信息安全服务是针对客户的网络系统、主机系统、应用系统、数据库、安全设备及信息系统数据,由经验丰富的安全运维服务团队借助专门的安全工具、依托成熟的服务管理体系,帮助客户解决日常发生的安全问题,提高网络质量,提升安全防范能力,完善信息安全管理体系。
启疆科技作为一家专注从事数据服务及网络信息安全咨询服务的高新技术型企业,经过多年的专业沉淀,为用户提供如下信息安全服务。
对客户网络系统进行规范化的定期检查和策略调优,网络安全评估检查、日常监控运维、安全巡检和技术支持等服务,提高设备的可靠性和可用性;对检查出存在的问题提供及时有效的技术处理,降低故障对业务的影响;对网络安全设备进行定期的综合分析,找出网络系统存在的安全漏洞和隐患,提出解决问题的方案并协助客户完成整改修复。
对客户中心机房内所有服务器(物理机和虚拟机),采用自备的检测工具进行安全检测和评估,生成安全检测报告,提出安全加固方案。并按照客户的授权和要求,参照信息安全等级保护的规定,实施必要的系统安全加固措施并协助客户整改修复,如修改系统配置、升级系统补丁等。
对客户现有的核心数据库系统,采用自备的数据库系统漏洞检测工具进行安全检测和评估,生成安全检测报告,提出安全加固方案。并根据客户的授权和要求,配合数据库系统管理员实施必要的安全加固及修复。
对客户现有各类应用系统和中间件,采用自备的检测工具进行安全检测和评估,生成安全检测报告,提出安全加固方案。针对有潜在威胁的应用系统及中间件,积极配合客户及应用系统开发商实施必要的整改加固修复。
漏洞扫描服务是一项自主检测措施,可以有效减少黑客攻击面,防患于未然。漏洞扫描服务对客户网络的进行扫描,让客户了解网络安全状况,为客户提供漏洞修复和解决方案。
漏洞扫描服务包括主机漏洞扫描、Web漏洞扫描、弱密码扫描,可提供查询每个扫描任务中主机漏洞数量及分类结果等详细信息。
渗透测试是完全模拟黑客可能使用的攻击技术和漏洞发现技术,对目标系统的安全做深入的探测,发现系统脆弱的环节,发现信息安全防御体系中威胁漏洞。
先由客户对渗透测试方案和渗透测试行为进行授权;然后对渗透目标进行信息收集,包括网络、端口/服务、应用等信息的收集;收集目标的信息后,将根据目标存在的漏洞信息进行人工+工具的渗透测试,利用SQL注入,跨站注入等检测方式获取目标系统的重要执行权限;最后对渗透测试实施记录进行分析整理,输出详细报告、分析问题,同时对测试过程中发现的问题给出相关的整改修复建议。
渗透测试利用各种安全扫描器对网站及相关服务器等设备进行非破坏性的模拟入侵者攻击,目的是侵入系统并获取系统信息并将入侵的过程和细节总结编写成测试报告,由此确定存在的安全威胁,并能及时提醒安全管理员完善安全策略,降低安全风险。
渗透目标大致分为以下几类:
·主机操作系统渗透
·数据库系统渗透
·业务系统渗透
·网络设备渗透
渗透方式包括以下两种:
·内网渗透
内网渗透指的是测试人员从内部网络发起测试,这类测试能够模拟内部违规操作者的行为。主要的“优势”是绕过了防火墙的保护。内部主要可能采用的渗透方式:远程缓冲区溢出,口令猜测,以及B/S或C/S应用程序测试(如果涉及C/S程序测试,需要提前准备相关客户端软件供测试使用)。
·外网渗透
外网渗透指的是测试人员完全处于外部网络,模拟对内部状态一无所知的外部攻击者的行为。包括对网络设备的远程攻击,口令管理安全性测试,防火墙规则试探、规避,Web及其它开放应用服务的安全性测试。
参考国内国际权威的系统安全配置标准,并结合用户信息系统实际情况,在用户允许的前提下,对网络的服务器、网络设备、工作站等存在漏洞的系统进行安全加固。为用户建立起一道安全保障基线,构筑起信息系统安全堤坝,增强用户信息系统抵抗攻击的能力,降低系统总体安全风险,全面抵挡来自外部、内部的入侵,7x24 实时保护业务安全。提升信息系统安全防护水平,减少安全事件发生。
