[课件]安全服务PPT

针对网络设备的加固
针对WINDOWS系统的加固
针对UNIX系统加固
针对防火墙加固
针对数据库的加固
安全加固的风险回避
加固时间安排 加固实施时间尽量安排在晚上或系统空闲时进行； 加固实施时间可以在系统调优时进行，这样减少对系统的变更。 如果两台或多台主机采用了高可用性措施（HA），如双机热备、集群、负 载均担，则可先加固部分（或备机），待加固确认正常后，再加固另外一 部分（主备方式的情况，先把主备关系切换）； 备份控制 加固前采取有效的备份措施； 人员安排 保证业务厂商联系畅通；
签署保密协议，制订测试准则。 明确需要测试的系统。 明确测试途径 为了提高效率应共享应用源代码。

分类

黑盒测试 白盒测试 隐秘测试


目标分类

操作系统 数据库 应用系统 网络设备



过程

信息收集、分析→制订渗透方案并实施→前段 信息汇总、分析→提升权限、内部渗透→渗透 结果总结→输出渗透测试报告→提出安全解决 建议
安全服务
什么是信息安全服务

信息安全服务是指适应整个安全管理的需要， 为企业、政府提供全面或部分信息安全解决方 案的服务。信息安全服务提供包含从高端的全 面安全体系到细节的技术解决措施。
组成部分
安全咨询 安全风险评估 安全加固服务 渗透测试服务 安全教育培训

安全咨询

安全咨询服务的发展趋势将向行业化的方向发 展，针对性更强，咨询服务内容更细。具体会 体现在政府、银行、企业等几个重点领域。咨 询服务的内容将以行业特点为核心，从技术、 运维、管理、策略等方面提供具有针对性的安 全技术与管理咨询服务。
目标

解决目标系统在安全评估中发现的技术性安全 问题。

对系统性能进行优化配置，杜绝系统配置不当 而出现的弱点。
修补加固原则
不能影响目标系统所承载的业务运行 不能影响目标系统的自身性能 不能影响与目标系统以及与之相关的其他系统 的安全性，也不能造成性能的明显下降。

基线

基线(Baseline)，基线是软件文档或源码(或其 它产出物)的一个稳定版本,它是进一步开发的 基础.所以,当基线形成后,项目负责SCM的人需 要通知相关人员基线已经形成,并且哪儿可以 找到这基线了的版本.这个过程可被认为内部 的发布.至于对外的正式发布,更是应当从基线 了的版本中发布.
评估模型与方法
网络架构分析
基础架构分析：分层拓扑结构、路由协议、接入方式 等 访问控制和安全审计：ACL、SYSLOG、SNMP 安全设备深入评估审计：防火墙、IDS、VPN等 IDS取样和网络协议分析
人工评估
系统补丁 系统账号 文件系统 网络及服务 系统配置文件 NFS或其它文件系统共享 审计及日志 后门 入侵痕迹检测、分析
流程
渗透测试
渗透测试，是为了证明网络防御按照预期计划 正常运行而提供的一种机制是通过模拟恶意黑 客的攻击方法，来评估计算机网络系统安全的 一种评估方法。 渗透测试能够独立地检查网络策略，分析系统 的任何弱点、技术缺陷和漏洞。

显著特点

渗透测试是一个渐进的并且逐步深入的过程。 渗透测试是选择不影响业务系统正常运行的攻 击方法进行的测试。

执行网络渗透测试的原因
了解安全状况，避免攻击和误用的威胁 撰写良好的渗透测试结果可以帮助管理人员建 立可靠的商业案例 安全性措施需要进行定期检查，才能发现新的 威胁。 符合规范和法律要求也是执行业务的一个必要 条件

如何进行渗透测试

使用合适的工具。 明确测试范围。

渗透测试的方法
总结

渗透测试利用网络安全扫描器、专用安全测试 工具和富有经验的安全工程师的人工经验对网 络中的核心服务器及重要的网络设备，包括服 务器、网络设备、防火墙等进行非破坏性质的 模拟黑客攻击，目的是侵入系统并获取机密信 息并将入侵的过程和细节产生报告给用户。
安全教育培训

随着信息安全行业的发展，越来越多的企业开始 注重企业员工的安全意识培训与网络运维服务人 员的安全技术培训。据相关报告，我国74.9%的 企业把“信息化人才培训”列为工作重点，企业 在实施安全解决方案的同时，其中的一个重点将 是帮助企业培训员工树立必要的安全观念。安全 培训可使企业员工提高安全意识，增强安全技能 与突发安全事件的应对能力，保障信息系统的安 全。针对用户需求，向用户提供适合自身特点的 模块化的专向安全服务培训将是未来培训服务业 发展的重点方向。
渗透测试
工具 - 免费的工具，最大程度模拟网络在实际环境中对攻击的防御能力。 方法 - 用户信息收集：包括用户名、密码长度、登陆时间等。 - 密码破解：猜测用户密码 - 溢出攻击：利用现有的弱点，尝试获得主机的权限 - 网络信息收集：包括网络设备、拓扑结构的收集
风险评估服务内容
设施安全性评估 网络安全性评估 平台安全性评估 数据安全性评估 应用安全性评估 安全管理评估 综合的风险评估

流程

前期的准备 现场调查 风险分析 安全策略



其他要素

风评估需要参考相关的行业标准和法规
安全加固

背景
Βιβλιοθήκη Baidu
存在缝隙。
什么是安全加固
安全加固是对信息系统中的主机系统（包括运 行的软件系统）与网络设备的脆弱性进行分析 并修补。 安全加固包括了对主机系统的身份鉴别与认证、 访问控制和审计跟踪策略的增强。
安全风险评估

信息安全风险评估服务是一项以安全性评估和 改进为目标的咨询服务。通过对客户信息系统 的安全调查，识别信息系统的关键资产、面临 的威胁以及存在的脆弱性，量化分析客户信息 系统中存在的安全风险，为客户提供风险控制 及安全性改进的建议，并协助客户实施各项风 险控制措施，以管理信息系统中存在的各种安 全风险。
注意点

为了减小影响应在业务量不大的时间或晚上。 为防止业务中断，测试中不应包含拒绝服务的 策略测试。 对不能接受风险的系统应该复制环境进行测试。
主要渗透方式



不同网段渗透 端口扫描 远程溢出 口令猜测 本地溢出 脚本应用测试 无线测试 信息收集 漏洞扫描和利用 WEB安全 权限提升 密码破解 日志的清除