| 1.人员访谈 |
Ø 人员
→ 业务负责人
→ IT负责人
→ 网络负责人,系统负责人,应用负责人,安全负责人 |
Ø 内容
→ 系统清单、重要性和优先级
→ 信息系统状况(开发、运维)
→ 组织架构和人员分工
→ 网络拓扑
→ 物理环境
→ 安全措施
→ 存在的问题 |
|
| 2.现场查看 |
Ø 技术控制察看
→ 设备使用状况
→ 技术应用状况 |
Ø 物理环境察看
→ 门禁、监控、消防
→ 办公室
→ 机房
→ 其他重要区域 |
|
| 3.文档查阅 |
Ø 管理制度
→ 开发制度
→ 运维制度
→ 审计制度 |
Ø 各类报告
→ 审计报告
→ 安全事件
→ 运营报告(日报、月报、年报) |
|
| 4.远程评估 |
Ø 应用系统
→ IIS/Apache/Proxy/Weblogic/.Net等 |
Ø 操作系统
→ Windows/Linux/Unix等 |
Ø 数据库
→ Oracle/SQL Server/DB2/MySql/Sybase等 |
Ø 网络设备
→ 交换机/路由器/防火墙/VPN等 |
|
| 5.本地评估 |
Ø 安全策略
Ø 服务配置
Ø 应用程序
Ø 进程 |
Ø 帐号
Ø 日志
Ø 文件权限
Ø 病毒、后门 |
|
| 6.无线检测 |
Ø 内部的无线源
→ 公司外部的信号强度
→ SSID
→ 加密方式(无加密/WEP/WPA) |
Ø 外部的无线源
→ 无线网卡 |
|
| 7.综合渗透 |
Ø 社会工程
Ø 系统层
→ 溢出
→ 口令
Ø 应用层
→ 网站结构
→ 跨站
→ 注入
→ 暴破 |
→ 篡改
→ 密码策略
→ 日志记录
→ 信息泄露
→ 数据库连接
→ 加密策略
→ 目录遍历
→ 逻辑漏洞
→ 文件上传 |
|
| 8.技术保障体系 |
Ø 技术保障解决方案
→ 技术
→ 管理
→ 人 |
Ø 规划实施计划,分阶段实施
→ 短期
→ 中期
→ 长期 |
|
