安全服务解决方案.docx

《安全服务解决方案.docx》由会员分享，可在线阅读，更多相关《安全服务解决方案.docx（13页珍藏版）》请在第一文库网上搜索。

1、安全服务方案目录1服务简介61.1 服务目标61.2 服务价值62服务内容62.1 安全服务类61. 1.1安全漏洞评估服务62. 1.2安全基线评估服务73. 1. 3渗透测试服务84. 1.4风险评估服务95. 1. 5代码审计服务96. 1.6业务安全评估服务107. 1.7 APP安全测试服务118. 1.8安全监测服务 129. 1.9护网演练服务1210. 1. 10应急响应服务1311. 1. 11应急演练服务1412. 1. 12重大活动保障服务142. 2安全培训类162. 2. 1安全培训服务161 .服务简介1.1 服务目标安全服务旨在满足客户持续发展的网络安全管理和安全

2、技术需求，为企业、 政府或特定客户提供全面或部分网络安全解决方案的服务，帮助客户应对来自网 络安全领域的各种挑战，为客户的网络安全和业务发展提供安全保障服务。安全服务团队由涵盖安全管理、安全攻防、终端安全、网络安全、安全体 系建设等领域深耕多年的专家组成，通过现场结合远程的方式为客户提供专业服 务，专家团队均具备丰富的安全从业经验。及时发现客户的网络安全事件和安全 漏洞，全面掌握网络安全情况、威胁情报线索，为客户网络安全管控工作提供有 力支撑。1.2 服务价值随着中国信息产业和网络技术的发展，传统的网络安全产品难以满足日益变 化的复杂的网络空间，未来中国安全市场将由硬件为主转换为服务为主。以适

3、应 未来用户定制化服务和细分市场等发展趋势。目前客户侧网络安全人才缺乏、传统技术和产品脱节，通过网络安全服务, 可以弥补安全人才不足、安全技术不足、安全信息不足和安全管理理念不足等安 全问题，提升客户的信息安全管理水平和安全合规能力，更好的防御安全威胁。2服务内容2.1 安全服务类2.1.1 安全漏洞扫描服务2.1.1.1 服务简介安服团队针对客户系统提供漏洞扫描服务。漏洞扫描是脆弱性识别的重要 手段，能够帮助客户发现设备和系统中存在的严重漏洞，帮助客户了解技术措施 是否有效执行，并通过及时修补完善，避免对信息系统造成严重影响。将采用具有自主知识产权的漏洞扫描工具对服务范围内各种软硬件设备进

4、行网络层、系统层、数据库、应用层面的全面扫描与分析，扫描设备检测规则库 及知识库涵盖了 CVE、CNVDs CNNVD等标准。扫描完成后并人工验证所发现的操 作系统漏洞、数据库漏洞、弱口令、信息泄露及配置不当等脆弱性问题。提出准 确有效的扫描报告，并针对漏洞扫描中出现的问题，提供解决方案，并由一线驻 场服务人员协助客户运维人员实施安全加固并跟踪整个安全加固流程，形成安全 风险整改闭环。通过安全漏洞扫描服务，可以及时发现业务系统中存在的安全漏洞，通过对 服务器及安全设备漏洞的整改加固，可以及时地消除安全漏洞可能带来的安全 风险。2.1.1.1服务交付针对客户服务器、安全设备等进行漏洞扫描，编写输

5、出漏洞扫描报告，报告 内容详细描述漏洞扫描结果和修复建议。输出内容为：安全漏洞扫描报告安全漏洞问题整改反馈表漏洞扫描复测报告2.1. 2安全基线评估服务2. L 2. 1服务简介安服团队针对客户系统提供安全基线评估服务。基线评估是参考行业内安 全配置规范，通过“自动化工具配合人工检查”的方式进行检查，主要包括网络 设备、安全设备、操作系统、数据库、中间件等安全配置基线，采用主流的安全 配置核查系统或检查脚本工具，以远程登录或检查脚本工具的方式，完成检查。 依据行业内安全技术规范对网络设备、安全设备、操作系统、数据库以及中间件 的安全配置基线要求，结合安全评估结果，按照安全整改建议，由一线驻场服

