项目背景

xx股份有限公司作为证券行业的龙头企业，具有一定的标杆性和代表性，中国证券行业长期、持续、全面领先的综合金融服务商。
由于高保障系统及互联网应用的发布日益频繁，互联网应用系统面临的安全风险和信息泄露等危害。黑客的攻击方式多种多样，需要安全测试人员定时对互联网资产进行安全测试，并且实时监测安全设备，及时发现应用中存在的弱点，以及相关威胁。
因此客户希望建立完整的全面的蓝队体系，提升企业整体安全水平。

需求分析

• 暴露面检测

资产排查，对xx公司及子公司互联网资产(利用关键字、相关服务、相关域名等方式)。
应用系统发布安全检测，针对xx公司互联网应用，包括微信公众号、小程序、APP等，采用手工和技术手段对应用系统发布的需求进行安全渗透测试。
应用系统SIT环境全量检测，针对所有xx公司的互联网应用，包括微信公众号、小程序、APP等，以及高保障系统的SIT环境，采用手工和技术手段定期进行应用系统全量的渗透测试检测；集团应用采用手工和技术手段进行一轮应用系统全量的渗透测试检测。

阅读全文 »

案例描述

项目背景：
为了提高党政机关、关键信息基础设施运营者采购使用云计算服务的安全可控水平，切实掌握A市电子政务云存在的网络安全风险，并为之后党政机关、关键信息基础设施运营者将业务及数据向政务云迁移提供数据支撑，A市委网信办委托X恒信息对市内五家政务云平台开展网络安全风险评估。
项目意义：

1. 战略意义：作为市级安全评估项目，本项目的成功实施可借市委网信办将影响力向下和向外辐射，为区域带来更多的安全服务战略部署机会和服务商机；
2. 技术积累：本项目为区域首个政务云安全评估项目，实现了本区域政务云安全评估方案和经验从无到有的过程，增加部门知识库沉淀。
3. 借鉴意义：在全国同类项目案例较少，本项目同时也能为其他区域同类项目构建实施带来一定的参考价值。

分析过程

1. 针对客户方：评估内容应有相关标准作为支撑，项目实施之前需要明确客户对于评估内容的需求和相关控制要求，并对客户期望通过本次项目达到的目的进行沟通。
2. 针对云服务商：评估过程中既要保证检查内容完整覆盖，又要降低相关人员主观意志带来的影响，因此需要合理设计评估方法。
3. 针对项目实施人员：不同实施人员对于评估内容，判定标准及理解有偏差，可能导致最终结果与实际内容有偏差，因此需要考虑到评估项细粒度问题，并明确判定标准。

解决方法

拟定评估内容

2019年中央网信办发布了《云计算服务安全评估办法》，其中第三条对云计算服务安全评估重点内容做出了相应要求，可参考的现行标准有国标GB/T 31168-2014《信息安全技术云计算服务安全能力要求》，GB/T 31167-2014《信息安全技术云计算服务安全指南》。我们根据上述“办法”和“标准”拟定本次项目评估内容为以下几个方面：

• 云平台管理运营者的基本情况
• 云服务商人员背景及稳定性
• 云平台技术、产品和服务供应链安全
• 云服务商安全管理能力及云平台安全防护情况
• 客户迁移数据的可行性和便捷性
• 云服务商的业务连续性

设计评估方法

调研访谈
调研访谈是安全评估项目中最常用最快捷有效的手段。服务团队结合政务云的业务实际需要以及评估内容，对评估实施范围内涉及到的所有信息系统和资产进行问卷调研。包括云平台组成、云平台业务流程、数据流向、资产内容、资产清单、已有的安全控制措施、安全策略等。
配置检查
主要通过人工或者工具，对云平台相关服务器、平台自身、网络设备、安全设备的安全配置进行核查，确认当前安全配置情况是否符合评估内容的要求。
功能验证
对于技术评估内容部分，在相关调研访谈结束后，采用工具或人工的方式对其进行验证，以实际验证结果为准确定当前安全控制是否符合相关要求。通过建立安全场景，参考评估内容，从各个方面对政务云的安全功能及能力进行验证。
安全策略评估
安全策略是对整个网络在安全控制、安全管理、安全使用等最全面、最详细的策略性描述，它是整个网络安全的依据。策略一旦制订，应当作为整个网络安全行为的准则。这一步工作，就是从整体网络安全的角度对现有的网络安全策略进行全局性的评估，它也包含了技术和管理方面的内容。