■ 操作系统安全加固
检查系统补丁、停止不必要的服务、修改不合适的权限、修改安全策略、检查账户与口令安全、开启审核策略、关闭不必要的端口等。
■ 应用系统(WEB系统、数据库)安全加固
对要使用的操作数据库软件(程序)进行必要的安全审核,比如对 ASP、PHP 等脚本,这是很多基于数据库的WEB应用常出现的安全隐患,对于脚本主要是一个过滤问题,需要过滤一些类似 ,‘ ; @ / 等字符,防止破坏者构造恶意的 SQL 语句。安装最新的补丁,使用安全的密码、账号策略,加强日志的记录审核,修改默认端口,使用加密协议,加固TCP/IP 端口,对网络连接进行IP限制等。
■ 网络设备安全加固
禁用不必要的网络服务、修改不安全的配置、利用最小特权原则严格对设备的访问控制、及时对系统进行软件升级、提供物理保护环境等。
基线核查服务是根据相关标准或规范,对用户的硬件资产(如主机设备、网络设备、安全设备、办公终端等)和软件系统(如操作系统、数据库、中间件和常用服务协议等)进行安全配置的核查,识别出现有安全配置与普适性规范或行业规范的安全配置要求之间的差距,并提供相关优化建议。通过基线核查服务,对用户的硬件资产和软件系统的安全策略配置进行科学、全面、认真地检查,输出专业的基线核查安全评估报告,帮助用户充分掌握当前IT设备的配置情况,了解潜在的IT设备、系统的配置隐患和安全风险,进一步完善配置管理体系、满足合规要求。对基线核查发现的问题进行安全加固,提升安全防护能力,降低因为安全配置导致的安全事件的概率。
基线核查服务主要以人工检查和自动化检查方式实施:
人工检查的内容主要包括登录信息收集、配置安全分析和形成检查报告,其中配置安全分析是比较重要的环节,分析结果直接影响报告的准确性、权威性。
自动化检查是借助第三方的安全评估工具或专门开发的检查脚本来自动化完成部分工作,比如完成目标设备登录、设备配置检查和配置信息记录工作,此部分工作借助自动化工具是为了消除手工误操作的隐患,提高检查效率和精确度。
口令是系统自身安全的重要保障措施,弱口令将会使所有的防护措施形同虚设,系统和数据很容易控制或获取。
弱口令专项扫描服务通过专业的弱口令检测工具对用户口令配置文件自动获取、解析,口令碰撞的方式自动发现账号的弱口令。解决日常工作中弱口令扫描账号锁定,弱口令发现难的问题。提升日常运维工作效率和效果。
弱口令专项扫描服务口令破解技术主要采用动态和静态结合方式进行,不影响用户系统的正常使用。
红蓝对抗服务中,我们将作为协助客户进行对抗演练的防守方,提供包括演练方案制定、应急预案制定、团队组建、产品部署与监测等对抗组织及网络防护。通过红队服务帮助客户验证其在攻击防护方面的组织、监测、响应及应急处置能力。以攻防的角度找到系统现有问题并及时加固整改,帮助用户对已有的安全措施或攻防体系进行有效的验证,进一步完善攻防体系。
服务内容:
·切实展示目标系统、目标环境的真实网络安全状态
在了解信息系统现状后将进行全面的综合风险评估;发现网络及系统架构、主机、应用、WEB、业务逻辑存在的安全风险,从攻击者的角度展示目标系统、目标环境的真实网络状态。
·发挥红军防守能量,启动全面安全监控
对发现的风险点将进行逐一分析,通过安全加固、安全监控、查缺补漏进行全面联动,最大效率的调动系统的防御机制。
·帮助企业将临时安全措施固化,从根源解决问题
通过红蓝对抗的实际演习和分析,启疆科技将帮助企业将应对安全事件的临时安全措施固化、常态化,竭力保证企业网络及业务系统的安全性。
