全力为中小企业提供网页设计、网站建设等店铺详情装修设计、平面设计、品牌推广等高度定制服务

产品展示

我们将为您提供一整套完善的安全解决方案,让您的网络安全无懈可击。

      渗透测试是指专业的安全工程师模拟黑客使用的漏洞发现技术和攻击手段,对目标网络、系统、主机、应用的安全性作深入的探测,发现系统最脆弱的环节的过程。

 

      不过,经用户授权所进行的渗透测试与黑客所进行的渗透攻击测试是有一定的区别。授权所进行的渗透测试一般不会对客户的信息系统造成任何危害和损失,其目的只在于从信息系统的外部发现信息系统对外所呈现出的安全脆弱性并验证这些安全脆弱性的真实存在性,到此为止就不再进行进一步的渗透(即不进行后门植入等后续手段),并将这些所存在的脆弱性通告客户方,这是与黑客所进行的渗透测试的区别所在。
      渗透测试服务目的是让用户清晰了解目前主机与应用系统的脆弱性、可能造成的影响,以便采取必要的防范措施。不过渗透测试服务项目并不能保证发现目标系统中的“所有”弱点,通过渗透测试服务项目只能是减少风险,但是不一定能绝对避免风险,因此渗透测试服务项目不能让系统达到绝对得安全,经过安全评估服务后的系统被攻破是可能的,也是正常的。因此渗透测试服务只是检测信息系统安全的一种方式,要保障系统的安全需要采取综合性的安全保障措施,才能使信息系统的安全达到较高的程度。

 

 

 

 

 


     

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

    

 

 

 

      

  

 

 

      客户收益:
      1)渗透测试安全服务项目帮助客户发现其主机与应用系统的安全最短板,协助客户有效地了解目前降低风险的初始任务;
      2)渗透测试安全服务报告有助于客户管理者以案例形式说明目前互联网系统的安全现状,从而增强客户信息安全的认知程度;
      3)信息安全是一个整体工程,渗透测试安全服务项目还有助于客户的所有成员意识到自己的岗位同样可能提高或降低风险,有助于内部安全的提升。

 

      漏洞扫描是一种主动的防范措施,可以有效避免黑客攻击行为,防患于未然。通过对网络的扫描,可以了解网络的安全配置和运行的应用服务,及时发现安全漏洞,客观评估网络风险等级。漏洞扫描包括主机漏洞扫描、Web漏洞扫描、弱密码扫描等。并且专业的安全工程师会对扫描结果进行分析,并且提供相应的漏洞解决方案,方便管理员对主机和应用的安全进行检查和分析,及时修复漏洞。
      漏洞扫描的功能:
      1)网络安全现状检测、评估 ;
      2)网络建设和网络改造前后的安全规划评估和成效检验;
      3)网络承担重要任务前的安全性测试;
      4)网络安全事故后的分析调查 ;
      5)重大网络安全事件前的准备 ;
      6)公安、保密部门组织的安全性检查。
      漏洞扫描的流程:
      1)扫描方案确定,开始执行扫描任务,按照客户的扫描要求配置漏洞扫描策略进行扫描。
      2)端口扫描阶段,本阶段主要是对目标对外开放的端口和服务进行扫描,从而收集相关的信息。
      3)主机漏洞扫描阶段,本阶段主要是对目标的主机环境进行安全扫描。
      4)Web漏洞扫描阶段,本阶段主要是对目标的Web系统进行安全扫描。
      5)弱密码检测阶段,本阶段主要是对目标的各种常用服务,如FTP、SQL Server、RDP远程终端服务等进行弱密码检测扫描。
      6)清除总结阶段,清除在客户系统中产生的痕迹和中间数据,然后根据以上阶段内容总结编写《漏洞扫描服务报告》。

 

 

     

 

 

 

 

 

 

     

 

 

 

     

 

      客户收益:
      1)全面了解企业网络安全风险状况,保障业务安全;
      2)及时应对新增的黑客攻击技术和漏洞类型;
      3)与企业自身研发或已购买的安全产品互补,全面保障网络安全;
      4)降低安全运维成本;
      5)获得专业的安全咨询和技术合作服务。

      等级保护的各个阶段有着不同的工作重点,针对等级保护各个阶段的工作重点为客户提供全方位的支持和服务。根据不同用户在等级保护不同等级、不同阶段的业务特性、安全需求及安全应用重点,为用户在等级保护的框架下构建一个安全、可靠、灵活、可持续改进的信息安全体系。

 

