圖片

首頁 > 安全服務

安全服務

風險評估服務介紹

信息安全風險評估就是從風險管理角度,運用科學的方法和手段,系統地分析待評估信息系統所面臨的威脅和及其脆弱性等方面的問題,評估安全事件一旦發生可能造成的危害程度,并提出有針對性的抵御威脅的防護對策和整改措施,以此來防范和規避信息安全風險,為最大限度地保障信息安全提供科學依據。

服務內容

圖片

企業受益

梳理企業資產,分析系統漏洞,明確系統存在的風險

有助于提升系統安全性能,大大降低被攻擊的危險

指導安全建設,節約資金、人力、時間

 

 

系統生命周期階段 

階段特征來自風險管理活動的支持
規劃和啟動提出信息系統的目的、需求、規模和安全要求。

風險評估活動可用于確定信息系統安全需求。

設計開發或采購信息系統設計、購買、開發或建設。

 

在本階段標識的風險可以用來為信息系統的安全分析提供支持,這可能會影響到系統在開發過程中要對體系結構和設計方案進行權衡。

 集成實現

信息系統的安全特性應該被配置、激活、測試并得到驗證。

風險評估可支持對系統實現效果的評價,考察其是否能滿足要求,并考察系統所運行的環境是否是預期設計的。有關風險的一系列決策必須在系統運行之前做出。

運行和維護信息系統開始執行其功能,一般情況下系統要不斷修改,添加硬件和軟件,或改變機構的運行規則、策略或流程等。

當定期對系統進行重新評估時,或者信息系統在其運行性生產環境(例如新的系統接口)中做出重大變更時,要對其進行風險評估活動。

                             廢棄                                                   本階段涉及到對信息、硬件和軟件的廢棄。這些活動可能包括信息的移動、備份、丟棄、破壞以及對硬件和軟件進行的密級處理。

當要廢棄或替換系統組件時,要對其進行風險評估,以確保硬件和軟件得到了適當的廢棄處置,且殘留信息也恰當地進行了處理。并且要確保系統的更新換代能以一個安全和系統化的方式完成。

服務流程

圖片

安全運維服務介紹

紐盾信息系統安全運維指在特定的周期內,通過安全巡檢與維護、事件分析、安全威脅檢測、事件急響應等手段協助用戶進行信息系統的日常安全運維工作,即時發現并修復信息系統中所存在的安全隱患,降低安全隱患被非法利用的可能性,并在安全隱患被利用后及時加以響應。確保信息系統出現突發事件后能達到網絡、主機系統、應用程序、數據等處于安全運行狀態。

圖片

服務內容

系統健康檢查

網絡設備巡檢

安全設備巡檢

主機運維

漏洞掃描

滲透測試

安全策略等

安全事件響應與分析

安全事件審計

安全通告

應急響應

系統安全加固服務

管理優化

安全策略優化

系統升級等

其它

應急預案

應急演練

安全培訓

服務政策依據

安全運維工作完全按照《網絡安全法》部分要求進行開展,對提升信息安全能力、解決實際業務安全問題有著重要重要保障。

《中華人民共和國計算機信息系統安全保護條例》

《中華人民共和國網絡安全法》

 中央網絡安全和信息化領導小組辦公室發布中網辦發[2014]1號文件

《中華人民共和國網絡安全法》

《國家信息化領導小組關于加強信息安全保障工作的意見》

《國務院關于大力推進信息化發展和切實保障信息安全的若干意見》

服務方式

安全服務團隊駐場服務

       根據用戶實際網絡情況與需求制定一套周密的日常維護制度,并培訓出一支能夠勝任的管理隊伍, 保證客戶整個網絡信息系統運行在一個井然有序的安全狀態中。

 

定期巡檢服務

     用戶實際狀況與需求,可定期對用戶系統狀況進行上門巡檢巡檢、遠程訪問巡檢,確保網絡的安全性。

 

7×24遠程支持應急響應服務

24小時電話響應:400-804-8858

響應時間:5分鐘內做出響應

漏洞掃描服務介紹

漏洞掃描服務是由安全工程師通過對網站、應用系統的掃描,了解網絡安全設置和運行的應用服務,全面掃描網站、應用程序中存在的漏洞,避免漏洞被黑客利用影響網站安全。

圖片

服務內容

漏洞掃描服務能夠全方位檢測服務器存在的脆弱性,發現系統存在的安全漏洞、安全配置問題、應用系統安全漏洞,檢查系統存在的弱口令,收集系統不必要開放的賬號、服務、端口,形成整體安全風險報告,幫助安全管理人員先于攻擊者發現安全問題,及時進行修補,包括但不僅限于:

