图片

首页 > 安全服务

安全服务

风险评估服务介绍

信息安全风险评估就是从风险管理角度,运用科学的方法和手段,系统地分析信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施,为防范和化解信息安全风险,将风险控制在可接受的水平,最大限度地保障信息安全提供科学依据。

服务内容

图片

企业受益

梳理企业资产,分析系统漏洞,明确系统存在的风险

有助于提升系统安全性能,大大降低被攻击的危险

指导安全建设,节约资金、人力、时间

 

 

系统生命周期阶段 

阶段特征来自风险管理活动的支持
规划和启动提出信息系统的目的、需求、规模和安全要求。

风险评估活动可用于确定信息系统安全需求。

设计开发或采购信息系统设计、购买、开发或建造。

 

在本阶段标识的风险可以用来为信息系统的安全分析提供支持,这可能会影响到系统在开发过程中要对体系结构和设计方案进行权衡。

 集成实现

信息系统的安全特性应该被配置、激活、测试并得到验证。

风险评估可支持对系统实现效果的评价,考察其是否能满足要求,并考察系统所运行的环境是否是预期设计的。有关风险的一系列决策必须在系统运行之前做出。

运行和维护信息系统开始执行其功能,一般情况下系统要不断修改,添加硬件和软件,或改变机构的运行规则、策略或流程等。

当定期对系统进行重新评估时,或者信息系统在其运行性生产环境(例如新的系统接口)中做出重大变更时,要对其进行风险评估活动。

                             废弃                                                   本阶段涉及到对信息、硬件和软件的废弃。这些活动可能包括信息的移动、备份、丢弃、破坏以及对硬件和软件进行的密级处理。

当要废弃或替换系统组件时,要对其进行风险评估,以确保硬件和软件得到了适当的废弃处置,且残留信息也恰当地进行了处理。并且要确保系统的更新换代能以一个安全和系统化的方式完成。

服务流程

图片

安全运维服务介绍

纽盾信息系统安全运维指在特定的周期内,通过安全巡检与维护、事件分析、安全威胁检测、事件急响应等手段协助用户进行信息系统的日常安全运维工作,即时发现并修复信息系统中所存在的安全隐患,降低安全隐患被非法利用的可能性,并在安全隐患被利用后及时加以响应。确保信息系统出现突发事件后能达到网络、主机系统、应用程序、数据等处于安全运行状态。

图片

服务内容

系统健康检查

网络设备巡检

安全设备巡检

主机运维

漏洞扫描

渗透测试

安全策略等

安全事件响应与分析

安全事件审计

安全通告

应急响应

系统安全加固服务

管理优化

安全策略优化

系统升级等

其它

应急预案

应急演练

安全培训

服务政策依据

安全运维工作完全按照《网络安全法》部分要求进行开展,对提升信息安全能力、解决实际业务安全问题有着重要重要保障。

《中华人民共和国计算机信息系统安全?;ぬ趵?/span>

《中华人民共和国网络安全法》

 中央网络安全和信息化领导小组办公室发布中网办发[2014]1号文件

《中华人民共和国网络安全法》

《国家信息化领导小组关于加强信息安全保障工作的意见》

《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》

服务方式

安全服务团队驻场服务

       根据用户实际网络情况与需求制定一套周密的日常维护制度,并培训出一支能够胜任的管理队伍, 保证客户整个网络信息系统运行在一个井然有序的安全状态中。

 

定期巡检服务

     用户实际状况与需求,可定期对用户系统状况进行上门巡检巡检、远程访问巡检,确保网络的安全性。

 

7×24远程支持应急响应服务

24小时电话响应:400-804-8858

响应时间:5分钟内做出响应

漏洞扫描服务介绍

漏洞扫描服务是由安全工程师通过对网站、应用系统的扫描,了解网络安全设置和运行的应用服务,全面扫描网站、应用程序中存在的漏洞,避免漏洞被黑客利用影响网站安全。

图片

服务内容

漏洞扫描服务能够全方位检测服务器存在的脆弱性,发现系统存在的安全漏洞、安全配置问题、应用系统安全漏洞,检查系统存在的弱口令,收集系统不必要开放的账号、服务、端口,形成整体安全风险报告,帮助安全管理人员先于攻击者发现安全问题,及时进行修补,包括但不仅限于:

● SQL注入攻击漏洞(支持基于GET/POST等方式提交的数据检测)
 失效的身份认证(过期会话产生的安全隐患)
 敏感信息泄露(包括但不限于服务器信息,邮箱,银行卡,身份证等敏感信息)
 XXE漏洞
 失效的访问控制(身份认证和会话管理相关的应用程序功能错误实现,导致的安全隐患)
 安全配置错误(包括但不限于服务器网站配置错误,导致的安全隐患)
 跨站脚本XSS(支持GET、 POST方式的跨站攻击漏洞)
 不安全反序列化漏洞
 使用含有已知漏洞的组件(持续更新主流的WEB应用及组件漏洞规则)
 目录遍历及CSRF漏洞(有可能存在CSRF跨域及文件目录遍历的漏洞)
 自动更新