整理评估结果

整理五家政务云服务商安全评估结果，汇总每家政务云平台评估情况，针对检测结果数据进行深入分析，归纳总结出目前A市电子政务云的安全现状。针对不同人员对评估理解差异性问题，应注意前期的评估表单尽量细化，如果能做到只让评估人员做选择项，这样可以降低人员理解差异性，提高评估结果准确度。

分析安全风险

结合评估结果，分析A市目前电子政务云存在的网络安全风险。这一项主要是根据实际评估结果进行分析，没有固定内容，如安全机制风险、安全防护能力风险，云服务商和云租户网络安全责任划分风险等等，便不做详述。

提出安全建议

根据客户期望达到的目的：“提高党政机关、关键信息基础设施运营者采购使用云计算服务的安全可控水平，掌握A市电子政务云存在的网络安全风险，为之后党政机关、关键信息基础设施运营者将业务及数据向政务云迁移提供数据支撑”，在提出综合安全建议时应涵盖到三个方面：1）政府监管部门监督管理建议；2）云服务商网络安全建议；3）云租户安全上云建议。另外在向客户报告问题时，应注意用词、描述准确、数据准确，尽量避免使用大多数、相关等词；如能提供准确数据支撑，就不要使用“定期开展渗透或者扫描”类似话术。

注意事项

1. 在项目实施过程中，不论是调研访谈还是技术验证都应有具体的材料为评估结果提供支撑，如云服务商人员背景调查记录，技术验证结果截图等，做到每条评估结果“有据可依”。
2. 实施过程中应注意三方沟通（X恒信息、网信办、政务云服务商），如云服务方担心敏感信息问题，截图时可让用户对敏感信息进行部分打码，拿到的截图能证明相关安全控制项有效即可。如需检查财务报表等敏感文件，可协调让用户方（网信办）发函让云服务方配合提供，现场检查时查阅。

问题描述

最新发布的明御运维审计与风险控制系统版本2.0.8.4支持LINUX应用中心
由于LINUX应用中心工具需要填写应用的路径，那么我们怎么查询诸如UOS浏览器所在路径呢？

解决方法

通常情况下应用在/usr/bin/目录下，如下以查找UOS浏览器默认路径举例。

• 点击启动器，右键UOS浏览器，发送到桌面
  
• 打打开终端，将桌面的UOS浏览器拖动到终端中，就能看到应用的名称，如下图org.deepin.browser就是应用的名称，desktop只是代表它的位置
  
• 然后输入如下指令，最后的参数为上一步查到的应用名称，命令查到的结果为此应用所有的相关文件

  sudo dpkg -L org.deepin.browser

就能确认UOS浏览器应该是这个/usr/bin/browser的文件

• 验证这个文件是否能打开UOS浏览器，可以正常打开

sudo su
cd /
./usr/bin/browser --no-sandbox

问题描述

明御运维审计与风险控制系统版本：2.0.8.3.4
应用发布版本：windows server 2016
问题描述：
部署好应用发布后，运维黑屏，一直卡在启动应用过程

分析过程

1.查看运维日志有正常登录的情况
2.应用发布服务器上应用加载器已更新，与堡垒机保持同版本。且重新部署应用加载器现象相同
3.应用发布服务器上检查没有其他安全软件拦截，使用服务器其他账户登录现象相同。

阅读全文 »

centos7忘记root密码后，可以通过linux的单用户救援机制下进行修改。过程如下：

• 开机时进入如下界面，
  
• 按e键出现下面界面进行修改
  
• 按方向键下，定位到最后，找到“ro”一行，ro的意思是read only，将“ro”替换成 rw init=/sysroot/bin/sh，如下图
  
• 按Ctrl-x 进行重启进入单用户模式
• 进入以后执行以下命令并根据提示修改密码

chroot /sysroot
password root
touch /.autorelabel
exit
reboot