近于100%覆盖率的安全漏洞挖掘。 快捷高效 通过自动化工具,可以快速发掘大量潜在安全漏洞,再结合人工深度代码审计,并扩展和验证工具的发现,综合效率明显高于黑盒渗透测试。 易于修复 修复漏洞,就是修复代码中错误。代码安全审计,从代码中发现问题,并在报告中提供准确、直观的代码级修复方法,让开发人员轻松高效、水到渠成地...
版权所有©上海安言信息技术有限公司 2014-2015
