绿盟科技安全评估服务白皮书节选

绿盟科技安全评估服务白皮书(节选)目录绿盟科技安全评估服务白皮书(节选)1目录1安全评估服务2应用安全评估3应用安全评估服务简介3服务内容3服务案例7安全评估服务要获得有针对性的安全服务，就需要专业安全顾问在对您的信息系统进行充分调研和访谈的基础上，配合使用专业的安全工具，对系统实际情况进行专业的安全现状分析和报告，并以此为基础进行后续的定制和设计工作。这个针对信息系统的安全分析和报告的过程就是常说的安全评估服务。绿盟科技的安全评估服务包括全面的风险评估服务、远程安全扫描、本地安全评估、应用安全评估和渗透性测试等多种方式，通过安全评估服务可以帮助您明确目前信息系统或者应用系统面临着什么样的信息安全风险，同时在业务发展过程中可能会遇到什么安全问题？安全风险可能导致的损失是多少？当前主要的安全威胁是什么，应如何划分安全区域和安全建设的优先级等一系列问题。绿盟科技的安全评估服务包括如下模块：刃模块徐编号处模块乞名称厘模块率说明励SE筝S-旦04挠01寨全面送风险银评估劫全面负风险虾评估拍是对猜信息施系统头的影奔响、急威胁代和脆袭弱性弯进行邮全方领位评爷估，浓归纳际并总吧结信仓息系蜓统所糊面临宏的安忽全风咽险，姑为信腾息系饮统的块安全晌建设丈提供哲决策慌依据桥。渡SE淋S-乘04剂02耗远程灾漏洞坛扫描蛙利用穿安全盛评估怨系统童对客饱户信容息系揪统进锄行远借程技津术脆孙弱性值评估患。峡SE死S-世04菠03动本地私安全牲检查华利用担安全胸工具子和人贼工服呆务对白客户宗信息附系统守进行起远程打或本抓地的工技术写脆弱华性评窑估。赴SE捆S-啦04哄04锋应用溪安全机评估好利用断人工放或自济动的代方式南，评踢估客拾户应内用系偷统的叔安全圆性并宫协助匙进行降改善脏和增董强。建SE泽S-禾04哄05椅渗透熔测试枯评估进利用供各种击主流爽的攻兼击技碎术对疼网络索做模扭拟攻君击测佣试，舰以发绣现系推统中棉的安丸全漏赠洞和惧风险示点。应用安全评估应用安全评估服务简介楼应用扩系统太评估甲服务铅是绿逼盟科摊技在骂20欧02赞年就加开始日为用脖户提侍供的宾评估李服务济模块换之一裂。早踢期主灾要以凑评估邻CG钢I程看序的倦安全表性为翻主要捷内容远。经怎过两附年的驱工作辰，绿它盟科侦技的全应用拦系统去评估处的范虏围，荡已经臣扩展是到了参更多却的评押估项纱目和永更有第体系璃的评拾估方赴法。粮对于匀一个娘完整置的可慕运行粒的应丰用系赠统骂（通昆常为全B/痕S结影构或雾C/浪S结坟构）汗来说烂，引一般骂由支拦持这掏个应砌用系辩统的温网络惰环境封（包撕括网剑络设锐备和过线路波）、丛操作快系统矛、应虹用系咸统服拍务程撞序组搅成。肌因此灵广义尤的应征用安扁全评防估包渴括了射对整消个应色用系嘴统从碌应用吐系统要网络注结构么、操炸作系夺统到她应用想程序饺设计许与实卵现本狮身三廊个层铜次的遮评估雄；而适狭义纱的应府用系延统评废估则欢仅包蜜括应庸用系副统的镰程序台设计中与实辅现这震一个列层次朝的评坦估。制服务刑内容招搅对于呆网络咐层次林的安邮全评舒估更步多的夸关注衬应用笛系统黄部署融时所厕使用慕的网泰络环贩境的壤可用关性和啄保密谈性，似主要望包括痒：蝇网络救结构锻的合洁理性治网络附冗余瞒设计势网络发访问寿控制殖设计镇网络掏层次增加密费技术乡的应辈用哨……刮.邪愉对于德操作缸系统口层次棍的评烦估主芦要集贯中在渠系统贷层次艺方面苦的漏工洞，死包括城：侵操作伸系统沸的补右丁安骨装情植况络操作鄙系统勒对外圣提供途的通狗用网捡络服搭务安姨全宅操作茄系统站的审臂计能侨力扶操作陕系统弱的口轿令策总略至其他闯安全输漏洞……店由于即应用切系统钩程序罗通常晚安装况在通瘦用操遗作系盈统上鸦，因厕此保怕证操坦作系昏统自她身的料安全筛性，忙是保牺证应烧用系脑统安隙全性己的重泡要基叹础。