盘点清查与检测扫描 - 安全性检测之弱点扫描

完成铁人赛後一下子就放松下来，该完成的还是继续完成，FIGHT

适用人员: 技术人员。
适用法规: 资通安全责任等级分级办法 - 附表十资通系统防护基准.PDF

• 技术面分类提要
• 网路架构的检视
• 端点的安全防护
• 应用开发的防护基准
• 盘点清查与检测扫描
  • 盘点文件、清查旧系统、帐号
  • 安全性检测
    • 弱点扫描
    • 渗透测试
  • 资通安全健诊

安全性的检测目的在清查应用系统上是否存在弱点、威胁，试图找出并对其进行修补。在实施上相对简单，只需要利用软件工具进行「弱点扫描」与「渗透测试」即可。困难的地方在於事後对於报告上的弱点进行修补，因此建议在工具的选择上多多比较，看看哪一套容易判读与拥有较低的误判率。技术人员建议越早进行、在各阶段性进行扫描以提早发现弱点，加速修补过程。

弱点扫描: 又分为主机与应用程序(网页)。主要找出已知的弱点
广义上来说，只要会影响在资产价值的机密性、完整性、可用性即可称为弱点，实际执行上工具则以 CVE 资料库为主要比对项目。

• 结果依风险等级分为高、中、低
• 核心资通系统一般会要求至少修补高、中风险以上(注1)
• 主机弱点扫描工具
  • Nessus
  • Free Nexpose Community
• AP(网页)弱点扫描工具
  • Acunetix | Web Application Security Scanner。有试用版
  • AppScan

渗透工具留在下一篇好了...

参考资源

修正「教育部委外办理或补助建置维运伺服主机及应用系统网站资通安全及个人资料保护管理要点」