欢迎来到天天文库
浏览记录
ID:41609892
大小:1.11 MB
页数:109页
时间:2019-08-28
《安全技术服务技术整体解决方案》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、年安全技术服务技术建议书二O—五年十二月目录1.项目概况简述11.1项目原则.12.项目解决方案12.1渗透测试解决方案22.2代码审计服务解决方案132.3基础设备安全评估解决方案272.4应急响应和演练解决方案512.5APP安全评估解决方案.542.6安全加固整改建议解决方案612.7新业务上线安全检查解决方案682.8安全培训解决方案683.项目实施方案713.1项目组成员713.2项目分工界面.743.3工作星的计算方法及依据793.4项(1进度.793.5项H质量保证措施、814.项目售后服务875.安全工具简述875.1渗透测试工具875.2代码审计工具951.项目概况简述1
2、・1项目原则安全服务的方案设计与具体实施满足以下原则:(1)保密原则:对服务的过程数据和结果数据严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据进行任何侵害求方网络的行为,否则求方有权追究的责任。(2)标准性原则:服务方案的设计与实施依据国内或国际的和关标准进行;(3)规范性原则:服务提供商的工作中的过程和文档,具有严格的规范性,可以便于项目的跟踪和控制;(4)可控性原则:服务用的工具、方法和过程要在双方认可的范围之内,服务的进度耍跟上进度表的安排,保证求方对于服务工作的可控性;(5)整体性原则:服务的范围和内容当整体全面,包括安全涉及的各个层面,避免由于遗漏造成未来的安全隐患;
3、(6)最小影响原则:服务工作尽可能小的影响系统和网络的止常运行,不能对现网的运行和业务的正常提供产生显著影响(包括系统性能明显下降、网络拥塞、服务中断,如无法避免出现这些情况在答卩上详细描述);针对上述齐项,在技术方案中落实诸原则齐方面,并予以详细解释。2.项目解决方案该部分重点针对各类系统,主动发现安全隐患及不符合相关规范的问题,及时整改,防患未然。主耍包括安全管理咨询服务和安全技术评估服务。对服务系统提供周期性的安全评估服务。该服务严格参照和各类系统安全配置规范执行,防护能力测评按照工信部《网络单元安全防护检测评分方法(试行)》执行。具体服务内容详见以下正文。2.1渗透测试解决方案2.
4、1.1渗透测试简介渗透测试(PenetrationTest),是完全模拟黑客可能使用的攻击技术和漏洞发现技术,对目标系统的安全做深入的探测,发现系统最脆弱的环节。渗透测试:主要通过对口标系统信息的全面收集、对系统屮网路设备的探测、对服务器系统主机的漏洞扫描、对应用平台及数据库系统的安全性扫描及通过应用系统程序的安全性渗透测试等手段来完成对整个系统的安全性渗透检测。该渗透测试是一个完整、系统的测试过程,涵盖了网络层而、主机层而、数据层面以及安全服务层面的安全性测试。2.1.1.2渗透测试原理渗透测试主要依据CVE(CommonVulnerabilities&Exposures公共漏洞和暴霜)
5、已经发现的安全漏洞,以及隐患漏洞。模拟入侵者的攻击方法对应用系统、服务器系统和网络设备进行非破坏性质的攻击性测试。2.1.1.3渗透测试目标渗透测试利用各种安全扫描器对网站及相关服务器等设备进行非破坏性质的模拟入侵者攻击,B的是侵入系统并获取系统信息并将入侵的过程和细节总结编写成测试报告,由此确定存在的安全威胁,并能及时捉醒安全管理员完善安全策略,降低安全风险。人工渗透测试和工具扫描可以很好的互相补充。工具扫描具有很好的效率和速度,但是存在一定的谋报率,不能发现高层次、复杂的安全问题;渗透测试对测试者的专业技能很高(渗透测试报告的价值直接依赖于测试者的专业技能),但是非常准确,可以发现逻辑
6、性更强、更深层次的弱点。2.1.1.4渗透测试特点入侵者的攻击入侵要利用口标网络的安全弱点,渗透测试也是同样的道理。测试人员模拟真正的入侵者入侵攻击方法,以人工渗透为主,辅助以攻击工具的使用,以保证整个渗透测试过程都在可以控制和调整的范围Z内,同时确保对网络没冇造成破坏性的损害。由于采用可控制的、非破坏性质的渗透测试,因此不会对被评估的客户信息系统造成严重的影响。在渗透测试结束后,客户信息系统将基本保持一致。2.1.2渗透测试的安全意义从渗透测试中,客户能够得到的收益有:(1)协助用户发现组织中的安全最短木板一次渗透测试过程也就是一次黑客入侵实例,其中所利用到的攻击渗透方法,也是其它具备相
7、关技能的攻击者所最可能利用到的方法;由渗透测试结果所暴露出来的问题,往往也是一个企业或组织中的安全最短木板,结合这些暴露出来的弱点和问题,可以协助企业冇效的了解目前降低风险的最迫切任务,使在网络安全方面的有限投入可以得到最大的回报。(2)作为网络安全状况方面的具体证据和真实案例渗透测试的结果可以作为向投资方或管理人员提供的网络安全状况方而的具体证据,一份文档齐全冇效的渗透测试报告冇助于IT组织管理者以案例的形式向相关人员
此文档下载收益归作者所有