安全服务入门

绿盟科技专业安全服务入门绿盟科技,绿盟科技安全服务概览,1,NSFOCUSServices,服务概览,安全管理体系咨询ISMS,等级保护合规建设咨询,信息安全建设规划咨询,安全咨询服务,电子银行安全评估,信息安全风险评估GBT20984,安全技术服务,安全漏洞扫描,安全配置核查,安全测试,移动APP测试,源代码安全审计,应急响应,CISP培训,CISSP培训,安全培训服务,PMP培训,WEB安全培训,操作系统安全培训,安全咨询服务,1,等级保护合规建设咨询,定级信息系统安全等级保护定级指南四级以上应请国家信息安全保护等级专家评审委员会评审系统等级建设计算机信息系统安全保护等级划分准则信息系统安全等级保护基本要求信息安全技术信息系统通用安全技术要求信息安全技术网络基础安全技术要求信息安全技术操作系统安全技术要求信息安全技术数据库管理系统安全技术要求信息安全技术服务器安全技术要求信息安全技术终端计算机系统安全等级技术要求信息安全技术信息系统安全管理要求信息安全技术信息系统安全工程管理要求,系统测评与自查信息系统安全等级保护测评要求三级每年至少进行一次四级每半年至少进行一次五级根据特殊安全需求,备案已运营二级以上系统，应在等级确定后30日内，到市级以上公安机关备案新建二级以上系统，应投入运行后30日内，到市级以上公安机关备案等级保护备案证明,等级保护合规建设咨询,系统定级,差距分析,整改,测评,检查,等级保护合规建设咨询,等级保护合规建设咨询,信息系统等级保护实施生命周期内的主要活动,规划设计阶段,安全实施/实现阶段,安全运行管理阶段,定级阶段,系统调查和描述,子系统划分/分解,子系统边界确定,安全等级确定,定级结果文档化,安全技术服务,2,渗透测试（PenetrationTesting）是由具备高技能和高素质的安全服务人员发起、并模拟常见黑客所使用的攻击手段对目标系统进行模拟入侵。渗透测试服务的目的在于充分挖掘和暴露系统的弱点，从而让管理人员了解其系统所面临的威胁。绿盟科技渗透测试服务将采用黑盒+灰盒，不同测试人员交叉测试的方式进行。,渗透测试,渗透测试,绿盟科技针对B/S架构的应用系统，从攻击者的视角，模拟黑客所使用的攻击手段对目标系统进行模拟入侵。同时在保证业务连续性的前提下，测试人员将进行业务功能的深度理解，充分挖掘和暴露应用及业务功能的弱点，从而让管理人员了解其系统所面临的威胁。,渗透测试,接口（API）主要分为WEB接口、TCP接口、其他特定接口。2017年，OWASP组织根据近几年安全攻击趋势，发布了OWASPtop10（2017），其中【A10-未受到充分保护的API】为新增的最新十大安全威胁之一。,渗透测试,WebAPI测试WebAPI测试主要参考常规web测试，使用burpsuite、fiddler、Firefox-hackbar插件等集成安全测试工具对API接口进行分析、测试。TCP/UDPSocketAPI测试SockketAPI测试使用SocketTool等socket数据包测试工具，以及开发接口的公司使用的专用测试工具或者自己编写的测试脚本进行分析、测试。使用wireshark进行数据包流量分析。其他接口其他接口测试（接近研究性质），主要使用wireshark、SocketTool、自主编写的测试（FUZZ）脚本等进行测试。,抗反汇编能力,代码混淆防护,验证程序签名,完整性校验,键盘窃听防护,抗截屏/录屏,本地敏感信息,组件劫持测试,移动APP安全测试,移动应用安全测试主要面向主流手机操作系统（包括但不限于：Android，IOS，WindowsPhone，Symbian，Java等）上开发的移动应用。测试范围覆盖手机端应用程序及文件，服务器端承载环境及处理逻辑及手机端与服务端的网络通讯，重点关注业务安全。,移动APP未验证SSL证书有效性。APP程序明文保存用户密码。APP未加壳以防止逆向分析。敏感数据网络传输时未加密。用户密码输入框未使用软键盘。服务器未检测客户端提交的非法字符。未严格控制用户的访问权限。程序异常时显示详细错误信息。保存密码使用不安全的哈希算法。未对重放攻击采取防护措施。,移动APP安全测试,移动APP安全测试-android,不同于其它一些移动平台，Android系统的应用数量庞大、运行环境多样。在root环境下，APP无法过多依赖操作系统提供的安全性，广泛的Java开发也造成了反编译的风险。这使得攻防双方围绕逆向分析、本地运行干涉、通信安全等多个方面展开了激烈的对抗。,移动APP安全测试-ios,移动APP安全测试,其他安全测试-客户端安全测试,其他安全测试-控件安全测试,其他安全测试-IOT安全测试,全环节评估,其他安全测试-定点测试,专业安全服务中的定点测试主要使用已知漏洞以及已知手段，对目标系统进行全面的系统的安全评估（弱化0day漏洞挖掘以及工具开发，因此有别于传统渗透测试）。,安全漏洞扫描,安全漏洞评估主要是通过评估工具以本地扫描的方式对评估范围内的主机系统进行安全扫描，从内网和外网两个角度来查找操作系统和数据库等安全对象目标存在的安全风险、漏洞和威胁。本次扫描主要对系统层的安全性进行评估。该层的安全问题来自网络运行的操作系统和数据库系统等。安全性问题表现在两方面：一是本身的不安全因素，主要包括身份认证、访问控制、系统漏洞等；二是安全配置存在问题。