6、务 人员协助客户运维人员实施安全加固并跟踪整个安全加固流程，形成安全风险整 改闭环。通过安全基线评估服务，可以及时发现业务系统中存在的安全漏洞，通过对 服务器及安全设备漏洞的整改加固，可以及时地消除安全漏洞可能带来的安全 风险。2.1. 2.1服务交付针对客户服务器、安全设备等进行基线检查，编写输出基线评估报告，报告 内容详细描述基线评估结果和修复建议。输出内容为：安全基线检查报告安全基线检查问题整改反馈表安全基线复测报告2. L 3渗透测试服务2.1. 3.1服务简介安服团队针对客户系统提供渗透测试服务。渗透测试服务是在用户的授权 下，模拟真实的黑客，对评测目标进行非破坏性质的模拟入侵攻击，

7、最大程度挖 掘出潜在的安全威胁（包括系统存在的漏洞、脆弱点、网站的不安全因素等）。 渗透测试可以用来评估评测目标是否存在可以被黑客利用的漏洞，以及该漏洞引 起的风险大小，让企业先于攻击者发现存在的问题，为用户制定完善的安全措施 与应对方案提供科学有效的依据。最终结果将以专业安全评测报告的形式呈现, 内容包括详细的威胁位置、成因、修复建议等。通过渗透测试服务，可以模拟黑客常用的入侵方式，通过黑客视角发现业务 系统中存在的安全漏洞，及时地消除安全漏洞可能带来的安全风险。2.2. 3. 2服务交付针对客户的主机和Web资产，编写渗透测试报告，报告内容详细描述渗透测 试结果和修复建议。输出内容为：渗透

8、测试授权书渗透测试报告系统复测报告2. 1. 4风险评估服务2.1.4.1服务简介安服团队针对客户系统提供风险评估服务。通过风险评估服务可以系统地 分析网络与信息系统所面临的威胁及其存在的脆弱性，评估和分析在网络上存在 的安全技术风险，以及业务运作和管理方面存在的安全缺陷、评估安全事件一旦 发生可能造成的危害程度，评价风险的优先等级，提出有针对性的抵御威胁的防 护对策和安全整改措施，防范和消除信息安全风险，或将风险控制在企业可接受 的水平，为网络和信息安全建设与规划提供科学依据。通过风险评估服务，可以系统的识别企业资产所面临各类威胁和脆弱性，通 过风险分析和风险处置，将风险控制在企业可接受的水

9、平，满足企业安全管理要 求。2.1.4. 2服务交付针对客户的组织架构、管理制度和信息资产，编写风险评估报告，报告内容 详细描述风险评估结果和修复建议。输出内容为：资产清单与风险赋值实施方案与计划威胁列表脆弱性清单风险评估报告风险处置计划表项目总结汇报PPT2. L 5代码审计服务2.1. 5.1服务简介安服团队针对客户源代码提供代码审计服务。代码安全审计通过分析当前 应用系统的源代码，从应用系统结构方面检查其各模块和功能之间的关联、权限 验证等内容；基于编程规范和标准，针对应用程序源代码，从结构、脆弱性以及 缺陷等方面进行审查，以发现当前应用程序中存在的安全缺陷以及代码的规范性 缺陷。在明确

10、当前安全现状和需求的情况下，对下一步的编码安全规范性建设有 重大的意义。通过实施代码安全审计，可以以较小成本快速发现项目中的代码安全漏洞、 快速评估系统代码安全风险、增强系统安全性，抵御黑客恶意攻击，保护信息系 统资产。2.2. 5. 2服务交付针对客户提供的源代码，编写代码审计报告，报告内容详细描述代码审计结 果和修复建议。输出内容为：代码审计报告代码审计复测报告2. 1. 6业务安全评估服务2.1. 6.1服务简介安服团队针对客户系统提供业务安全评估服务。业务安全测试通常是指针 对业务运行的软、硬件平台（操作系统、数据库、中间件等），业务系统自身（软 件或设备）和业务所提供的服务进行安全测

