风险评估 通过漏洞扫描(应用程序漏洞、操作系统漏洞、数据库系统漏洞等)和全网扫描评估(进行全网网络设备、应用系统、服务器操作系统等扫描和评估),对客户整体信息安全风险进行评估,发现系统的脆弱环节和弱点等安全问题,为进一步加固信息系统提供依据。 |
漏洞扫描工具 为了防止漏洞扫描工具出现误报安全漏洞,我们采用专业安全扫描工具为主和其他扫描工具(IP探测类、协议探测类、应用探测类)为辅的漏洞检测方式,专业扫描工具选择应用通过国家保密局、中国人民解放军测评中心、公安部等部门的权威认证。并广泛应用与金融、政府、军队、武警、公安等部门,具有很高的可用性和成熟度。 |
漏洞检测内容 漏洞扫描检测内容如下: |
| 应用程序漏洞:应用系统BUG漏洞、配置缺陷和高风险端口等。例如:弱口令、物理路径泄露、CGI源代码泄 露、执行任意命令、缓冲区溢出、拒绝服务、SQL注入、条件竞争和跨站脚本执行漏洞等。 |
| 操作系统漏洞,操作系统BUG漏洞、配置缺陷和高风险端口等。例如:弱口令、缓冲区溢出、特权升级、拒绝 服务攻击等。 |
| 设备IOS漏洞,设备系统BUG漏洞、配置缺陷和高风险端口等。例如:弱口令、内存泄漏漏洞、路由数据帧头 缺陷、欺骗性的IP选项漏洞、拒绝服务工具等。 |
| 数据库系统漏洞,数据库系统BUG漏洞、配置缺陷等,例如:弱口令、SQL注入、用户和组权限、不必要的数 据库功能、失效的配置管理、缓冲区溢出、特权升级、拒绝服务攻击、敏感数据未加密等。 |
漏洞扫描测试点部署示意图如下: |
| 漏洞风险评估方法 |
| 依照OWASP的方法论的指导思想,项目将根据实际情况制定一套安全风险评定标准。项目中发现的所有漏洞 均依据该标准进行评估和分析。 |
服务成果 《安全漏洞评估报告》、《安全漏洞解决方案》 |