国我们渔建议脆在对督已经皱投入谎使用两的应桂用系漫统进卖行评蝴估时毁，尽防量安行排对泼操作充系统装安全滑性的训评估隶。转对应拣用系币统程两序的诵评估壁主要需基于船CC烧(I鸦SO梦-1术54北08泛，通腿用评企估准倘则)醉的要随求，来能够贫全面雕的对喝不同浇类型导的应螺用系仔统的亡不同为安全蛮功能地进行晋评价怒，并升给出割评分究和建贿议。象胃在应卷用系啊统评捕估中侨需要若评估咐的目适标和佛方法俱列表仪如下揉：饭有效员性验膨证讯斥是否若应用庆系统涌、补舅丁软炭件都篇必须孩通过育验证毒后才欺能被欧安装芒掘是否成能对因系统牺已安脏装组响件进缸行有墨效性持验证殃数据盆输入截、输络出控智制蹲境是否羞对数过据输返入、励输出尤进行环了合钳法性毫检查贿（特稀别是喷各种酷外部峰数据要，例羽如系跃统时恳间、渔用户弊输入燥等等究）拳拘系统朝应确筐保数甲据不浅输出室到错跌误的渴地点耗，同稠时也促不能医有非闹法的肃信息格流入秀（包祥括用顾户输女入/标输出离和系愧统各颂个功烧能/悟模块列间输主入/牧输出外）禽数据爆输入彼、输舒出抗迫抵赖拴尺是否慢能够夹证明栗接收昆方接乔收到叶的数篮据的程确来冠自声起称的赶发送迫方溉壶是否凑能够绒证明捕发送伴方发线送的区数据团的确解被接酬收方傅接受址数据异输入归、输蹲出完饺整性絮检查继咳是否嫁能够探检查萍输入粪、输瑞出数形据的驼完整展性析数据谎输入毕、输余出可醋用性挺检查愉及是否锋能够结检查珠输入齿、输通出数哪据的朝可用盆性状数据价输入珠、输机出保蹄密性摩保证柱妇是否冈在数膝据输豆入、徒输出含使用蜘了加饰密扯山数据狱输入电、输玻出所耐使用贿的加耳密手桃段是趟否够吉强壮判是否混存在宪绕过包系统协输入鉴、输卖出加绕密的似方法亭（例酷如董SS铜L领代理翼可以寒绕过育某些盟S它SL槐通疤讯加顾密）捷周期器性的倘完整克性检攻查地游系统悼是否仰能周允期性睡的校掉验系播统本柔身完值整性解和系炮统数侄据完炉整性卖操作液的正显确性斤验证波槽用户珠操作老时是凶否有稻当前功操作犬确认纲数据点的恢耍复阵倚系统奏能否做提供源数据钞库回留滚功阿能房身系统金是否蛇提供冶系统据程序响升级载失败呼自动伤恢复街功能僻吧系统昂是否偏提供嫁系统夏程序催替换竖自动剩恢复辅功能能姑系统栽是否例提供虹系统斥完全巡备份谱功能课妄系统箩是否冻提供陕系统著完全幼恢复骗功能固确保界可用顺资源耀覆系统数是否渔能在湿空闲俭硬盘趋空间仓低于吊某阀振值时塘发出富报警饭脸系统曲是否洁能在瓦空闲鼓C刑PU永处白理时坐间低暴于某遣阀值村时发制出报业警介巴系统使是否礼能在泥空闲蠢内存县空间泻低于蝇某阀悬值时客发出测报警闸花系统月是否反能在孔空闲秤网络考带宽鹊时间葱低于捷某阀康值时愚发出唯报警牧审计泄生成拐亏系统气是否脾提供霜审计连功能壳数系统叙是否扬能保影证审帅计相宿关数真据完融整性仁、可忧用性熟和保秒密性两用户金记录照寸系统闻审计蚁记录复中是卸否包攻含有圣不会扎导致屑歧义财的用杂户标贪识间会话承限制婚次数剖指系统嫁能否抓限制盒用户尺会话茄数目言会话锄终止篮制系统起能否策限制搬用户压会话艺静止庆时间茂超过穿某一酸阀值半时终洗止会物话伙保系统愧能否杂限制窗系统洪模块坦间会遣话静耻止时荐间超绘过某暑一阀胃值时言终止约会话挤系统烂优先演级控抬制雕奋系统因是否飘为不载同用加户划真分不浪同优庙秀级递线系统察是否疯为不甲同用颜户操铲作化造分不慎同优淹先级球适系统委是否业对系捏统不址同模矩块化副分不畅同优申先级闷系统榴资源幅分配蒸控制汉怖系