天才一秒记住【热天中文网】地址:https://www.rtzw.net
412风险评估。
安全保障专家结合信息化资产梳理结果进行安全风险评估。
安全保障专家可使用调研问卷、人员访谈和安全技术(渗透测试、漏洞扫描、基线核查等)等方式,通过安全工具或人工方式从网络安全风险、应用安全风险、主机安全风险、终端安全风险和数据安全风险等维度进行安全风险评估,各部分内容可参考如下。
(1)网络安全风险评估网络架构风险评估,利用人工和工具等方式从技术、策略和管理等角度更深层次挖掘出当前网络中存在的威胁和风险。
安全漏洞和安全基线风险评估,利用扫描工具对网络设备进行扫描和全面检查。
弱口令风险评估,严格禁止所有账号的弱口令、空口令情况。
账号、权限风险评估,检查管理员账号和权限,关闭不必要的账号,取消不合理的账号权限;保证密码强度符合安全基线要求。
远程登录白名单风险评估,严格限制可以远程管理的ip地址,禁用tel进行远程管理。
配置备份风险评估,所有网络设备全部要做好配置备份,确认备份有效可以恢复。
(2)应用安全风险评估身份鉴别风险评估,评估应用系统的身份标识与鉴别功能设置和使用配置情况,应用系统对用户登录各种情况的处理,如登录失败、登录连接超时等。
访问控制风险评估,评估应用系统的访问控制功能设置情况,如访问控制的策略、权限设置情况等。
安全审计风险评估,评估应用系统的安全审计配置情况,如覆盖范围、记录的项目和内容等。
资产暴露面风险评估,模拟黑客进行信息收集,获取资产详细信息(程序名称、版本)、开放的危险端口、业务管理后台等。
应用漏洞风险评估,包括web服务,如apache、websphere、tocat、iis等,其他ssh、ftp等程序的缺失补丁或版本漏洞检测。
渗透测试,采用适当测试手段,发现测试目标在信息系统认证及授权、代码审查等方面存在的安全漏洞,并再现利用该漏洞可能造成的损失,提供避免或防范此类威胁、风险或漏洞的具体改进或加固措施。
(3)主机安全风险评估webshell风险评估,对提供web服务的系统进行webshell后门排查,验证服务器的安全性,确保清除曾经可能被入侵遗留下的后门。
恶意文件风险评估,利用专业僵尸木马蠕虫检测工具对操作系统进行恶意文件排查,并针对恶意文件进行行为分析,确认病毒家族及其危害。
弱口令风险评估,严格禁止所有账号的弱口令、空口令情况。
端口及服务风险评估,服务器只开放自身提供服务相关端口,关闭不必要的端口和对外服务。
服务器防火墙风险评估,默认禁止所有主动对外访问行为,如有需要,需严格制定访问控制策略,实行服务器对外访问白名单。
系统漏洞扫描风险评估,对操作系统、数据库及常见应用、协议进行漏洞扫描。
(4)终端安全风险评估安全基线风险评估,对终端的操作系统进行安全配置基线检查,保证终端设备安全。
弱口令风险评估,严格禁止所有账号的弱口令、空口令情况。
防病毒软件风险评估,检查终端是否安装防病毒软件,安全策略是否开启。
非法外联风险评估,检查终端是否配置了双网卡,是否开放或连接热点。
补丁更新风险评估,检查补丁更新情况。
(5)数据安全风险评估安全基线风险评估,对数据库的操作系统进行安全配置基线检查,保证数据库系统安全。
数据访问控制风险评估,对数据的访问、权限设置进行评估。
数据备份风险评估,检查数据备份策略、灾备情况。
413安全加固。
通过评估与检查的方式,分析信息化资产及重要信息系统的安全漏洞与风险,并有针对性地进行安全加固。
网络设备、安全设备、安全系统等网络层面安全问题由基础网络运营部门负责加固;应用系统存在的漏洞、代码逻辑错误、管理员弱口令、中间件漏洞等主机和应用层问题由各相关系统负责人进行加固,由安全专家提供相关指导建议解决目标系统在安全评估中发现的技术性安全问题,对系统安全配置进行优化,杜绝系统配置不当而出现的弱点。
本章未完,请点击下一章继续阅读!若浏览器显示没有新章节了,请尝试点击右上角↗️或右下角↘️的菜单,退出阅读模式即可,谢谢!