風(fēng)險評估 通過漏洞掃描(應(yīng)用程序漏洞、操作系統(tǒng)漏洞、數(shù)據(jù)庫系統(tǒng)漏洞等)和全網(wǎng)掃描評估(進(jìn)行全網(wǎng)網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)、服務(wù)器操作系統(tǒng)等掃描和評估),對客戶整體信息安全風(fēng)險進(jìn)行評估,發(fā)現(xiàn)系統(tǒng)的脆弱環(huán)節(jié)和弱點(diǎn)等安全問題,為進(jìn)一步加固信息系統(tǒng)提供依據(jù)。 |
漏洞掃描工具 為了防止漏洞掃描工具出現(xiàn)誤報安全漏洞,我們采用專業(yè)安全掃描工具為主和其他掃描工具(IP探測類、協(xié)議探測類、應(yīng)用探測類)為輔的漏洞檢測方式,專業(yè)掃描工具選擇應(yīng)用通過國家保密局、中國人民解放軍測評中心、公安部等部門的權(quán)威認(rèn)證。并廣泛應(yīng)用與金融、政府、軍隊(duì)、武警、公安等部門,具有很高的可用性和成熟度。 |
漏洞檢測內(nèi)容 漏洞掃描檢測內(nèi)容如下: |
應(yīng)用程序漏洞:應(yīng)用系統(tǒng)BUG漏洞、配置缺陷和高風(fēng)險端口等。例如:弱口令、物理路徑泄露、CGI源代碼泄 露、執(zhí)行任意命令、緩沖區(qū)溢出、拒絕服務(wù)、SQL注入、條件競爭和跨站腳本執(zhí)行漏洞等。 |
操作系統(tǒng)漏洞,操作系統(tǒng)BUG漏洞、配置缺陷和高風(fēng)險端口等。例如:弱口令、緩沖區(qū)溢出、特權(quán)升級、拒絕 服務(wù)攻擊等。 |
設(shè)備IOS漏洞,設(shè)備系統(tǒng)BUG漏洞、配置缺陷和高風(fēng)險端口等。例如:弱口令、內(nèi)存泄漏漏洞、路由數(shù)據(jù)幀頭 缺陷、欺騙性的IP選項(xiàng)漏洞、拒絕服務(wù)工具等。 |
數(shù)據(jù)庫系統(tǒng)漏洞,數(shù)據(jù)庫系統(tǒng)BUG漏洞、配置缺陷等,例如:弱口令、SQL注入、用戶和組權(quán)限、不必要的數(shù) 據(jù)庫功能、失效的配置管理、緩沖區(qū)溢出、特權(quán)升級、拒絕服務(wù)攻擊、敏感數(shù)據(jù)未加密等。 |
漏洞掃描測試點(diǎn)部署示意圖如下: |
漏洞風(fēng)險評估方法 |
依照OWASP的方法論的指導(dǎo)思想,項(xiàng)目將根據(jù)實(shí)際情況制定一套安全風(fēng)險評定標(biāo)準(zhǔn)。項(xiàng)目中發(fā)現(xiàn)的所有漏洞 均依據(jù)該標(biāo)準(zhǔn)進(jìn)行評估和分析。 |
服務(wù)成果 《安全漏洞評估報告》、《安全漏洞解決方案》 |