安全服务解决方案
网络安全最终是技术的安全,管理的安全,而不是产品的安全。产品只是安全的基础和技术手段,“人”是安全及安全运维的关键,需要网络安全人员对其进行利用和完善,才能达到真正的“安全”
- 商用密码应用安全性评估
- 等级保护测评服务
- 渗透测试服务
- 漏洞扫描服务
- 基线核查服务
- APP安全风险评估服务
- 网络信息安全规划咨询
- 车联网安全测评服务
- 代码审计服务
- 软件测评服务
- 工控物联网安全检测与认证
- 其他服务
-
商用密码应用安全性评估
依据《密码法》对采用商用密码技术、产品和服务集成建设的网络和信息系统密码应用的合规性、正确性、有效性进行评估。(简称“密评”)
为什么要做密评?
网络安全严峻的形势根本上改变商用密码应用不广泛、不规范、不安全的现状,确保商用密码在网络和信息系统中有效使用,切实构建起坚实可靠的网络安全密码屏障。做好密评工作,是推动《密码法》贯彻落实,构建网络空间密码保障体系的重要举措。
服务对象
服务内容
基础信息网络:电信网、广播电视网、互联网涉及国计民生和基础信息资源的重要信息系统:能源、教育、公安、测绘地理信息、社保、交通、卫生计生、金融等 重要工业控制系统:核设施、航空航天、先进制造、石油石化、油气管网、电力系统、交通运输、水利枢纽、城市实施等
面向社会服务的政务信息系统:党政机关和使用财政性资金的事业单位和团体组织使用的面向社会服务的信息系统关键信息基础设施和网络安全等级保护第三级及以上信息系统
服务流程
服务优势
CNCERT 作为国家网信领域唯一一家密评机构,具有专业的团队、完善的管理体系、较强的综合实力,助力各委托单位提升重要信息系统密码应用的正确性、合规性和有效性。
-
等级保护测评服务
依据国家网络安全等级保护制度规定及系统安全需求,通过测试手段对定级对象的安全技术和安全管理中各个层面的安全控制进行整体性验证,确保定级对象的安全保护措施符合相应等级的基本安全要求,并提供等级保护测评报告。
什么是等级保护?
等级保护的核心是对信息系统特别是对业务应用系统安全分等级、按标准进行建设、管理和监督。
为什么要开展等保?
通过等级保护工作发现单位信息系统存在的安全隐患和不足,进行安全整改之后,提高信息系统的信息安全防护能力,降低系统被攻击的风险,维护单位良好的形象。
法律法规合规要求:
等级保护是我国关于信息安全的基本政策,相关政策制度要求单位开展等级保护工作。如《网络安全等级保护管理办法》和《中华人民共和国网络安全法》。
依据国家网络安全等级保护制度规定及系统安全需求,通过测试手段对定级对象的安全技术和安全管理中各个层面的安全控制进行整体性验证,确保定级对象的安全保护措施符合相应等级的基本安全要求,并提供等级保护测评报告。
服务优势
服务介绍
-
渗透测试服务
渗透测试服务是依据渗透测试专家已经掌握的安全漏洞信息,在客户授权的范围内,模拟攻击者的真实攻击方法对系统和网络进行非破坏性质的攻击性测试,找出系统中存在的安全漏洞和隐患,并提供相应的解决建议。
服务对象
网站应用 / 安卓应用 / iOS 应用 / 微信服务号 / 微信小程序 / 工控系统
服务流程
服务优势
拥有国内公认的顶尖渗透团队!在实战中锻炼和培养了 100+ 位国内一流的渗透高手,各个身怀绝技,各有所长。
1000+ 次从互联网渗透到企业内网经历!
服务内容
安全性漏洞发现
发掘应用中影响业务正常运行、导致敏感信息泄露、造成信誉损失的漏洞
修复方案
针对漏洞产生的原因进行分析,提出修复建议,防御各种恶意攻击者的攻击。
回归测试
汇总漏洞修复方案评估结果,标注漏洞修复结果,更新并发送测试报告
-
渗透测试服务
渗透测试服务是依据渗透测试专家已经掌握的安全漏洞信息,在客户授权的范围内,模拟攻击者的真实攻击方法对系统和网络进行非破坏性质的攻击性测试,找出系统中存在的安全漏洞和隐患,并提供相应的解决建议。
服务对象
网站应用 / 安卓应用 / iOS 应用 / 微信服务号 / 微信小程序 / 工控系统
服务流程
服务优势
拥有国内公认的顶尖渗透团队!在实战中锻炼和培养了 100+ 位国内一流的渗透高手,各个身怀绝技,各有所长。
1000+ 次从互联网渗透到企业内网经历!
