关键环节
通过使用该项服务
将在客户信息系统网络层、主机层和应用层等层次建立符合客户安全需求安全状态并以此作为保证客户信息系统安全起点网络和应用系统加固
对象往往存在以下安全问题:1. 安装、配置不符合安全需求;
2. 参数配置
;3. 使用、维护不符合安全需求;
4. 系统完整性被破坏;
5. 被注入木马
;6. 帐户/口令问题;
7. 安全漏洞没有及时修补;
8. 应用服务和应用
滥用;9. 应用
开发存在安全问题等网络和应用系统加固和优化服务
目是通过对主机和网络设备所存在安全问题执行以下操作:1. 正确
安装;2. 安装最新和全部OS和应用软件Software
安全补丁;3. 操作系统和应用软件Software
安全配置;4. 系统安全风险防范;
5. 提供系统使用和维护建议;
6. 系统功能测试;
7. 系统安全风险测试;
8. 系统完整性备份;
9. 必要时重建系统等
上述工作
结果决定了网络和应用系统加固和优化流程、实施内容、步骤和复杂程度具体说则可以归纳为:1. 明确加固目标也就确定系统在做过加固和优化后
达到安全级别,通常区别环境下系统对安全级别要求区别,由此采用加固方案也区别. 明确加固目标结果必须能够明确做加固和优化系统如何在功能性和安全性的间寻求平衡即加固后能达到安全程度可以满足用户需求2. 明确系统运行状况
内容包括:a) 系统
具体用途,即明确系统在工作环境下所必需开放端口和服务等b) 系统上运行
应用系统及其正常所必需服务c) 我们是从网络扫描及人工评估里来收集系统
运行状况3. 明确加固风险:网络和应用系统加固是有
定风险,般可能风险包括停机、应用不能正常使用、最严重情况是系统被破坏无法使用这些风险般是由于系统运行状况调查不清导致也有
加固方案代价分析不准确误操作引起因此在加固前做好系统备份是非常重要4. 系统备份:备份内容包括:文件系统、关键数据、配置信息、口令、用户权限、等内容;最好做系统全备份以便快速恢复
加固和优化流程概述
网络和应用系统加固和优化
流程主要由以下 4个环节构成:1. 状态调查
对系统
状态调查过程主要是导入以下服务结果:a) 系统安全需求分析
b) 系统安全策略制订
c) 系统安全风险评估(网络扫描和人工评估)
对于新建
系统而言主要是导入系统安全需求分析和系统安全策略制订这两项服务结果在导入上述服务结果后应确定被加固系统安全级别即确定被加固系统所能达到安全程度同时也必须在分析上述服务结果基础上确定对网络和应用系统加固和优化代价2. 制订加固方案
制订加固方案
主要内容是根据系统状态调查所产生结果制订对系统实施加固和优化内容、步骤和时间表3. 实施加固
对系统实施加固和优化主要内容包含以下两个方面:
a) 对系统进行加固
b) 对系统进行测试
对系统进行测试
目是检验在对系统使是安全加固后系统在安全性和功能性上是否能够满足客户需求上述两个方面工作是个反复过程即每完成个加固或优化步骤后就要测试系统功能性要求和安全性要求是否满足客户需求;如果其中方面要求不能满足该加固步骤就要重新进行对有些系统会存在加固失败
情况如果发生加固失败则根据客户选择要么放弃加固要么重建系统4. 生成加固报告
加固报告是向用户提供完成网络和应用系统加固和优化服务后
最终报告其中包含以下内容:a) 加固过程
完整记录b) 有关系统安全管理方面
建议或解决方案c) 对加固系统安全审计结果
最新评论