信息安全風險評估就是從風險管理角度,運用科學的方法和手段,系統地分析待評估信息系統所面臨的威脅和及其脆弱性等方面的問題,評估安全事件一旦發生可能造成的危害程度,并提出有針對性的抵御威脅的防護對策和整改措施,以此來防范和規避信息安全風險,為最大限度地保障信息安全提供科學依據。
首頁 > 安全服務
首頁 > 安全服務
安全服務
風險評估服務介紹
信息安全風險評估就是從風險管理角度,運用科學的方法和手段,系統地分析待評估信息系統所面臨的威脅和及其脆弱性等方面的問題,評估安全事件一旦發生可能造成的危害程度,并提出有針對性的抵御威脅的防護對策和整改措施,以此來防范和規避信息安全風險,為最大限度地保障信息安全提供科學依據。
服務內容
企業受益
梳理企業資產,分析系統漏洞,明確系統存在的風險
有助于提升系統安全性能,大大降低被攻擊的危險
指導安全建設,節約資金、人力、時間
系統生命周期階段 | 階段特征 | 來自風險管理活動的支持 | ||
規劃和啟動 | 提出信息系統的目的、需求、規模和安全要求。 |
| ||
設計開發或采購 | 信息系統設計、購買、開發或建造。 |
| ||
集成實現
|
|
| ||
運行和維護 | 信息系統開始執行其功能,一般情況下系統要不斷修改,添加硬件和軟件,或改變機構的運行規則、策略或流程等。 |
| ||
廢棄 | 本階段涉及到對信息、硬件和軟件的廢棄。這些活動可能包括信息的移動、備份、丟棄、破壞以及對硬件和軟件進行的密級處理。 |
|
服務流程
安全運維服務介紹
紐盾信息系統安全運維指在特定的周期內,通過安全巡檢與維護、事件分析、安全威脅檢測、事件應急響應等手段協助用戶進行信息系統的日常安全運維工作,即時發現并修復信息系統中所存在的安全隱患,降低安全隱患被非法利用的可能性,并在安全隱患被利用后及時加以響應。確保信息系統出現突發事件后能及時使網絡、主機系統、應用程序、數據等處于安全運行狀態。
服務內容
系統健康檢查
網絡設備巡檢
安全設備巡檢
主機運維
漏洞掃描
滲透測試
安全策略等
安全事件響應與分析
安全事件審計
安全通告
應急響應
系統安全加固服務
管理優化
安全策略優化
系統升級等
其它
應急預案
應急演練
安全培訓
服務政策依據
安全運維工作完全按照《網絡安全法》部分要求進行開展,對提升信息安全能力、解決實際業務安全問題有著重要重要保障。
《中華人民共和國計算機信息系統安全保護條例》
《中華人民共和國網絡安全法》
中央網絡安全和信息化領導小組辦公室發布中網辦發[2014]1號文件
《中華人民共和國網絡安全法》
《國家信息化領導小組關于加強信息安全保障工作的意見》
《國務院關于大力推進信息化發展和切實保障信息安全的若干意見》
服務方式
安全服務團隊駐場服務
根據用戶實際網絡情況與需求制定一套周密的日常維護制度,并培訓出一支能夠勝任的管理隊伍, 保證客戶整個網絡信息系統運行在一個井然有序的安全狀態中。
定期巡檢服務
用戶實際狀況與需求,可定期對用戶系統狀況進行上門巡檢巡檢、遠程訪問巡檢,確保網絡的安全性。
7×24遠程支持應急響應服務
24小時電話響應:400-804-8858
響應時間:5分鐘內做出響應
漏洞掃描服務介紹
漏洞掃描服務是由安全工程師通過對網站、應用系統的掃描,了解網絡安全設置和運行的應用服務,全面掃描網站、應用程序中存在的漏洞,避免漏洞被黑客利用影響網站安全。
服務內容
漏洞掃描服務能夠全方位檢測服務器存在的脆弱性,發現系統存在的安全漏洞、安全配置問題、應用系統安全漏洞,檢查系統存在的弱口令,收集系統不必要開放的賬號、服務、端口,形成整體安全風險報告,幫助安全管理人員先于攻擊者發現安全問題,及時進行修補,包括但不僅限于:
o SQL注入攻擊漏洞(支持基于GET/POST等方式提交的數據檢測)
o 失效的身份認證(過期會話產生的安全隱患)
o 敏感信息泄露(包括但不限于服務器信息,郵箱,銀行卡,身份證等敏感信息)
o XXE漏洞
o 失效的訪問控制(身份認證和會話管理相關的應用程序功能錯誤實現,導致的安全隱患)
o 安全配置錯誤(包括但不限于服務器網站配置錯誤,導致的安全隱患)
o 跨站腳本XSS(支持GET、 POST方式的跨站攻擊漏洞)
o 不安全反序列化漏洞
o 使用含有已知漏洞的組件(持續更新主流的WEB應用及組件漏洞規則)