11、试，保护业务系统免受安全威胁，以 验证业务系统符合安全需求定义和安全标准的过程。业务安全主要是指系统自身 和所提供服务的安全，即针对业务系统中的业务流程、业务逻辑设计、业务权限 和业务数据及相关支撑系统及后台管理平台与业务相关的支撑功能、管理流程等 方面的安全测试，深度挖掘业务安全漏洞，并提供相关整改修复建议，从关注具 体业务功能的正确呈现、安全运营角度出发，增强用户业务系统的安全性。传统安全测试主要依靠基于漏洞类型的自动化扫描检测，辅以人工测试，来 发现如SQL注入、XSS、任意文件上传、远程命令执行等传统类型的漏洞，这种 方式往往容易忽略业务系统的业务流程设计缺陷、业务逻辑、业务数据流转、

12、业 务权限、业务数据等方面的安全风险。过度依赖基于漏洞的传统安全测试方式脱 离了业务系统本身，不与业务数据相关联，很难发现业务层面的漏洞，企业很可 能因为简单的业务逻辑漏洞而蒙受巨大损失。安服团队基于多年的业务安全测试经验，整理出版了一套关于业务安全测 试的书籍一web攻防之业务安全实战指南。书中详细介绍了业务安全测试的 方法论，设计出了一套业务安全评估模型，主要通过前台和后台、业务和支撑系 统四个不同的考察维度出发，可全方位识别和分析各个业务关键流程可能存在的 安全风险，并提供相应的修复建议。通过实施业务安全评估服务，可以发现传统的安全工具如扫描器，IDS等不 能直接定位到的漏洞，从业务逻辑

13、层面发掘客户系统存在的安全漏洞，及时消除 漏洞可能带来的业务风险。2.2. 6. 2服务交付针对客户提供的业务系统编写业务安全评估报告，报告内容详细描述业务安 全评估结果和修复建议。输出内容为：业务流程表业务安全评估报告业务安全复测报告2.1. 7 APP安全测试服务2.1. 7.1服务简介安服团队针对客户的移动应用提供APP安全评估服务。采用人工结合工具 开展APP安全评估工作，对APP网络通讯、服务器端、手机端、数据和业务逻辑 等多个层面进行细致的梳理、测试和分析，发现移动APP面临的安全风险。APP安全评估包含手机端(IOS, Android)和服务端。APP安全评估主要针 对APP客户

14、端和的APP服务端进行安全测试。其中APP客户端的安全测试包括 APP的漏洞和APP所调用的系统组件漏洞。服务端的安全测试包括传输安全测试 和服务端应用安全测试。通过APP安全测试服务，可以及时发现客户APP存在的安全漏洞，通过对 APP整改加固，可以及时地消除APP漏洞可能带来的安全风险。2.1. 7. 2服务交付根据客户实际需求针对所有检测的APP系统编制输出检测报告描述其发现 的问题并给出相应的解决方案。输出内容为：APP安全评估报告APP安全复测报告2.1. 8安全监测服务2.2. 8.1服务简介安服团队针对客户提供的系统开展多维度的远程监测服务，监测内容主要 包括网页篡改监测、挂马监

15、测、暗链监测、暗网数据泄露监测、github数据泄露 监测、网盘文库数据泄露监测、社交工具数据泄露监测、安全事件监测、舆情监 测等。及时提供用户安全信息，使其多角度了解安全现状。提供了邮件通告、 电话通告、短信通告等多种安全信息通告方式。通过安全监测服务，可以及时发现客户系统的安全事件和信息泄露情况，从而可以及时进行事件处置和信息保护。2.3. 1. 8. 2服务交付根据客户提供的系统输出安全监测分析报告，描述监测到的各类安全事件并 给出相应的解决方案。输出内容为：安全监测报告2.4. 9护网演练服务2.5. 9.1服务简介安服团队根据客户护网相关需求提供红蓝两队服务。其中红队负责提供攻 击服务，蓝队负责提供防守服务。2016年，公安部会同民航局、国家电网，第一 次组织开展了 “护网2016”网络安全攻防演习活动。同年，网络安全法颁 布，并于2017年实施。出台网络安全演练相关规定：关键信息基础设施的运营 者应“制定网络安全事件应急预案，并定期进行演练”。自此“护网行动”成为 每年的惯例。通过护网演练服务，可以从真实对抗中发现客户系统及产品的薄弱环节，从 而帮助客户及时修复系统漏洞，完善产品功能。最终