通过模拟黑客邮件钓鱼的攻击手段,以“黑衣人”身份通过平台向学校指定用户邮箱发送钓鱼邮件,并对被钓鱼成功的安全意识薄弱职工进行风险预警提示。定期或者不定期采用不同主题对学校师生分批次进行钓鱼网站、钓鱼附件、钓鱼二维码、钓鱼USB等场景的安全演练,演练中记录师生收到钓鱼邮件后的详细数据,包含是否点击邮件、打开链接、填写个人信息等。通过模拟实战,进而评估客户内部人员信息安全意识,为后续安全培训、技术防护手段升级提供依据。
服务内容:
·调研分析
为构造具有迷惑性的钓鱼邮件,增加测试的真实性,诱导被测试人员查看并点击钓鱼链接,实施前需进行充分的调研分析,包括客户环境、热点事件、人员安全意识现状等。
·测试实施
根据调研分析结果,确定和制作钓鱼邮件样例,敲定测试时间及目标对象后,实施定性测试;结束后发送风险提示邮件,并对客户行为数据统计分析,形成钓鱼邮件测试报告。
·结果通报
对客户组织内人员安全意识输出评估结果并给出提升建议,同时就邮件系统现状提出安全建议。
对用户的重要服务器、应用系统、网络设备、安全设备等信息资产进行安全检查,及时发现各类系统存在的安全漏洞,提供安全漏洞的详细描述和修复方案,并对漏洞进行修复,从根本上提高用户信息资产的安全防护能力。
派遣具有丰富经验并且经过专业系统化培训的安全服务人员定期通过对信息系统定期检测(工具扫描及安全专家人工检测),及时发现信息系统(网络架构、网络设备、服务器主机、操作系统、数据库和用户账号、口令等安全对象)存在的各种安全隐患,以及系统运行状态,巡检完毕后提供设备巡检报告,提出系统加固建议以及相关的应急措施。
同时对防火墙、防病毒服务器、入侵检测系统、数据备份系统等设备进行事件审计和日志分析,检查策略是否有效,配置是否安全,是否有可疑事件发生,必要时进行安全策略的调整。另外,对客户的环境、设备、场地线路等物理设施进行安全评估并对安全隐患提出相应的解决建议或进行修复和改造。周期性安全评估,定期对客户的重要服务器、应用系统、网络设备、安全设备等进行安全检查,发现信息系统存在的安全漏洞。
巡检后出具巡检报告,对安全巡检的过程和结果进行详细描述,帮助用户总结安全现状,提出安全保障工作建议。
该服务能够帮助用户及时发现门户网站等应用系统存在的安全问题,提供安全事件的预警和解决方案建议,提高用户网站系统的安全保障水平。
服务内容:
·网站漏洞检查
依托web漏洞扫描技术,对常见的SQL注入、跨站脚本XSS、跨站请求伪造(CSRF)、敏感关键字、信息泄漏等漏洞进行深度检测。
·网站可用性监测
通过Ping、DNS解析、HTTP请求等方式分析响应时间,及时发现网站出现链路异常、访问延迟、解析错误、页面请求加载异常等情况。
·网站篡改事件监测
对网站实际网页被修改、删除、新增网页或图片文件等情况能利用文件变更比对及时发现,记录事件发送告警。
·敏感内容监测
对用户网站上的页面进行爬取,使用敏感关键字库和用户自定义关键字周期性监测网页内容是否包含敏感信息,比如涉政、涉黄、涉毒、低俗等并发送告警。
·网站挂马监测
对用户网站上的页面进行爬取,使用木马特征库中的特征在页面中匹配,匹配到的页面记录挂马事件发送告警。
·黑链、暗链监测
检测网站暗链、桥页等恶意链接以及网页新增链接等。通过内置的暗链特征库,将远程网页信息抓取到本地,进行特征暗链特征匹配,通过排除信任域名库、IP地址域名、常见隐藏手段等的干扰,并结合暗链关键词库的匹配技术,将目前挂暗链主要目的的搜索引擎关键词,准确匹配出来,从而在有效检测暗链的同时,将误报降到最低限度。
·弱口令检查