● SQL注入攻擊漏洞(支持基于GET/POST等方式提交的數據檢測)
 失效的身份認證(過期會話產生的安全隱患)
 敏感信息泄露(包括但不限于服務器信息,郵箱,銀行卡,身份證等敏感信息)
 XXE漏洞
 失效的訪問控制(身份認證和會話管理相關的應用程序功能錯誤實現,導致的安全隱患)
 安全配置錯誤(包括但不限于服務器網站配置錯誤,導致的安全隱患)
 跨站腳本XSS(支持GET、 POST方式的跨站攻擊漏洞)
 不安全反序列化漏洞
 使用含有已知漏洞的組件(持續更新主流的WEB應用及組件漏洞規則)
 目錄遍歷及CSRF漏洞(有可能存在CSRF跨域及文件目錄遍歷的漏洞)
 自動更新

 掃描報告(含專業修復建議)


漏洞掃描報告滿足等級保護的要求,報告中包括系統存在的安全漏洞、安全配置問題、應用系統安全漏洞,系統存在的弱口令,不必要開放的賬號、服務、端口等,及修復建議,引導并幫助用戶修補漏洞。

滲透測試服務介紹

紐盾滲透測試專家在客戶授權許可的情況下,模擬黑客入侵的方式以及思維對客戶系統進行非破壞性的安全性測試,并給出專業的滲透測試報告以及有針對性的整改加固建議。

紐盾服務優勢

 

紐盾滲透測試服務

普通滲透測試(使用工具)

安全眾測服務

常規漏洞

?

?

?

業務邏輯漏洞

?

?

?

提權漏洞

?

?

?

社會工程學

?

?

?

團隊可靠性

?

?

?

專家答疑

?

?

?

回歸測試

?

?

?

服務流程

服務優勢

除應用、主機等常規測試服務外,還提供基于業務邏輯的滲透測試服務,幫助企業發現業務邏輯漏洞,降低損失。

圖片
圖片

依托紐盾專業等保服務提供商的優勢,結合相關法律法規,給出合規專業的整改加固建議。

紐盾的安全顧問團隊由資深的有十余年安全工作經驗的安全專家組成。

圖片

代碼審計服務介紹

源代碼安全審計:采用分析工具和人工審查的組合審計方式,依據CVE、OWASP、BISMM、SANS等公共漏洞庫和字典,以及結合自我積累的源代碼審計資源和自動化工具對各種語言編寫的源代碼進行安全審計服務,分析應用程序的安全狀態,提供代碼級修復建議,從根源修復漏洞。

服務內容

源代碼安全審計

提供修復建議

回歸測試

服務流程

一、前期準備階段:技術進行溝通,確認審計對象,獲取開發相關文檔,確認審計時間和方式

 

二、代碼審計階段:自動化工具掃描,人工代碼審計,匯總審計結果,形成審計報告,與客戶溝通審計結果

 

三、復查階段:二次檢查,提交復查報告

 

四、成果匯報:與客戶溝通最終的成果

客戶收益

明確安全隱患點

提高安全意識

降低軟件缺陷修復成本

APP掃描服務介紹

APP漏洞檢測提供從應用安全、源碼安全及數據安全方面對從應用安全、源碼安全、數據安全、應用漏洞、惡意行為、程序機密性安全等方面安全等內容進行靜態、動態及人工分析等角度對移動應用做全面的檢測并給出針對性的安全修復建議

程序機密性檢測:有代碼混淆檢測、DEX保護監測、so保護監測、程序簽名檢測、完整性校驗、權限管理檢測;

組件安全檢測:有Activity安全、Broadcast Receiver安全、Service安全、Content Provider安全、Intent安全、WebView安全;

數據安全檢測:有調試信息、輸入檢查、數據傳輸完整性、遠程數據通訊協議、證書驗證、數據訪問控制、重放攻擊、會話安全;

業務安全檢測:包括用戶登錄、密碼管理、支付安全、身份認證、超時設置;

