北京智恒网安科技有限公司本月18日发布一款:基线安全配置核查系统cvs,本产品主要解决政府机构、电信运营商、电力、金融等重点信息化领域面临的配置安全问题,也适用于国内大中型企事业单位自我安全风险评估。
随着各类it设备种类和数量不断增加,其安全风险管理问题日渐凸出,各类设备包括服务器、网络设备在内的设备风险检查评估工作成了基础安全建设的薄弱环节。为了维持it信息系统的安全并方便管理,必须从入网测试、工程验收和运行维护等设备全生命周期各个阶段加强和落实安全要求,同时需要设立满足安全要求的安全基准点。
信息系统的基础配置操作是否安全是安全风险的重要产生原因,而满足大量信息系统设备的安全配置要求,对技术人员水平要求相对较高,需要对各类系统包括网络设备、各个操作系统、数据库等都深入了解的人员则更少, 如何快速、有效的检查设备,又如何集中收集核查的结果,以及风险评估报告,并且最终识别那些与安全规范不符合的项目,以达到整改合规的要求,这些是网络安全运维人员面临的挑战。
因此,针对行业的业务系统建立安全检查点与操作指南的基准安全标准,则成为各个行业安全管理人员最为紧迫的事情。基准安全标准将形成针对不同系统的详细checklist表格和操作指南,为标准化的技术安全操作提供了框架和标准。 等级保护建设中的安全测评就包含了大量的基础配置安全标准。
在此背景下,智恒科技推出了这款专用检查工具——智恒基线安全配置核查系统(简称:cvs)产品。该产品基于智恒科技多年安全服务的积累,形成完善的安全配置知识库,该知识库涵盖了操作系统、网络设备、数据库、中间件等多类设备及系统的安全配置加固建议,通过该知识库可以全面的指导it信息系统的安全配置及加固工作。特别是通过该产品能够采用机器语言,自动化的进行安全配置检查,从而节省传统的手动单点安全配置检查的时间,并避免传统人工检查方式所带来的失误风险,同时能够出具详细的检测报告。它可以大大提高检查结果的准确性,让检查工作变得轻松简单。
对于行业内传统的漏洞扫描工具与基线安全最大的区别就是:漏洞扫描系统是黑箱测试、测试结果需要人工验证,由于系统权限问题,检查范围以及结果较粗,带有大量的误报和漏报。而基线安全配置核查系统则相对精准,无论是误报率和漏报率均较低,适合于真正意义上的风险评估。