,安全漏洞扫描概述-漏洞扫描方式&范围,操作系统,数据库,中间件,通信协议,应用软件,应用系统,虚拟化系统,网络设备,安全设备,办公自动化产品,OSI,TCP/IP协议集,自动化扫描：不需要投入过多精力，节省人力成本手工评估：耗时、不全面、技术要求高,安全漏洞扫描概述安全漏洞分类,Web应用,第三方Web组件,Web服务,数据库,应用程序,操作系统,基础网络,Web扫描器,系统扫描器,系统漏洞扫描vsWeb漏洞扫描,安全漏洞扫描概述-漏洞扫描结果示例,Microsoft远程桌面协议RDP远程代码可执行漏洞(MS12-020)WindowsServer服务RPC请求缓冲区溢出漏洞(MS08-067)部分SMB用户存在薄弱口令Oracletnslsnr没有设置口令目标主机没有安装MS04-011/KB835732补丁MSSQLServer默认及易猜测账号存在弱口令MicrosoftWindowsNTIISMDACRDS远程命令执行漏洞IIS5.0/WebDAV远程缓冲区溢出,检测到目标服务器启用了TRACE方法检测到目标主机可能存在缓慢的http拒绝服务攻击检测到目标URL存在链接注入漏洞检测出目标web应用表单存在口令猜测攻击检测到目标URL存在框架注入漏洞检测到目标URL存在存储型跨站脚本漏洞检测到目标URL存在SQL注入漏洞,系统漏洞,Web漏洞,安全漏洞扫描概述-常见系统漏洞扫描产品,绿盟科技远程安全评估系统（RSAS）榕基漏洞扫描天融信漏洞扫描南京铱迅漏洞扫描系统启明星辰天镜Rapid7NexposeNessusOpenVAS,国内,国外,安全漏洞扫描概述-常见Web漏洞扫描产品,绿盟科技WEB应用漏洞扫描系统(WVSS)安恒明鉴安域领创WebRavor知道创宇WebsaberIBM的AppScanHPWebInspectAcunetixWVSBURPSUITE,国内,国外,网络设备安全配置规范账号管理、口令要求、日志审计、设备管理、服务安全安全设备安全配置规范账号管理、口令配置要求、日志审计、安全防护、设备管理主机操作系统安全配置规范账号管理、口令配置、认证授权、日志审计、登录管理、服务安全中间件系统安全配置规范账号管理、口令配置、认证授权、日志审计、登录管理数据库系统安全配置规范账号管理、口令要求、日志审计,安全基线核查,安全基线概述安全基线是什么,安全基线是信息系统的最小安全保证,即信息系统最基本需要满足的安全要求。信息系统安全需要在安全成本与所能承受的安全风险之间取得平衡,而安全基线正是这个平衡的合理的分界线。,安全基线概述安全基线配置的分类,安全基线概述安全基线规范展示,网络设备安全配置规范,安全设备安全配置规范,主机操作系统安全配置规范,桌面终端操作系统安全配置规范,数据库系统安全配置规范,示例,安全基线概述安全基线规范展示,示例,网络设备安全配置规范,安全设备安全配置规范,主机操作系统安全配置规范,桌面终端操作系统安全配置规范,数据库系统安全配置规范,安全基线概述安全基线规范展示,示例,网络设备安全配置规范,安全设备安全配置规范,主机操作系统安全配置规范,桌面终端操作系统安全配置规范,数据库系统安全配置规范,安全基线概述安全基线规范展示,示例,网络设备安全配置规范,安全设备安全配置规范,主机操作系统安全配置规范,桌面终端操作系统安全配置规范,数据库系统安全配置规范,安全基线概述安全基线规范展示,网络设备安全配置规范,安全设备安全配置规范,主机操作系统安全配置规范,桌面终端操作系统安全配置规范,数据库系统安全配置规范,示例,源代码审计是由具备丰富的编码经验并对安全编码及应用安全具有很深刻理解的安全服务人员，根据一定的编码规范和标准，针对应用程序源代码，从结构、脆弱性以及缺陷等方面进行审查。,源代码审计,支持的编程语言JavaC/C+.NET(C#和VB)PHPPython,代码风险点不安全的编程习惯在执行数据库访问、文件读写、命令执行等操作时，未对输入数据进行严格控制。不安全的加密算法使用了有缺陷的算法保护敏感数据，例如：使用MD5算法存储用户密码，并且没有进行加盐（salt）操作。异常处理不完善程序中存在空指针引用问题，导致程序解析特殊文件时崩溃。会话管理存在缺陷使用了不安全的随机数生成器，导致会话令牌可预测。,源码审计服务特性,渗透测试VS代码审计,隐蔽功能点识别效果差,结合业务场景效果差,绿盟科技源码审计服务内容,方式：代码审计工具：Fortify等内容：白盒测试，通过对获取到的系统源代码进行分析，检查在编码层面是否存在安全隐患，对发现的问题提供安全建议,绿盟科技源码审计服务内容,服务范围：网站页面被篡改系统被安装木马敏感数据泄漏,应急响应服务,大量帐号被盗网络蠕虫传播异常流量攻击,服务目标：采取紧急措施和行动，恢复业务到正常状态；调查安全事件发生的原因，避免同类事件再次发生；在需要司法机关介入时，提供法律认可的数字证据。服务方式：现场&非现场。,应急响应流程,安全培训服务,3,定制培训课程套餐,CTF竞赛培训（初、中、高）安全运维基础课程企业安全运营专题应用安全开发生命周期体系应急响应课程（基础，进阶）,客户培训业务分类,按培训名额报价,绿盟提供授课,外部机构授课,按授课天数报价,总部标准客户培训,CISP,C