统遍是否嫌为不仿同用射户分拖配不燕等量扩资源煌抖系统磨是否蛋为不纪同用朴户操愿作分宝配等存量资眠源浪恶系统适是否室为系垂统不似同模副块分付配等某量资沉源蹈用户赛标识母和鉴袖别谁锋系统阁是否董能够煎唯一颈的标壤识一栗个用坡户痕向系统聪是否涝强制跑要求昌用户外用户别验证迁角系统中是否滑存在爱用户谨验证疲绕过袭方法违恼系统逐是否姓在访设问系咱统资封源前弹强制伯要求怪鉴别健用户乱身份愈栽系统短是否晓存在愤未验朝证用咽户可侧访问拴的系田统资籍源适咐系统水是否虾存在熟用户颗鉴别宜绕过窃方法伟用户凉行为唉的标盘识和姥鉴别收为系统团是否烂能标尽识用值户行盗为（影含义注为标巴识出委什么伙用户笑执行策了什嘉么样诱的操讯作）盼湾系统谣是否鉴能鉴凑别用控户行垄为合陵法性去系统传服务下鉴别元雾系统腐是否彻能鉴泛别系政统自饲身服贴务的藏真实饥性蝶保护张和维口护安秤全的事系统东状态常（强辰调系弦统的瞒完整兵性和风保密昌性，型可能找此时剑不可闲用，轮但是州系统要仍然存是完道整和收保密羞状态缴）克犬系统槐一个钞或多夸个组春件所脆在计容算机搬断电递时，售系统圾是否烛能保受持安商全的滔系统卸状态辆，并基且在各断电灯计算找机恢皂复供嫁电时色自动雨恢复临正常屈状态基弄系统止一个最或多补个组挤件所国在计腹算机抓通信降中断抽时，俗系统阁是否耍能保贺持安呢全的闭系统帐状态三，并呈且在佩通信旬中断裙计算翼机恢患复通愚信时粮时自病动恢供复正排常状赏态弃咽系统耐一个制或多墙个组逆件所或在计开算机耽组件平失效拼时，泻系统搬是否沿能保奋持安横全的锁系统备状态太，并太且在逐失效玉组件抹恢复选时自狗动恢懒复正两常状爪态香关键反组件萌运行蒙错误也容限万（强苹调系哪统可席用性踪，系慕统必挨须可甚用）余倡系统鼻是否盼有冗段余电睡源颂墨系统斩是否筹有冗夏余通撞信线祖路用惰炊系统门是否殃有冗伞余组经件，奴当一革个或当多个棒系统游组件厅失效艺时系厉统能略继续睁运行祥。车系统逮指南退文档竭阴系统深是否懒提供订管理谢员指屿南手另册牌乞系统籍是否蚕提供菊用户勤指南茅手册慧密码诉存取爹控制革香系统咐是否凶对密象码数崇据的进访问请进行游限制浩蓄系统度是否宪存在膜绕过套密码析数据宿访问冠限制浇的方蛙法烟华系统帮是否神存在屠破坏汪密码按数据溜访问童限制况的方代法讨密码肿管理餐国系统宁密码裂算法单强度净是否诊能够缸保证梅数据遇在期详生命侧周期舒内通仔过可银靠保酱护忍渡系统怠是否摆能发旅现系塔统中灵若密牵码用世户让俘系统躬是否蓬都使挂用恰吓当的岁方式泛加密认存储策所有怀密码挡和私皂钥刊恢复册接收杀信息常系统戏应当译能在箱接收显方检毫测到园所接些收信每息完困整性个、可终用性锤被破胆坏或膨没有永证据饼显示秃接收迁方的毛确接研收到候发送肯方发梳送的知消息埋时可闹以恢决复接涌收信促息（艰例如糖重新鸭发送踪）告安全培角色跑础系统著能根盯据安躲全策佣略划贿分不锋同的浅安全热角色舒用户默会话姜历史废沫系统冬是否课能够精在用妨户登盯录后妄显示薯用户会最近东成功怒或不式成功引建立破会话里的次皆数衫淋系统唐能否倘显示符最近盾发起啄会话瑞地址耻（不棵管成联功还榨是失屿败）脉通过麻对上院述的弦各个奏安全熄功能卷要求姨进行愁测试饱和评微价，手绿盟如科技钻最终烟能够访帮助灶用户尘寻找抗出应拉用系尾统安蚕全设扭计或圆者实叹现上牺的缺吊陷，田从应步用层季提高芦重要近业务届系统货的安减全性某。芝当然密，我念们也辣可以择根据膛用户熔的需恢要有凡重点齿的对渐被评堪估应榴用系卧统的少某一慌个层档次进内行评听估。角应用焦系统筐评估季能够尺有效看的帮文助用容户评争价核抚心业堵务系培统的罚安全游性，货和应肤用系壮统开扫发厂跑商在声安全柱