一)互联网资产测绘
- 互联网资产测绘
有效的安全评估前提是对相关单位安全现状有整体的了解,特别是长久以来尚未掌握的空白资产,这些资产因为某种特定因素暴露在互联网上,如搜索引擎中,DNS解析记录中等,如不加以处理,则很有可能成为攻击者利用的攻击跳板,对重要目标系统进行横向或纵深的渗透。使用全网资产测绘系统,可通过单位名称,结合安全大数据以及单位相关证书、IP、域名、指纹、关键字等信息快速测绘并输出互联网暴露资产报告。
- 内网资产探测
与互联网资产相对的另一面,就是存在于各单位网络内部的庞大信息资产体系,包括各类网络设备、服务器、存储、数据库、虚拟机、应用、安全设备、测试主机、办公终端等。此类资产相对可控,且经过长时间的运维管理,各单位已经具备较完善的资产信息。为进一步完善内网资产清单并随时进行增量更新,可使用内网资产扫描探测工具,协助用户单位完成这一工作。
二) 网络架构及安全策略分析
针对某单位重要目标系统的攻击能否成功,取决于该单位现有网络架构是否科学,及安全策略是否有针对性。
网络架构要具备纵深性,防护手段要具备多元化,重要系统要具备相当的抗压能力和冗余能力,结合目标单位网络拓扑图和相关系统的配置操作手册,指派安全专家对现有网络架构和安全策略体系进行全面评估,并出具评估报告。
三)系统安全评估
- 互联网渗透测试
对用户单位面向互联网提供服务的系统如:门户网站、在线客服、外网邮件、招聘管理等提供渗透测试。
- 内网渗透测试
对用户单位内网相关系统如:项目管理系统、缺陷管理系统、风险控制系统、集中大数据平台、业务运营管理平台、IT服务管理系统、配置管理系统等提供渗透测试。
- 系统漏洞扫描
对用户单位内网全资产:网络设备、服务器、办公PC、数据库、虚拟机、WEB应用、安全设备等进行漏洞扫描。
- 系统配置核查
优先对用户单位重要目标资产系统如业务系统、服务器、数据库、网络设备、安全设备进行安全配置核查,并通过一定阶段的梳理,进一步将范围延展至全单位信息资产,逐步建立该单位资产安全配置基线标准。
- 系统代码审计
对用户单位指定的重要目标系统进行源代码审计工作,通过审计工具发现编码层面的安全风险,结合专业技术服务人员的自身经验,对隐藏在代码之下的业务逻辑问题如身份验证、支付交易等重要功能进行人工审计验证。
- APP 安全测试
对用户单位相关的微信公众号、微信小程序、买卖类、商圈类、社区类等重要APP应用,提供客户端侧、服务端侧、以及网络通信过程中的全方位安全测试。
- 安全回归测试
通过第一次安全测试工作,整理在系统中发现的安全问题,与用户单位相关部门和责任人进行详细确认和沟通,梳理安全评估报告,对其中确定需进行安全加固的问题进行全面整改,之后针对这些问题进行第二次回归测试,以验证加固工作是否成功,并提供最终安全评估报告。
