一、服务简介

恒天安全工程团队主要为国内外客户提供Web系统安全评估,高级渗透测试,紧急安全响应等服务以及自动化安全测试系统等服务。团队拥有中国合格评定国家认可委员会(CNAS)的实验室认可证书,团队安全专家已获得CISP(信息安全人员国家级最高资质),CIIP-A(国家信息安全等级保护认证)等资质。恒天安全工程团队提供安全服务、咨询培训、解决方案等多种服务。

二、服务内容

1.安全服务
1.1 渗透测试

【内容】

依据权威的国际和国内安全测试标准,基于自动化安全测试系统,辅以高级安全工程师双重测试保障,采取定制化的安全测试方案,可以对Web、APP、嵌入式系统和区块链相关系统进行安全测试,并生成全方位检测报告,并根据不同阶段的安全现状提供针对性的修复方案。

【优势】

  • 权威的审计标准:
    • 国际标准OWASP ASVS
    • 国内标准GB/T34975-2017
  • 丰富的实践经验:
    • 项目数量超过300个
  • 标准的审计流程
    • 前期交互——计划制定——审计执行和回审
  • 持续的安全服务
    • 测试完成后有持续的0 day漏洞预警
    • 部署专业的安全防御系统,时刻监控系统威胁
111501 1
1.2 安全运维

【内容】

根据企业维护网络信息资产的需求,在日常运维的基础上,针对网络和信息系统风险,加入针对性的安全运维管理过程和内容,如:安全物理环境管理、安全通信网络管理、安全区域边界管理、安全计算环境管理、安全运维和配置管理等。

【优势】

  • 丰富的传统运维经验
  • 拥有安全知识的运维人员
  • 基于实践的安全运维方案
  • 高效的服务响应
  • 专业安全人员对接支持
  • 持续性的服务器安全保障
111502 2
1.3 安全培训

【内容】

虽然我国的信息化发展速度惊人,但随之而来的信息安全问题也日益突出,人员的安全技术、意识水平对企业安全形成了重要的影响。针对这种状况,恒天安全工程团队制定了从开发、测试、意识、管理等多个维度切入的多种安全课程,帮助提升人员多方面的安全水平。

【优势】

  • 资深讲师经验丰富,持有权威安全资格认证
  • 课程设置灵活,适用于不同层次的学员
  • 理论与实践结合,贴近现实,帮助理解

111503 3

2 解决方案
2.1 等保合规

【内容】

针对不同客户对网络的不同需求,设计相应的安全方案,以保证网络安全性符合等保要求。在评测中全程辅助,保证高效通过评测。

【优势】

  • 结合系统具体场景优化安全架构,而不是不顾成本地堆积安全产品
  • 定制化等保一体机,快速高效部署,性价比高,节约成本
  • 针对测评产生的漏洞提供修复建议和修复指导
  • 前期针对应用安全进行全方位的安全排查,避免二次整改,节省评测时间
  • 深度合作测评机构,熟悉测评各个流程及其侧重点
2.2 可信防御

【内容】

可信防御解决方案以可信计算技术为主,综合多种安全技术,提供高效、持久、有效的安全防御。

【优势】

杜绝非信任程序执行,阻断勒索病毒攻击,持续保障应用系统安全。

111505 4

三、案例

某智能电表设备的嵌入式系统交付验收安全加固项目

【项目背景】

该客户为国内领先的智能配用电整体解决方案提供商,产品涵盖智能电表、变压器、箱式变电站、开关柜、充电桩等电力设备,营销渠道和战略合作项目遍布50多个国家和地区。

该客户销往欧洲某国的智能电表设备的嵌入式系统,须满足欧洲关于信息系统安全标准,方能通过验收。而在实际提交过程中,系统的安全性未能符合检测标准,因此寻求第三方的专业系统安全检测和修复工作。

【方案实施】

安全工程团队承接了该项目后,针对性分析其系统特点以及从检测方获得的一些信息,制定了具体的检测和加固解决方案。主要措施如下:

  • 基于原有的测试用例,查漏补缺;制定全面的渗透测试方案,发现潜在问题。
  • 根据国外客户方的需求,对暴露的安全问题进行同类深挖。
  • 针对发现的漏洞,提供修复方案,并进行整改后的系统回审。

【项目成果】

经过几周的努力,系统的检测和加固方案顺利完成,得到客户方的赞誉。具体成果如下:

  • 发现了三十余处安全漏洞、提供了加固方案,并回审验证通过。
  • 客户的设备最终通过了安全检查,即系统的信息安全达到了欧洲的标准。
  • 支持客户达成了该千万级订单的验收目标。
某电子商务系统验收渗透测试项目

【项目背景】

该客户是一家杰出的IT软件制造商,主要从事银行业和商业/工业应用系统,是亚洲区首屈一指的银行软件开发商,曾获得香港最佳资讯科技公司及上海十大最具发展潜力公司等荣誉。

该客户给新加坡银行定制开发的项目存在安全问题,因此寻求第三方的专业系统安全检测和修复工作。

【方案实施】

安全工程团队承接了该项目后,针对性分析其系统架构,薄弱环节处等,定制了如下的实施方案:

  • 对系统进行全面的渗透测试,覆盖更多的测试点。
  • 根据国外客户方的需求,对暴露的安全问题进行同类深挖。
  • 针对发现的漏洞,提供修复方案,并进行整改后的系统回审。

【项目成果】

经过几周的努力,系统的检测和加固方案顺利完成,得到客户方的赞誉。具体成果如下:

