常规服务

360CERT的渗透测试团队,采用人工黑盒的方式对用户的应用系统进行模拟攻击测试。主要测试方法包括:信息收集、端口扫描、远程溢出、口令猜测、本地溢出、客户端攻击、中间人攻击、web脚本渗透、B/S或C/S应用程序测试等。

购买/咨询

渗透测试

概要:

360CERT的渗透测试团队,采用人工黑盒的方式对用户的应用系统进行模拟攻击测试。主要测试方法包括:信息收集、端口扫描、远程溢出、口令猜测、本地溢出、客户端攻击、中间人攻击、web脚本渗透、B/S或C/S应用程序测试等。

简介:

为了保障Web应用的稳定、安全、持续运行,就要对网上业务系统的信息安全风险做到早发现、早预防。渗透测试将结合国际国内信息安全最佳安全实践,通过对内外网业务系统进行渗透测试和代码审计,并根据测试结果提出相应的整改加固建议,协助用户完成整改加固实施,最终提高用户网上业务系统的安全水平。

以渗透测试方式作为切入点,对网络中的关键信息系统进行一次全面深入的模拟黑客攻击测试,从而找出信息系统中存在的缺陷和漏洞;然后以渗透测试结论为依据,对整个信息系统中的高危漏洞进行安全加固。经过上述一系列系统信息安全建设,能够在很大程度上提高信息系统的系统安全性和业务连续性,使之能够更好的为广大用户服务。

App安全测试

概要:包含智能终端APP检测(Android、iOS)和对应服务端安全检测。客户端的安全检测包括手机APP自身出现的漏洞和网络通信安全检测。服务端的安全检测主要针对与客户端进行网络通信的服务端应用进行安全检测。

为了保障移动APP用户的个人信息安全、财产安全、移动终端安全以及移动APP业务的稳定、持续运行,就要对移动APP客户端本身以及网上业务系统的信息安全风险做到早发现、早预防。由360企业安全集团移动安全专家通过一系列的分析和测试, 最大限度发现系统中存在的技术和业务层面的安全问题, 并且指导开发人员进行修复, 保障系统业务的正常运行。

结合静态分析与动态分析,对客户端本身、客户端运行环境以及客户端所产生的数据进行安全检测,找出移动客户端中存在的缺陷和漏洞。结合人工黑盒与扫描的方式,找出网上业务系统中存在的漏洞。

代码安全审计

概要:360安全专家使用“360代码卫士”对应用系统进行白盒安全检测。通过对系统开发框架、应用程序、客户端程序、接口及第三方组件和应用配置这五个方面进行深入的安全分析,充分挖掘当前源代码中存在的安全缺陷以及规范性缺陷,从而让开发人员了解其开发的应用系统可能会面临的威胁,并指导开发人员正确修复程序缺陷。

360安全专家在服务实施过程中配合待测系统完善待测系统代码开发安全规范。依据待测系统代码开发安全规范,对待测系统应用实施初次代码审计服务。我们可以提供的服务包括基础代码扫描及排查、分析以及增量代码审计。

基础环境评估

1、 利用漏洞扫描器对基础环境进行漏洞扫描,出具漏洞扫描报告及分析。

2、 采用最佳配置核查实践对操作系统、数据库、中间件、网络设备、网络安全设备、网络边界进行配置核查。

等级保护咨询

1、定级咨询;2、差距评估;3、方案设计;4、协助测评

根据国家信息安全等级保护相关政策要求,对信息系统进行整体等级保护整改工作,并通过国家权威测评机构测评,最终通过公安部的备案认可。通过本次项目实现提升我单位信息安全水平和符合国家政策两项目标:

1. 要提升信息安全管理水平,从组织、人员、制度和技术各个方面解决信息安全问题,形成符合我单位特点的整体信息安全保障体系;

2. 符合等级保护政策要求,通过相关权威测评机构等保测评;

两个目标是一致的,符合等级保护政策是外在动力,提升信息安全管理水平是内在需求。

等级保护建设集成

1、安全技术体系设计;2、安全管理体系设计;3、安全产品集成实施;4、风险评估;5、安全加固

定期巡检服务

1、安全设备运行指标巡检;2、安全设备策略优化;3、安全日志审计;4、漏洞扫描;5、操作系统配置核查;6、网站渗透测试

驻场安全保障服务

1、防护策略设计;2、安全设备配置规范设计;3、安全运维制度优化

1、定期漏洞扫描;2、定期主机配置核查;3、定期渗透测试

1、安全设备巡检;2、安全日志分析;3、安全事件处置

360在服务期内提供信息安全管理和技术的现场安全值守服务,360通过挖掘各行业客户的安全需求,在前瞻性的研究成果基础之上,不断拓展市场销售网络,覆盖国民经济的多个行业,尤其在政府、运营商、金融、能源、互联网等重点行业。通过对这些行业长期的服务合作中,360积累了大量的行业管理和技术经验。如:运营商、银行等一些成熟的信息安全管理的方面的经验,具体包含:信息系统生命周期的安全风险管理和控制、信息安全管理体系建设、等级保护建设、网上业务系统安全架构分析、网上业务流程安全研究、互联网站点安全监测方案、安全域划分与安全策略制定、WLAN网络安全评估、手机银行安全评估、业务系统安全基线、反钓鱼解决思路方案等。

360现场安全值守服务可以把本行业或其他行业的技术防护和管理体系方面的成功经验和用户共同探讨和分享。

在项目实施过程中,360安全值守人员会针对用户信息安全建设需求,提供相关安全值守服务,值守工作内容包含但不限于以下内容:

安全设备巡检;

漏洞扫描;

渗透测试;

代码审计;

App测试;

配置核查;

新上线系统安全评估;

应急响应;

日志分析;

安全培训;

安全咨询;

其他定制化的安全服务;