1.系统定级阶段
      信息系统安全定级是实施信息系统安全等级保护的基础和前提。等级确定的正确与否,直接关系到信息系统的定位、后续的安全规划、安全建设、安全实施和等级保护工作相关各方的资源投入。
2.规划设计阶段
      安全规划设计是等级保护实施过程中的一个重要阶段,通过等级化差距评估判断信息系统的安全保护现状与国家等级保护基本要求之间的差距,确定安全需求,设计合理的、满足等级保护要求的总体安全方案,并制定出安全实施计划等,以指导后续的信息系统安全建设工程实施。
3.实施实现阶段
      我们将在深入分析系统业务安全需求的基础上,为用户提供并建立一套符合相应等级保护要求的全方位的整体系统安全解决实施方案,方案中不仅包括安全技术体系的实施而且包括安全组织体系的设计和安全管理体系的建立。
4.运行管理阶段
      根据等级保护的要求,企业需要定期进行安全自查工作,而自查需要使用专业的工具、方法、步骤等,还需要一定的工作量,佰运俐可以帮助客户进行完整的自查,出具自查报告,提出相应的安全建议。

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

     客户收益:
      1)满足国家信息安全等级保护相关政策与标准要求;
      2)实现信息系统等级化保护和等级化管理;
      3)解决只注重问题发现与提出安全要求,而实施方案落地困难的问题;
      4)提高各企事业单位信息系统安全防护能力;
      5)缩短从体系设计到体系实现的过程,避免咨询服务成果与安全建设脱节的弊病。

      应急响应服务是为满足客户信息系统发生安全事件,需要紧急解决问题的情况而提供的一项安全服务。当发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,安全专家会在第一时间对安全事件进行应急响应处理,使网络及信息系统在最短的时间内恢复正常运行,帮助客户查找入侵来源,挽回或减少经济损失、安全后果和相关安全责任。对安全事件进行应急响应处理后,我们将提供详细的应急响应报告,报告中将还原入侵过程,同时给出对应的解决方案。

 

      应急响应服务主要解决以下问题:

 

 

 

 

 

 

 

 

 

 

 

 


     

 

 

 

 

 

 

 

     

 

 

       我们的应急响应服务主要对如下安全事件做出响应:

 

      根据客户当前安全管理需要和管理特点,针对等级保护所要求的组织安全、管理制度、人员安全、系统建设和系统运维,从人员、制度、运作、规范等角度,进行全面的整改,提升客户信息系统管理的能力,避免人为因素给系统带来的威胁,符合等级保护对管理的要求。包括管理方案设计、组织设计、制度规划、系统管理规划、应急预案制定及预演等。
      为满足等级保护要求,为客户建立和完善安全管理制度,建立安全管理体系,至少包括以下管理制度:

 

 

 

 

 

 

 

 

     

 

 

 

 

 

 

 

 

 

 

 

 

 

     

 

 

 

 

 

 

     

 

 

 

 

     

 

 

      客户收益:
      1)帮助客户梳理缺失管理制度及文档;
      2)按照等级保护的要求进行安全整改,协助客户通过等级保护测评;
      3)弥补客户技术人员的不足而导致安全要求制定不合规的情况;
      4)规避管理责任。

      安全培训是按照既定的安全培训体系或定制的课程内容,向客户提供所需的安全培训服务。对当前最新的信息安全形势进行宣贯,通过一些具体数据和事例的分析使管理人员了解目前国际国内在信息安全动态和趋势,同时针对员工进行信息安全意识培训,提高其信息安全保护意识。
      实际上一个单位的整体安全水平不仅要看专职的安全管理与技术人员的能力,还要看全体人员的安全意识是否到位,这与持续的安全意识教育与培训是密不可分的。
      提高和维持所有人员的信息安全意识和技能,对成员理解信息安全对单位的意义,开展信息安全工作,在单位内逐步建立和融入信息安全的文化,提高整体安全水平是非常重要的。当然,这可能是一个漫长而艰难的过程。

 

 

 

 

 

 

     

 

 

 

 

 

 

 

 

 

 

     

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

客户收益:
      1)使学员了解培训的目标和内容
      2)通过小故事引出信息安全管理的重要性、使全体员工了解信息安全的内含
      3)通过具体数据和例子,使全体员工了解目前国际国内在不同领域的信息安全相关形势,以及信息安全对于单位的重要意义。
      4)使员工掌握信息安全常识,并通过调查数据、相关案例、动画、视频等生动形象的方式来加深普通员工的理解和印象,使员工不仅了解信息安全的内容以及对于日常工作的重要性,更使他们能够认识到信息安全与自身利益息息相关,从而从本质上提高全体员工的安全意识水平。

 

      信息安全咨询服务就是帮助组织建立和巩固完善的信息安全体系的一系列活动;同时,安全咨询服务也是整个IT环境的成熟度的一个衡量指标。

 

