风险评估

2017-12-22 20:19:03 adminddy 3

风险评估 华康科技

通过漏洞扫描(应用程序漏洞、操作系统漏洞、数据库系统漏洞等)和全网扫描评估(进行全网网络设备、应用系统、服务器操作系统等扫描和评估),对客户整体信息安全风险进行评估,发现系统的脆弱环节和弱点等安全问题,为进一步加固信息系统提供依据。

漏洞扫描工具

为了防止漏洞扫描工具出现误报安全漏洞,我们采用专业安全扫描工具为主和其他扫描工具(IP探测类、协议探测类、应用探测类)为辅的漏洞检测方式,专业扫描工具选择应用通过国家保密局、中国人民解放军测评中心、公安部等部门的权威认证。并广泛应用与金融、政府、军队、武警、公安等部门,具有很高的可用性和成熟度。

漏洞检测内容

漏洞扫描检测内容如下:

应用程序漏洞:应用系统BUG漏洞、配置缺陷和高风险端口等。例如:弱口令、物理路径泄露、CGI源代码泄
露、执行任意命令、缓冲区溢出、拒绝服务、SQL注入、条件竞争和跨站脚本执行漏洞等。
操作系统漏洞,操作系统BUG漏洞、配置缺陷和高风险端口等。例如:弱口令、缓冲区溢出、特权升级、拒绝
服务攻击等。
设备IOS漏洞,设备系统BUG漏洞、配置缺陷和高风险端口等。例如:弱口令、内存泄漏漏洞、路由数据帧头
缺陷、欺骗性的IP选项漏洞、拒绝服务工具等
数据库系统漏洞,数据库系统BUG漏洞、配置缺陷等,例如:弱口令、SQL注入、用户和组权限、不必要的数
据库功能、失效的配置管理、缓冲区溢出、特权升级、拒绝服务攻击、敏感数据未加密等。

漏洞扫描测试点部署示意图如下:

华康科技
漏洞扫描工作流程
华康科技
漏洞风险评估方法
依照OWASP的方法论的指导思想,项目将根据实际情况制定一套安全风险评定标准。项目中发现的所有漏洞
均依据该标准进行评估和分析。

服务成果

《安全漏洞评估报告》、《安全漏洞解决方案》