什么是安全评估

　　安全评估指采用科学、系统的方法对被评估单位的关键设施（操作系统、数据库、应用

服务器、网络设备等）的安全状况进行评估，从网络架构层面、主机系统层面、应用层

面、数据层面等多点、多层次全面审核以发现关键技术设施在安装部署、认证授权、安全审

计、运行维护等方面存在的技术安全隐患，并提出相应的整改建议。

 

· 网站扫描

　　使用专业应用层扫描工具对用户服务器的应用程序及网站页面进行安全检查，查找应用

漏洞。并提供补救措施建议。

 

·系统扫描

　　对用户服务器操作系统进行漏洞扫描，查找系统漏洞。并将扫描结果以评估报告形式提

交用户。

 

·操作系统核查

参照Checklist对操作系统进行人工核查，如安全配置核查：系统管理和维护的正常配

置，合理配置，及优化配置。例如系统目录权限，帐号管理策略，文件系统配置，进程通

信管理等。安全机制检查：安全机制的使用和正常配置，合理配置，及优化配置。例如日志

及审计、备份与恢复，签名与校验，加密与通信，特殊授权及访问控制等。

 

·数据库核查

参照Checklist人工审核数据库各项安全设置，包括帐户管理、不安全的存储过程、权

限管理等。

 

·安全设备核查

参照Checklist和网络状况审核安全设备各项设置，挖掘不符合安全策略的隐患并提供

安全优化建议。

 

·网站程序加固

　　针对安全评估中检查到的网站应用程序漏洞和薄弱环节进行修补加固。

 

·操作系统加固

　　针对安全评估中检查到的操作系统漏洞和薄弱环节进行修补加固。服务主要内容包括：

　　Windows操作系统

　　补丁、文件系统、帐号管理、网络及服务、注册表、共享、应用软件、审计/日志等。

　　LINUX/FreeBSD/UNIX操作系统

补丁、文件系统、配置文件、帐号管理、网络及服务、NFS系统、应用软件、审计/日

志，其它（包括专用安全软件、加密通信，及数字签名等）。

 

·数据库加固

针对安全评估中检查到的数据库漏洞和薄弱环节进行修补加固。主要内容包括：数据库

系统的补丁、账号管理、口令强度和有效期检查等。

 

·安全设备加固

针对安全评估中检查到的安全设备配置漏洞和薄弱环节进行修补加固，优化安全设

置，满足严格的安全策略。