1、马章焘(安全咨询顾问)2012/9/12天津移动风险评估项目启动会天津移动风险评估项目启动会目录目录 1 项目范围与内容目录 2 服务方案目录 3 安全评估方法目录 4 安全服务实施流程项目 目标 在本期安全服务结束后,中国移动天津公司网管中心各大重要系统的整体安全性将得到保障,系统在抗黑客攻击、应用安全防护、安全应急能力等方面将得到极大的提高。 1. 通过系统技术安全评估服务与渗透测试服务,将发现存在的安全因患予以消除,增强组织和信息系统对抗安全风险的能力。总体实现持续有效的提升各类系统安全状况, 保障系统业务的正常运行 。 2、针对主要业务系统通过:漏洞扫描、基线检查、渗透测试、代码分析、
2、数据库扫描等多种方式检查,准确、细致的提高抽查重点系统的安全性。项目范围与内容 安全评估、加固服务部分内容包括: 卖方负责对买方维护的重要应用系统包括 门户网站 、存储用户资料及提供 重要服务的部分应用系统进行扫描、检测、提出改进建议并复查。每月被测试的系统应不少于 3个 。项目双方联系人姓名 工作 /职务 电话 邮 件 备 注天津移 动启明星辰马 章 焘 项 目 经 理( 总技 术结 口人) 13832133415 ma_ 许 航 项 目 协调 人员 13501381402 宁作 鹏 客 户经 理(商务 接口人) 13920136136 Ning_ 曾宇 技 术专 家 严 冬冬 技 术专
3、 家 Yan_ 李峰 技 术专 家 项目分工配合人员 职责项目总体负责人双方均应安排专门的固定项目总体负责人,总体负责风险评估工作。项目协调人员双方可针对风险评估工作进展的不同阶段,安排人员进行项目的中间协调。系统管理员我方开展系统安全调查和控制台安全审计工作时,需安排各系统的管理员配合我方的工作。网络管理员我方开展网络设备的调查和控制台安全审计工作时,需安排网络管理员配合我方的工作。业务人员我方开展业务调查和交流工作时,需安排相应的业务人员配合调查或参与交流。安全人员我方开展的所有评估工作,均应尽量安排安全人员参与。目录目录 1 服务体系介绍目录 2 安全服务方案目录 3 安全评估方法目录
4、 4 安全服务实施流程一是操作系 统 本身的缺陷 带 来的不安全因素,主要包括身份 认证 、 账 号口令策略、 补 丁情况、文件系 统 、日志系 统 、 访问 控制、 安全性增 强 等;二是 对 操作系 统 的安全配置 问题 ;三是病毒 对 操作系 统 的威 胁 (人工 检查 、 顾问访谈 )。主机层安全评估业务应 用系 统 中数据的采集、 传输 、 处 理和存 储过 程中的安全主要包括 informix数据 库 、 oracle数据 库 、 mysql数据 库 和 DB2数据 库 等数据库安全评估应 用 层 安全 评 估主要是 对 支撑 业务应 用 组 成的各 类应 用系 统 进 行安全 检查 ,如 对 Apache、IIS、 FTP的渗透 测试 ,以及 业务层 面安全,如 WAP、 MMS、 SMS等;应 用及 业务层 安全 评 估网 络 建 设 的 规 范性 、可 靠性 、 边 界安全、 协议 分析、网 络 流量分析、 设备 自身安全、安全管理等网络层安全评估工作内容目录目录 1 服务体系介绍目录 2 服务方案目录 3 安全评估方法目录 4 安全服务实施流程业务调研方法 天镜、 X-SCAN扫描器 安全基线 NCEL管理工具 配置优化分析矩阵 WVS, Appscan等业务分析评估工具