 扫描报告(含专业修复建议)


漏洞扫描报告满足等级?;さ囊?,报告中包括系统存在的安全漏洞、安全配置问题、应用系统安全漏洞,系统存在的弱口令,不必要开放的账号、服务、端口等,及修复建议,引导并帮助用户修补漏洞。

渗透测试服务介绍

纽盾渗透测试专家在客户授权许可的情况下,模拟黑客入侵的方式以及思维对客户系统进行非破坏性的安全性测试,并给出专业的渗透测试报告以及有针对性的整改加固建议。

纽盾服务优势

 

纽盾渗透测试服务

普通渗透测试(使用工具)

安全众测服务

常规漏洞

?

?

?

业务逻辑漏洞

?

?

?

提权漏洞

?

?

?

社会工程学

?

?

?

团队可靠性

?

?

?

专家答疑

?

?

?

回归测试

?

?

?

服务流程

图片

服务优势

除应用、主机等常规测试服务外,还提供基于业务逻辑的渗透测试服务,帮助企业发现业务逻辑漏洞,降低损失。

图片
图片

依托纽盾专业等保服务提供商的优势,结合相关法律法规,给出合规专业的整改加固建议。

纽盾的安全顾问团队由资深的有十余年安全工作经验的安全专家组成。

图片

代码审计服务介绍

源代码安全审计:采用分析工具和人工审查的组合审计方式,依据CVE、OWASP、BISMM、SANS等公共漏洞库和字典,以及结合自我积累的源代码审计资源和自动化工具对各种语言编写的源代码进行安全审计服务,分析应用程序的安全状态,提供代码级修复建议,从根源修复漏洞。

服务内容

图片

源代码安全审计

图片

提供修复建议

图片

回归测试

服务流程

一、前期准备阶段:技术进行沟通,确认审计对象,获取开发相关文档,确认审计时间和方式

 

二、代码审计阶段:自动化工具扫描,人工代码审计,汇总审计结果,形成审计报告,与客户沟通审计结果

 

三、复查阶段:二次检查,提交复查报告

 

四、成果汇报:与客户沟通最终的成果

客户收益

图片

明确安全隐患点

图片

提高安全意识

图片

降低软件缺陷修复成本

APP扫描服务介绍

APP漏洞检测提供从应用安全、源码安全及数据安全方面对从应用安全、源码安全、数据安全、应用漏洞、恶意行为、程序机密性安全等方面安全等内容进行静态、动态及人工分析等角度对移动应用做全面的检测并给出针对性的安全修复建议

图片

程序机密性检测:有代码混淆检测、DEX?;ぜ嗖?、so?;ぜ嗖?、程序签名检测、完整性校验、权限管理检测;

图片

组件安全检测:有Activity安全、Broadcast Receiver安全、Service安全、Content Provider安全、Intent安全、WebView安全;

图片

数据安全检测:有调试信息、输入检查、数据传输完整性、远程数据通讯协议、证书验证、数据访问控制、重放攻击、会话安全;

图片

业务安全检测:包括用户登录、密码管理、支付安全、身份认证、超时设置;

应用场景

图片

主机基线服务介绍

纽盾渗透测试专家在客户授权许可的情况下,模拟黑客入侵的方式以及思维对客户系统进行非破坏性的安全性测试,并给出专业的渗透测试报告以及有针对性的整改加固建议。

服务内容

图片

账户安全检测

深度检测服务器上是否存在黑客入侵后,留下的账户,对影子账户、隐藏账户、克隆账户进行提醒。

图片

弱口令检查

收集了常用的弱口令字典,检测您SSH、RDP等服务是否使用了弱密码。

图片

配置风险监测

对常见登录配置、进程配置、注册表配置进行肩擦好,以达到企业级服务器安全准入标准。

修复建议

提供专业的风险配置项修复建议。

应急响应服务介绍

应急响应(Security Response ,SR)是当客户系统遭受系统被入侵、重要信息被窃取、系统拒绝服务、网络流量异常等安全事件时提供入侵原因分析、业务损失评估、系统恢复加固、以及黑客溯源取证的安全服务,减少因黑客入侵带来的损失。

服务内容

图片

清理木马后门

图片

分析入侵原因

图片

减少入侵损失

图片

提高安全意识

服务流程

一、准备阶段:了解安全事件概况、做好数据备份;

二、应急处理阶段:对攻击进行抑制、清理恶意程序,恢复系统正常运行;

三、入侵原因分析:分析系统和日志,查找入侵原因;

