高级渗透测试服务
背景
为了保障Web应用的稳定、安全、持续运行,就要对网上业务系统的信息安全风险做到早发现、早预防。墨云科技的高级渗透测试服务结合国际国内信息安全最佳安全实践,通过对内外网业务系统进行渗透测试和代码审计,之后根据测试审计结果提出相应的整改加固建议,协助用户完成整改,从而提高业务的安全防护水平。

墨云科技以渗透测试方式作为切入点,对网络中的关键信息系统进行全面深入的模拟黑客攻击测试,找出信息系统中可能存在的缺陷和漏洞;然后以渗透测试结论作为依据,指导整个信息系统的安全加固,提高业务系统的安全性及业务连续性,使之能够更好的为广大用户服务。
风险与挑战
随着业务的快速拓展,企业关键应用系统的规模不断增大,对软件质量的要求也越来越高。与此同时,最近几年软件应用安全问题频发,往往给企业造成巨大经济损失;随着Web2.0技术的广泛应用,又带来了更多的安全漏洞;同时黑客们可以用更低的成本获得攻击的软件,学习黑客攻击的方法,导致应用安全问题更加严峻。

由于缺乏对软件应用安全的足够认识,临时的解决方案往往是治标不治本。企业的开发测试部门为了提高软件安全质量,面临着诸多挑战:
如何减少安全事故的损失
如何发现和修改安全缺陷
如何防范安全威胁
如何评估系统的安全性
如何短时间测试大量的应用系统
解决方案
高级渗透测试服务(黑盒测试)是指在客户授权许可的情况下,测试将通过模拟黑客攻击的方式,在没有网站代码和服务器权限情况下,对企业的在线平台进行全方位渗透入侵测试,来评估企业业务平台和服务器系统的安全性。

通过高级渗透测试,企业用户可以从攻击角度了解系统是否存在隐性漏洞和安全风险。特别是在安全建设之前进行的渗透测试,可以让用户对信息系统的安全性有更深刻的认知,有助其进一步健全安全建设体系;渗透测试完毕后,也可以帮助用户更好地验证经过安全保护后的网络是否真正达到了预期的安全目标、遵循了相关安全策略、符合安全合规的要求。
服务流程
服务内容
服务收益
安全教育与技能提升
渗透测试的结果可作为内部安全意识的案例,在对相关的接口人进行安全教育时使用。一份专业的渗透报告不但可以作为案例提供给用户,更可以作为常见安全原理的学习参考。
单位形象/经济规避
渗透测试可帮助企业避免因安全问题带来的单位形象的损失和经济损失的风险。
合规、评估的基本要求
渗透测试是安全规范和法律的基本要求,如等级保护、风险评估中均要求进行渗透性测试
技术性验证/检查安全隐患
有效的主动性防御手段,技术性验证目标系统的安全性,查找系统的安全隐患
参考规范
– GB/T 18336-2008 信息技术 安全技术 信息技术安全性评估准则
– GB 17859-1999 计算机信息系统安全保护等级划分准则
– GB/T 20984-2007 信息安全技术 信息安全风险评估规范
– GB/T 20271-2006 信息安全技术 信息系统通用安全技术要求
– GB/T 22239-2008信息安全技术 信息系统安全等级保护基本要求
– ISO/IEC 27001:2005 信息技术 信息安全管理体系要求