近年来,Web应用系统已广泛应用于各公共领域(政治、经济、文化、国防等)以及个人领域(娱乐、咨询、交流、沟通等),与此同时,Web应用系统也因其互联、开放等特性,频繁遭受黑客SQL注入、网页挂马、跨站脚本等攻击。 Web应用安全事件极大困扰着网站维护部门,给企业形象、信息网络甚至核心业务造成严重的破坏,导致机构门户的形象受损和公信力的下降。
若能够主动的发现网站的风险隐患,并及时采取修补措施,则可以降低风险、减少损失。绿盟科技基于多年对Web应用安全的研究与积累,推出绿盟WEB应用漏洞扫描系统(NSFOCUS Web Vulnerability Scanning System,简称:NSFOCUS WVSS),以其便捷的配置、全面快速的检测能力和多环境适应性成为Web应用安全评估的利器。
该系统可自动获取网站包含的相关信息,并全面模拟网站访问的各种行为,比如按钮点击、鼠标移动、表单复杂填充等,通过内建的”安全模型”检测Web应用系统潜在的各种漏洞,同时为用户构建从急到缓的修补流程,满足安全检查工作中所需要的高效性和准确性。
信息安全等级保护测评系统,是自动化的信息安全等级保护测评系统,主要用于测评项目的管理及测评报告的编写。通过测评系统,可以方便管理不同类型的测评指导书,优化测评实施指南。在系统新建项目成功后,增加相应的子系统,导入系统的调研结果,即可选择相应级别的测评指导书,根据不同的测评指标,导出相应级别的测评指导书,以指导现场测评工作,待现场测评完成后,导入相应的测评结果,即可方便导出测评最终报告。
在用户等级保护定级阶段提供。信息系统定级是进行等级保护规划和建设工作的前提,是等级保护建设工作的起点。
对信息系统进行安全等级预测评是推行等级保护制度的重要环节,等级保护预测评是提供信息系统现状调研、需求分析、合规性检测、差距分析、建设整改方案设计工作,能够为最终通过测评最好充分的准备。
在等级保护建设整改的实施阶段提供。在技术层面为用户信息系统提供完善的整改建设方案,协助用户进行安全加固、安全技术策略配置和安全产品集成等工作。
随着网络攻击手段的不断丰富,网络安全威胁也日趋多元化,在如此严峻复杂的形势面前,网络安全威胁情报的重要性显得尤为突出。
威胁情报平台可为企业有效应对网络安全风险、维护网络空间安全提供有利条件和情报基础,通过威胁情报平台可为企业带来以下优势:
信息安全运维服务是以客户信息安全的总体框架为基础、以安全策略为指导,结合先进的技术平台、经验丰富的安全运维团队、成熟的服务管理体系,帮助用户梳理安全问题、规范运维流程、健全安全制度,最终为客户构建一个完善的安全运维管理体系。
安全运维服务的方式有以下三种:定期巡检方式、远程值守方式、应急响应方式。
对用户的安全设备、网络设备、服务器提供业务巡检和安全策略配置巡检服务
对用户所关注的安全事件、操作行为和安全漏洞进行深度分析服务
对于用户的安全需求,根据行业标准对各类安全产品进行策略变更、配置优化
定期为用户提供最新安全漏洞通告、媒体关注通告
等保整改是在等级保护建设整改的实施阶段提供。在技术层面为用户信息系统提供完善的整改建设方案,协助用户进行安全加固、安全技术策略配置和安全产品集成等工作。在管理层面,形成完善的信息安全管理制度体系,符合等级保护相关要求。
信息安全运维服务是以客户信息安全的总体框架为基础、以安全策略为指导,结合先进的技术平台、经验丰富的安全运维团队、成熟的服务管理体系,帮助用户梳理安全问题、规范运维流程、健全安全制度,最终为客户构建一个完善的安全运维管理体系。
渗透性测试是信息安全人员模拟黑客攻击,用来发现信息安全防御体系中漏洞的一种常用方法。渗透测试是为了发现、验证安全漏洞的影响而进行的,注重入侵者可能的通道,并非关注用户的敏感信息内容。
大多数信息安全事件会导致信息业务中断、系统宕机、网络瘫痪,并对组织和业务运行产生直接或间接的负面影响。通过建立应急响应服务能够快速检测安全事件、把损失和破坏降低到最低限度、并恢复信息服务。
安全风险评估服务就是从风险管理角度,依据有关信息安全技术与管理标准,对信息系统及所涉及的资产、威胁、脆弱性等调研信息与等级保护调研信息相结合,可以大大节省客户的资源成本。
安全加固服务不仅具备传统的安全加固手段,同时在应用层上结合互联网行业独有的网站应用防护技术,使用基于攻击行为分析技术对网站流量进行全面过滤,解决了目前传统的安全防护手段针对新漏洞响应速度快,防护不全面的难题,更好的确保网站安全。
禹宏信安(ChaoSEC)是业内首家专注于信息安全事件的预防、检测、处置及追踪的信息安全服务提供商,能够提供多层次、全方位的信息安全服务;公司拥有一批在信息安全事件处置、黑客攻防和等级保护等领域具有很深造诣的专业人才。公司积极实践国家“互联网+”战略,致力于为客户提供最有效的信息安全解决方案。公司主要业务包括:安全咨询、风险评估、渗透测试、安全运维、应急响应、安全预警、安全加固、安全集成、等级保护和安全培训。
公司已获得“信息安全服务资质证书(安全工程类一级)”以及“ISO9000质量管理体系认证证书”。
与政府、教育、金融、互联网等多个行业客户建立良好合作关系;多次配合公安机关的对信息安全事件进行应急响应、事件处置,破获多起黑客攻击及诈骗勒索案件。