团队LOGO

图片

山东信息安全小组(Shandong Information Security Team)是山东省内民间技术爱好团队之一,我们由原来的山东黑客联盟发展而来，历经近5年，发展为一个民间非商业性的综合计算机讨论平台。主要以企业级网络安全、综合网络架构、企业级VPN、系统底层编程、SNS以及面向Web2.0和HTML5.0的应用程序展开讨论与研究。欢迎广大对计算机爱好的朋友们来这里发表您的观点与见解。我们会着手打造一个良好的交流平台。

网站渗透/安全评估测试

由山东信息安全小组渗透工程师对Web脚本程序进行渗透测试，包括常规/非常规的SQL注入、上传、跨站、包含、XSS、CSRF等。对存在的问题根据测试结果提出改进/修复方案，并给于适合的整体架构方案。为了避免第三方的恶意攻击，整个过程中对于您网站的渗透及测试结果我们将予以严格保密。

安全评估服务

安全评估由专业的安全架构和分析人员采用科学、系统的方法对被评估单位的关键设施（操作系统、数据库、应用服务器、网络设备等）的安全状况进行评估，从网络架构层面、主机系统层面、应用层面、数据层面等多点、多层次全面审核以发现关键技术设施在安装部署、认证授权、安全审计、运行维护等方面存在的技术安全隐患，并提出相应的整改建议。

风险评估

根据安全风险评估模型，风险评估就是对资产、威胁、脆弱性及风险的评估，参见下图。资产的评估主要是对资产进行相对估价，而其估价准则就是依赖于对其影响的分析。威胁评估就是对资产所受威胁发生可能性及威胁严重程度的评估。脆弱性的评估是对资产脆弱程度的评估，也即是对资产被威胁利用成功的可能性的评估。安全风险评估就是通过综合分析评估后的资产信息、威胁信息和脆弱性信息，最终生成风险信息。

系统评估

参照Checklist对操作系统进行人工核查，如安全配置核查：系统管理和维护的正常配置，合理配置，及优化配置。例如系统目录权限，帐号管理策略，文件系统配置，进程通信管理等。安全机制检查：安全机制的使用和正常配置，合理配置，及优化配置。例如日志及审计、备份与恢复，签名与校验，加密与通信，特殊授权及访问控制等。

数据库评估

参照Checklist人工审核数据库各项安全设置，包括帐户管理、不安全的存储过程、权限管理等。对MySQL，Microsoft Access，MSSQL，Oracle，PostgreSQL等数据库进行安全评估。

网络架构分析与测试

网络架构分析是通过对公司评估范围内信息系统的 网络拓扑及网络层面细节架构的评估，主要从以下几个方面进行分析：

> 网络建设的规范性：网络安全规划、设备命名规范性、网络架构安全性；

> 网络的可靠性：网络设备和链路冗余、设备选型及可扩展性；