关 闭

www.williamhill898.com

你所在的位置:www.williamhill898.com > 

 

信息安全测评服务



文章来源:威廉希尔中国官网      发布时间:2018917




 01 /  应用、系统、设备安全检测 / Application,Safety Detection


 为了避免因为系统自身漏洞给客户、公司集团带来损失同,为了数据安全,为了防范黑客攻击,通过该测试可帮助客户提高系统在软件或项目中的安全质量,同时可用于产品市场推广、政府项目安全支撑验收方面顺利通过等。

应用、系统、设备安全检测 Web应用安全检测:主要依据GB/T 25000.51-2016 《系统与软件工程 系统与软件质量要求和评价(SQuaRE) 第51部分:就绪可用软件产品(RUSP)的质量要求和测试细则》、GB/T 18336.2-2015《信息技术  安全技术  信息技术安全评估准则 第2部分:安全功能组件》的要求,使用安全检测工具,同时采用授权的方式,对目标系统进行审查、爬行等检测。


  ●Web应用安全检测

 针对目标提供的各种应用,如ASP、CGI、JSP、PHP等组成的WWW应用进行安全扫描检测。主要包括Web漏洞(SQL注入攻击、跨站点脚本攻击、Ajax安全缺陷、目录遍历攻击(directory traversal))、跨站点请求伪造、XML注入、认证不充分等方面,对Web应用安全进行评估。

  系统漏洞安全检测

 系统安全漏洞检测:基于漏洞数据库,通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测,发现可利用漏洞的一种安全检测(渗透攻击)行为。包括应用系统部署、数据库部署等操作系统的漏洞扫描,系统类型包括Windows、Solaris、AIX、Linux、Unix等操作系统。

  设备漏洞扫描检测

 基于已知系统漏洞规则库,对网络设备、应用或系统在已知漏洞规则下进行识别和检测,及时发现安全漏洞,客观评估设备风险等级,给出修复建议和预防措施,并对风险控制策略进行有效审核,从而在漏洞全面评估的基础上掌控设备漏洞。主要从设备系统、网络设备端口和安全设备的端口、漏洞扫描等方面,对各种防火墙、入侵检测系统、网络设备等进行设备漏洞扫描检测。

 通过该测试可帮助客户提高系统在软件或项目中的安全质量,同时可用于产品市场推广、政府项目安全支撑验收方面顺利通过等,测评通过后出具相应的检测报告。

业务受理:020-32206063


 02/  源代码安全漏洞扫描 / Source Code Vulnerability

 构建一个应用程序,并始终确保应用程序其安全性的话,事实上构建应用程序的时候需要花大量的工作,一个步骤没有检查就可能导致整个系统或者产品都处于受黑客攻击的危险之中,谁不希望在产品发布初期就发现安全漏洞并且修复漏洞,那何乐而不为呢!


源代码安全漏洞扫描

 威廉希尔可以对未经编译的软件源代码进行代码扫描分析,快速识别安全漏洞及发现合规方面存在的问题,并向您指出漏洞的位置和分析修复方法。由于是对未经编译的代码进行扫描,因此不需要去处理复杂的代码编译所需要的环境及构建问题。节省大量的人力和时间成本,提高开发效率,并且能够发现很多靠人力无法发现的安全漏洞,站在黑客的角度上去审查程序员的代码,找出潜在的风险,从内对软件进行检测,提高代码的安全性,大大降低项目中的安全风险,提高软件质量,可快速、准确地查找,定位和修复软代码中存在的安全风险。同时兼容并达到国际、国内相关行业的合规要求。源代码安全漏洞扫描分析


 源代码安全漏洞扫描分析结合结合OWASP十大Web漏洞以及设备、CVE公共漏洞字典表、CWE、CNVD等权威漏洞库规则集、软件厂商公布的漏洞库,结合专业源代码扫描工具对各种程序语言编写的源代码安全漏洞扫描分析。




安全编码规范及规则分析 1)安全编码规范及规则分析

 在软件编码之前,利用【www.williamhill898.com】实验室丰富的安全测试经验,为系统开发人员提供安全编码规范、规则的咨询和建议,提前避免不安全的编码方式,提高源代码自身的安全性。



源代码安全现状分析 2)源代码安全现状分析

针对系统开发过程中的编码阶段、测试阶段、交付验收阶段、对各阶段系统源代码进行安全审计检测,利用数据流分析引擎、语义分析引擎、控制流分析引擎等技术,采用专业的源代码安全审计工具对源代码安全问题进行分析和检测并验证,从而对源代码安全漏洞进行定级,给出安全漏洞分析报告等,帮助软件开发的管理人员统计和分析当前阶段软件安全的风险、趋势,跟踪和定位软件安全漏洞,提供软件安全质量方面的真实状态信息。