提供弱口令检查引擎,可以基于调度任务对网站进行远程自动扫描,获得所述网站主机诸如:SSH、FTP、ORACLE等服务的弱口令信息,包括:用户名、密码。检查引擎通过内置的用户名字典和密码字典以及组合字典,可以进行标准模式破解以及组合模式破解两种扫描方式进行弱口令扫描,扫描一方面同弱口令字典中的弱口令进行匹配,另一方面使用获取到的口令进行模拟登陆验证,从而实现弱口令检查功能。
·Webshell监测
使用WebShell检测引擎,以插件的形式可直接安装在网站主机上,进行本地扫描,检测包括asp、php、aspx、jsp、perl等各种常见脚本文件,对文件的内容进行全面分析,发现其中可能存在的恶意函数,从而找出诸如:一句话木马之类的网页后门文件。
密切关注黑客攻击技术的发展和安全防范技术的最新演变,同时跟踪操作系统、应用程序等各种最新的漏洞补丁更新,掌握最新的安全动态,将最新、严重的网络安全问题以最快的速度通报给客户。及时掌握漏洞危害,影响范围、解决方案,有效规避攻击威胁,保证业务连续性。
服务内容:
·高危漏洞预警
在第一时间内向客户发布高危漏洞预警,向客户通告漏洞的危害程度、影响范围、检测方法、及相关解决方案。便于客户及时掌握高风险级别漏洞信息,及时修复并应对外部威胁。
·安全热点资讯
通过多个专栏向客户分享网络攻击事件分析、境外黑客组织攻击行为分析、软硬件漏洞技术分析、病毒或恶意代码等有害程序事件和技术原理分析、安全技术研究报告,以及一些安全新闻或事件动态。
·月度安全通告
每月定期汇总和输出APT威胁情报解读、安全漏洞趋势、危急漏洞实例、安全事件分析、安全要闻,为客户提供有价值的网络安全态势推送。
网络攻击会导致信息业务中断、系统宕机、网络瘫痪,并对组织和业务运行产生直接或间接的负面影响。因此,减少信息安全事件对组织和业务的影响,需要建立安全事件响应机制来快速检测安全事件、把损失和破坏降低到限度、弥补那些被利用的缺陷、并恢复信息系统。
服务内容:
·网络安全监控服务
对用户网络中的网络设备、安全设备、主机系统、应用系统的日志信息进行实时收集、监控与分析,对用户网络面临的安全威胁进行分析,及时、准确的发现DDOS攻击、蠕虫病毒、黑客入侵、扫描渗透、暴力破解、非法访问、非法外联等网络安全事件。 包括安全风险管理服务、安全报表管理服务、安全事件管理服务、安全应急响应服务。
·应急响应预案编制
编写信息安全应急响应计划文档是应急响应规划过程中的关键一步,应急响应计划描述支持应急操作技术能力并适应客户需要。
·应急响应演练
应急响应演练模拟突发信息安全事件,组织按照应急预案进行的一系列活动和措施。应急响应演练以应急预案为基础,在每次演练前先确定演练的目标和范围,制定详细、严谨的应急响应演练方案,避免对正常运行的业务造成不必要的影响。
重要时期网络安全保障服务是指在重大活动或会议期间为关键信息基础设施单位提供重保期间的组织架构设计、风险评估、规划整改、专家指导、防御构建、攻防演习、实时监测、现场值守、响应处置等安全服务。
服务内容:
·备战阶段
通过互联网资产发现和自动化远程检查等手段为重保提供基础数据和攻击面总体安全态势,为后续重保工作提供决策依据,保证重保工作有序进行。
·临战阶段
现场检查复核和协助清除已发现风险。主要包括一轮或多轮的现场安全检查、专项安全检查及提供整改建议。
·实战阶段
推进实战工作部署,包括确认应急预案与演练各应急场景,组织开展实战攻防演习等工作,来检验前期工作成效,查缺补漏。
·决战阶段
安排技术人员现场监测值守,并配备应急响应队伍处置突发事件,防止对重大活动或客户单位造成影响,同步提供总结与报告等服务。
