|
|
|
|
|
|
安全基線是一個信息系統的最小安全保證,即該信息系統最基本需要滿足的安全要求。信息系統安全往往需要在安全付出成本與所能夠承受的安全風險之間進行平衡,而安全基線正是這個平衡的合理的分界線。不滿足系統最基本的安全需求,也就無法承受由此帶來的安全風險,而非基本安全需求的滿足同樣會帶來超額安全成本的付出,所以構造信息系統安全基線己經成為系統安全工程的首要步驟,同時也是進行安全評估、解決信息系統安全性問題的先決條件。 安言咨詢為企業提供的信息系統全生命周期安全基線工作是以《國家信息系統安全等級保護基本要求》為基礎,以相關行業信息安全及風險監管條例安全基線要求、信息安全技術信息系統通用安全技術要求、信息安全技術操作系統安全技術要求、信息安全技術數據庫管理系統安全技術要求、信息安全技術服務器安全技術要求為參考,結合互聯網應用環境中高危風險威脅分析,及客戶方信息系統安全管理和安全技術現狀,對服務端操作系統、中間件、數據庫、應用系統,針對安全技術方面提出的不同安全等級的保護要求制定基線標準。 安全基線的梳理工作需要對操作系統、中間件、數據庫各個版本的特性及區別以及應用系統的安全需求進行調...
1.目標 模擬黑客入侵的技術手段對目標網絡系統進行安全檢查,找出目標系統是否存在可以被攻擊者真實利用的漏洞以及由此引起的風險大小,從而為制定相應的應對措施與解決方案提供實際的依據。2.滲透測試流程 安言咨詢說提供的滲透測試過程主要包括以下階段: 方案制定。獲取到客戶的書面授權許可后,才進行滲透測試的實施。并且將實施范圍、方法、時間、人員等具體的方案與客戶進行交流,并得到客戶的認同。在測試實施之前,安全顧問會做到讓客戶對滲透測試過程和風險的知曉,使隨后的正式測試流程都在客戶的控制下。 確定范圍。客戶根據自己的需要,確定本次項目的范圍;允許使用的攻擊手段,是否允許使用暴力破解、拒絕服務等手段。 信息收集。這包括:操作系統類型指紋收集;網絡拓撲結構分析;端口掃描和目標系統提供的服務識別等。可以采用一些商業安全評估系統(如:ISS、極光等);免費的檢測工具(NESSUS、Nmap等)進行收集。 測試實施。這是整個評估過程中花費時間最長的一個階段,安全工程師利用端口掃描、漏洞掃描等工具對滲透測試的目標進行安全漏洞檢查,并根據掃描結果篩選可以利用的...
源代碼審計又稱為白盒測試,主要原理就是代碼審計人員根據系統的類型和實現的方式,找出與之相匹配的漏洞攻擊類型,通過工具或者人工的方式嘗試在代碼中找到可能導致漏洞的代碼。 所有的安全漏洞都是由計算機程序代碼造成的,因此安言咨詢從軟件開發的角度入手,從程序的業務功能、技術架構、代碼著手,才能全面、高效、有效的發掘安全漏洞。代碼審計適用于對安全水準要求較高,已經做過一些黑盒安全措施的系統。通過全面深入的代碼安全審計,可以有效覆蓋黑盒測試的盲區,顯著提高系統安全性。通過代碼審計發掘安全漏洞具有以下優勢: 全面覆蓋 代碼中包含了軟件系統所有的功能和邏輯細節以及安全漏洞。通過自動化和人工結合的代碼安全審計,可以實現接近于100%覆蓋率的安全漏洞挖掘。 快捷高效 通過自動化工具,可以快速發掘大量潛在安全漏洞,再結合人工深度代碼審計,并擴展和驗證工具的發現,綜合效率明顯高于黑盒滲透測試。 易于修復 修復漏洞,就是修復代碼中錯誤。代碼安全審計,從代碼中發現問題,并在報告中提供準確、直觀的代碼級修復方法,讓開發人員輕松高效、水到渠成地...
