網站安全評估、網站漏洞測試、Web安全檢測

     網站安全檢測

網站安全檢測，也稱網站安全評估、網站漏洞測試、Web安全檢測等。
中文名 網站安全檢測

別    稱 也稱網站安全評估

檢測項目 XSS跨站腳本

輿論信息檢測 通過互聯網傳播的某些熱點

概念
它是通過技術手段對網站進行漏洞掃描，檢測網頁是否存在漏洞、網頁是否掛馬、網頁有沒有被篡改、是否有欺詐網站等，提醒網站管理員及時修復和加固，保障web網站的安全運行。
檢測項目編輯
1)SQL注入。檢測Web網站是否存在SQL注入漏洞，如果存在該漏洞，攻擊者對注入點進行注入攻擊，可輕易獲得網站的后臺管理權限，甚至網站服務器的管理權限。
2) XSS跨站腳本。檢測Web網站是否存在XSS跨站腳本漏洞，如果存在該漏洞，網站可能遭受Cookie欺騙、網頁掛馬等攻擊。
3)網頁掛馬。檢測Web網站是否被黑客或惡意攻擊者非法植入了木馬程序。
4)緩沖區溢出。檢測Web網站服務器和服務器軟件，是否存在緩沖區溢出漏洞，如里存在，攻擊者可通過此漏洞，獲得網站或服務器的管理權限。
5)上傳漏洞。檢測Web網站的上傳功能是否存在上傳漏洞，如果存在此漏洞，攻擊者可直接利用該漏洞上傳木馬獲得WebShell。
6)源代碼泄露。檢測Web網絡是否存在源代碼泄露漏洞，如果存在此漏洞，攻擊者可直接下載網站的源代碼。
7)隱藏目錄泄露。檢測Web網站的某些隱藏目錄是否存在泄露漏洞，如果存在此漏洞，攻擊者可了解網站的全部結構。
8)數據庫泄露。檢測Web網站是否在數據庫泄露的漏洞，如果存在此漏洞，攻擊者通過暴庫等方式，可以非法下載網站數據庫。
9)弱口令。檢測Web網站的后臺管理用戶，以及前臺用戶，是否存在使用弱口令的情況。
10)管理地址泄露。檢測Web網站是否存在管理地址泄露功能，如果存在此漏洞，攻擊者可輕易獲得網站的后臺管理地址。
11）網站性能檢測。檢測網站、子網站、欄目和重點頁面是否在線，記錄并統計該站點監測次數、可用次數、不可用次數及不可用的百分比，綜合統計站點的變更次數。
12）輿論信息檢測。
網絡輿論信息是通過互聯網傳播的某些熱點、焦點問題，公眾對其所持有的較強影響力、傾向性的言論和觀點，簡單來說就是互聯網上傳播的一些信息公眾對其所持有的言論。它主要通過微博、新聞跟貼、轉貼，論壇、博客等進行傳播和強化。對企業來說如果是一些正面消息還好，如果是負面消息，企業可能會做一些危機公關，但問題的關鍵是企業可能不知道這些負面消息散落在互聯網的什么地方。
網絡輿論信息檢測系統可以幫助你找到消息散落的地方，以分析報告的形式顯示消息具體的位置。本系統提供話題自動發現、自動追蹤、24小時監控及預警機制等。
網絡輿論信息監控系統依托自主研發的搜索引擎技術和文本挖掘技術，通過網頁內容的自動采集處理、敏感詞過濾、智能聚類分類、主題檢測、專題聚焦、統計分析，實現各單位對自己相關網絡輿論監督管理的需要，最終形成輿論信息簡報、輿論信息專報、分析報告、移動快報，為決策層全面掌握輿情動態，做出正確輿論引導，提供分析依據。
13主機安全檢測。
1、身份鑒別
對登錄操作系統和數據庫系統的用戶進行身份標識和鑒別；
操作系統和數據庫系統管理用戶身份標識應具有不易被冒用的特點，口令長度至少八位以上。口令有復雜度要求，如同時包含字母、數字、特殊字符等。定期更換口令；
啟用登錄失敗處理功能，如：限定連續登錄嘗試次數、鎖定帳戶、審計登錄事件、設置連續兩次登錄的時間間隔等；
設置鑒別警示信息，描述未授權訪問可能導致的后果；
當對服務器進行遠程管理時，采取必要措施，防止鑒別信息在網絡傳輸過程中被竊聽；
為操作系統和數據庫的不同用戶分配不同的用戶名，確保用戶名具有唯一性；
采用兩種或兩種以上組合的鑒別技術對管理用戶進行身份鑒別，并且身份鑒別信息至少有一種是不可偽造的，例如以公私鑰對、生物特征等作為身份鑒別信息。
2、自主訪問控制
依據安全策略控制主體對客體的訪問，如：僅開放業務需要的服務端口、設置重要文件的訪問權限、刪除系統默認的共享路徑等；
根據管理用戶的角色分配權限，實現管理用戶的權限分離，僅授予管理用戶所需的最小權限；
實現操作系統和數據庫系統特權用戶的權限分離；
嚴格限制默認帳戶的訪問權限，禁用或重命名系統默認帳戶，并修改這些帳戶的默認口令。及時刪除多余的、過期的帳戶，避免共享帳戶的存在。
3、強制訪問控制
應對重要信息資源和訪問重要信息資源的所有主體設置敏感標記；
強制訪問控制的覆蓋范圍應包括與重要信息資源直接相關的所有主體、客體及它們之間的操作；