o 目錄遍歷及CSRF漏洞(有可能存在CSRF跨域及文件目錄遍歷的漏洞)
o 自動更新
掃描報告(含專業修復建議)
漏洞掃描報告滿足等級保護的要求,報告中包括系統存在的安全漏洞、安全配置問題、應用系統安全漏洞,系統存在的弱口令,不必要開放的賬號、服務、端口等,及修復建議,引導并幫助用戶修補漏洞。
滲透測試服務介紹
紐盾滲透測試專家在客戶授權許可的情況下,模擬黑客入侵的方式以及思維對客戶系統進行非破壞性的安全性測試,并給出專業的滲透測試報告以及有針對性的整改加固建議。
紐盾服務優勢
| 紐盾滲透測試服務 | 普通滲透測試(使用工具) | 安全眾測服務 |
常規漏洞 | ? | ? | ? |
業務邏輯漏洞 | ? | ? | ? |
提權漏洞 | ? | ? | ? |
社會工程學 | ? | ? | ? |
團隊可靠性 | ? | ? | ? |
專家答疑 | ? | ? | ? |
回歸測試 | ? | ? | ? |
服務流程
服務優勢
除應用、主機等常規測試服務外,還提供基于業務邏輯的滲透測試服務,幫助企業發現業務邏輯漏洞,降低損失。
依托紐盾專業等保服務提供商的優勢,結合相關法律法規,給出合規專業的整改加固建議。
紐盾的安全顧問團隊由資深的有十余年安全工作經驗的安全專家組成。
代碼審計服務介紹
源代碼安全審計:采用分析工具和人工審查的組合審計方式,依據CVE、OWASP、BISMM、SANS等公共漏洞庫和字典,以及結合自我積累的源代碼審計資源和自動化工具對各種語言編寫的源代碼進行安全審計服務,分析應用程序的安全狀態,提供代碼級修復建議,從根源修復漏洞。
服務內容
源代碼安全審計
提供修復建議
回歸測試
服務流程
一、前期準備階段:技術進行溝通,確認審計對象,獲取開發相關文檔,確認審計時間和方式
二、代碼審計階段:自動化工具掃描,人工代碼審計,匯總審計結果,形成審計報告,與客戶溝通審計結果
三、復查階段:二次檢查,提交復查報告
四、成果匯報:與客戶溝通最終的成果
客戶收益
明確安全隱患點
提高安全意識
降低軟件缺陷修復成本
APP掃描服務介紹
APP漏洞檢測提供從應用安全、源碼安全及數據安全方面對從應用安全、源碼安全、數據安全、應用漏洞、惡意行為、程序機密性安全等方面安全等內容進行靜態、動態及人工分析等角度對移動應用做全面的檢測并給出針對性的安全修復建議
程序機密性檢測:有代碼混淆檢測、DEX保護監測、so保護監測、程序簽名檢測、完整性校驗、權限管理檢測;
組件安全檢測:有Activity安全、Broadcast Receiver安全、Service安全、Content Provider安全、Intent安全、WebView安全;
數據安全檢測:有調試信息、輸入檢查、數據傳輸完整性、遠程數據通訊協議、證書驗證、數據訪問控制、重放攻擊、會話安全;
業務安全檢測:包括用戶登錄、密碼管理、支付安全、身份認證、超時設置;
應用場景
主機基線服務介紹
紐盾滲透測試專家在客戶授權許可的情況下,模擬黑客入侵的方式以及思維對客戶系統進行非破壞性的安全性測試,并給出專業的滲透測試報告以及有針對性的整改加固建議。
服務內容
賬戶安全檢測
深度檢測服務器上是否存在黑客入侵后,留下的賬戶,對影子賬戶、隱藏賬戶、克隆賬戶進行提醒。
弱口令檢查
收集了常用的弱口令字典,檢測您SSH、RDP等服務是否使用了弱密碼。
配置風險監測
對常見登錄配置、進程配置、注冊表配置進行肩擦好,以達到企業級服務器安全準入標準。
修復建議
提供專業的風險配置項修復建議。
應急響應服務介紹
應急響應(Security Response ,SR)是當客戶系統遭受系統被入侵、重要信息被竊取、系統拒絕服務、網絡流量異常等安全事件時提供入侵原因分析、業務損失評估、系統恢復加固、以及黑客溯源取證的安全服務,減少因黑客入侵帶來的損失。
服務內容
清理木馬后門
分析入侵原因
減少入侵損失
提高安全意識
服務流程
安全培訓服務介紹
等級保護培訓,為客戶提供定制化的信息安全、網絡安全等級保護方面的培訓課程。讓參與培訓人員全面了解熟悉和掌握國家信息安全方面、網絡安全方面以及等保護方面的技術、管理和合規等方面,由紐盾科技的專業等級保護講師為客戶提供課程培訓。
標準化課程
等級保護法律法規解讀
等級保護國家標準解讀
等級保護重要工作環節培訓
等級保護安全建設培訓
定制化課程