一、服务简介

恒天安全工程团队主要为国内外客户提供Web系统安全评估,高级渗透测试,紧急安全响应等服务以及自动化安全测试系统等服务。团队拥有中国合格评定国家认可委员会(CNAS)的实验室认可证书,团队安全专家已获得CISP(信息安全人员国家级最高资质),CIIP-A(国家信息安全等级保护认证)等资质。恒天安全工程团队提供安全服务、咨询培训、解决方案等多种服务。

二、服务内容

2.1 渗透测试

互联网的发展在带给我们便利的同时,也引入了越来越多的安全风险。这些安全风险一方面来源于互联网“所见即所得”的开放特性,这导致攻击面远大于非互联网系统;另一方面来源于良莠不齐的开发人员,由于缺乏安全方面的意识,代码的质量也让人堪忧。渗透测试就是对系统的健康检测,能够发现潜在的安全风险,及早做出修复,减少攻击产生时带来的损失。

111501 1
 2.2 安全运维检测

随着信息系统运行,其自身存在的脆弱性和面临的威胁都在发生变化,安全运维就是在系统运行期间,不断的发现问题和解决问题,并优化安全策略,建立防护、检测和恢复的安全机制,保证业务系统持续安全。我们将通过安全运维排查的检测方式找到系统和网络中所暴露出的安全漏洞,并且评估目标系统和网络环境是否存在可以被攻击者真实利用的漏洞以及由此引起的风险大小,为制定相应的安全措施与解决方案提供实际的依据。

anquanyunweijiance 2

2.3 应急响应

随着国家信息化建设进程的加速,计算机信息系统和网络已经成为重要的基础设施,各种潜在的网络信息危险因素与日俱增,所面临的应用安全问题越来越复杂,安全威胁正在飞速增长。尤其是混合威胁的风险,如黑客攻击、蠕虫病毒、勒索病毒,完善的网络安全体系在保护体系之外必须建立相应的应急响应体系。

yingji 3

2.4 安全运维

在互联网高度普及的当下,通过网络提高企业生产效率无疑成为了企业所关注的重点。在这种大环境下,众多的企业资源资产以分布式或是集中式的形式以网络维护的方式被管理起来,如何科学有效运维这些资产是企业所面临的问题。而自“永恒之蓝”漏洞爆发的勒索病毒浪潮中,企业网络资产也成为了不法分子攻击的重点对象。

111502 4

 2.5 安全性评测

面向教育,医疗,金融等各类型客户,对其软件产品提供第三方质量测评服务。测试依据《GBT 25000.51-2016 系统与软件工程 系统与软件质量要求和评价》开展工作,同步参照软件产品质量要求与评价国家标准。安全测评将会从九个方面进行安全测评,依据CNAS标准,实施三个阶段:准备阶段,测试阶段和复测阶段,全方位保障系统的安全性。

pingce 5

三、案例

1、某智能电表设备的嵌入式系统交付验收安全加固项目

【项目背景】

该客户为国内领先的智能配用电整体解决方案提供商,产品涵盖智能电表、变压器、箱式变电站、开关柜、充电桩等电力设备,营销渠道和战略合作项目遍布50多个国家和地区。

该客户销往欧洲某国的智能电表设备的嵌入式系统,须满足欧洲关于信息系统安全标准,方能通过验收。而在实际提交过程中,系统的安全性未能符合检测标准,因此寻求第三方的专业系统安全检测和修复工作。

【方案实施】

安全工程团队承接了该项目后,针对性分析其系统特点以及从检测方获得的一些信息,制定了具体的检测和加固解决方案。主要措施如下:

  • 基于原有的测试用例,查漏补缺;制定全面的渗透测试方案,发现潜在问题。
  • 根据国外客户方的需求,对暴露的安全问题进行同类深挖。
  • 针对发现的漏洞,提供修复方案,并进行整改后的系统回审。

【项目成果】

经过几周的努力,系统的检测和加固方案顺利完成,得到客户方的赞誉。具体成果如下:

  • 发现了三十余处安全漏洞、提供了加固方案,并回审验证通过。
  • 客户的设备最终通过了安全检查,即系统的信息安全达到了欧洲的标准。
  • 支持客户达成了该千万级订单的验收目标。
2、某电子商务系统验收渗透测试项目

【项目背景】

该客户是一家杰出的IT软件制造商,主要从事银行业和商业/工业应用系统,是亚洲区首屈一指的银行软件开发商,曾获得香港最佳资讯科技公司及上海十大最具发展潜力公司等荣誉。

该客户给新加坡银行定制开发的项目存在安全问题,因此寻求第三方的专业系统安全检测和修复工作。

【方案实施】

安全工程团队承接了该项目后,针对性分析其系统架构,薄弱环节处等,定制了如下的实施方案:

  • 对系统进行全面的渗透测试,覆盖更多的测试点。
  • 根据国外客户方的需求,对暴露的安全问题进行同类深挖。
  • 针对发现的漏洞,提供修复方案,并进行整改后的系统回审。

【项目成果】

经过几周的努力,系统的检测和加固方案顺利完成,得到客户方的赞誉。具体成果如下:

  • 提升了项目整体的安全等级。
  • 发现了10多个潜在的安全漏洞。
  • 帮助进行加固和复测。
3、某大型制造业企业恶意入侵应急响应

【项目背景】

客户是中国500强企业、中国大企业集团竞争力前25强、中国信息化标杆企业、国家重点火炬高新技术企业,并为国家工程技术中心和国家级博士后工作站的常设单位,在多地建立了研究院。该客户坚持做大做强制造业的产业发展方向,目前在家电行业具有较高市场地位。

