山东信息安全小组(Shandong Information Security Team)是山东省内唯一民间技术爱好团队,我们由原来的山东黑客联盟发展而来,历经近6年,发展为一个民间非商业性的综合计算机讨论平台。主要以企业级网络安全、综合网络架构、企业级VPN、系统底层编程、SNS以及面向Web2.0的应用程序展开讨论与研究。欢迎广大对计算机爱好的朋友们来这里发表您的观点与见解。我们会着手打造一个良好的交流平台。
Web渗透测试:
由S·I·S·T渗透工程师对Web脚本程序进行渗透测试;对存在的问题根据测试结果提出改进方案,并给于适合的整体架构方案。为了避免第三方的恶意攻击,对于您网站的渗透及测试结果我们将予以保密。安全评估服务:安全评估由专业的安全架构和分析人员采用科学、系统的方法对被评估单位的关键设施(操作系统、数据库、应用服务器、网络设备等)的安全状况进行评估,从网络架构层面、主机系统层面、应用层面、数据层面等多点、多层次全面审核以发现关键技术设施在安装部署、认证授权、安全审计、运行维护等方面存在的技术安全隐患,并提出相应的整改建议。
网站风险评估:
使用专业应用层扫描工具对用户服务器的应用程序及网站页面进行安全检查,查找应用漏洞。并提供补救措施建议。针对安全评估中检查到的网站应用程序漏洞和薄弱环节进行修补加固。
操作系统评估:
参照Checklist对操作系统进行人工核查,如安全配置核查:系统管理和维护的正常配置,合理配置,及优化配置。例如系统目录权限,帐号管理策略,文件系统配置,进程通信管理等。安全机制检查:安全机制的使用和正常配置,合理配置,及优化配置。例如日志及审计、备份与恢复,签名与校验,加密与通信,特殊授权及访问控制等。
数据库评估:
参照Checklist人工审核数据库各项安全设置,包括帐户管理、不安全的存储过程、权限管理等。
网络设备评估:
参照Checklist和网络状况审核安全设备各项设置,挖掘不符合安全策略的隐患并提供安全优化建议。
安全设备评估:
针对安全评估中检查到的安全设备配置漏洞和薄弱环节进行修补加固,优化安全设置,满足严格的安全策略。安全加固服务S·I·S·T安全工程师会对网络与应用系统加固和进行优化服务。通过使用该项服务,将在客户信息系统的网络层、主机层和应用层等层次建立符合客户安全需求的安全状态,并以此作为保证客户信息系统安全的起点。
安全加固主要针对以下安全问题:
1. 安装、配置不符合安全需求;
2. 参数配置错误;
3. 使用、维护不符合安全需求;
4. 系统完整性被破坏;
5. 被注入木马程序;
6. 帐户/口令问题;
7. 安全漏洞没有及时修补;
8. 应用服务和应用程序滥用;
9. 应用程序开发存在安全问题等。
网络与应用系统加固和优化服务的目的是通过对主机和网络设备所存在安全问题执行以下操作:
1. 正确的安装;
2. 安装最新和全部操作系统和应用软件的安全补丁;
3. 操作系统和应用软件的安全配置;
4. 系统安全风险防范;
5. 提供系统使用和维护建议;
6. 系统功能测试;
7. 系统安全风险测试;
8. 系统完整性备份;
9. 必要时重建系统等。数据库渗透:由S·I·S·T的数据库工程师对MSSQL、ORACLE、MYSQL、Dbase、Sybase等各类数据库系统进行渗透测试;发掘存在的安全问题,根据测试结果提出安全整改方案,以解决测试出的安全问题,消除所有安全隐患为验收标准。安全培训:由山东信息安全小组安全培训讲师,对新任的网络管理员及安全新手进行相关课程的培训,在最短的时间获得最快的培训的效果,提供远程安全培训或本地安全培训服务。反病毒:提供最新最及时的 病毒预警,反病毒相关资讯,及硬件防火墙等产品的使用。由反病毒工程师对客户的相关咨询进行解答。提供手纯工查杀计算机病毒的培训以及病毒感染文件的数据恢复。
网站建设
根据用户需求设计您的网页,包括常见的ASP+Access架构、ASP+MSSQL架构、PHP+MySQL架构、JSP+MySQL架构、JSP+Oracle架构的网站。
山东信息安全小组(正式)成员例行规定Version 3.0:
1.我们不是黑客,不要做让广大网民愤慨的事情。
2.立足于安全检测,发现问题并及时解决问题。
3.己所不欲、勿施于人。
山东信息安全小组(审核)成员例行规定Version 3.0:
1、熟练掌握Windows操作系统,熟练掌握.NET技术,熟悉常见的XP/2003/2008并熟悉常规安全配置。
2、熟练掌握Linux操作系统,熟练配置Nginx/Apache/Resin/Tomcat/memcached/Keepalived等高可用Web应用环境。跟踪关注Linux安全动态,未来要掌握内核的升级与重新编译安装。
3、熟练掌握Cisco、H3C、Juniper、天融信、启明星辰等厂商的设备,理解OSPF、RIP、HSRP等路由协议,熟悉三层交换的原理,熟悉VPN的配置。
3.熟悉一种以上编程语言,对oop和mvc有独到的理解。
4.在团队考察一个月内无任何成员反对。
