【一】服务概述
通过权威安全专家数年安全经验与技术积累制作的checklist检查表对评估范围内的主机、数据库、中间件等进行系统的策略配置、服务配置、保护措施以及系统和软件升级、更新情况,是否存在后门等内容进行检查,发现潜在的配置隐患。
【二】服务内容
安全扫描是利用安全评估工具对绝大多数评估范围内的主机、网络设备等系统环境进行的漏洞扫描。但是,评估范围内的网络设备安全策略的弱点和部分主机的安全配置错误等并不能被扫描器全面发现,因此有必要对评估工具扫描范围之外的系统和设备进行配置检查。检测内容包括但不限于以下内容:
1) 主机安全检查
对业务应用系统涉及到的操作系统,如Windows、Linux、Aix、Unix等进行安全漏洞及安全配置缺陷的检查与评估。检查内容包括(但不限于):身份鉴别方式、帐号安全设置、远程管理方式、多余帐号和空口令检查、默认共享检查、文件系统安、网络服务安全、系统访问控制、日志及监控审计、拒绝服务保护、补丁管理、病毒及恶意代码防护、系统备份与恢复、硬件冗余情况、硬盘分区格式等安全情况。
2) 数据库安全检查
对业务应用系统涉及到的数据库,如MySql、Oracle、DB2、sql等数据库系统进行安全漏洞及安全配置缺陷的检查。检查内容包括(但不限于):身份认证方式、帐号安全设置、管理权限和角色设置、多余帐号和缺省口令检查、数据库目录和文件系统安全、监听器管理设置、日志及监控审计、数据库版本和补丁管理、数据库备份策略、硬件冗余情况等安全情况。
3) 网络设备配置与网络架构安全检查
对业务应用系统涉及到的网络设备,如的防火墙、入侵检测(入侵保护)系统、路由器、交换机等进行安全漏洞及安全配置缺陷的检查。检查内容包括(但不限于):帐号安全设置、管理权限和角色设置、多余帐号和缺省口令检查、备份和升级情况、访问控制、路由协议、日志审核、网络攻击防护及端口开放、远程访问等安全情况。对数据中心网络架构安全性进行检查分析,检测内容包括区域划分合理性、业务类型及分布安全分析、高可用性、安全策略等。
4) 中间件安全检查
对业务应用系统涉及到的中间件,系统包括:weblogic、apache、IIS、WAS等进行安全漏洞及安全配置缺陷的评估。检查内容包括(但不限于):系统和中间件的可用性、系统和中间件的完整性等。
【三】检查方法
安全配置检查方法一般可分为人工检测、脚本检测、工具自动化扫描等三种检测方法。
1)工具自动化扫描
针对信息系统内众多资产,尤其是非核心业务资产和非核心网络资产,在避开业务高峰期的情况下,在基线扫描工具上配置扫描策略和扫描对象,和用户单位相关人员沟通确定后,开启基线扫描工具进行自动化扫描,获取扫描结果。工具自动化扫描的方法主要应用于用户单位内网系统和设备。
2)脚本检测
从基线扫描工具上导出相应的脚本,提交用户单位相关人员进行风险分析和确认后,由用户单位相关人员登录相应资产设备,运行对应脚本,获取脚本运行结果记录文件。然后,将脚本运行结果记录文件导入基线扫描工具,生成相应的结果记录和报告文档。脚本检测的方法主要应用于工具自动化扫描未获取到相应结果记录以及用户确认需要脚本检测的检测对象。
3)人工检测
根据安全基线检测要求和标准,确定检测工作内容,提交安全配置需求列表,和用户单位相关人员沟通确认后,由用户单位人员登录相应资产设备,根据安全配置需求列表,项目实施组人员一同逐项查看并记录实际配置情况。人工检测的方法主要应用于核心业务资产设备、核心网络资产设备以及用户确认需要人工检测的检测对象。