010-53326621

当前位置:
网络安全风险评估服务
    发布时间: 2021-04-28 16:59    

项目信息安全风险评估工作需要涵盖系统建设的全过程,至少包括对网络架构和业务风险的评估分析,以及项目正式运行前对系统进行的全面风险评估分析。从资产、脆弱性、威胁和已有安全措施等多个维度,结合风险承受能力,综合分析评价该项目各系统面临的风险

网络安全风险评估服务
安全评估服务
基线检查
结合国家和行业要求,通过人工+工具相结合的方式,提供直接反映系统自身安全脆弱性的安全配置检查服务,包括账号配置安全、口令配置安全、授权配置、日志配置、IP通信配置等配置检查。
风险评估
依据GB/T20984风险评估规范,对客户信息系统的资产、威胁、脆弱性、已有安全措施进行综合风险识别与分析,帮助客户掌控系统安全风险现状,并提供专业的安全解决方案和建议。
漏洞扫描
通过工具+人工的方式对客户信息系统的资产进行全面、深入的漏洞检测。将包含网络设备、安全设备、主机系统、web应用、数据库系统等利用漏洞检测工具进行漏洞检测,检测完成后进行高风险漏洞验证,并提出解决建议。
渗透测试
根据客户要求选定渗透目标对象后,按照国际通用的PETS渗透测试标准,对网站和系统的全方位安全测试,通过模拟黑客攻击的手法,贴近实战,提前检查网站或系统的漏洞,(包括但不限于未经验证的重定向和转发、跨站脚本攻击、越权访问、CSRF、安全配置错误、SQL注入等),全面检测其真实防护能力。
代码审计
通过专业工具检测和专家手工检查的方式帮助企业从安全角度对应用系统的所有逻辑路径进行测试,通过分析源代码,充分挖掘代码中存在的安全缺陷以及规范性缺陷。找到普通安全测试所无法发现的如二次注入、反序列化、xml实体注入等安全漏洞。