摘要:本文简要介绍了漏洞扫描、配置检查、渗透测试等技术手段在系统安全评估中应用的的方法与流程,以供用户根据实际情况选择采用。 关键词:漏洞扫描、配置检查、渗透测试、安全评估
Three effective technical means of system security assessment
Ji Ping
(Magang Group Tender Consulting Co.Ltd, Anhui Maanshan, postcode:243000)
Abstract: This paper briefly introduces the methods and processes of vulnerability scanning, configuration check, penetration test and other technical means used in system security assessment, so that users can choose to use them according to the actual situation.
Keywords: vulnerability scan, configuration check, penetration test, security assessment
1概述
近年来,信息化技术应用越来越广泛,信息安全的风险日益增大。为进一步保障统一认证系统、网上银行系统、手机银行系统、金融资产网络交易平台系统、即时通讯系统、办公系统(内网、外网)、邮件系统、门户网站系统的边界安全,降低信息安全风险,可在上线前(或重大版本改造前)进行安全评估,通过漏洞扫描、配置检查、渗透测试等技术手段评估系统安全措施的有效性及安全弱点,对于可能面临的风险及开发生命周期的安全设计提出建议,完成风险评估报告并提出整改方案。
2漏洞扫描
2.1服务概述
使用商用安全评估工具对评估范围内对象进行网络层、系统层、数据库层面的漏洞扫描,并人工验证所发现的操作系统漏洞、数据库漏洞、弱口令、信息泄露及配置不当等脆弱性问题。
2.2漏洞扫描用途
漏洞扫描是脆弱性识别的重要手段,能够帮助客户发现设备和系统中存在的严重漏洞,帮助客户了解技术措施是否有效执行,并通过及时修补完善,避免对信息系统造成严重影响。
2.3漏洞扫描内容
扫描设备检测规则库及知识库涵盖CVE、CNCVE、CNVD、CNNVD等标准,能够扫描发现网络设备、服务器(windows、linux、AIX)、防火墙、数据库、中间件、安全设备、应用开发软件中的安全漏洞。支持对不同厂商、不同版本设备及软件的识别和漏洞扫描。支持对主流厂商网络设备及防火墙的识别和扫描,包括锐捷、迈普、思科、华为等;支持对主流数据库的识别与扫描,包括:Oracle、SQL Server、DB2、MySQL等。能够全面发现信息系统存在的各种脆弱性问题,包括信息探测类、后门程序类、域名服务类、web安全类等安全漏洞、安全配置问题、应用系统安全漏洞,检查系统存在的弱口令,收集系统不必要开放的账号、服务、端口等;定位风险类型、区域、严重程度,直观展示安全风险。形成整体安全风险报告。报告包含漏洞详述和修补方案,对于常见补丁类漏洞能够提供相关的补丁下载链接。
2.4漏洞扫描流程
漏洞扫描流程图如下所示:
图2-1漏洞扫描流程图光盘封套
3配置检查
3.1服务概述
通过权威安全专家数年安全经验与技术积累制作的checklist检查表对评估范围内的主机、数据库、中间件等进行系统的策略配置、服务配置、保护措施以及系统和软件升级、更新情况,是否存在后门等内容进行检查,发现潜在的配置隐患。
3.2检查内容
醇醚燃料安全扫描是利用安全评估工具对绝大多数评估范围内的主机、网络设备等系统环境进行的漏洞扫描。但是,评估范围内的网络设备安全策略的弱点和部分主机的安全配置错误等并不能被扫描器全面发现,因此有必要对评估工具扫描范围之外的系统和设备进行配置检查。检测内容包括但不限于以下内容:
1主机安全检查
对9个业务应用系统涉及到的操作系统,如Windows、Linux、Aix、Unix等进行安全漏洞及
安全配置缺陷的检查与评估。检查内容包括(但不限于):身份鉴别方式、帐号安全设置、远程管理方式、多余帐号和空口令检查、默认共享检查、文件系统安、网络服务安全、系统访问控制、日志及监控审计、拒绝服务保护、补丁管理、病毒及恶意代码防护、系统备份与恢复、硬件冗余情况、硬盘分区格式等安全情况。哺乳服装
2数据库安全检查
对9个业务应用系统涉及到的数据库,如MySql、Oracle、DB2、sql等数据库系统进行安全漏洞及安全配置缺陷的检查。检查内容包括(但不限于):身份认证方式、帐号安全设置、管理权限和角设置、多余帐号和缺省口令检查、数据库目录和文件系统安全、管理设置、日志及监控审计、数据库版本和补丁管理、数据库备份策略、硬件冗余情况等安全情况。
3网络设备配置与网络架构安全检查
对9个业务应用系统涉及到的网络设备,如的防火墙、入侵检测(入侵保护)系统、路由器、交换机等进行安全漏洞及安全配置缺陷的检查。检查内容包括(但不限于):帐号安
全设置、管理权限和角设置、多余帐号和缺省口令检查、备份和升级情况、访问控制、路由协议、日志审核、网络攻击防护及端口开放、远程访问等安全情况。对数据中心网络架构安全性进行检查分析,检测内容包括区域划分合理性、业务类型及分布安全分析、高可用性、安全策略等。
以防火墙为例,检查内容包括但不限于以下内容:发光管
a) 防火墙设备描述;
挤压爆破b) 防火墙系统版本信息;
c) 系统版本是否已经更新补丁;
d) 是否有修改防火墙配置的步骤;
不倒翁牙刷
e) 防火墙IP地址;
f) 有无备份防火墙;
g) 是否根据需要配备冗余链路;
h) 防火墙规则配置是否遵循“最小工作权限原则”;
i) 外开放服务的规则,是否细化到每个服务器的每个端口;
j) 对内规则,根据不同的用户级别设置不同权限;
k) 根据时间段对上网行为进行控制;
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议