信息安全风险评估就是从风险管理角度,运用科学的方法和手段,系统地分析待评估信息系统所面临的威胁和及其脆弱性等方面的问题⊙,评估安全事件一旦发生可能造成的危害程度,并提出有针对性的抵御威胁的防护对策和整改措施,以此来防范和规避信息安全风险,为最大限度地保障信息安全提供科学依据。
首页 > 安全服务
安全服务
风☉险评估服务介绍
服务内容
企业受益
梳理企业资∴产,分析系统漏洞,明确系统存在的风险
有助于提升系统安全性能,大大降低被攻击的危险
指导安全建设,节约资金、人力、时间
系统生命周期阶段 | 阶段特征 | 来自风险管理活动的支持 | ||
| 规划和启动 | 提出信息系统的目的、需求、规模和安全要求。 |
| ||
| 设计开发或采购》 | 信息系统设计、购买、开发「或建设。 |
| ||
集成实现
|
|
| ||
| 运行和维护 | 信息系统开始执行其功⌒能,一般情况下系统要不断修改,添加硬件和软件,或改变机构的运行规则、策略或流╱程等。 |
| ||
| 废弃 | 本阶段涉及到对信息、硬件和软件♂的废弃。这些活动可能包括信息的移动、备份、丢弃、破坏以及对硬件和软件进行的密级处理。 |
|
服务流程
安全运维服务介绍
纽盾信息』系统安全运维指在特定的周期内,通过安全巡卐检与维护、事件分析、安全』威胁检测、事件应急响应等手段协助用户▼进行信息系统的日常安々全运维工作,即时发现并修复信息系统中所存在的安全隐患,降低安全隐患被非法利用的可能性,并在安全隐患被利用后及时加以响应。确保信息系统出现突发事件后能及时使网络、主机系统、应用程序、数据等处于安全运行状态。
服务内容
系统健康≡检查
网络设备巡检
安全设备巡检
主机运维
漏洞扫描
渗透测试
安全策略等
安全事件响应与分析
安全事件审计
安全通告
应急响应
系统安全加固服务
管理优化
安全⊙策略优化
系统升级等
其它
应急预案
应急演练
安全培训
服务政策依据
安全运维工作完全按照《网络安全法》部分要求进行开展,对提升信息安全能力、解决实际业务安全㊣ 问题有着重要重要保障。
《中华人民共和国计算机信息系统安全保护条例》
《中华人民共和国网络安全法》
中央网络安全和信息化领导小ㄨ组办公室发布中网办发[2014]1号文件
《中华人民共和国网络安全法》
《国家信息化领导小组关于加强信息安全保障工作的意见》
《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》
服务方式
安全服务团╲队驻场服务
根据用「户实际网络情况与需求制定一套周密的日△常维护制度,并培训出一支能「够胜任的管理队伍, 保证∩客户整个网络信息系统运行在一个井然有序的安全状态中。
定期巡检服务
用户〓实际状况与需求,可定期对用户系统状况进行上门巡检巡检、远程访问巡检,确保网络的安≡全性。
7×24远程支持应↓急响应服务
24小时电话响应:400-804-8858
响应时间:5分钟内做出响应
漏洞▆扫描服务介绍
漏洞扫描服务是由安全工程师通过对网站、应用系统的扫描,了解网络安全■设置和运行的应用服务,全卐面扫描网站、应用〗程序中存在的漏洞,避免【漏洞被黑客利用影响网站安全。
服务内容
漏洞扫描服务能够全方位检测服务器存在的脆弱性,发现系统存在的安全漏洞、安全配置问◇题、应用系统安全漏洞,检查系统存在的弱口令,收集︻系统不必要开放的账号、服务、端口,形成⌒ 整体安全风险报告,帮助安全管理人员先于攻击者发现安全问题,及时进行修补,包括但不仅限于:
o SQL注入攻击漏洞(支持基于GET/POST等方式提交的数据检测)
o 失效的身份认证(过期会话产生的安全隐患)
o 敏∮感信息泄露(包括但不限于服务器信息,邮箱,银行卡,身份△证等敏感信息)
o XXE漏洞
o 失效的访问控制(身份认证和会话管理相关的应用程序功能错误实现,导致的安全隐患)
o 安全配置错误(包括但不限于服务器网站配置错误,导致的安全隐患)
o 跨站脚本XSS(支持GET、 POST方式的跨站攻击漏洞)
o 不安全反序列化漏洞
o 使用含有已知漏洞的组件(持续更新主流的WEB应用及组件漏洞规则)
o 目录遍历及CSRF漏洞(有可能存在CSRF跨域及文件目录遍历的漏洞)
o 自动更新
扫描报告(含专业♂修复建议)
漏洞扫描报告满足等级▲保护的要求,报告中包括系统存在的安全漏洞、安全配置问题』、应用系统安全漏洞,系统存在的弱口令,不必要开放的账号、服务、端口等,及修复建议,引导并帮助用户修补漏洞。