應用場景

圖片

主機基線服務介紹

紐盾滲透測試專家在客戶授權許可的情況下,模擬黑客入侵的方式以及思維對客戶系統進行非破壞性的安全性測試,并給出專業的滲透測試報告以及有針對性的整改加固建議。

服務內容

賬戶安全檢測

深度檢測服務器上是否存在黑客入侵后,留下的賬戶,對影子賬戶、隱藏賬戶、克隆賬戶進行提醒。

弱口令檢查

收集了常用的弱口令字典,檢測您SSH、RDP等服務是否使用了弱密碼。

配置風險監測

對常見登錄配置、進程配置、注冊表配置進行肩擦好,以達到企業級服務器安全準入標準。

修復建議

提供專業的風險配置項修復建議。

應急響應服務介紹

應急響應(Security Response ,SR)是當客戶系統遭受系統被入侵、重要信息被竊取、系統拒絕服務、網絡流量異常等安全事件時提供入侵原因分析、業務損失評估、系統恢復加固、以及黑客溯源取證的安全服務,減少因黑客入侵帶來的損失。

服務內容

清理木馬后門

分析入侵原因

減少入侵損失

提高安全意識

服務流程

一、準備階段:了解安全事件概況、做好數據備份;

二、應急處理階段:對攻擊進行抑制、清理惡意程序,恢復系統正常運行;

三、入侵原因分析:分析系統和日志,查找入侵原因;

四、報告階段:總結應急相關過程,提高應急響應報告。

安全培訓服務介紹

等級保護培訓,為客戶提供定制化的信息安全、網絡安全等級保護方面的培訓課程。讓參與培訓人員全面了解熟悉和掌握國家信息安全方面、網絡安全方面以及等保護方面的技術、管理和合規等方面,由紐盾科技的專業等級保護講師為客戶提供課程培訓。

標準化課程

等級保護法律法規解讀

等級保護國家標準解讀

等級保護重要工作環節培訓

等級保護安全建設培訓

定制化課程

服務介紹

為落實全國網絡安全和信息化工作會議精神,檢驗單位信息基礎設施和重點網站網絡安全的綜合防御能力和水平,實戰驗證相關單位“監測發現、安全防護和應急處置”的能力,發現并整改網絡系統存在的深層次安全問題,進一步以防攻擊、防破壞、防泄密、防重大故障為重點,構建多層次多渠道合作、各單位各行業和全民共同參與、眾人受益的“鋼鐵城墻”。

服務內容

網絡/系統調研

 

成立“護網行動”統一指揮管理中心,統一協調調度指揮行動中的所有事項、人員安排工作。
分為:管理組、協調組、攻擊組、防護組、應急事件處理組等

 

防護組從物理環境、通信網絡、區域邊界、計算環境,四個層面對整個網絡、系統進行調研,形成詳細的調研表,其中包括資產統計、網絡區域劃分、各區域互訪、數據傳輸等方面。

圖片

全面的風險評估

 

防護組對物理環境、通信網絡、區域邊界、計算環境四個層面調研完成后,開展風險評估。同時開始對網絡和系統實施風險評估。


風險評估包括:應用系統和設備的漏洞排查、應用系統和設備區域邊界的防護情況、應用系統和設備計算環境的基線評估等。

 

圖片

攻防演練

 

防護組完成風險評估后。由攻擊組開始對網絡和系統實施模擬攻擊。
攻擊手段主要有注入攻擊、腳本攻擊、拒絕服務攻擊、密碼爆破、利用漏洞(溢出,邏輯)、旁注攻擊、社會工程攻擊、數據傳輸攻擊等等
最終由防護組和攻擊組將各自結果形成報告,并開展安全防護工作。

 

圖片

安全防護調整

 

防護組和攻擊組通過雙方的結果和報告,開始開展安全防護工作,防護策略調整,同時和應急響應組制定安全事件響應預案。


完成安全防護調整后,再進行評估和攻防演練,并同時開展事件應急響應演練。形成全面的安全防護閉環,實時監測實時防護實時應急

 

圖片

服務資質

紐盾擁有等級保護建設服務資質,并通過中國信息安全認證中心的評審認證,獲得了風險評估與安全運維資質認可證書,證明紐盾符合ISCCC-ISV-C01:2017《信息安全服務 規范》三級的服務要求,具有向客戶提供風險評估與安全運維的服務能力。

圖片
圖片
圖片

管理制度與文檔體系的完善

 

按照等級保護管理部分標準,從5個方面幫助客戶補充及完善等級保護要求的管理體系建設中涉及到的制度文檔,以及相關記錄的完善。

圖片

服務輸出

圖片

信息系統整改實施報告

信息系統管理制度體系

信息系統服務驗收報告

正在呼叫....

電話連線中,請注意接聽電話

請輸入您的手機號,我們的專家會在一分鐘內給您回電。

立即給我回電

紐盾客服

全國免費咨詢電話
?  400-804-8858

紐盾電話
圖片
圖片
圖片
圖片

 ? 全國免費咨詢電話:400-804-8858

婷婷亚洲久悠悠色悠在线播放