服务介绍:
在客户授权的前提下,以模拟黑客攻击的方式,对业务系统的安全漏洞、安全隐患进行全面检测,最终目标是查找业务系统的安全漏洞、评估业务系统的安全状态、提供漏洞修复建议。
我们利用漏洞产生原理,使用合理的渗透测试方法,通过黑盒、白盒方式对各类信息系统、移动应用、H5应用(公众号、小程序等)、Web应用、PC应用、智能POS机应用、物联网设备等进行深度弱点探测和脆弱性测试。由此来帮助应用开发者和管理者了解应用系统存在的脆弱性,为改善并提高应用系统安全性提供依据和解决方案,帮助用户建立安全可靠的应用服务。整个服务大致分四步:计划与准备、信息收集、实施渗透、输出报告。
评估业务系统中存在的安全隐患、安全隐患;
发现业务系统存在的深层次安全隐患;
验证业务系统现有安全措施的防护强度;
评估业务系统被入侵的可能性,并在入侵者发起攻击前封堵可能被利用的攻击途径。
帮助客户发现目前市面自动化安全检测系统无法检测到的深层次的业务逻辑漏洞;
根据具体的业务场景进行深度测试,如人脸识别、交易支付;
根据行业安全监管要求(例如237号文)进行安全检查。
代码审计服务
服务介绍:
通过人工查看、模拟执行或半自动化工具扫描的方式,全面深入挖掘代码中的通用应用程序漏洞、业务逻辑漏洞、应用程序配置文件中的不安全因素,审计对象包括:Java、Python、C/C++、Objective-C等语言。
我们认为任何系统在上线之前,必须经过代码层面的审计工作,确保无可发现的安全风险才批准上线。对于线上运行的系统也同样进行代码审计,相关人员可以从扫描报告中看出当前产品的安全特性是否通过了安全策略,以及产品的安全需求是否合规。
解决黑盒测试无法全面覆盖系统功能执行路径的问题;
可有效督促管理人员杜绝任何一处小的缺陷,从而降低整体风险;
提供详实的修复建议并协助企业开发人员整改;
通过专业的代码审计报告,能为用户开发人员提供安全问题的解决方案,完善代码安全开发规范。
安全审计服务
服务介绍:
通过人工方式将所有用户以及管理员的的操作日志集中记录并管理和分析,帮助您对用户和管理员行为进行监控和记录,以便于对某次操作进行复盘,对高危行为进行统计,以及事故追责。
对客户网络设备、安全设备、主机和应用系统日志进行全面的日志审计、对进出核心数据库的访问流量进行数据报文字段级的解析、对账号管理、身份认证、同步监控、审计回放、自动化运维等进行运维审计。
发现企业现有系统所存在安全问题和薄弱环节;
可协助用户确保系统安全策略运行在有效控制措施之下;
为系统加固、问题处置提供依据和参考。
风险评估服务
服务介绍:
迈偲图会结合国内外相关标准与业界最佳实践经验,通过业内权威专家识别和评估客户信息、资产的重要性、威胁频率、脆弱性严重程度以及客户已部署的安全措施等要素,为客户清晰地展现当前所面临的安全风险。
提供App、Web、数据库、基线配置核查、端口与服务识别等综合漏洞扫描服务,准确发现网络中各主机、设备、应用、数据库等存在的网络信息安全漏洞,并提供合理的整改建议。
重要业务系统上线前,评估系统安全风险;
全面识别资产脆弱性,包括App、WEB、物联网终端等;
通过风险评估,协助客户准确了解组织的信息安全现状,明晰组织的信息安全需求,制定组织信息系统的安全策略和风险解决方案,建立组织自身的信息安全管理框架,指导组织未来的信息安全建设和投入。