安全服务_图文_百度文库

分享到:
作者来源:admin       发布时间:2019-08-05
导读:安全服务 什么是信息安全服务 ? 信息安全服务是指适应整个安全管理的需要, 为企业、政府提供全面或部分信息安全解决方 案的服务。信息安全服务提供包含从高端的全 面安全体系到

  安全服务 什么是信息安全服务 ? 信息安全服务是指适应整个安全管理的需要, 为企业、政府提供全面或部分信息安全解决方 案的服务。信息安全服务提供包含从高端的全 面安全体系到细节的技术解决措施。 组成部分 安全咨询 ? 安全风险评估 ? 安全加固服务 ? 渗透测试服务 ? 安全教育培训 ? 安全咨询 ? 安全咨询服务的发展趋势将向行业化的方向发 展,针对性更强,咨询服务内容更细。具体会 体现在政府、银行、企业等几个重点领域。咨 询服务的内容将以行业特点为核心,从技术、 运维、管理、策略等方面提供具有针对性的安 全技术与管理咨询服务。 安全风险评估 ? 信息安全风险评估服务是一项以安全性评估和 改进为目标的咨询服务。通过对客户信息系统 的安全调查,识别信息系统的关键资产、面临 的威胁以及存在的脆弱性,量化分析客户信息 系统中存在的安全风险,为客户提供风险控制 及安全性改进的建议,并协助客户实施各项风 险控制措施,以管理信息系统中存在的各种安 全风险。 评估模型与方法 网络架构分析 ?基础架构分析:分层拓扑结构、路由协议、接入方式 等 ?访问控制和安全审计:ACL、SYSLOG、SNMP ?安全设备深入评估审计:防火墙、IDS、VPN等 ?IDS取样和网络协议分析 人工评估 ? 系统补丁 ? 系统账号 ? 文件系统 ? 网络及服务 ? 系统配置文件 ? NFS或其它文件系统共享 ? 审计及日志 ? 后门 ? 入侵痕迹检测、分析 渗透测试 ? 工具 - 免费的工具,最大程度模拟网络在实际环境中对攻击的防御能力。 ? 方法 - 用户信息收集:包括用户名、密码长度、登陆时间等。 - 密码破解:猜测用户密码 - 溢出攻击:利用现有的弱点,尝试获得主机的权限 - 网络信息收集:包括网络设备、拓扑结构的收集 风险评估服务内容 设施安全性评估 ? 网络安全性评估 ? 平台安全性评估 ? 数据安全性评估 ? 应用安全性评估 ? 安全管理评估 ? 综合的风险评估 ? 流程 ? 前期的准备 现场调查 风险分析 安全策略 ? ? ? 其他要素 ? 风评估需要参考相关的行业标准和法规 安全加固 背景 ? 各种业务能否安全、稳定地运转取决于两点? 一是最矮木板的高度?二是各块木板之间是否 存在缝隙。 ? 什么是安全加固 安全加固是对信息系统中的主机系统(包括运 行的软件系统)与网络设备的脆弱性进行分析 并修补。 安全加固包括了对主机系统的身份鉴别与认证、 访问控制和审计跟踪策略的增强。 目标 ? 解决目标系统在安全评估中发现的技术性安全 问题。 ? 对系统性能进行优化配置,杜绝系统配置不当 而出现的弱点。 修补加固原则 不能影响目标系统所承载的业务运行 ? 不能影响目标系统的自身性能 ? 不能影响与目标系统以及与之相关的其他系统 的安全性,也不能造成性能的明显下降。 ? 基线 ? 基线(Baseline),基线是软件文档或源码(或其 它产出物)的一个稳定版本,它是进一步开发的 基础.所以,当基线形成后,项目负责SCM的人需 要通知相关人员基线已经形成,并且哪儿可以 找到这基线了的版本.这个过程可被认为内部 的发布.至于对外的正式发布,更是应当从基线 了的版本中发布. 针对网络设备的加固 针对WINDOWS系统的加固 针对UNIX系统加固 针对防火墙加固 针对数据库的加固 安全加固的风险回避 加固时间安排 ? 加固实施时间尽量安排在晚上或系统空闲时进行; ? 加固实施时间可以在系统调优时进行,这样减少对系统的变更。 ? 如果两台或多台主机采用了高可用性措施(HA),如双机热备、集群、负 载均担,则可先加固部分(或备机),待加固确认正常后,再加固另外一 部分(主备方式的情况,先把主备关系切换); 备份控制 ? 加固前采取有效的备份措施; 人员安排 保证业务厂商联系畅通; 流程 渗透测试 渗透测试,是为了证明网络防御按照预期计划 正常运行而提供的一种机制是通过模拟恶意黑 客的攻击方法,来评估计算机网络系统安全的 一种评估方法。 ? 渗透测试能够独立地检查网络策略,分析系统 的任何弱点、技术缺陷和漏洞。 ? 显著特点 ? 渗透测试是一个渐进的并且逐步深入的过程。 渗透测试是选择不影响业务系统正常运行的攻 击方法进行的测试。 ? 执行网络渗透测试的原因 了解安全状况,避免攻击和误用的威胁 ? 撰写良好的渗透测试结果可以帮助管理人员建 立可靠的商业案例 ? 安全性措施需要进行定期检查,才能发现新的 威胁。 ? 符合规范和法律要求也是执行业务的一个必要 条件 ? 如何进行渗透测试 ? 使用合适的工具。 明确测试范围。 ? 渗透测试的方法 签署保密协议,制订测试准则。 ? 明确需要测试的系统。 ? 明确测试途径 ? 为了提高效率应共享应用源代码。 ? 分类 ? 黑盒测试 白盒测试 隐秘测试 ? ? 目标分类 ? 操作系统 数据库 应用系统 网络设备 ? ? ? 过程 ? 信息收集、分析→制订渗透方案并实施→前段 信息汇总、分析→提升权限、内部渗透→渗透 结果总结→输出渗透测试报告→提出安全解决 建议 注意点 ? 为了减小影响应在业务量不大的时间或晚上。 ? 为防止业务中断,测试中不应包含拒绝服务的 策略测试。 ? 对不能接受风险的系统应该复制环境进行测试。 主要渗透方式 ? ? ? ? ? ? ? ? ? ? ? ? ? 不同网段渗透 端口扫描 远程溢出 口令猜测 本地溢出 脚本应用测试 无线测试 信息收集 漏洞扫描和利用 WEB安全 权限提升 密码破解 日志的清除 总结 ? 渗透测试利用网络安全扫描器、专用安全测试 工具和富有经验的安全工程师的人工经验对网 络中的核心服务器及重要的网络设备,包括服 务器、网络设备、防火墙等进行非破坏性质的 模拟黑客攻击,目的是侵入系统并获取机密信 息并将入侵的过程和细节产生报告给用户。 安全教育培训 ? 随着信息安全行业的发展,越来越多的企业开始 注重企业员工的安全意识培训与网络运维服务人 员的安全技术培训。据相关报告,我国74.9%的 企业把“信息化人才培训”列为工作重点,企业 在实施安全解决方案的同时,其中的一个重点将 是帮助企业培训员工树立必要的安全观念。安全 培训可使企业员工提高安全意识,增强安全技能 与突发安全事件的应对能力,保障信息系统的安 全。针对用户需求,向用户提供适合自身特点的 模块化的专向安全服务培训将是未来培训服务业 发展的重点方向。

上一篇:安全服务项目       下一篇:网络安全
友情链接:

Copyright © 2002-2019 秒速时时彩开奖app 版权所有