  • 提升了项目整体的安全等级。
  • 发现了10多个潜在的安全漏洞。
  • 帮助进行加固和复测。
某大型制造业企业恶意入侵应急响应

【项目背景】

客户是中国500强企业、中国大企业集团竞争力前25强、中国信息化标杆企业、国家重点火炬高新技术企业,并为国家工程技术中心和国家级博士后工作站的常设单位,在多地建立了研究院。该客户坚持做大做强制造业的产业发展方向,目前在家电行业具有较高市场地位。

在运维过程中客户发现某个Web网络系统出现异常反应,怀疑被恶意入侵,寻求第三方解决方案。

【方案实施】

安全工程团队承接了该任务后,分析了具体情况,制定了四个步骤解决问题。具体措施如下:

  • 恢复正常生产:评估入侵带来的损失,备份入侵的证据;尽可能恢复入侵前的数据,保证系统正常运行
  • 确定入侵程度:消除攻击者留下的后门,防止二次入侵;检查服务器,防止服务器沦为“肉机”;检查攻击者入侵公司网络的程度,防止出现其它损失
  • 查找入侵者:确定入侵者入侵使用的物理设备,IP地址,mac地址等;确定入侵者入侵使用的方法和利用的漏洞;调查入侵者的入侵目标,判断是否达到了其入侵目的
  • 加强安全防护:确定系统薄弱点,修补攻击者利用的漏洞;对系统进行安全审计,防止此类事故再次发生

【项目成果】

经过此次对应急响应处理,解决了入侵带来的问题,也提高了客户的安全意识。具体成果如下:

  • 在最短时间内恢复了系统正常的功能,减少了事故带来的损失
  • 剔除了攻击者入侵留下的各种数据以及代码层次的后门
  • 大致确定了攻击者各种物理信息,以及入侵的方法和系统漏洞
  • 对系统漏洞进行了修复,同时,进行了安全审计,对系统进行加固
某大型机械制造企业安全运维项目

【项目背景】

客户为以机械制造业、商贸市场业、物业经营业为支柱产业,集房地产开发和资本投资等产业为一体的多元化经营的集团公司。集团总资产价值50亿元左右,下属20余个子公司,拥有4个生产制造基地、4个综合市场、1个生态农业观光园、城市综合体项目以及房产开发项目,现有职工3000余人。

客户机房的服务器及网络设备环境安全性较为薄弱,受到了外部攻击,需要进行加固修补。

【合作内容】

经过团队的排查,客户机房的服务器及网络设备环境由于网络结构不合理、安全防护手段单一、服务器防护不足、数据备份方式简单等原因受到了外部攻击,导致业务受到影响。应该客户的请求,网新安全团队成立了应急小组,全面分析了客户的实际问题和场景,快速为其建立了网络安全隔离区、协调资源帮助客户恢复数据和应用服务、并进行安全加固及数据保护等工作,在网新安全运维团队的协助下,客户的业务系统逐步恢复,对网络架构以及文件数据备份策略进行了有效的调整和变更,业务系统服务器和网络防护得到加固,具备了一定应对攻击的能力。

OWASP Top 10 渗透测试培训

【项目背景】

客户是一家专注于资产绩效管理的国际管理咨询公司,其主要对外提供管理和技术的专业服务,确保所有业务流程从战略定义到管理再到组织设计都是有效、高效和可持续的。

因信息安全正天然逐步成为各类解决方案的一部分,该客户认为对于自身提供的应用解决方案的安全性检验和研发安全意识有提高的必要,因此引入该培训项目加强信息安全概念、安全漏洞原理和测试流程的学习。

【方案实施】

安全团队基于对OWASP的理解和实践经验,针对OWASP TOP10漏洞进行定向课程开发,其特色有:

  • 从理论到实例
  • 针对客户的不同要求进行课程深度地订制
  • 从测试到安全编码

课程内容如下:

课程编号 课程名称 主要内容
1 功守道-入侵防御之道 体验黑客攻击的主要方法,讲解网络攻防中常见的攻击手段和防御方式。
2 用户并非西西弗斯-注入漏洞 展示和讲解注入漏洞形成的原理和防范措施。
3 没有短板的木桶-认证和SESSION管理 实际演示认证和SESSION常见漏洞及危害,讲解如何设计一个安全的认证和SESSION管理系统。
4 可怕的梦魇-信息泄露 演示如何进行敏感信息搜集,展示常见的信息搜集技巧和方式,避免敏感信息泄露的方式。
5 别样的注入-XXE注入 搭建存在XXE漏洞的网站,实际演示利用XXE漏洞进行攻击的过程,讲解XXE漏洞的原理和防范措施。
6 潜伏的危机-失效的权限控制 演示权限漏洞,介绍权限漏洞的危害。展示权限漏洞产生的原因和修复的方式,常规权限漏洞的挖掘方式和利用手段。
7 阿喀琉斯之踵-不安全的配置 演示利用不安全配置所能造成的影响和危害程度,展示常见的配置方式以及配置一个安全的应用系统的要素。
8 瑞士军刀-XSS 讲解演示XSS漏洞的危害,利用XSS漏洞所能造成的影响范围和程度,展示XSS漏洞防御措施和检验方式。
9 安全新秀-不安全的反序列化 利用反序列漏洞控制服务器,展示序列化漏洞的危害、防御手段和补救措施。
10 老生常谈-不安全的第三方组件 讲解不安全的第三方组件对系统安全造成的影响,分析常见不安全第三方组件和应对的措施。
11 事后诸葛-不足的日志监控 演示安全事故处理中遇到的日志分析案例,介绍日志的分析方式、各Web容器、系统平台的日志配置方式等。

联系我们
中国 0571-88270208 美国 +1-857-239-9661