Thứ hai, 20 Tháng 11 2017

Gói 1: 

Kiểm tra, rà soát, tư vấn khắc phục  an ninh thông tin của hệ thống từ bên ngoài ( hệ thống máy chủ, hệ thống Website, Hệ thống Trading ) - Blackbox (Xem bản chi tiết Web Checklist):

  1. Đối với máy chủ:
  • Đánh giá an ninh chung đối với máy chủ:
    • Mật khẩu
    • Chính sách backup và restore dữ liệu
    • Phân loại và mã hóa dữ liệu
    • An ninh phòng máy chủ
  • Đánh giá an ninh đối với hệ điều hành
    • Hệ thống user
    • Cấu hình dịch vụ
    • Phân quyền file và thư mục hệ thống
  • Đánh giá an ninh phần mềm dịch vụ (Web, Database, Mail, FTP…)
    • Cấu hình cho các phần mềm dịch vụ
    • Phân quyền hệ file và thư mục cho các dịch vụ
  • Đánh giá an ninh toàn bộ hệ thống
  • Tư vấn, hướng dẫn khắc phục các lỗ hổng và nguy cơ đang tồn tại trên hệ thống.
  • Kiểm tra, đánh giá lại kết quả khắc phục toàn bộ hệ thống.
  1. Đối với hệ thống Web:
  • Thu Thập Thông Tin Hệ Thống
    • Thu thập thông tin tên miền
    • Thu thập thông tin Web Hosting
  • Quét và đánh giá sơ bộ về hệ thống
  • Đánh giá an ninh các dịch vụ chung đang chạy trên hệ thống
    • Đánh giá an ninh Web Server Environtment
    • Đánh giá an ninh Database Server Environment
    • Đánh giá an ninh Source Code Environment
    • Đánh giá an ninh của Platform, Portal
    • Thu thập thông tin về các đường link hay thông tin nhạy cảm
    • Đánh giá nguy cơ ban đầu có thể có
  • Đánh giá an ninh website
    • Thu thập tất cả các tham số có thể thay đổi của hệ thống
    • Kiểm tra lỗ hổng SQL Injection
    • Kiểm tra lỗ hổng Blind SQL Injection & Time Based Attack
    • Kiểm tra lỗ hổng XSS vàCSRF
    • Kiểm tra HTTP HeaderInjection
    • Kiểm tra OS Command Injection
    • Kiểm tra Directory Traversal
    • Kiểm tra File Inclusion
    • Kiểm tra LDAP Injection
    • Kiểm tra XPAth Injection
  • Kiểm tra khả năng quản lý truy nhập
    • Kiểm tra chính sách đặt mật khẩu
    • Kiêm tra khả năng brute force mật khẩu
    • Kiểm tra chức năng Remember me có an toàn
    • Kiểm tra khả năng mạo nhận
    • Kiểm tra session và cookie:
    • Xác định ý nghĩa của các token
    • Kiểm tra khả năng thay đổi token
  • Kiểm tra thông tin nhạy cảm trên cookie
  • Kiểm tra các lỗ hổng Logic đặc thù của mỗi hệ thống chứng khoán
  • Tư vấn khắc phục lỗ hổng

Gói 2

Kiểm tra, rà soát, tư vấn khắc phục an ninh thông tin của hệ thống từ bên trong ( hệ thống máy chủ, hệ thống Website, Hệ thống Trading ) - White Box:

  • Tạo môi trường thử nghiệm: Trong trường hợp có thể tiến hành kiểm tra source code từ xa, chúng tôi sẽ xây dựng lại hệ thống giả lập để thử nghiệm. Việc xây dựng hệ thống này được đảm bảo nghiêm ngặt và cô lập  về  hệ  thống  mạng.  Tránh  mọi nguy cơ rò rỉ mã nguồn.
  • Kiểm tra Black Box ( Gói 1 ):Việc kiểm tra hộp trắng vẫn đòi hỏi có sự kiểm tra ban đầu từ bên ngoài để có thể hiểu logic của ứng dụng, nhằm phục vụ công việc tìm lỗ hổng trong mã nguồn
  • Kiểm tra White Box: Rà soát toàn bộ mã nguồn để tìm kiếm lỗ hổng an ninh
  • Kiểm tra bằng Tool:  Rà soát mã nguồn bằng công cụ kiểm tra đặc thù chuyên dụng của nước ngoài. Việc kiểm tra bằng công cụ làm giảm thiểu khả năng bỏ sót các module.
  • Tư vấn, hướng dẫn khắc phục các lỗ hổng và nguy cơ đang tồn tại trê hệ thống. Hỗ trợ xây dựng bản vá.
  • Kiểm tra, đánh giá lại kết quả khắc phục toàn bộ hệ thống.        

Gói 3

  • Kiểm tra an ninh tổng thể doanh nghiệp
  • Hệ thống Máy chủ, Thiết bị
  • Hệ thống Website, Trading
  • Kiểm tra người dùng cuối
  • Kiểm tra chính sách bảo mật của doanh nghiệp
  • Tư vấn khắc phục
  • Gói 3 đã bao gồm gói 1+2

Gói 4

Sẽ  thường  xuyên  tiến  hành kiểm tra hệ thống và sẽ định kỳ gửi các báo cáo tháng cùng các cập nhật mới nhất về tình hình an ninh mạng đến khách hàng.

( Đã triển khai gói 1 hoặc gói 2 hoặc gói 3 )

 

 

Banner0

handbook2016