文档介绍：马章焘(安全咨询顾问)
2018/4/9
天津移动风险评估项目启动会
目录
目录1 项目范围与内容
目录2 服务方案
目录3 安全评估方法
目录4 安全服务实施流程
项目目标
在本期安全服务结束后,***天津公司网管中心各大重要系统的整体安全性将得到保障,系统在抗黑客攻击、应用安全防护、安全应急能力等方面将得到极大的提高。
1. 通过系统技术安全评估服务与渗透测试服务,将发现存在的安全因患予以消除,增强组织和信息系统对抗安全风险的能力。总体实现持续有效的提升各类系统安全状况,保障系统业务的正常运行。
2、针对主要业务系统通过:***、基线检查、渗透测试、代码分析、数据库扫描等多种方式检查,准确、细致的提高抽查重点系统的安全性。
项目范围与内容
安全评估、加固服务部分内容包括:
卖方负责对买方维护的重要应用系统包括门户网站、存储用户资料及提供重要服务的部分应用系统进行扫描、检测、提出改进建议并复查。每月被测试的系统应不少于3个。
项目双方联系人
姓名
工作/职务
电话
邮件
备注
天津移动
启明星辰
马章焘
项目经理(总技术结口人)
**********
ma_zhangtao@
许航
项目协调人员
**********
xuhang@
宁作鹏
客户经理(商务接口人)
**********
Ning_zuopeng@
曾宇
技术专家
zengyu@
严冬冬
技术专家
Yan_dongdong@
李峰
技术专家
lifeng@
项目分工配合
人员
职责
项目总体负责人
双方均应安排专门的固定项目总体负责人,总体负责风险评估工作。
项目协调人员
双方可针对风险评估工作进展的不同阶段,安排人员进行项目的中间协调。
系统管理员
我方开展系统安全调查和控制台安全审计工作时,需安排各系统的管理员配合我方的工作。
网络管理员
我方开展网络设备的调查和控制台安全审计工作时,需安排网络管理员配合我方的工作。
业务人员
我方开展业务调查和交流工作时,需安排相应的业务人员配合调查或参与交流。
安全人员
我方开展的所有评估工作,均应尽量安排安全人员参与。
目录
目录1 服务体系介绍
目录2 安全服务方案
目录3 安全评估方法
目录4 安全服务实施流程
主机层安全评估
一是操作系统本身的缺陷带来的不安全因素,主要包括身份认证、账号口令策略、补丁情况、文件系统、日志系统、访问控制、安全性增强等;
二是对操作系统的安全配置问题;
三是病毒对操作系统的威胁(人工检查、顾问访谈)。
数据库安全评估
业务应用系统中数据的采集、传输、处理和存储过程中的安全
主要包括informix数据库、oracle数据库、mysql数据库和DB2数据库等
应用及业务层安全评估
应用层安全评估主要是对支撑业务应用组成的各类应用系统进行安全检查,如对Apache、IIS、FTP的渗透测试,以及业务层面安全,如WAP、MMS、SMS等;
网络层安全评估
网络建设的规范性、可靠性、边界安全、协议分析、网络流量分析、设备自身安全、安全管理等
工作内容
目录
目录1 服务体系介绍
目录2 服务方案
目录3 安全评估方法
目录4 安全服务实施流程
业务调研方法
天镜、X-SCAN扫描器
安全基线
NCEL管理工具
配置优化分析矩阵
WVS,Appscan等
业务分析
评估工具