绿盟科技安全评估服务白皮书©版权所有中联绿盟信息技术(北京)有限公司第1页共8页绿盟科技安全评估服务白皮书(节选)目录绿盟科技安全评估服务白皮书(节选).................................................................1目录..........................................................................................................1安全评估服务............................................................................................2应用安全评估............................................................................................3应用安全评估服务简介.......................................................................3服务内容............................................................................................3服务案例............................................................................................8绿盟科技安全评估服务白皮书©版权所有中联绿盟信息技术(北京)有限公司第2页共8页安全评估服务要获得有针对性的安全服务,就需要专业安全顾问在对您的信息系统进行充分调研和访谈的基础上,配合使用专业的安全工具,对系统实际情况进行专业的安全现状分析和报告,并以此为基础进行后续的定制和设计工作。这个针对信息系统的安全分析和报告的过程就是常说的安全评估服务。绿盟科技的安全评估服务包括全面的风险评估服务、远程安全扫描、本地安全评估、应用安全评估和渗透性测试等多种方式,通过安全评估服务可以帮助您明确目前信息系统或者应用系统面临着什么样的信息安全风险,同时在业务发展过程中可能会遇到什么安全问题?安全风险可能导致的损失是多少?当前主要的安全威胁是什么,应如何划分安全区域和安全建设的优先级等一系列问题。绿盟科技的安全评估服务包括如下模块:模块编号模块名称模块说明SES-0401全面风险评估全面风险评估是对信息系统的影响、威胁和脆弱性进行全方位评估,归纳并总结信息系统所面临的安全风险,为信息系统的安全建设提供决策依据。SES-0402远程漏洞扫描利用安全评估系统对客户信息系统进行远程技术脆弱性评估。SES-0403本地安全检查利用安全工具和人工服务对客户信息系统进行远程或本地的技术脆弱性评估。SES-0404应用安全评估利用人工或自动的方式,评估客户应用系统的安全性并协助进行改善和增强。SES-0405渗透测试评估利用各种主流的攻击技术对网络做模拟攻击测试,以发现系统中的安全漏洞和风险点。绿盟科技安全评估服务白皮书©版权所有中联绿盟信息技术(北京)有限公司第3页共8页应用安全评估应用安全评估服务简介应用系统评估服务是绿盟科技在2002年就开始为用户提供的评估服务模块之一。早期主要以评估CGI程序的安全性为主要内容。经过两年的工作,绿盟科技的应用系统评估的范围,已经扩展到了更多的评估项目和更有体系的评估方法。对于一个完整的可运行的应用系统(通常为B/S结构或C/S结构)来说,一般由支持这个应用系统的网络环境(包括网络设备和线路)、操作系统、应用系统服务程序组成。因此广义的应用安全评估包括了对整个应用系统从应用系统网络结构、操作系统到应用程序设计与实现本身三个层次的评估;而狭义的应用系统评估则仅包括应用系统的程序设计与实现这一个层次的评估。服务内容对于网络层次的安全评估更多的关注应用系统部署时所使用的网络环境的可用性和保密性,主要包括:网络结构的合理性网络冗余设计网络访问控制设计网络层次加密技术的应用…….对于操作系统层次的评估主要集中在系统层次方面的漏洞,包括:操作系统的补丁安装情况操作系统对外提供的通用网络服务安全操作系统的审计能力操作系统的口令策略其他安全漏洞……绿盟科技安全评估服务白皮书©版权所有中联绿盟信息技术(北京)有限公司第4页共8页由于应用系统程序通常安装在通用操作系统上,因此保证操作系统自身的安全性,是保证应用系统安全性的重要基础。我们建议在对已经投入使用的应用系统进行评估时,尽量安排对操作系统安全性的评估。对应用系统程序的评估主要基于CC(ISO-15408,通用评估准则)的要求,能够全面的对不同类型的应用系统的不同安全功能进行评价,并给出评分和建议。