強制訪問控制的粒度應達到主體為用戶級，客體為文件、數據庫表/記錄、字段級。
4、可信路徑
在系統對用戶進行身份鑒別時，系統與用戶之間能夠建立一條安全的信息傳輸路徑。
5、安全審計
審計范圍覆蓋到服務器和重要客戶端上的每個操作系統用戶和數據庫用戶；
審計內容包括系統內重要的安全相關事件，如：重要用戶行為、系統資源的異常使用和重要系統命令的使用等；
安全相關事件的記錄包括日期和時間、類型、主體標識、客體標識、事件的結果等；
安全審計可以根據記錄數據進行分析，并生成審計報表；
保護審計進程避免受到未預期的中斷；
保護審計記錄避免受到未預期的刪除、修改或覆蓋等；
安全審計能夠根據信息系統的統一安全策略，實現集中審計。
6、剩余信息保護
保證操作系統和數據庫管理系統用戶的鑒別信息所在的存儲空間，被釋放或再分配給其他用戶前得到完全清除，無論這些信息是存放在硬盤上還是在內存中；
確保系統內的文件、目錄和數據庫記錄等資源所在的存儲空間，被釋放或重新分配給其他用戶前得到完全清除。
7、入侵防范
能夠檢測到對重要服務器進行入侵的行為，能夠記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時間，并在發生嚴重入侵事件時提供報警；
能夠對重要程序完整性進行檢測，并在檢測到完整性受到破壞后具有恢復的措施；
操作系統遵循最小安裝的原則，僅安裝需要的組件和應用程序，并通過設置升級服務器等方式保持系統補丁及時得到更新。
8、惡意代碼防范
安裝防惡意代碼軟件，并及時更新防惡意代碼軟件版本和惡意代碼庫；
主機防惡意代碼產品具有與網絡防惡意代碼產品不同的惡意代碼庫；
支持防惡意代碼的統一管理。
9、資源控制
通過設定終端接入方式、網絡地址范圍等條件限制終端登錄；
根據安全策略設置登錄終端的操作超時鎖定；
對重要服務器進行監視，包括監視服務器的CPU、硬盤、內存、網絡等資源的使用情況；
限制單個用戶對系統資源的最大或最小使用限度；
當系統的服務水平降低到預先規定的最小值時，能檢測和報警。
14）物理安全檢測。
1、物理位置的選擇
機房和辦公場地選擇在具有防震、防風和防雨等能力的建筑內；
機房場地避免設在建筑物的高層或地下室，以及用水設備的下層或隔壁。
2、物理訪問控制
機房出入口安排專人值守并配置電子門禁系統，鑒別進入的人員身份；
需進入機房的來訪人員經過申請和審批流程，并限制和監控其活動范圍；
對機房劃分區域進行管理，區域和區域之間設置物理隔離裝置，在重要區域前設置交付或安裝等過渡區域；
重要區域配置第二道電子門禁系統，控制、鑒別和記錄進入的人員身份。
3、防盜竊和防破壞
將主要設備放置在物理受限的范圍內；
對設備或主要部件進行固定，并設置明顯的不易除去的標記；
將通信線纜鋪設在隱蔽處，如鋪設在地下或管道中等；
對介質分類標識，存儲在介質庫或檔案室中；
利用光、電等技術設置機房的防盜報警系統，以防進入機房的盜竊和破壞行為；
對機房設置監控報警系統。
4、防雷擊
機房建筑設置避雷裝置；
設置防雷保安器，防止感應雷；
機房設置交流電源地線。
5、防火
設置火災自動消防系統，自動檢測火情、自動報警，并自動滅火；
機房及相關的工作房間和輔助房采用具有耐火等級的建筑材料；
機房采取區域隔離防火措施，將重要設備與其他設備隔離開。
6、防水和防潮
水管安裝，不穿過屋頂和活動地板下；
對穿過機房墻壁和樓板的水管增加必要的保護措施，如設置套管；
采取措施防止雨水通過機房窗戶、屋頂和墻壁滲透；
采取措施防止機房內水蒸氣結露和地下積水的轉移與滲透；
安裝對水敏感的檢測儀表或元件，對機房進行防水檢測和報警。
7、防靜電
設備采用必要的接地防靜電措施；
機房采用防靜電地板；
采用靜電消除器等裝置，減少靜電的產生。
8、濕度控制
機房設置溫濕度自動調節設施，使機房溫、濕度的變化在設備運行所允許的范圍之內。
9、電力供應
在機房供電線路上設置穩壓器和過電壓防護設備；
提供短期的備用電力供應（如UPS設備），至少滿足設備在斷電情況下的正常運行要求；
設置冗余或并行的電力電纜線路為計算機系統供電；
建立備用供電系統（如備用發電機），以備常用供電系統停電時啟用。
10、電磁防護
應采用接地方式防止外界電磁干擾和設備寄生耦合干擾；
電源線和通信線纜應隔離，避免互相干擾；
對重要設備和磁介質實施電磁屏蔽；

服務熱線：400-669-0203 020-29178595 QQ2557064750 2649046091 http://www.simou.net.cn/ http://www.innor.org/