我方进行安全评估后,将会得到每个系统的安全问题列表,结合安全列表和评估对象当前的状况,制定安全整改服务方案以进行安全整改服务。安全整改服务主要由以下几个环节构成:
1. 制定整改方案
2. 整改方案内部模拟系统测试
3. 现场整改并生成整改报告
4. 整改后再评估
上述环节是完成整改必不可少的,就其中每个环节的具体内容根据不同情况会有所不同。
系统整改概述
系统整改和优化服务是实现客户信息系统安全的关键环节。通过使用该项服务,将在客户信息系统的网络层、主机层和应用层等层次建立符合安全需求的安全状态,并以此作为保证信息系统安全的起点。
系统整改的对象,往往存在以下安全问题:
1. 安装、配置不符合安全需求;
2. 参数配置错误;
3. 使用、维护不符合安全需求;
4. 系统完整性被破坏;
5. 被注入木马程序;
6. 账户/口令问题;
7. 安全漏洞没有及时修补;
8. 应用服务和应用程序滥用;
9. 应用程序开发存在安全问题等。
系统整改和优化服务的目的是通过对主机和网络设备所存在安全问题执行以下操作:
1. 正确的安装;
2. 安装最新的OS和应用软件的安全补丁;
3. 操作系统和应用软件的安全配置;
4. 系统安全风险防范;
5. 提供系统使用和维护建议;
6. 系统功能测试;
7. 系统安全风险测试;
8. 系统完整性备份;
9. 必要时重建系统等。
系统整改和优化是一项十分复杂的工作,要经历几个过程的反复,为保证系统整改和优化能够顺利进行并圆满完成,必须做好以下准备工作:
1. 明确系统整改目标;
2. 明确系统运行状况;
3. 明确整改风险
4. 做好系统备份以规避整改风险;
系统整改方案和流程
保证信息系统的安全的最终步骤就是消除所发现的系统安全问题,也是对系统实施安全整改和优化。对于有丰富的信息系统安全管理、维护经验的用户来讲系统的整改、优化工作也不是一件简单轻松的工作,完成这项工作是建立在具有以下知识、技能和经验之上的:
首先了解信息系统的功能、安全需求,能够根据这些信息确定系统整改的目标;其次是了解被整改系统的安全风险级别,制定周密的整改方案;最后是要求执行系统整改的技术人员十分了解相应操作系统管理、应用服务系统管理、应用程序开发、数据库管理等方面的知识和相关的安全知识以保证整改的质量。在做完整改工作后进行必要的功能和风险测试,以保证整改达到所要求的目标。
根据系统评估和渗透测试,得到安全评估报告,然后根据报告及用户当前状态,为用户制定整改方案,网络整改方案中包括如下具体内容:
当前用户网络内部存在的安全问题
针对安全问题相对的必要解决手段
解决手段的执行步骤及每步骤所面临的风险
当整改过程中出现问题时的回退机制
整改服务的成本
系统整改流程图如下:
整改方案测试
整改方案在制定后需要和用户进行协商,用户同意方案内容后,对方案需要进行内部模拟测试,本过程主要是保证方案的正确性并且将对用户的业务影响减少到最小,本步骤包括:
1) 在内部网络安装用户的模拟系统
2) 在模拟系统中,按整改方案进行系统整改
3) 在模拟系统中,演练方案中当出现问题整改不成功时,进行回退的步骤
4) 对整改后的模拟系统进行业务可用性检查
5) 对整改后的模拟系统进行安全性检查
6) 生成内部模拟测试报告
系统整改报告
现场整改部分为实施部分,本步骤是整改服务的核心,主要按前几步的准备,对用户的系统进行安全整改服务,本步骤包括:
1) 用户系统当前状态检查记录、系统备份等准备工作
2) 按整改文档步骤,对系统进行整改服务
3) 整改服务完成后,对系统业务进行测试,查看系统业务是否正确
4) 生成整改报告,整改报告包括本次施工过程,整改项完成情况,未完成的原因以及业务测试状态。
二次安全评估
在前期的安全评估、安全整改完成后,获取到信息系统的安全现状及风险现状,就此提出了安全防护体系的建设与整改方案。为保障安全防体系及整改方案的有效性,引入了二次安全评估过程,二次安全评估将在安全工程及整改实施完成后,对信息系统的风险、控制措施的力度等进行再评估,特别是对于前期发现的信息系统安全威胁、安全风险再次进行确认,以判断控制措施的有效性,验证本次安全整改工程是否成功,同时判断实施控制措施后的风险是否是可被接受的,为风险管理提供输入,对下期工程提出建议。
二次安全评估过程评估的重点在于:
Ø 安全防护所采取的控制措施的有效性;
Ø 安全防护所采取的控制措施与安全咨询服务所提出的防护原则的符合性。
二次安全评估的时间、范围和具体对象将与甲方进行充分的沟通,以确保安全防护体系工程建设所采取的控制措施能够得到有力的执行、在此期间信息系统能够得到有力的安全保障,所残留的安全风险在可接受的范围之内(如果残留风险超出了系统所能承受的范围,可考虑对原有控制措施进行加强)。
1.1
京公网安备11011502003673号