02.50.系统上线前安全评估服务技术白皮书v2.0.docxVIP

绿盟科技专业服务技术白皮书

系统上线前安全评估服务

■文档编号

NSF-2014SI

■密级

内部使用

■版本编号

3.0

■日期

2016/9/26

?DATE\@yyyy2016绿盟科技

■版权声明

本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属DOCPROPERTYCompany绿盟科技所有，受到有关产权及版权法保护。任何个人、机构未经DOCPROPERTYCompany绿盟科技的书面授权许可，不得以任何方式复制或引用本文的任何片断。

■版本变更记录

时间

版本

说明

修改人

2014/01/01

V1.0

文档创建、丰富内容

安全服务部

2014/12/12

V2.0

丰富内容

安全服务部

2016/9/26

V3.0

丰富内容

安全服务部

■适用性声明

本文档是主要介绍北京神州绿盟信息安全股份有限公司（以下简称“绿盟科技”）的系统上线前安全评估服务具体内容和方法，用于客户的相关人员了解绿盟科技的该项服务。

-PAGE\*ROMAN

-PAGE\*ROMANI-

目录

TOC\h\z\t附录1（绿盟科技）,1,附录2（绿盟科技）,2,附录3（绿盟科技）,3,附录4（绿盟科技）,4,标题1（绿盟科技）,1,标题2（绿盟科技）,2,标题3（绿盟科技）,3一.概述 1

1.1基本概念 1

1.2服务发展情况 1

1.3服务的必要性 1

二.服务的实施标准或原则 2

2.1政策文件或标准 2

2.2服务原则 2

三.绿盟科技系统上线前安全评估服务 3

3.1服务范围 3

3.2服务内容 3

3.3服务流程 7

3.4服务特点 8

3.5服务报告 9

3.6服务注意事项 9

3.7相关服务 10

四.系统上线前安全评估方法论 10

4.1安全漏洞扫描 10

4.2安全配置检查 11

4.3渗透测试 12

4.4代码审计 13

4.5安全功能审核 15

五.相关工具 16

六.为什么选择绿盟科技 17

DOCPROPERTYTitle绿盟科技安全服务技术白皮书

PAGE17

-PAGE18-

?DATE\@yyyy2016绿盟科技 密级：内部使用

概述

基本概念

顾名思义，系统上线前，即应用系统（业务系统）正式投入生产运行之前；安全评估，即一种利用大量安全性行业经验和先进安全技术相结合的综合分析和评价手段。

系统上线前安全评估是绿盟科技为最大化减小生产运行系统可能存在的安全隐患，而设计的一套行之有效、针对性强的风险识别、检测、规避方法。

服务发展情况

随着信息技术的飞速发展，安全问题逐渐成为目前影响和制约网络应用发展的一个重要因素。传统的信息安全评估服务多在应用系统生命周期的运维阶段开展，对于评估发现的安全隐患，特别是代码问题很难整改，在整改过程中也易导致系统运行故障。

因此绿盟科技建议在应用系统部署完成后，正式上线之前通过专业的安全评估服务对应用系统的各方面进行安全检查，并对检查发现的高风险问题及时进行处置，可以极大的降低上线后遭受攻击的损失。

服务的必要性

大量用户在自主开发应用系统或委托开发应用系统时，更多的是从业务功能实现和性能方面对应用系统进行验收，缺乏相应的技术手段和能力对交付的应用系统的安全状况进行检验。如果应用系统在上线后由于存在类似SQL注入、密码明文传输、安全功能缺失等漏洞而遭受攻击，会直接影响正常业务运行，甚至造成经济和名誉的损失，再加上有些漏洞涉及代码改写，考虑到业务连续性的要求，这些漏洞几乎无法得到修复。

因此，用户需要一种能够在系统上线前对系统安全状况进行检验的服务，从信息安全的角度对应用系统、集成环境等内容的安全状况进行评估，对发现的问题进行妥善处理，避免将影响系统安全的问题遗留到系统上线后，成为系统安全的隐患。

绿盟科技针对上述需求，推出了系统上线前安全评估，通过针对集成环境的安全漏洞扫描、安全配置检查，针对应用系统的渗透测试、代码审计以及针对应用系统的安全功能审核等三方面五项技术措施，对应用系统的安全状况进行评估。

该服务不仅能够保证集成环境的安全，避免操作系统和数据库缺失安全补丁，存在不当的安全策略以及开启不安全的服务；也能对应用系统的安全状况进行检查，而且从业务功能逻辑上，对应用系统的安全功能进行检查，避免应用系统在安全功能上的缺失。

服务的实施标准或原则

政策文件或标准

绿盟科技系统上线前安全评估服务将参考下列标准进行工作：

ISO/IEC