渗透测试服务介绍
纽盾渗透测试专家在客↙户授权许可的情况下,模拟黑客入▂侵的方式以及思维对客户系统进行非破坏性的安全性测试,并给出专业的渗透测试报告以及有针对性的整改加固建议█。
纽盾服务优势
| 纽盾渗透测试服务 | 普通渗透测试(使用工具) | 安全众测服务 |
常规漏洞 | ? | ? | ? |
业务逻辑漏洞】 | ? | ? | ? |
提权漏洞 | ? | ? | ? |
社会工程学 | ? | ? | ? |
团队「可靠性 | ? | ? | ? |
专家答疑 | ? | ? | ? |
回归测试 | ? | ? | ? |
服务流程
服务优势
除应用、主机等常规测试服务外,还提供基于业务逻辑的渗透测试服务,帮助企业发现业○务逻辑漏洞,降低损失。
依托纽盾专业等保服○务提供商的优势,结合相关法律法◥规,给出合规专业的整改加固建议。
纽盾的安全顾问团队由资深的有十余年安全工作经验的安全专家组成。
代码ぷ审计服务介绍
源代码安全㊣审计:采用分析工具和人工审查的组●合审计方式,依据CVE、OWASP、BISMM、SANS等公共漏洞♀库和字典,以及结合自我积累的源代码审计资源和自动化工具对各种语言编写的源代码进行安全审计服务,分析应用程序的安全状态,提供代码级修复建议,从根源修复漏洞。
服务内容
源代码安全审计
提供修复建∞议
回归测试
服务流程
一、前期准备阶段:技术进行沟通,确认↓审计对象,获取开发相关文档,确认审□计时间和方式
二、代码审计阶段:自动化工具扫描,人工代码审计,汇总审计结果,形成审计◆报告,与客户沟通ζ审计结果
三、复查阶段:二次检查,提交复查报告
四、成果汇报:与客户沟通最终的成①果
客户收益
明确安全隐患◣点
提高♂安全意识
降低软件缺陷修复成本
APP扫描服务介绍
APP漏洞检测提供从◥应用安全、源码安全及数据安全方面对从应用安全、源码安全、数据安全、应用漏洞、恶意行为、程序机密性安全等方面安全等内容进行静态、动态及人工分析等角度对移动应用做全面的检测并给♂出针对性的安全修复建议
程序⊙机密性检测:有代卐码混淆检测、DEX保护监测、so保护监测、程序签■名检测、完整性校验、权限管理检测;
组件安』全检测:有Activity安全、Broadcast Receiver安全、Service安全、Content Provider安全、Intent安全、WebView安全;
数据安全检Ψ 测:有调试信息、输入检查、数据传输完整性、远程数据▂通讯协议、证书验证、数据ㄨ访问控制、重放攻击、会话安全;
业务安全检测:包括用∑户登录、密码管理、支付安全、身份认证、超时设置;
应用场景
主机▓基线服务介绍
纽盾渗透测试专家在客户授权许可的情况下,模拟黑客入侵的方式以∑ 及思维对客户系统进行非破坏性的安全性测试,并给出专业的渗透测试报告以及有针对性的整改加固建议。
服务内容
账▽户安全检测
深度检测服务器上是否存○在黑客入侵后,留下←的账户,对影子账◎户、隐藏账户、克隆账户进行提醒。
弱口令检查
收集了常用的弱口令字典,检测您SSH、RDP等服务是否使用了弱密码。
配ζ 置风险监测
对常见登录配置、进程配置、注★册表配置进行肩擦好,以达到企业级服务器安全准入标准。
修复建议
提供专业的风险〗配置项修复建议。
应急响应服务介绍
应急响应(Security Response ,SR)是当客户系统遭受系统被入侵、重要信息被窃取、系统拒绝服务、网络流量异常等安全事件时提供入侵原※因分析、业○务损失评估、系统恢复加固、以①及黑客溯源取证的安全服务,减少因黑客入侵带来的损失。
服务内容
清理木马后门
分析入侵☆原因
减少入侵损失
提高※安全意识
服务流程
一、准备阶段:了♀解安全事件概况、做好数据备◆份;
二、应急处理阶段:对攻击进行抑制◣、清理恶意程序,恢复系统正常ω运行;
三、入侵原因※分析:分析系♂统和日志,查找入侵原因;
四、报告阶段:总结应急相关过程,提↘高应急响应报告。
安全培训服务介绍
等级保护培训,为↘客户提供定制化的信息安全、网络安全等级保护方面的╳培训课程。让参与培训人员全面了解熟悉和掌握国家信息安全方面╱、网络安全方面以及等保护方面的技术、管理和合规等〇方面,由纽盾科技的专业等级保护讲师为客户提供课程培训。
标准化课程》
等级保护法律法规解读
等级保护国家标准解读
等级保护重要工作环节培训
等级保护安全建设培训
定制化课程
