安全风险评估服务

安全风险评估

服务概述
风险评估服务具体内容包括用户信息系统安全现状，对信息资产面临的威胁、存在的脆弱性、现有防护措施及综合作用而带来风险的发生可能性评估，最终提供全面的风险评估报告。

风险评估的目的是通过对用户组织进行全面了解和风险掌控评估，分析信息系统及其所依托的网络架构、网络设备、安全设备、中间件、数据库的安全现状，识别组织面临的网络与信息安全威胁和风险，明确采取何种有效措施，降低安全事件发生的可能性或者其所造成的影响，减少业务系统的脆弱性，从而将风险降低到可接受的水平。同时，全面掌握用户组织的安全防护水平，检验网络与信息安全规划建设的成效，为管理层加强网络与信息安全保护管理工作提供科学的决策依据。

了解安全现状

按照国家标准或相关规范要求开展安全评估，帮助组织摸清安全现状。

辅助管理层决策

通过对组织的安全现状进行评估，可以使组织信息系统的相关管理者从组织战略及业务的高度，增强信息安全意识，提高安全防范水平，制定安全整改计划，消除安全隐患。

满足合规检查

针对组织安全需求，提供专业高效的安全评估服务，提前发现潜在漏洞，及时处置安全问题，规避监管部门的安全通报，从容应对监管要求的合规性检查。

漏洞扫描

提供从漏洞识别、漏洞评估、漏洞处理、漏洞报告的漏洞全生命周期管理；并且提供对漏洞管理的运营度量，保证漏洞管理的完整性和有效性

服务介绍

漏洞扫描是指基于CVE、CNVD、CNNVD等漏洞数据库，通过扫描等手段对指定的远程或者本地的网络设备、主机、数据库、操作系统、中间件、业务系统等进行安全弱点检测，发现安全漏洞的一种安全检测活动。

漏洞扫描服务主要有两种类型：第一种为业务系统应用层扫描，通过扫描工具准确识别出注入缺陷、跨站脚本攻击、非法链接跳转、信息泄露、异常处理等安全漏洞，全面检测并发现业务应用安全隐患；第二种为主机系统漏洞扫描，通过扫描工具识别多种操作系统、网络设备、安全设备、数据库、中间件等存在的安全漏洞，全面检测终端设备的安全隐患。

服务方式

深信服漏洞扫描服务主要为现场扫描与远程扫描。根据用户提供的资产信息，深信服进行核对和确认。现场扫描由技术人员携带相关的漏洞扫描工具，根据约定的时间到达用户现场，部署漏洞扫描工具，经由用户授权后对指定的资产进行扫描。远程扫描是由技术人员和用户约定时间，经由用户授权后，通过互联网对用户指定的资产进行扫描。

服务价值

提升组织对于内部系统的漏洞检测能力

全面掌握组织内部的安全漏洞

为组织业务系统测评、检查等提供有效的依据

为组织制定科学、有效地安全加固方案提供依据

降低因为漏洞导致安全事件发生的概率

安全体检

基线核查服务介绍
基线核查服务是根据相关标准或规范，由深信服对用户的硬件资产（如主机设备、网络设备、安全设备、办公终端等）和软件系统（如操作系统、数据库、中间件和常用服务协议等）进行安全配置的核查，识别出现有安全配置与普适性规范或行业规范的安全配置要求之间的差距，并提供相关优化建议。

服务方式

深信服的基线核查服务主要以人工检查和自动化检查方式实施：

1、人工检查的内容主要包括登录信息收集、配置安全分析和形成检查报告，其中配置安全分析是比较重要的环节，分析结果直接影响报告的准确性、权威性；

2、自动化检查是借助深信服的安全评估工具（TSS）或专门开发的检查脚本来自动化完成部分工作，比如完成目标设备登录、设备配置检查和配置信息记录工作，此部分工作借助自动化工具是为了消除手工误操作的隐患，提高检查效率和精确度。

服务价值

通过以工具为主，人工为辅的方法，对用户的硬件资产和软件系统的安全策略配置进行科学、全面、认真地检查，输出专业的基线核查安全评估报告，通过该服务可以实现包括但不限于以下价值：

1、帮助用户充分掌握当前IT设备的配置情况，了解潜在的IT设备、系统的配置隐患和安全风险。

2、通过对基线核查发现的问题进行安全加固，有助于提升安全防护能力，降低因为安全配置导致的安全事件的概率。

3、为用户进一步完善配置管理体系、满足合规要求，提供强有力的支撑和依据。

4、为用户制定科学、有效地安全加固方案提供依据。

渗透测试

服务介绍：

WHD渗透测试服务通过完全模拟黑客攻击的方式，工具扫描与人工渗透相结合，利用各种主流的攻击技术和漏洞发现技术，对应用系统的一些隐形存在的安全漏洞和风险点作深入的探测，希望发现系统最脆弱的环节。工具扫描存在一定的误报率和漏报率，并且不能发现高层次、复杂、并且相互关联的安全问题，人工渗透测试可以发现逻辑性更强、更深层次的弱点，同时渗透测试可以对漏洞扫描结果进行验证。渗透测试内容包括：

信息泄露：对外服务是否暴露了可能被黑客利用的敏感信息

业务逻辑测试：系统是否在业务逻辑设计上存在被黑客利用的漏洞

认证测试：系统是否存在弱口令、绕过身份认证、浏览器缓存管理等漏洞

会话管理测试：系统是否存在会话劫持、CSRF等漏洞

拒绝服务测试：系统是否易受DDOS攻击

Web服务测试：SQL注入、跨站脚本、跨站请求伪造攻击