前几年,公司要我们做一个安全红线项目,整个公司当时没人做过安全相关项目。现在聊聊我当时是如何在没有做过安全测试的情况下,在网上资料甚少的情况下通过了国际安全标准。
一、前期调研
1、调研各种扫描工具,到官网联系他们,了解后进行产品比较。
安全加固少不了各种安全扫描工具和病毒扫描工具,扫描范围包括web扫描、系统服务器扫描、数据库扫描、端口扫描、病毒扫描、代码安全扫描、中间件扫描等。下面介绍一些国际比较认可的扫描工具。
web扫描工具:
AWVS:官方网址https://www.acunetix.com/
SECSCAN:越权漏洞检测工具https://github.com/ztosec/secscan-authcheck
AppScan:AppScan是IBM的一款web安全扫描工具
为什么要进行web扫描?
人工是不可能全量测试sql注入、xss攻击等,用web扫描工具可以很好的解决这个问题。
安全配置扫描工具:
SecureCAT:扫描范围,包括:DB、OS、WEB
主机漏洞扫描工具:
NEXPOSE: 个人觉得应该是最强大的主机漏洞扫描工具,在系统做了安全加固后,其他工具扫描不出多少个漏洞了,只有NEXPOSE可以扫描出来上百个漏洞,当然不是每个漏洞扫描出来的结果都是正确的。
GSM:
SECVAS:
端口扫描工具: Zenmanp
数据库漏洞扫描工具: Scuba
代码扫描工具: Fortify、sonar
Nessus:可定制所有类型的扫描,当然价格非常昂贵。
病毒扫描:
Avira(小红伞)、BD(BitDefender)、Kav(卡巴斯基)、McAfee(迈克菲)、OSCE(趋势)、Symantec(赛门铁克)
二、实操,进行比较:
这些工具有些有免费版的,免费版的够用吗?当然不够,实际使用中,免费版扫描出来的漏洞特别少,人工进行安全加固后就几乎没有了。
但是收费的扫描出来的就是质量高的效果吗?不是,这里整理出来的是质量比较好的一些牌子。知道有些公司产品的安全项目找外面的一些公司做的,我看过他们的报告之后,觉得远远不如我自己做的安全加固。曾经找过外面的公司的安全工具,效果不理想。这里就不细说了。
主机扫描最好用的工具是NEXPOSE ,个人觉得应该是最强大的主机漏洞扫描工具,在系统做了安全加固后,其他工具扫描不出多少个漏洞了,只有NEXPOSE可以扫描出来上百个漏洞,当然不是每个漏洞扫描出来的结果都是正确的。而且可能扫出来的6个漏洞其实最终是同一个。
三、进行安全加固
网上资料很少,怎么进行安全加固呢?
1.可以参考一些大厂的加固方案,但是有几个注意的地方。大厂放在网上的加固方案内容特别少,版本比较老,不一定适用。这时候怎么办?就是去一条条测试他们的加固方法,会发现有的加固方法的文件名或文件位置或参数修改方法在不同版本是不一样的。这里就是要一条条测试,一个个去踩坑,才能整理出最适用自己公司系统的加固方案。
一定要有一个专门做安全测试的环境,因为测试工程中可能会导致系统崩溃。
2.各大厂的加固方法内容比较少和版本比较老。所以当时我用lynis进行Linux系统扫描,将扫描出来的漏洞,一个个根据它的建议进行修复,如果它的建议不具体,那可以到网上进行查询,大部分漏洞修复方法需要科学上网才能找到。
通过这2个方法当时我做的加固被对接人称为他扫描过的项目中漏洞最少的。这里我也整理了centos/Linux和MySQL数据库安全加固方法
centos/Linux安全加固方案:https://blog.csdn.net/sophiasofia/article/details/135993327?spm=1001.2014.3001.5502
MySQL安全加固方案:https://blog.csdn.net/sophiasofia/article/details/135997657?spm=1001.2014.3001.5501
四、执行安全基线用例
五、修复漏洞
—有时间会进行补充—
1359
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