在运维过程中客户发现某个Web网络系统出现异常反应,怀疑被恶意入侵,寻求第三方解决方案。

【方案实施】

安全工程团队承接了该任务后,分析了具体情况,制定了四个步骤解决问题。具体措施如下:

  • 恢复正常生产:评估入侵带来的损失,备份入侵的证据;尽可能恢复入侵前的数据,保证系统正常运行
  • 确定入侵程度:消除攻击者留下的后门,防止二次入侵;检查服务器,防止服务器沦为“肉机”;检查攻击者入侵公司网络的程度,防止出现其它损失
  • 查找入侵者:确定入侵者入侵使用的物理设备,IP地址,mac地址等;确定入侵者入侵使用的方法和利用的漏洞;调查入侵者的入侵目标,判断是否达到了其入侵目的
  • 加强安全防护:确定系统薄弱点,修补攻击者利用的漏洞;对系统进行安全审计,防止此类事故再次发生

【项目成果】

经过此次对应急响应处理,解决了入侵带来的问题,也提高了客户的安全意识。具体成果如下:

  • 在最短时间内恢复了系统正常的功能,减少了事故带来的损失
  • 剔除了攻击者入侵留下的各种数据以及代码层次的后门
  • 大致确定了攻击者各种物理信息,以及入侵的方法和系统漏洞
  • 对系统漏洞进行了修复,同时,进行了安全审计,对系统进行加固
4、某大型机械制造企业安全运维项目

【项目背景】

客户为以机械制造业、商贸市场业、物业经营业为支柱产业,集房地产开发和资本投资等产业为一体的多元化经营的集团公司。集团总资产价值50亿元左右,下属20余个子公司,拥有4个生产制造基地、4个综合市场、1个生态农业观光园、城市综合体项目以及房产开发项目,现有职工3000余人。

客户机房的服务器及网络设备环境安全性较为薄弱,受到了外部攻击,需要进行加固修补。

【合作内容】

经过团队的排查,客户机房的服务器及网络设备环境由于网络结构不合理、安全防护手段单一、服务器防护不足、数据备份方式简单等原因受到了外部攻击,导致业务受到影响。应该客户的请求,网新安全团队成立了应急小组,全面分析了客户的实际问题和场景,快速为其建立了网络安全隔离区、协调资源帮助客户恢复数据和应用服务、并进行安全加固及数据保护等工作,在网新安全运维团队的协助下,客户的业务系统逐步恢复,对网络架构以及文件数据备份策略进行了有效的调整和变更,业务系统服务器和网络防护得到加固,具备了一定应对攻击的能力。

5、OWASP Top 10 渗透测试培训

【项目背景】

客户是一家专注于资产绩效管理的国际管理咨询公司,其主要对外提供管理和技术的专业服务,确保所有业务流程从战略定义到管理再到组织设计都是有效、高效和可持续的。

因信息安全正天然逐步成为各类解决方案的一部分,该客户认为对于自身提供的应用解决方案的安全性检验和研发安全意识有提高的必要,因此引入该培训项目加强信息安全概念、安全漏洞原理和测试流程的学习。

【方案实施】

安全团队基于对OWASP的理解和实践经验,针对OWASP TOP10漏洞进行定向课程开发,其特色有:

  • 从理论到实例
  • 针对客户的不同要求进行课程深度地订制
  • 从测试到安全编码

课程内容如下:

课程编号 课程名称 主要内容
1 功守道-入侵防御之道 体验黑客攻击的主要方法,讲解网络攻防中常见的攻击手段和防御方式。
2 用户并非西西弗斯-注入漏洞 展示和讲解注入漏洞形成的原理和防范措施。
3 没有短板的木桶-认证和SESSION管理 实际演示认证和SESSION常见漏洞及危害,讲解如何设计一个安全的认证和SESSION管理系统。
4 可怕的梦魇-信息泄露 演示如何进行敏感信息搜集,展示常见的信息搜集技巧和方式,避免敏感信息泄露的方式。
5 别样的注入-XXE注入 搭建存在XXE漏洞的网站,实际演示利用XXE漏洞进行攻击的过程,讲解XXE漏洞的原理和防范措施。
6 潜伏的危机-失效的权限控制 演示权限漏洞,介绍权限漏洞的危害。展示权限漏洞产生的原因和修复的方式,常规权限漏洞的挖掘方式和利用手段。
7 阿喀琉斯之踵-不安全的配置 演示利用不安全配置所能造成的影响和危害程度,展示常见的配置方式以及配置一个安全的应用系统的要素。
8 瑞士军刀-XSS 讲解演示XSS漏洞的危害,利用XSS漏洞所能造成的影响范围和程度,展示XSS漏洞防御措施和检验方式。
9 安全新秀-不安全的反序列化 利用反序列漏洞控制服务器,展示序列化漏洞的危害、防御手段和补救措施。
10 老生常谈-不安全的第三方组件 讲解不安全的第三方组件对系统安全造成的影响,分析常见不安全第三方组件和应对的措施。
11 事后诸葛-不足的日志监控 演示安全事故处理中遇到的日志分析案例,介绍日志的分析方式、各Web容器、系统平台的日志配置方式等。

联系我们
中国 0571-88270208 美国 +1-857-239-9661