網(wǎng)絡(luò)安全檢查
l服務(wù)簡(jiǎn)介
網(wǎng)絡(luò)安全檢查工作,重點(diǎn)圍繞用戶信息系統(tǒng)的基本情況���、網(wǎng)絡(luò)安全技術(shù)防護(hù)情況檢查�、網(wǎng)絡(luò)安全態(tài)勢(shì)感知情況檢查�����、網(wǎng)絡(luò)安全技術(shù)檢測(cè)情況檢查�、信息技術(shù)外包服務(wù)機(jī)構(gòu)檢查等方面開(kāi)展技術(shù)檢查,主要采取人員訪談(含文檔查驗(yàn))�、現(xiàn)場(chǎng)配置核查、現(xiàn)場(chǎng)技術(shù)測(cè)試等方式�。
l服務(wù)內(nèi)容
?人員訪談和文檔查驗(yàn)
主要針對(duì)單位關(guān)鍵信息基礎(chǔ)設(shè)施的基本情況、規(guī)章制度�、信息安全管理�、信息安全應(yīng)急工作、網(wǎng)絡(luò)安全態(tài)勢(shì)感知情況等方面�。
?現(xiàn)場(chǎng)配置核查
主要針對(duì)單位網(wǎng)絡(luò)邊界防護(hù)措施、重要網(wǎng)絡(luò)設(shè)備����、重要服務(wù)器、終端設(shè)備����、Web系統(tǒng)、無(wú)線網(wǎng)絡(luò)�、郵件系統(tǒng)����、移動(dòng)辦公終端等進(jìn)行抽查��,確認(rèn)網(wǎng)絡(luò)設(shè)備����、安全設(shè)備、服務(wù)器操作系統(tǒng)����、數(shù)據(jù)庫(kù)、終端等是否存在配置缺陷或安全風(fēng)險(xiǎn)�。
?現(xiàn)場(chǎng)技術(shù)測(cè)試
主要根據(jù)用戶現(xiàn)場(chǎng)主機(jī)及設(shè)施的具體情況進(jìn)行安全配置檢測(cè)。利用安全檢查工具��,對(duì)主流操作系統(tǒng)����、常見(jiàn)網(wǎng)絡(luò)設(shè)備、安全設(shè)備等進(jìn)行安全配置檢測(cè)��,檢查其安全配置策略的有效性�。
?源碼審核
由具備豐富編碼經(jīng)驗(yàn)并對(duì)安全編碼原則及應(yīng)用安全具有深刻理解的安全服務(wù)人員對(duì)系統(tǒng)的源代碼和軟件架構(gòu)的安全性、可靠性進(jìn)行全面的安全檢查����,包括通過(guò)靜態(tài)分析程序源代碼����,找出代碼中存在的安全性問(wèn)題����,從而讓用戶系統(tǒng)開(kāi)發(fā)人員了解其開(kāi)發(fā)的系統(tǒng)可能會(huì)面臨的威脅,并指導(dǎo)開(kāi)發(fā)人員正確修復(fù)程序缺陷����。
?安全漏洞掃描
針對(duì)用戶核心關(guān)鍵設(shè)備(包括服務(wù)器、網(wǎng)站����、數(shù)據(jù)庫(kù)、中間件等)��。依靠帶有安全漏洞知識(shí)庫(kù)的網(wǎng)絡(luò)安全掃描工具對(duì)信息資產(chǎn)進(jìn)行安全掃描���,能對(duì)被評(píng)估目標(biāo)進(jìn)行覆蓋面廣泛的安全漏洞查找,真實(shí)���、全面地反映主機(jī)系統(tǒng)��、網(wǎng)絡(luò)設(shè)備所存在的網(wǎng)絡(luò)安全問(wèn)題和面臨的網(wǎng)絡(luò)安全威脅���。
?專家滲透測(cè)試
針對(duì)用戶應(yīng)用系統(tǒng)�,采用各種手段模擬真實(shí)的安全攻擊����,從而發(fā)現(xiàn)黑客入侵信息系統(tǒng)的潛在可能途徑。
?APP安全檢查
對(duì)于用戶使用APP的業(yè)務(wù)系統(tǒng)�,評(píng)估APP客戶端的安全狀況、客戶端所面臨的各種風(fēng)險(xiǎn)����,模擬攻擊者進(jìn)行滲透測(cè)試,根據(jù)測(cè)試結(jié)果發(fā)現(xiàn)系統(tǒng)存在的安全問(wèn)題���,提出加固的建議�����。檢查要點(diǎn)包括不限于身份鑒別����、數(shù)據(jù)傳輸、數(shù)據(jù)存儲(chǔ)��、業(yè)務(wù)安全��、軟件容錯(cuò)���、客戶端保護(hù)等方面����。