源代码整改分析

 3)源代码整改分析

依据源代码安全测评结果,对源代码安全漏洞进行人工审计,并依据安全漏洞问题给出相应修改建议,协助系统开发人员对源代码进行修改。

根据不同开发语言检测出不同开发语言中常见错误,比如:c/c++中的空指针释放、内存管理问题(如内存泄漏) 、数组越界、未初始化数据使用、编码风格等问题;java语言中效率错误(如:空的finalize方法)、可维护性问题(如:空的catch从句)、可靠性问题(如资源泄漏)等。


支持主流语言:Java、JSP、 支持主流语言:Java、JSP、JavaSript、VBSript、C#、ASP.net、VB.Net、VB6、C/C++、ASP、PHP、Python、Swift、Ruby、Perl、PL/SQL、Android、OWASP ESAPI、MISRA、Objective-C(iOS)、API及第三方语言。


支持的主流框架(Framework)

 支持的主流框架(Framework):Struts、Spring、Ibatis、GWT、Hiberante、EnterpriseLibraries、 Telerik、ComponentArt、Infragistics、FarPoint、Ibatis.NET、Hibernate.Net [*]、MFC。可针对客户特定框架快速定制支持。

 检测通过后出具相应的检测报告。

业务受理:020-32206063


 03/  安全基线配置核查

  随着行业信息化建设的不断深入,生产、业务支撑系统的网络结构越来越复杂,各种应用和服务器的数量及种类也日益增多,维护人员误操作或者采用一成不变的初始系统设置等原因,就可能会带来安全隐患,影响系统的可靠运行。

 安全基本配置问题通常都是由于人为的疏忽造成,主要包括了账号、口令、授权、日志、IP通信等方面内容,反映了系统自身的安全脆弱性。安全配置方面与系统的相关性非常大,同一个配置项在不同业务环境中的安全配置要求是不一样的,由于安全配置的不足可能带来非常多的安全隐患。

 可采用安全基线的思想进行风险的控制和管理,根据《信息安全等级保护管理办法》的规定、国家等保、工信部、电信、移动等规范基准安全标准要求,基于基本安全配置库(安全配置知识库),针对对网络资产设备自动化的安全配置检测、分析,并提供专业的安全配置建议与合规性报表。安全配置知识库,涵盖操作系统(如:Windows、Solaris、AIX、Linux、Unix等操作系统)、网络设备(如:防火墙、交换机、路由器等网络设备)、数据库(如:MS-SQL、Oracle、MySQL、Informix、Sybase、DB2等数据库)、应用中间件(如:Tomcat、IIS、Apache等应用中间件)、虚拟化平台(如:Vmware、XenSever等虚拟平台)等近50类设备及系统的安全配置加固建议,可以全面的指导IT信息系统的安全配置及加固工作。

 通过该测试可帮助客户提高系统在软件或项目中的安全性,可帮忙客户对IT信息系统的安全配置及加固工作给出安全配置加固建议,可用于入网测试、上线安全检测、合规安全检查、工程验收和运行维护、产品市场推广、政府项目安全支撑验收方面顺利通过等,测评通过后出具相应的检测报告。

业务受理:020-32206063


 04/  信息安全风险评估 / Risk Assessment Of information Security

 信息安全风险管理依据等级保护的思想和适度安全的原则,平衡成本与效益,合理部署和利用信息安全的信任体系、监控体系和应急处理等重要的基础设施,确定合适的安全措施,从而确保机构具有完成其使命的信息安全保障能力。信息安全风险评估

 依据《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、《国家网络与信息安全协调小组关于开展信息安全风险评估工作的意见》(国信办[2006]5号)、GB/T 20984-2007 《信息安全风险评估规范》等标准规范,进行信息系统安全保障能力级的符合性测评。  

 风险分析中要涉及资产、威胁、脆弱性三个基本要素。每个要素有各自的属性,资产的属性是资产价值;威胁的属性可以是威胁主体、影响对象、出现频率、动机等;脆弱性的属性是资产弱点的严重程度。

 现场评估实施结束后,评估小组根据测评指导书各个评估项的结果记录进行评估分析,汇总评估结果,并进行整体评估分析,从而形成合理、可信任的评估结论,最后完成评估报告的编制及建议。

业务受理:020-32206063

 



?

QQ在线客服

点击这里给我发消息 在线客服1

点击这里给我发消息 在线客服2

服务电话咨询

400-004-1690

服务营业时间

9:00-12:00,13:30-17:30

XML 地图 | Sitemap 地图