- 1、本文档共118页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
1技术建议书
1.1服务方案
1.1.1项目概况
近几年来,信息安全的重要性逐步得到了各行业的广泛关注,国家相关部门也出台了多项政策、法规和标准,用以指导各行业的信息安全建设。由于信息安全相关的标准和法规相对抽象,加之信安中心承担了管理和生产职能,在突发事件处置等方面人员储备不足,受限于人员配置和资源问题,部分安全工作需要大量安全工具及专人参与。为保障中国公司结合自身情况制定长期、系统、有效的安全建设规划,提出驻场服务的需求。
1.1.2建设目标
1、为安全工作开展提供高质量的安全保障服务。
2、在发生网络调整,系统升级扩容,新系统上线等变更时,进行评估,给出明确的、可实施的安全建议及建设规划,配合相关安全工作开展。
3、在日常工作中,协助安全人员开展定期的自查评估工作,设备或系统上线时,实施上线前的安全评估和反馈相关的制度、规范和流程的落实情况。
4、保障日常工作中的网络安全。
5、应急响应及安全事件分析。
6、开展安全培训工作,提升相关人员的安全专业水平。
7、对重要系统(网络安全整合平台)进行协助运维和推广。
1.1.3服务方法
本次安全值守服务项目我们提供以下服务方法:
日常安全工作
常态化漏洞扫描,弱口令检查,web业务系统渗透测试及相关文档、总结撰写
定期安全检查:
,全网扫描(范围)。
,根据目标主机数量制定扫描计划,每个月能保证至少完成一次对全部维护对象
的安全扫描工作。
,出具安全扫描结果并和维护人员进行面对面沟通确认,督促维护人员进行整改
和加固,加固结束后进行再次复查并出具复查报告,对于不能加固的漏洞提供
安全解决建议。
系统上线安全检查:
对于新的业务系统上线前,值守人员配合完成上线设备的安全检查工作,安全检查包含以下几项工作:
,远程安全扫描
,通过使用现有远程安全评估系统对上线设备进行扫描,确保没有高、中等级的
安全问题,对于低等级的安全问题,应确保该问题不会泄露设备敏感信息
,本地安全检查
,配合安全加固的checklist对上线设备进行检查,以确保上线设备已进行了必要
的安全设置
,注:若已制定相关的安全准入规范,将使用提供的checklist替代的checklist
,远程渗透测试
,对复杂的应用系统,如:WEB系统,根据需求进远程渗透测试
.1渗透测试概述
渗透测试(PenetrationTest)是指是从一个攻击者的角度来检查和审核一个网络系统的安全性的过程。通常由安全工程师尽可能完整地模拟黑客使用的漏洞发现技术和攻击手段,对目标网络/系统/主机/应用的安全性作深入的探测,发现系统最脆弱的环节。渗
2/106
透测试能够直观的让管理人员知道自己网络所面临的问题。
作为一种专业的安全服务,类似于军队里的“实战演习”或者“沙盘推演”的概念,通过实战和推演,让清晰了解目前网络的脆弱性、可能造成的影响,以便采取必要的防范措施。
.2渗透测试意义
从渗透测试中,客户能够得到的收益至少有:
,协助发现组织中的安全短板
一次渗透测试过程也就是一次黑客入侵实例,其中所利用到的攻击渗透方法,也是其它具备相关技能的攻击者所最可能利用到的方法;由渗透测试结果所暴露出来的问题,往往也是一个企业或组织中的安全最短木板,结合这些暴露出来的弱点和问题,可以协助企业有效的了解目前降低风险的最迫切任务,使在信息安全方面的有限投入可以得到最大的回报。
,作为信息安全状况方面的具体证据和真实案例
渗透测试的结果可以作为向投资方或管理人员提供的信息安全状况方面的具体证据,一份文档齐全有效的渗透测试报告有助于IT组织管理者以案例的形式向相关人员直观展示目前企业或组织的安全现状,从而增强员工对信息安全的认知程度,提高相关人员的安全意识及素养,甚至提高组织在安全方面的预算。
,发现系统或组织里逻辑性更强、更深层次的弱点
渗透测试和工具扫描可以很好的互相补充。工具扫描具有很好的效率和速度,但是存在一定的误报率和漏报率,并且不能发现高层次、复杂、并且相互关联的安全问题;渗透测试的价值直接依赖于实施者的专业技能和素养但是非常准确,可以发现系统和组织里逻辑性更强、更深层次的弱点。
,从整体上把握组织或企业的信息安全现状
信息安全是一个整体工程,一个完整和成功的渗透测试案例可能会涉及系统或组织中的多个部门、人员或对象,有助于组织中的所有成员意识到自己所在岗位对系统整体安全的影响,进而采取措施降低因为自身的原因造成的风险,有助于内部安全的提升。
3/106
.3渗透测试步骤
渗透测试实际就是一个模拟黑客攻击的过程,因此其的实施过程也类似于一次完整
的黑客攻击过程,我们将其划分为如下几个阶段:
,预攻
您可能关注的文档
- 网络安全知识教育.doc
- 网络(站)运营管理手册.doc
- 网游企业收入确认和计量问题研究.doc
- 《YY 0792-2024眼科仪器 眼内照明器》.pdf
- YY 0792-2024眼科仪器 眼内照明器.pdf
- 中国行业标准 YY 0792-2024眼科仪器 眼内照明器.pdf
- 《YY/T 0063-2024医用电气设备 医用诊断X射线管组件 焦点尺寸及相关特性》.pdf
- YY/T 0063-2024医用电气设备 医用诊断X射线管组件 焦点尺寸及相关特性.pdf
- 中国行业标准 YY/T 0063-2024医用电气设备 医用诊断X射线管组件 焦点尺寸及相关特性.pdf
- 中国国家标准 GB/T 16649.3-2024识别卡 集成电路卡 第3部分:带触点的卡 电接口和传输协议.pdf
- 中国国家标准 GB/T 4214.17-2024家用和类似用途电器噪声测试方法 干式清洁机器人的特殊要求.pdf
- GB/T 4214.17-2024家用和类似用途电器噪声测试方法 干式清洁机器人的特殊要求.pdf
- 《GB/Z 43202.1-2024机器人 GB/T 36530的应用 第1部分:安全相关试验方法》.pdf
- GB/Z 43202.1-2024机器人 GB/T 36530的应用 第1部分:安全相关试验方法.pdf
- 中国国家标准 GB/Z 43202.1-2024机器人 GB/T 36530的应用 第1部分:安全相关试验方法.pdf
- 中国国家标准 GB/T 32455-2024航天术语 运输系统.pdf
- GB/T 32455-2024航天术语 运输系统.pdf
- 《GB/T 32455-2024航天术语 运输系统》.pdf
- GB/T 44369-2024用于技术设计的人体运动生物力学测量基础项目.pdf
- 中国国家标准 GB/T 44369-2024用于技术设计的人体运动生物力学测量基础项目.pdf
文档评论(0)