通过分析客户信息系统的安全状况,全面了解和掌握系统面临的安全风险,确定系统中存在的安全风险的等级,并针对风险评估中发现的问题,提供解决方案,协助用户进行解决。 具体内容包括调研用户信息系统安全现状,对信息资产面临的威胁、存在的脆弱性、现有防护措施等带来风险的发生可能性评估,最终提供全面的风险评估报告。
服务内容:
·资产识别
资产识别主要通过向被评估方发放资产调查表来完成。在识别资产时,以被评估方提供的资产清单为依据,对重要和关键资产进行标注,对评估范围内的资产详细分类。根据资产的表现形式,可将资产分为数据、软件、硬件、服务和人员等类型。 根据资产在保密性、完整性和可用性上的不同要求,对资产进行保密性赋值、完整性赋值、可用性赋值和资产重要程度赋值。
·威胁识别
在威胁评估阶段评估人员结合当前常见的人为威胁、可能动机、可利用的弱点、可能的攻击方法和造成的后果进行威胁源的识别。威胁识别完成后还应该对威胁发生的可能性进行评估,列出威胁清单,描述威胁属性,并对威胁出现的频率赋值。
·脆弱性识别
脆弱性分为管理脆弱性和技术脆弱性。管理脆弱性主要通过发放管理脆弱性调查问卷、访谈以及收集分析现有的管理制度来完成;技术脆弱性主要借助专业的脆弱性检测工具和对评估范围内的各种软硬件安全配置进行检查来识别。脆弱性识别完成之后,要对具体资产的脆弱性严重程度进行赋值,数值越大,脆弱性严重程度越高。
·防护能力评估
识别现有防护手段,测试防护效果。
·风险分析
采用适当的方法与工具进行安全风险分析和计算。根据自身情况选择相应的风险计算方法计算出风险值,如矩阵法或相乘法等。如果风险值在可接受的范围内,则改风险为可接受的风险;如果风险值在可接受的范围之外,需要制定和实施风险处理计划降低风险等级,并评估残余风险,使残余风险值降低至可接受的范围。
·可落地修复方案
安全脆弱性修复建议,风险应对建议。
根据用户信息化战略目标和目前的网络安全现状,制定网络安全目标,对网络安全现状与目标进行差距分析,进而确定改进措施,综合汇总改进措施后形成网络安全的架构设计,网络安全项目分别从技术体系、管理体系及运营体系三个方面进行建设,在分步骤建设完成后,要定期评审,持续改进,以满足网络安全目标,同时不断分析差距并进一步改进。
按照规划方法,制定组织今后3-5年网络安全规划,整个规划应是在统一的安全基础设施基础上,从技术体系、管理体系及运营体系三方面进行,每个体系中也强调其基础的保障,如技术环节要优先保障物理安全,管理体系要首先强调有安全组织体系,运维环节首要工作是先做好数据备份。
技术体系的规划包括安全域划分与边界防护体系建设、终端数据安全体系、安全审计体系、实时监控体系和网站安全防护体系。管理体系的规划包括安全组织体系完善、风险评估能力建设、安全培训体系建设及制度体系落实完善。运营体系包括安全评估、问题处置、持续运营等内容。
安全培训服务旨在利用启疆科技雄厚的安全教育力量为用户提供量身定做的信息安全培训和意识教育课程,全面提升用户的安全管理和技术人员的安全专业造诣和员工的安全意识。 其服务内容包括:安全攻防演练培训、安全意识培训、安全产品培训、安全基础培训、安全技能培训等多方面。
·安全意识培训
按客户需要组织信息安全意识培训。通过安全培训,使用户了解基本网络安全法律法规、政策知识和日常安全行为准则,并且具备一定的安全意识。
·安全技术培训
按客户需要组织信息安全技术培训。通过安全培训,使用户了解安全设备作用和使用、安全风险识别方法、漏洞防护技术、木马和病毒防护等知识。
·安全管理培训
按客户需要组织信息安全管理培训。通过安全培训,使用户了解运维服务的管理方式和标准、安全服务体系标准、业务应用系统安全管理方法。
