天暢信息中標銀行客戶安全風(fēng)險評估服務(wù)項目,為該行旅游業(yè)務(wù)小程序、陽光信貸系統(tǒng)、電子審批系統(tǒng)等相關(guān)業(yè)務(wù)系統(tǒng)提供安全風(fēng)險評估服務(wù),為該行管理部門開展信息安全建設(shè)提供依據(jù),為確立安全策略、制定安全規(guī)劃、開展安全建設(shè)提供決策建議。
隨著多年來信息化程度的不斷提高,對信息系統(tǒng)的依賴程度也不斷增加,網(wǎng)上信息的價值也逐漸增大,隨之而來的信息安全問題也日漸凸現(xiàn),銀行領(lǐng)導(dǎo)對當(dāng)前信息化安全的建設(shè)給予了高度重視,為充分了解當(dāng)前安全現(xiàn)狀,掌握信息系統(tǒng)的安全風(fēng)險狀況,組織了本次風(fēng)險評估項目。
針對旅游業(yè)務(wù)小程序、陽光信貸系統(tǒng)、電子審批系統(tǒng)、視頻監(jiān)控等系統(tǒng)提供以下方面的服務(wù):
滲透測試所涉及的測試類型:網(wǎng)站掛馬檢查、敏感信息下載、業(yè)務(wù)邏輯漏洞、Cookies漏洞、管理入口安全性、WEB應(yīng)用指紋測試、錯誤代碼分析、認證測試、會話管理測試、HTTP參數(shù)測試、驗證碼安全性、SQL注入漏洞、弱口令、口令驗證不足、目錄遍歷、文件上傳、HTTP協(xié)議追蹤、跨站腳本、后臺漏洞、敏感信息泄漏、網(wǎng)絡(luò)漏洞、SSL加密漏洞等;驗收時提交滲透測試報告及安全加固建議;項目加固完成后,客戶需再做復(fù)測驗證,驗證加固是否完成。
通過建設(shè)本項目,天暢信息提供綜合風(fēng)險評估系統(tǒng)助力客戶實現(xiàn)如下幾個目標:
安全漏洞掃描:通過使用專業(yè)的安全漏洞掃描工具,對業(yè)務(wù)系統(tǒng)進行全面的安全漏洞掃描,以發(fā)現(xiàn)潛在的安全風(fēng)險,并提供相應(yīng)解決方案。
安全滲透測試:通過模擬黑客攻擊的方式,對業(yè)務(wù)系統(tǒng)進行全面的安全滲透測試,以發(fā)現(xiàn)應(yīng)用系統(tǒng)的安全漏洞和弱點。
威脅識別與分析:對該行需要保護的關(guān)鍵資產(chǎn)進行威脅識別。根據(jù)資產(chǎn)所處的環(huán)境條件、資產(chǎn)以前遭受威脅、資產(chǎn)目前存在的威脅情況來判斷威脅的可能性。同時識別出威脅由誰什么事物引發(fā),即確認威脅的主體和客體,然后還要識別出威脅的主要方式。
脆弱性識別與分析:在這一階段,我們將對每一項需要保護的信息資產(chǎn),找出每一種威脅所能利用的脆弱性,并對脆弱性的嚴重程度進行評估。從技術(shù)、管理兩方面脆弱性進行脆弱性評估,其中技術(shù)方面包括物理環(huán)境、網(wǎng)絡(luò)環(huán)境、主機系統(tǒng)、中間件系統(tǒng)和應(yīng)用系統(tǒng)五個層次。管理脆弱性評估方面主要是按照等級保護的安全管理要求對現(xiàn)有的安全管理制度的制定和執(zhí)行情況進行檢查,發(fā)現(xiàn)其中的管理漏洞和不足。
我司擁有一支專業(yè)的信息安全服務(wù)團隊,其中包括多名信息安全專家和多名資深的安全工程師。我們擁有豐富的信息安全經(jīng)驗和專業(yè)的技術(shù)能力,可以為客戶提供全面的信息安全保障服務(wù)。通過對各行業(yè)客戶網(wǎng)絡(luò)和應(yīng)用系統(tǒng)開展漏洞掃描、滲透測試、日志分析、安全風(fēng)險評估等安全服務(wù)工作,協(xié)助客戶發(fā)現(xiàn)網(wǎng)絡(luò)和應(yīng)用系統(tǒng)與行業(yè)安全標準之間存在的差距,找到客戶當(dāng)前系統(tǒng)存在的安全隱患和不足,通過安全整改,提高信息系統(tǒng)的安全防護能力,降低系統(tǒng)被各種攻擊的風(fēng)險,為行業(yè)客戶提供了眾多高可用的網(wǎng)絡(luò)安全解決方案。
流量控制,盡可能減少對其他網(wǎng)段的網(wǎng)絡(luò)流量影響
性能控制,盡量讓被測試主機不對外開放除測試應(yīng)用外的其他服務(wù)
時間選擇,測試時間盡量選擇在非業(yè)務(wù)高峰期間進行
測試策略不使用含有拒絕服務(wù)的測試策略,防止測試造成用戶網(wǎng)絡(luò)和系統(tǒng)的服務(wù)中斷
準備測試前應(yīng)備份相關(guān)系統(tǒng)、應(yīng)用、數(shù)據(jù)庫,在發(fā)現(xiàn)有數(shù)據(jù)非法變更時可以盡快恢復(fù)系統(tǒng)及數(shù)據(jù)庫日志
在測試前盡可能了解應(yīng)用系統(tǒng)的性能,定制合理的測試線程
本次安全風(fēng)險評估服務(wù)是在有效測試時間內(nèi)針對客戶重要業(yè)務(wù)系統(tǒng)的安全性和完整性進行測試,對發(fā)現(xiàn)的漏洞與風(fēng)險項及時修復(fù)和分發(fā)補丁,修復(fù)后結(jié)果進行了復(fù)測,復(fù)測結(jié)果顯示所有漏洞已經(jīng)成功修復(fù)。在完成了資產(chǎn)識別、威脅識別、脆弱性識別后,采用適當(dāng)?shù)姆椒ㄅc工具確定威脅利用脆弱性導(dǎo)致安全事件的可能性。綜合安全事件所作用的資產(chǎn)價值及脆弱性的嚴重程度,判斷安全事件造成的損失對組織的影響,形成風(fēng)險評估報告。