GIỚI THIỆU DỊCH VỤ

Kiểm định và kiện toàn cấu hình máy chủ là một quy trình cần được triển khai trong những doanh nghiệp, tổ chức áp dụng Công nghệ thông tin vào việc quản lý, cung cấp dịch vụ người dùng và phục vụ kinh doanh. Việc kiểm định an toàn hệ thống giúp loại bỏ những cấu hình mặc định không an toàn khi triển khai cài đặt mới hệ thống, cũng như đối với hệ thống đang vận hành. Kiện toàn hệ thống giúp tránh việc rò rỉ các thông tin về cấu trúc hệ thống, tăng cường tính chất Xác thực, Phân quyền, Giám sát theo mô hình bảo mật tam giác AAA (Authorization, Authentication, Audit), bảo đảm an toàn cho hệ thống theo mô hình CIA (Confidentiality, Integrity, Availability).

QUY TRÌNH THỰC HIỆN

Các chuyên viên tại BTIS sẽ thực hiện đánh giá hệ thống máy chủ dựa trên tiêu chuẩn NIST (National Institute of Standards and Technology), CIS Security Benchmarks nhằm thực hiện thu thập và đánh giá các hạng mục sau:

HỆ ĐIỀU HÀNH

Microsoft Windows

Unix/Linux

VMWare

MacOS

  • Kiểm tra các bảng cập nhật, vá lỗi và các phần mềm bảo mật.
  • Kiểm tra cấu hình tập tin hệ thống (Ext3, NTFS).
  • Kiểm tra các dịch vụ hệ điều hành.
  • Kiểm tra các dịch vụ đặc biệt.
  • Kiểm tra log và các dịch vụ theo dõi sự kiện hệ thống (auditing services).
  • Kiểm tra cấu hình mạng và tường lửa.
  • Kiểm tra vấn đề phân quyền truy cập hệ thống, xác thực.
  • Kiểm tra các tài khoản và các môi trường.
  • Kiểm tra các cấu hình cảnh báo về quyền.
  • Kiểm tra các vấn đề bảo trì hệ thống.
CƠ SỞ DỮ LIỆU

SQL Server

MySQL

Oracle

  • Kiểm tra cấp độ hệ điều hành.
  • Kiểm tra phân quyền tập tin hệ thống.
  • Kiểm tra log.
  • Kiểm tra các vấn đề chung liên quan đến cơ sở dữ liệu.
  • Kiểm tra quyền truy cập cơ sở dữ liệu.
  • Kiểm tra các cấu hình tùy chỉnh.
  • Kiểm tra các cấu hình SSL.
  • Kiểm tra các cấu hình sao lưu và phục hồi sau thảm họa.
MÁY CHỦ WEB

IIS

Apache

Nginx

  • Kiểm tra quá trình cài đặt máy chủ web.
  • Kiểm tra cấu hình hệ điều hành và quản lý truy cập.
  • Kiểm tra các cấu hình bảo mật thư mục lưu trữ mã nguồn web.
  • Kiểm tra các cấu hình xác thực và giải pháp mã hóa.
  • Kiểm tra các cấu hình SSL/TLS.
  • Kiểm tra các cấu hình logging.
  • Kiểm tra các cấu hình sao lưu hệ thống.
  • Kiểm tra các cấu hình truy cập từ xa và cập nhật nội dung mã nguồn.
NETWORK

(Cisco, Juniper…)

  • Kiểm tra các yêu cầu truy cập thiết bị (AAA, Access rule, Banner rule, Password…).
  • Kiểm tra các yêu cầu quản trị thiết bị (Clock, Service, Log, NTP…).
  • Kiểm tra các yêu cầu truyền dẫn số liệu (Border routing, Neighbor authentication, Routing rule….).

BÁO CÁO

  • Báo cáo chi tiết bao gồm các tài nguyên ( hạng mục thực hiện, thông tin tham khảo, hướng khắc phục) và báo cáo đánh giá chi tiết về nguyên nhân, nguy cơ, mức độ ảnh hưởng, phân cấp mức độ nghiêm trọng của hạng mục đánh giá được tìm thấy theo 02 cấp độ an ninh khác nhau, hiển thị tại đồ thị thống kê tỉ lệ xuất hiện của lỗ hổng.
  • Các hạng mục được đánh giá bao gồm các trạng thái Thỏa/ Không thỏa điều kiện an ninh yêu cầu tại hệ thống.
  • Chúng tôi sẽ thực hiện trình bày chi tiết về  hệ thống cho phía khách hàng thông qua một buổi trình bày trực tiếp nếu khách hàng có yêu cầu (các slide trình bày Powerpoint, PDF… sẽ được gởi đính kèm với các báo cáo được mô tả tại mục trên).