      目前,人们在信息安全建设时,广泛采用基于安全产品的系统集成方案,这样的方案着眼点和核心都放在安全技术和产品上,往往目的性非常强,但通常仅仅局限在某一点上,不能把握建设安全体系的全局,也不能很好地在组织内部贯彻安全管理思想,在规避安全风险、控制安全成本方面更缺乏可控性。现在更为有效也更切合实际的,就是基于服务的工程化方法来进行信息安全建设。
      与传统的集成方案不同,基于服务的信息安全解决方案着眼点不再是安全产品,而是组织不断发展变化的安全需求(通过风险评估等途径进行充分发掘),在此基础上,设计适用的解决方案,包括安全策略的制定、技术和管理体系的构建。以服务为主导的信息安全建设过程,技术产品仅仅是实现安全体系的一种手段,是否选择产品?选择怎样的产品?这些都要依据具体需求来定,除了产品,安全策略、操作流程、人员组织、安全管理等项事务是需要更多去考虑的;另外,安全咨询服务过程是有周期性并且不断发展的,这和信息安全本身持续改进的特点完全一致,因而更适合建立完善的信息安全体系。
      在接收到客户电话咨询后,首先询问客户需求,并进行需求分析;针对需求情况收集、整理相关资料,然后以电话、传真、电子邮件等方式,提供实质性服务建议或解决方案;协助客户对方案进行筛选,选择最终实施方案。

      加固优化服务是基础架构安全服务的实质阶段,根据风险评估、漏洞扫描或者渗透测试的结果,参考当前网络和系统现状,为客户信息安全架构的改进或升级提出切实可行的解决方案,在帮助客户实施的同时,提高网络安全性的同时,保障网络性能的最佳。

 

      加固优化服务主要包括:(以下服务可独立提供给客户)

 

 

 

 

 

 

 

 

 


    

 

 

 

 

 

 

     

 

 

     

 

      1)主机加固
      根据主机操作系统(Windows、Unix、Linux)运行和安全状况的全面评估报告,采取对系统漏洞进行补丁修补,并优化和加强账号口令、日志、网络性能、文件系统、权限控制、服务进程等安全特征的管理。如:补丁、文件系统、帐号管理、网络及服务、注册表、共享、应用软件、审计/日志,其它。
      2)数据库加固
      数据库加固服务是根据数据库系统运行和安全状况的全面评估报告,采取补丁修补,并优化和加强账号口令、日志、网络属性、文件目录、服务配置、数据交互过程、角色与权限管理等。在防止外部攻击的同时加强对内部管理操作的控制与审计。支持主流的数据库系统包含:DB2、MSSQL、MySQL、Sybase等。
      3)网站应用加固
      Web应用安全加固根据网站常见网络服务的运行和安全状况的全面评估报告,采取对Web系统级漏洞进行补丁修复,并优化和加强Web应用的用户管理、日志审计、文件目录和相关文件操作、登录维护,同时对跨站脚本攻击(XSS)、网站数据库注入等漏洞修复。
      4)网络架构加固优化
      根据对各种网络设备和网络区域的运行和安全状况,采取升级和调整,并优化和加强访问控制、账号口令、数据流量、网络属性、服务协议等的安全特征,使得企业的网络架构更加合理安全。
      5)应用系统架构优化
      在应用系统的开发设计流程和部署结构的基础上,对应用系统的整体架构,在基于安全、性能等考虑对开发流程进行优化和修补。

 

 

      代码审计服务是通过审计应用系统的源代码来发现潜在的安全漏洞及隐患的技术手段。代码审计服务可以弥补渗透测试的未能完全覆盖的漏洞环节与安全隐患,是一种可靠性、安全性最高的修补漏洞的方法。可以对常见的编程语言如ASP、ASP.NET、C#、PHP、JAVA等语言进行源代码审计,查找出代码中存在的安全问题。
      代码审计是对代码库和软件架构的安全性、可靠性全面安全检查,通过对开发人员的源代码分析结果与整个系统分析的全局信息进行关联分析,能防止严重的软件漏洞泄漏到代码流中。实践证明,程序的安全性是否有保障很大程度上取决于程序代码的质量,而保证代码质量最快捷有效的手段就是源代码审计。

 

 

 

 

 

 


     

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

      

     客户收益:
      1)明确安全隐患点:源代码审计能够对整个信息系统的所有源代码进行检查,从整套源代码切入最终明确某个威胁点并加以验证,以此明确整体系统中的安全隐患点;
      2)提高安全意识:通过审计到的漏洞让开发人员了解漏洞的形成和危害,提高开发中的安全意识;
      3)提高安全防御能力:任何的隐患在源代码审计服务中都可能造成“千里之堤溃于蚁穴”的效果,因此源代码审计服务可有效督促管理人员杜绝任何一处小的缺陷,从而降低整体风险。