四、报告阶段:总结应急相关过程,提高应急响应报告。

安全培训服务介绍

等级?;づ嘌?,为客户提供定制化的信息安全、网络安全等级?;し矫娴呐嘌悼纬?。让参与培训人员全面了解熟悉和掌握国家信息安全方面、网络安全方面以及等?;し矫娴募际?、管理和合规等方面,由纽盾科技的专业等级?;そ彩ξ突峁┛纬膛嘌?。

标准化课程

图片

等级?;し煞ü娼舛?/span>

图片

等级?;す冶曜冀舛?/span>

图片

等级?;ぶ匾ぷ骰方谂嘌?/span>

图片

等级?;ぐ踩ㄉ枧嘌?/span>

定制化课程

图片

服务介绍

为落实全国网络安全和信息化工作会议精神,检验单位信息基础设施和重点网站网络安全的综合防御能力和水平,实战验证相关单位“监测发现、安全防护和应急处置”的能力,发现并整改网络系统存在的深层次安全问题,进一步以防攻击、防破坏、防泄密、防重大故障为重点,构建多层次多渠道合作、各单位各行业和全民共同参与、众人受益的“钢铁城墙”。

服务内容

网络/系统调研

 

成立“护网行动”统一指挥管理中心,统一协调调度指挥行动中的所有事项、人员安排工作。
分为:管理组、协调组、攻击组、防护组、应急事件处理组等

 

防护组从物理环境、通信网络、区域边界、计算环境,四个层面对整个网络、系统进行调研,形成详细的调研表,其中包括资产统计、网络区域划分、各区域互访、数据传输等方面。

图片

全面的风险评估

 

防护组对物理环境、通信网络、区域边界、计算环境四个层面调研完成后,开展风险评估。同时开始对网络和系统实施风险评估。


风险评估包括:应用系统和设备的漏洞排查、应用系统和设备区域边界的防护情况、应用系统和设备计算环境的基线评估等。

 

图片

攻防演练

 

防护组完成风险评估后。由攻击组开始对网络和系统实施模拟攻击。
攻击手段主要有注入攻击、脚本攻击、拒绝服务攻击、密码爆破、利用漏洞(溢出,逻辑)、旁注攻击、社会工程攻击、数据传输攻击等等
最终由防护组和攻击组将各自结果形成报告,并开展安全防护工作。

 

图片

安全防护调整

 

防护组和攻击组通过双方的结果和报告,开始开展安全防护工作,防护策略调整,同时和应急响应组制定安全事件响应预案。


完成安全防护调整后,再进行评估和攻防演练,并同时开展事件应急响应演练。形成全面的安全防护闭环,实时监测实时防护实时应急

 

图片

服务资质

纽盾拥有等级?;そㄉ璺褡手?,并通过中国信息安全认证中心的评审认证,获得了风险评估与安全运维资质认可证书,证明纽盾符合ISCCC-ISV-C01:2017《信息安全服务 规范》三级的服务要求,具有向客户提供风险评估与安全运维的服务能力。

图片
图片
图片

管理制度与文档体系的完善

 

按照等级?;す芾聿糠直曜?,从5个方面帮助客户补充及完善等级?;ひ蟮墓芾硖逑到ㄉ柚猩婕暗降闹贫任牡?,以及相关记录的完善。

图片

服务输出

图片

信息系统整改实施报告

信息系统管理制度体系

信息系统服务验收报告

  • 德国:网上发布不当言论最高可获刑5年 2019-06-18
  • 县名解析晋城高平市地名来历 2019-06-18
  • 【人民映像】霍庆有:匠心神韵 杨柳青青 2019-06-18
  • 王栩冬、苏静任天津市静海区人民政府副区长 2019-06-18
  • 游客被指捡石子砸老虎 北京野生动物园:正在核实 2019-06-17
  • “世界杯时间”,以独特方式展现中国元素 2019-06-17
  • 新郎被摔成10级伤残 新娘难逃公公亲吻 奇葩闹婚何时休 2019-06-16
  • 大同能源革命跑出发展“加速度” 2019-06-16
  • 公安部端午节假期首日将现出行高峰 上午达峰值 2019-06-16
  • 2017年度消费车型盛典暨中国汽车智能发展峰会举行 2019-06-16
  • 房企下半年将遇“大考” 去化缓慢仍是最大阻力 2019-06-15
  • 贸易战打败的是经济理论家,不是中美两国经济。 2019-06-15
  • 2D卡通大逃杀游戏《极乐地狱》Steam年内推出 2019-06-14
  • 中国经济充当了世界经济发展的火车头。但是,作为世界经济火车头的中国,在世界主要经济体股市都走牛的情况下,为何熊途漫漫?这种不正常的现象,背后是我们资本市场的投融 2019-06-14
  • 漂洋过海的中国迷:传奇“中国通” 这位大使在华50年圈粉无数 2019-06-14
  • 892| 397| 577| 697| 610| 294| 883| 113| 745| 881|