项目编号:[230001]zzgj[CS]20220199网站安全监测 • October 28th, 2022
工检查。 基线检查服务报告须包括工作基本任务描述、工作相关人员、时间、地点、范围、内容等多方面内容,并对被检查信息安全配置进行客观的评价,对存在安全隐患或配置缺失的部分给出有针对性的安全修补建议。 3.4 服务内容要求 服务方须根据哈尔滨理工大学工作需求,采用人工现场设备检查的方式对客户指定系统和设备等进行全面的安全基线检查服务,发现配置的不合规项,并结合行业实际需求提出系统整改建议,输出报告。 服务网供应商基线检查服务内容包括但不限于以下内容: 检查对象和类型: 主机:WINDOWS、LINUX、AIX、HP-UNIX、SOLARIS等。 数据库:MSSQL、ORACLE、SYBASE等。 中间件:IIS、APACHE、WEBLOGIC、JBOSS等。 网络/安全设备:防火墙、路由器、交换机等。 主机安全检查: 业务系统涉及到的操作系统,如Windows 、Linux、Aix、Unix等进行安全漏洞及安全配置缺陷的检查与评估。检测内容包括(但不限于):身份鉴别方式、帐号安全设置、远程管理方式、多余帐号和空口令检查、默认共享检查、文件系统安、网络服务安全、系统访问控制、日志及监控审计、拒绝服务保护、补丁管理、病毒及恶意代码防护、系统备份与恢复、硬件冗余情况、硬盘分区格式等安全情况。 数据库安全检查: 业务系统涉及到的数据库,如MySql、Oracle、DB2、sql等数据库系统进行安全漏洞及安全配置缺陷的检查与评估。检测内容包括(但不限于):身份认证方式、帐号安全设置、管理权限和角色设置、多余帐号和缺省口令检查、数据库目录和文件系统安全、监听器管理设置、日志及监控审计、数据库版本和补丁管理、数据库备份策略、硬件冗余情况等安全情况。 网络设备配置检查: 对客户信息系统涉及到的网络设备,如防火墙、入侵检测(入侵保护)系统、路由器、交换机等进行安全漏洞及安全配置缺陷的检查与评估。检测内容包括(但不限于):帐号安全设置、管理权限和角色设置、多余帐号和缺省口令检查、备份和升级情况、访问控制、路由协议、日志审核、网络攻击防护及端口开放、远程访问等安全情况。 中间件安全检查: 对业务系统涉及到的中间件,系统包括:weblogic、apache、IIS、WAS等进行安全漏洞及安全配置缺陷的评估。检测内容包括(但不限于):系统和中间件的可用性、系统和中间件的完整性、系统中间
