010-53326621
統整改和優化服務是實現客戶信息系統安全的關鍵環節。通過使用該項服務,將在客戶信息系統的網絡層、主機層和應用層等層次建立符合安全需求的安全狀態,并以此作為保證信息系統安全的起點
我方進行安全評估后,將會得到每個系統的安全問題列表,結合安全列表和評估對象當前的狀況,制定安全整改服務方案以進行安全整改服務。安全整改服務主要由以下幾個環節構成:
1. 制定整改方案
2. 整改方案內部模擬系統測試
3. 現場整改并生成整改報告
4. 整改后再評估
上述環節是完成整改必不可少的,就其中每個環節的具體內容根據不同情況會有所不同。
系統整改概述
系統整改和優化服務是實現客戶信息系統安全的關鍵環節。通過使用該項服務,將在客戶信息系統的網絡層、主機層和應用層等層次建立符合安全需求的安全狀態,并以此作為保證信息系統安全的起點。
系統整改的對象,往往存在以下安全問題:
1. 安裝、配置不符合安全需求;
2. 參數配置錯誤;
3. 使用、維護不符合安全需求;
4. 系統完整性被破壞;
5. 被注入木馬程序;
6. 賬戶/口令問題;
7. 安全漏洞沒有及時修補;
8. 應用服務和應用程序濫用;
9. 應用程序開發存在安全問題等。
系統整改和優化服務的目的是通過對主機和網絡設備所存在安全問題執行以下操作:
1. 正確的安裝;
2. 安裝最新的OS和應用軟件的安全補丁;
3. 操作系統和應用軟件的安全配置;
4. 系統安全風險防范;
5. 提供系統使用和維護建議;
6. 系統功能測試;
7. 系統安全風險測試;
8. 系統完整性備份;
9. 必要時重建系統等。
系統整改和優化是一項十分復雜的工作,要經歷幾個過程的反復,為保證系統整改和優化能夠順利進行并圓滿完成,必須做好以下準備工作:
1. 明確系統整改目標;
2. 明確系統運行狀況;
3. 明確整改風險
4. 做好系統備份以規避整改風險;
系統整改方案和流程
保證信息系統的安全的最終步驟就是消除所發現的系統安全問題,也是對系統實施安全整改和優化。對于有豐富的信息系統安全管理、維護經驗的用戶來講系統的整改、優化工作也不是一件簡單輕松的工作,完成這項工作是建立在具有以下知識、技能和經驗之上的:
首先了解信息系統的功能、安全需求,能夠根據這些信息確定系統整改的目標;其次是了解被整改系統的安全風險級別,制定周密的整改方案;最后是要求執行系統整改的技術人員十分了解相應操作系統管理、應用服務系統管理、應用程序開發、數據庫管理等方面的知識和相關的安全知識以保證整改的質量。在做完整改工作后進行必要的功能和風險測試,以保證整改達到所要求的目標。
根據系統評估和滲透測試,得到安全評估報告,然后根據報告及用戶當前狀態,為用戶制定整改方案,網絡整改方案中包括如下具體內容:
當前用戶網絡內部存在的安全問題
針對安全問題相對的必要解決手段
解決手段的執行步驟及每步驟所面臨的風險
當整改過程中出現問題時的回退機制
整改服務的成本
系統整改流程圖如下:
整改方案測試
整改方案在制定后需要和用戶進行協商,用戶同意方案內容后,對方案需要進行內部模擬測試,本過程主要是保證方案的正確性并且將對用戶的業務影響減少到最小,本步驟包括:
1) 在內部網絡安裝用戶的模擬系統
2) 在模擬系統中,按整改方案進行系統整改
3) 在模擬系統中,演練方案中當出現問題整改不成功時,進行回退的步驟
4) 對整改后的模擬系統進行業務可用性檢查
5) 對整改后的模擬系統進行安全性檢查
6) 生成內部模擬測試報告
系統整改報告
現場整改部分為實施部分,本步驟是整改服務的核心,主要按前幾步的準備,對用戶的系統進行安全整改服務,本步驟包括:
1) 用戶系統當前狀態檢查記錄、系統備份等準備工作
2) 按整改文檔步驟,對系統進行整改服務
3) 整改服務完成后,對系統業務進行測試,查看系統業務是否正確
4) 生成整改報告,整改報告包括本次施工過程,整改項完成情況,未完成的原因以及業務測試狀態。
二次安全評估
在前期的安全評估、安全整改完成后,獲取到信息系統的安全現狀及風險現狀,就此提出了安全防護體系的建設與整改方案。為保障安全防體系及整改方案的有效性,引入了二次安全評估過程,二次安全評估將在安全工程及整改實施完成后,對信息系統的風險、控制措施的力度等進行再評估,特別是對于前期發現的信息系統安全威脅、安全風險再次進行確認,以判斷控制措施的有效性,驗證本次安全整改工程是否成功,同時判斷實施控制措施后的風險是否是可被接受的,為風險管理提供輸入,對下期工程提出建議。
二次安全評估過程評估的重點在于:
? 安全防護所采取的控制措施的有效性;
? 安全防護所采取的控制措施與安全咨詢服務所提出的防護原則的符合性。
二次安全評估的時間、范圍和具體對象將與甲方進行充分的溝通,以確保安全防護體系工程建設所采取的控制措施能夠得到有力的執行、在此期間信息系統能夠得到有力的安全保障,所殘留的安全風險在可接受的范圍之內(如果殘留風險超出了系統所能承受的范圍,可考慮對原有控制措施進行加強)。
京公網安備11011502003673號