信息化觀察網(wǎng)

本次項(xiàng)目主要依據(jù)《《GB/T20984-2007信息安全技術(shù)信息安全風(fēng)險(xiǎn)評估規(guī)范》、......《GB/T 22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》、《GB/T22080-2016信息技術(shù)安全技術(shù)信息安全管理體系要求》標(biāo)準(zhǔn)，通過物理機(jī)房的環(huán)境勘察、網(wǎng)絡(luò)架構(gòu)安全性分析、主機(jī)數(shù)據(jù)庫安全脆弱性分析、應(yīng)用安全評估、漏洞掃描、滲透測試，全面發(fā)現(xiàn)系統(tǒng)存在的結(jié)構(gòu)性安全風(fēng)險(xiǎn)，并編寫《*****風(fēng)險(xiǎn)評估報(bào)告》和《*****信息安全風(fēng)險(xiǎn)評估體系和方法研究報(bào)告》。

評估內(nèi)容:

主要內(nèi)容包括：資產(chǎn)評估、威脅評估、脆弱性評估、現(xiàn)有安全措施評估、風(fēng)險(xiǎn)計(jì)算和分析、風(fēng)險(xiǎn)決策和安全建議等評估內(nèi)容，并在風(fēng)險(xiǎn)評估之后根據(jù)安全建議進(jìn)行安全加固。

評估流程:

1、資產(chǎn)評估：確定資產(chǎn)的信息安全屬性受到破壞而對信息系統(tǒng)造成的影響。

2、威脅評估：通過技術(shù)手段、統(tǒng)計(jì)數(shù)據(jù)和經(jīng)驗(yàn)判斷來確定信息系統(tǒng)面臨的威脅。

3、脆弱性評估：發(fā)現(xiàn)與分析信息系統(tǒng)中存在的可被威脅利用的缺陷。

4、現(xiàn)有安全措施評估：評估安全措施的部署、使用和管理情況,確定這些措施所保護(hù)的資產(chǎn)范圍,以5、及對系統(tǒng)面臨風(fēng)險(xiǎn)的消除程度。

6、風(fēng)險(xiǎn)計(jì)算和分析：根據(jù)資產(chǎn)及其關(guān)聯(lián)的威脅和脆弱性的|賦值情況計(jì)算風(fēng)險(xiǎn)值,并對計(jì)算結(jié)果進(jìn)行定級。

7、風(fēng)險(xiǎn)決策和安全建議：確定風(fēng)險(xiǎn)控制方式,提出風(fēng)險(xiǎn)控制措施。

后續(xù)服務(wù):

安全加固：根據(jù)評估結(jié)論對信息安全防護(hù)進(jìn)行改進(jìn)與完善

服務(wù)測試內(nèi)容:

本次安全檢測服務(wù)針對每一個(gè)評估對象單獨(dú)進(jìn)行滲透測試，圍繞OWASP TOP10漏洞為主，包括主動(dòng)模式和被動(dòng)模式兩種。

1、在被動(dòng)模式中，測試人員盡可能的了解應(yīng)用邏輯:比如用工具分析所有的HTTP請求及響應(yīng)，以便測試人員掌握應(yīng)用程序所有的接入點(diǎn)(包括HTTP頭，參數(shù)，cookies等);

2、在主動(dòng)模式中，測試人員試圖以黑客的身份來對應(yīng)用及其系統(tǒng)、后臺等進(jìn)行滲透測試，包括:端口檢測、WEB應(yīng)用測試、SQL注入攻擊、權(quán)限提升、跨站攻擊、Cookie利用、后門程序檢測等。測試人員會先熟悉目標(biāo)系統(tǒng)，然后再開展進(jìn)一步的分析測試完成后，根據(jù)滲透測試實(shí)際情況形成滲透測試報(bào)告，并對用戶進(jìn)行整改指導(dǎo)。

測試人員:

乙方投入人員不得少于3名高級滲透測試工程師,3名中級滲透測試工程師，且人員需通過甲方面試方可進(jìn)行測試工作。如人員無法滿足測試工作的要求的，乙方應(yīng)立即按照甲方的要求更換。

客戶反饋：

1、當(dāng)我們提出需求客戶快速響應(yīng)，并給我們提供了通信管理局要求的詳細(xì)材料清單

2、價(jià)格實(shí)惠，全方位為客戶解決問題

3、根據(jù)滲透測試實(shí)際情況形成滲透測試初測報(bào)告，并進(jìn)行整改指導(dǎo)

4、已協(xié)助完成漏洞修復(fù)2、在主動(dòng)模式中，測試人員試圖以黑客的身份來對應(yīng)用及其系統(tǒng)、后臺等進(jìn)行滲透測試，包括:端口檢測、WEB應(yīng)用測試、SQL注入攻擊、權(quán)限提升、跨站攻擊、Cookie利用、后門程序檢測等。測試人員會先熟悉目標(biāo)系統(tǒng)，然后再開展進(jìn)一步的分析測試完成后，根據(jù)滲透測試實(shí)際情況形成滲透測試報(bào)告，并對用戶進(jìn)行整改指導(dǎo)。

測試人員:

乙方投入人員不得少于3名高級滲透測試工程師,3名中級滲透測試工程師，且人員需通過甲方面試方可進(jìn)行測試工作。如人員無法滿足測試工作的要求的，乙方應(yīng)立即按照甲方的要求更換。

客戶反饋：

1、當(dāng)我們提出需求客戶快速響應(yīng)，并給我們提供了通信管理局要求的詳細(xì)材料清單

2、價(jià)格實(shí)惠，全方位為客戶解決問題

3、根據(jù)滲透測試實(shí)際情況形成滲透測試初測報(bào)告，并進(jìn)行整改指導(dǎo)

4、已協(xié)助完成漏洞修復(fù)

圍繞OWASP TOP10漏洞為主，包括主動(dòng)模式和被動(dòng)模式兩種。

1、在被動(dòng)模式中，測試人員盡可能的了解應(yīng)用邏輯:比如用工具分析所有的HTTP請求及響應(yīng)，以便測試人員掌握應(yīng)用程序所有的接入點(diǎn)(包括HTTP頭，參數(shù)，cookies等);

2、在主動(dòng)模式中，測試人員試圖以黑客的身份來對應(yīng)用及其系統(tǒng)、后臺等進(jìn)行滲透測試，包括:端口檢測、WEB應(yīng)用測試、SQL注入攻擊、權(quán)限提升、跨站攻擊、Cookie利用、后門程序檢測等。測試人員會先熟悉目標(biāo)系統(tǒng)，然后再開展進(jìn)一步的分析測試完成后，根據(jù)滲透測試實(shí)際情況形成滲透測試報(bào)告，并對用戶進(jìn)行整改指導(dǎo)。

測試人員:

乙方投入人員不得少于3名高級滲透測試工程師,3名中級滲透測試工程師，且人員需通過甲方面試方可進(jìn)行測試工作。如人員無法滿足測試工作的要求的，乙方應(yīng)立即按照甲方的要求更換。

客戶反饋：

1、當(dāng)我們提出需求客戶快速響應(yīng)，并給我們提供了通信管理局要求的詳細(xì)材料清單

2、價(jià)格實(shí)惠，全方位為客戶解決問題

3、根據(jù)滲透測試實(shí)際情況形成滲透測試初測報(bào)告，并進(jìn)行整改指導(dǎo)

4、已協(xié)助完成漏洞修復(fù)