安全评估
1.实体安全
实体安全是信息系统安全的基础,依据实体安全国家标准,将实施过程确定为以下检测与优化项目:
·机房安全
场地安全
机房环境 / 温度 / 湿度 / 电磁 / 噪声 / 防尘 / 静电 / 振动
建筑 / 防火 / 防雷 / 围墙 / 门禁
·设施安全
设备可靠性
通讯线路安全性
辐射控制与防泄露
·动力
电源 / 空调
·灾难预防与恢复
检测优化实施过程按照国家相关标准和公安部颁实体安全标准
2.平台安全
平台安全泛指操作系统和通用基础服务安全,主要用于防范黑客攻击手段,目前市场上大多数安全产
品均限于解决平台安全,邦为以通用信息安全评估准则cc为依据,确定平台安全实施过程包括以下内
容:
·操作系统漏洞检测与修复
Unix 系统
Windows 系统
网络协议
·网络基础设施漏洞检测与修复
路由器
交换机
防火墙
·通用基础应用程序漏洞检测与修复
数据库
Web/ftp/mail/DNS/ 其它各种系统守护进程
·网络安全产品部署
平台安全实施需要用到市场上常见的网络安全产品,主要包括防火墙、入侵检测、脆弱性扫描和防
病毒产品。
·整体网络系统平台安全综合测试 / 模拟入侵与安全优化
3.数据安全
为防止数据丢失、崩溃和被非法访问,邦为以用户需求和数据安全实际威胁为依据,为保障数据安全
提供如下实施内容:
·介质与载体安全保护
·数据访问控制
系统数据访问控制检查
标识与鉴别
·数据完整性
·数据可用性
·数据监控和审计
·数据存储与备份安全
4.通信安全
为防止系统之间通信的安全脆弱性威胁,邦为以网络通信面临的实际威胁为依据,为保障系统之间
通信的安全采取的措施有:
·通信线路和网络基础设施安全性测试与优化
·安装网络加密设施
·设置通信加密软件
·设置身份鉴别机制
·设置并测试安全通道
·测试各项网络协议运行漏洞
5.应用安全
应用安全是保障相关业务在计算机网络系统上安全运行,应用安全脆弱性是可能给信息化系统带来
最大损失的致命威胁,邦为从用户单位业务应用特点的实际出发,以业务运行实际面临的威胁为依据,
为应用安全提供的评估措施有:
·业务软件的程序安全性测试 (bug 分析 )
·业务交往的防抵赖测试
·业务资源的访问控制验证测试
·业务实体的身份鉴别检测
·业务现场的备份与恢复机制检查
·业务数据的唯一性 / 一致性 / 防冲突检测
·业务数据的保密性测试
·业务系统的可靠性测试
·业务系统的可用性测试
测试实施后,邦为将有针对性地为业务系统提供安全建议、修复方法、安全策略和安全管理规范!
|