企业信息安全“攻守道” 渗透测试构筑安全防线
2019.09.18
互联网的高速发展,给人类生活带来极大便利,同时,大数据时代的到来也让互联网的弊端暴露在人类眼前。近几年,网络安全态势日趋复杂严峻,数据泄露事件频发,SQL注入、DDOS、APT等攻击事件愈演愈烈,给个人和企业都敲响了信息安全的警钟。 近日,恒天软件2019产品巡回分享会第一站——“攻守道:入侵与防御”在浙大网新科技园举行。这场与生活和工作息息相关的信息安全演讲,吸引了很多人前来关注,现场座无虚席。恒天安全工程(SEG)团队专家刘传兴先生通过分享实际的渗透测试案例,展示功与防之间相爱相杀的关系,从而找出削减安全隐患,保障企业安全的方法。 pic1
图1:现场照片
每个人对“安全”的理解不一样:对于开发人员来说,防住SQL注入和权限问题就是“安全”;对于测试人员来说,转账不能让对方任意修改金额、优惠券不能让别人用、用后要销毁,这些就是“安全”;对于普通人来说,“安全”就是不能随意告诉别人家庭住址和身份证号。现场,刘传兴以这样幽默的方式开场告诉大家,“安全”在生活和工作中的相关性和重要性。 pic2
图2:现场照片
演讲中,刘传兴以猜登录密码的方式与大家现场互动,并给大家讲解黑客惯用的攻击伎俩,其中最常用的就是密码爆破,以此提醒大家密码复杂度的重要性。Facebook数据泄密事件曾引发热议,其实,每天都有大量黑客通过自动化工具在尝试攻破企业服务器,因此,安全防御尤为重要。刘传兴说,绝对的安全是不存在的,只有在熟悉系统的情况下,做好渗透测试,才能做到有效防御。 pic3
图3:现场照片
此外,他还重点介绍了恒天安全工程团队在渗透测试、公司安全管理咨询、安全合规、紧急安全响应等方面的优质服务。针对企业信息安全,恒天安全工程团队拥有一整套专业的解决方案,包括自动化安全测试(结合自动化功能测试,采用基于人工智能的分析技术,在系统测试阶段,自动化查找和定位系统存在的安全隐患)和勒索病毒专项解决方案(通过渗透测试服务查找勒索病毒的攻击点,并对系统进行整体加固,同时利用白盾防御系统,防止勒索病毒利用零日漏洞感染目标系统,防测结合,基本实现100%防御效果),在医院、银行、政府、地产等领域有许多成功案例,帮助保障企业系统安全。 未来,大数据、物联网、5G等技术将改变互联网的安全格局,企业信息安全将变得愈加重要,保障企业系统安全任重而道远。 关于恒天安全工程(SEG)团队 主要为国内外客户提供Web系统安全评估、高级渗透测试、紧急安全响应等服务以及自动化安全测试系统等服务。团队拥有中国合格评定国家认可委员会(CNAS)的实验室认可证书,团队安全专家已获得CISP(信息安全人员国家级最高资质),CIIP-A(国家信息安全等级保护认证)等资质。 seg
关于浙江网新恒天软件有限公司
恒天软件是浙大网新、美国道富和浙江大学战略联盟的结晶,是一家致力于为中外企业提供可靠的、专业的IT服务及产品的软件公司。恒天软件提供企业级软件的定制开发服务,并有覆盖金融、制造、零售等行业的IT产品和解决方案。