在应用系统评估中需要评估的目标和方法列表如下:有效性验证是否应用系统、补丁软件都必须通过验证后才能被安装是否能对系统已安装组件进行有效性验证数据输入、输出控制是否对数据输入、输出进行了合法性检查(特别是各种外部数据,例如系统时间、用户输入等等)系统应确保数据不输出到错误的地点,同时也不能有非法的信息流入(包括用户输入/输出和系统各个功能/模块间输入/输出)数据输入、输出抗抵赖是否能够证明接收方接收到的数据的确来自声称的发送方是否能够证明发送方发送的数据的确被接收方接受数据输入、输出完整性检查是否能够检查输入、输出数据的完整性数据输入、输出可用性检查是否能够检查输入、输出数据的可用性数据输入、输出保密性保证是否在数据输入、输出使用了加密数据输入、输出所使用的加密手段是否够强壮是否存在绕过系统输入、输出加密的方法(例如SSL代理可以绕过某些SSL通讯加密)周期性的完整性检查系统是否能周期性的校验系统本身完整性和系统数据完整性绿盟科技安全评估服务白皮书©版权所有中联绿盟信息技术(北京)有限公司第5页共8页操作的正确性验证用户操作时是否有当前操作确认数据的恢复系统能否提供数据库回滚功能系统是否提供系统程序升级失败自动恢复功能系统是否提供系统程序替换自动恢复功能系统是否提供系统完全备份功能系统是否提供系统完全恢复功能确保可用资源系统是否能在空闲硬盘空间低于某阀值时发出报警系统是否能在空闲CPU处理时间低于某阀值时发出报警系统是否能在空闲内存空间低于某阀值时发出报警系统是否能在空闲网络带宽时间低于某阀值时发出报警审计生成系统是否提供审计功能系统是否能保证审计相关数据完整性、可用性和保密性用户记录系统审计记录中是否包含有不会导致歧义的用户标识会话限制次数系统能否限制用户会话数目会话终止系统能否限制用户会话静止时间超过某一阀值时终止会话系统能否限制系统模块间会话静止时间超过某一阀值时终止会话系统优先级控制系统是否为不同用户划分不同优秀级系统是否为不同用户操作化分不同优先级系统是否对系统不同模块化分不同优先级系统资源分配控制系统是否为不同用户分配不等量资源绿盟科技安全评估服务白皮书©版权所有中联绿盟信息技术(北京)有限公司第6页共8页系统是否为不同用户操作分配等量资源系统是否为系统不同模块分配等量资源用户标识和鉴别系统是否能够唯一的标识一个用户系统是否强制要求用户用户验证系统是否存在用户验证绕过方法系统是否在访问系统资源前强制要求鉴别用户身份系统是否存在未验证用户可访问的系统资源系统是否存在用户鉴别绕过方法用户行为的标识和鉴别系统是否能标识用户行为(含义为标识出什么用户执行了什么样的操作)系统是否能鉴别用户行为合法性系统服务鉴别系统是否能鉴别系统自身服务的真实性保护和维护安全的系统状态(强调系统的完整性和保密性,可能此时不可用,但是系统仍然是完整和保密状态)系统一个或多个组件所在计算机断电时,系统是否能保持安全的系统状态,并且在断电计算机恢复供电时自动恢复正常状态系统一个或多个组件所在计算机通信中断时,系统是否能保持安全的系统状态,并且在通信中断计算机恢复通信时时自动恢复正常状态系统一个或多个组件所在计算机组件失效时,系统是否能保持安全的系统状态,并且在失效组件恢复时自动恢复正常状态关键组件运行错误容限(强调系统可用性,系统必须可用)系统是否有冗余电源系统是否有冗余通信线路用系统是否有冗余组件,当一个或多个系统组件失效时系统能继续运行。系统指南文档系统是否提供管理员指南手册系统是否提供用户指南手册绿盟科技安全评估服务白皮书©版权所有中联绿盟信息技术(北京)有限公司第7页共8页密码存取控制系统是否对密码数据的访问进行限制系统是否存在绕过密码数据访问限制的方法系统是否存在破坏密码数据访问限制的方法密码管理系统密码算法强度是否能够保证数据在期生命周期内通过可靠保护系统是否能发现系统中若密码用户系统是否都使用恰当的方式加密存储所有密码和私钥恢复接收信息系统应当能在接收方检测到所接收信息完整性、可用性被破坏或没有证据显示接收方的确接收到发送方发送的消息时可以恢复接收信息(例如重新发送)安全角色系统能根据安全策略划分不同的安全角色用户会话历史系统是否能够在用户登录后显示用户最近成功或不成功建立会话的次数系统能否显示最近发起会话地址(不管成功还是失败)通过对上述的各个安全功能要求进行测试和评价,绿盟科技最终能够帮助用户寻找出应用系统安全设计或者实现上的缺陷,从应用层提高重要业务系统的安全性。当然,我们也可以根据用户的需要有重点的对被评估应用系统的某一个层次进行评估。应用系统评估能够有效的帮助用户评价核心业务系统的安全性,和应用系统开发厂商在安全应用系统方面的能力,也能够协助用户和开发商提高被评估应用系统的安全性。绿盟科技安全评估服务白皮书©版权所有中联绿盟信息技术(北京)有限公司第8页共8页服务案例绿盟科技曾经完成的评估服务包括:中国电信总局骨干网评估北京移动BOSS/OA系统评估北京移动OA系统评估河南移动OA系统评估河北移动系统评估XX集团ERP系统评估XXX证券总部风险监控系统XX证券网上交易系统评估XX投资总部BEST系统评估XX证券财务系统评估。。。。