在系统投入生产前进行全面的安全测试,可以减少系统的安全风险,但是如何做好上线的前的安全测试需要制定一套流程和关键节点的把控、培训方,自上而下的推广方可落地实施。
1、安全测试
1> 安全基线
定制安全应用和系统平台层的安全基线,在上线前进行安全检查,确保安全基线符合标准。
2> 运行环境漏扫
对系统平台层进行漏洞扫描,包括操作系统、数据库、中间件等,中高危漏洞必须修复后方可上线。
3> 代码审计
借助代码扫描工具对代码进行白盒扫描,可以搭建平台又研发进行上传代码自行扫描,安全人员辅助修改,确保无中高危漏洞。
4> 应用层漏扫
上线前通过应用层扫描工具对应用进行扫描,由安全人员判断出非误报漏洞提交研发进行修复。
5> 渗透测试
主要针对应用进行人工渗透测试。
6> 复测
以上发现的问题完全修复后方可投入生产。
2、资产记录
在一些大型国企做安全服务中发现由于历史IP资产数目较大,新增IP资产没有得到有效记录,导致IP资产管理混乱,一些边缘IP无对应责任人,存在严重的安全隐患。因此在系统上线前将新增IP资产进行记录,并整理历史IP资产,维护一份完整的IP资产列表对后期应急响应、漏洞排查至关重要。
记录内容如下:可以对seMF进行二次开发进行资产管理系统
ip资产记录
| IP | 作用 | 操作系统版本 | 数据库版本 | 中间件版本 | 端口信息 | 服务器位置 | 责任人 | 联系方式 |
应用系统资产记录
应用系统详细的拓扑信息、架构信息。