01

​서버 시스템 취약점 분석/평가

WEB/WAS 등 서버 탑재 어플리케이션 점검 실시

  • WEB 서비스 보안설정 관리

  • 인터넷 서비스(IIS 및 Tomcat 등) 웹 어플리케이션 고유 취약점 분석

  • 어플리케이션 최신 패치 적용 여부 등

운영체제(OS) 주요 점검항목

  • root, administration 등 특수권한 계정 및 일반 사용자 계정관리 현황

  • 파일 및 디렉터리 접근권한 및 불필요한 서비스 사용 등 접근통제 현황

  • 중요 보안 패치 및 시스템 패치 적용여부 점검 등

  • Windows 서버의 경우 로컬 보안정책 설정 값 집중 점검

​서버 운영체제의 보안 설정 현황을 분석하고 이에 대한 보호대책을 수립

02

​네트워크 시스템 취약점 분석/평가

고객사 네트워크 구성 상 보안 위협요인 점검 

  • 네트워크 구성상 우회 침투경로 여부 분석

  • 네트워크 보안장비 위치 및 보안설정 점검

  • 네트워크 접점 구간 보안솔루션 보안 Rule Set 분석 

네트워크 장비 주요 점검항목

  • 장비 도입 시 기본계정 사용 유무 및 유지보수 등 목적의 기타 계정관리 현황

  • 원격접속, SNMP, FTP 등 불필요한 서비스 사용여부 점검

  • 중요 보안패치 적용여부 점검

  • 접속로그 등 중요 로그 누적 및 백업 여부 점검

네트워크 장비 설정 상 보안 설정 현황을 분석하고 이에 대한 보호대책을 수립

03

​데이터베이스 취약점 분석/평가

개인정보처리시스템일 경우 기술적 안전성 확보조치 점검

  • DBMS 점검 항목 일체 포함

  • DB 테이블, 레코드 및 필드의 기술적 보호조치

  • DB 암호화 적용 여부 및 암호화 적용 강도, 암호 키 관리 상 보호조치 등

DBMS 주요 점검항목

  • 계정 패스워드 및 정책 설정 현황

  • 데이터베이스 주요 파일 및 계정 별 권한설정 현황 점검

  • 불필요한 계정 및 설정 사용여부 점검

  •  중요 보안패치 및 벤터 권고사항 적용 여부 점검

DB 제조사 별 DBMS 설정 상 보안 취약점을 점검, 제거를 통해 보안 위험 최소화

04

WEB 취약점 분석/평가

기타 컨설팅 프로세스와 필요 시 연계 가능  

  • 소프트웨어 개발 보안 가이드 작성, 교육 등

  • Source Code 보호를 위한 물리적, 기술적 보호조치 설계

  • 모의해킹을 통해 취약점 점검 결과 이행조치 검증

WEB 취약점 점검 시 주요 점검항목 (선택, 병합)

  • OWASP TOP 10 취약점 List (매 년 갱신)

  • 한국인터넷진흥원 Web 취약점 점검 항목 (21개)

  • 국가정보원 8대 Web 취약점 점검 항목

  • 주요 정보통신 기반시설 Web 취약점 분석 및 평가 항목 (28개)

공개 ​WEB 서비스를 대상으로 기술적 보안 취약점을 식별, 제거를 통해 보안 위험 최소화

 
 
 
  • SCAMP Facebook

© 2020 by ​SECURITY CAMP Inc., All right reserved