服务内容
安全性漏洞发现
发掘应用中影响业务正常运行、导致敏感信息泄露、造成信誉损失的漏洞
修复方案
针对漏洞产生的原因进行分析,提出修复建议,防御各种恶意攻击者的攻击。
回归测试
汇总漏洞修复方案评估结果,标注漏洞修复结果,更新并发送测试报告
-
基线核查服务
基于等级保护三级基本要求和安全配置基线,对网络设备、安全设备、操作 系统、应用系统的安全配置优化,避免弱口令、无用账户、权限过大等安全威胁进行加固服务。
服务内容
通过在系统生命周期不同阶段对目标系统展开各类安全检查,找出不符合基线定义的安全配置项并选择和实施安全措施来控制安全风险,并通过对历史数据的分析获得系统安全状态和变化趋势。并给出专业的渗透测试报告以及有针对性的整改加固建议
收集了常用的弱口令字典,检测您SSH、RDP等服务是否使用了弱密码。
弱口令检查
深度检测服务器上是否存在黑客入侵后,留下的账户,对影子账户、隐藏账户、克隆账户进行提醒。
账户安全检测:
对常见登录配置、进程配置、注册表配置进行监测,以达到企业级服务器安全准入标准。
配置风险监测
服务对象
主机 / 网络设备 / 安全设备 / 国产化设备 / 数据库 / 中间件,等等
-
APP安全风险评估服务
通过深度人工分析的方式,依据相关国家标准和行业标准,对用户单位Android 版本和 iOS 版本 APP 客户端和微信、支付宝小程序进行上线前安全评估和漏洞检测
服务内容
依托国家信息安全漏洞共享平台(CNVD)权威、全面、最新的移动互联网安全漏洞信息,通过从客户端代码安全、密码与安全策略、权限与界面安全、隐私与存储安全、通信数据安全和漏洞检测六大方面,对待检测的前端 APP 和小程序的文件和后端服务平台进行安全风险评估,评估其抵御敏感信息泄露、抵御恶意程序入侵和抵御被黑客恶意利用的安全能力,帮助用户单位发现手机应用 APP 软件和小程序存在的安全隐患,并向用户提供详尽的安全评估分析报告和相应的风险修复建议。
服务优势
o 基于随机性检验的 Android 软件加固检测方法 专利号:CN201510316849.4
o 一种面向安卓系统软件的扩展签名的实现方法 专利号:CN201410250845.6
APP 安全风险评估工作方面,CNCERT获得了两项发明专利授权:
应用优势
-
网络信息安全规划咨询
网络信息安全规划是企业开展安全建设和管理工作的依据。CNCERT 依靠多年来在国家网络安全以及行业安全的实践经验,根据对国家和行业的政策的理解,结合企业业务发展的现状,参考行业最佳实践,帮助企业梳理和导出信息安全需求,明确网络信息安全建设目标,设计网络信息安全体系框架,并为企业建立一个 3—5 年的网络信息安全建设蓝图,规划实施路线图,以有序指导企业未来网络安全建设和管理工作。
服务内容
安全现状调研 /
体系框架设计 /
安全需求分析 /
安全建设蓝图及实施路线设计
适用对象
对网络信息安全保护有较高要求、需要进行长期网络信息安全规划的:国家部委、关键信 息基础设施运营方、其他重要行业、大型企事业单位。
-
车联网安全测评服务
针对车联网系统提供车载系统检测、在线监测及处置、远程测评等全方位综合的安全评测服务,并进一步提供安全咨询服务。
车联网风险监测及态势感知平台
利用大数据、机器学习、人工智能等分析及预测技术,建立车联网安全态势感知体系,对车内和车外安全事件实时监测,及时预警针对车自身和联网环境的网络攻击和漏洞利用,保障车联状态下的网络和数据安全。
结合自主挖掘、社会报送、互联网收集等方式,形成车联网安全漏洞库,截止 2019 年共收录漏洞 6000 余个。依据《GB/T 30279-2013 信息安全技术安全漏洞等级划分指南》、《 GB/T 34402-2017 汽车产品安全风险评估与风险控制指南》及其他标准规范对于安全漏洞进行定级。
服务优势
车联网安全漏洞库
仿真实验环境
截止 2019 年共收录漏洞 6000 余个。
CNCERT作为CNAS认可的第三方测评机构,同时也是网信办、工信部、公安部和 认监委四部委联合认定的第一批承担网络关键设备安全检测任务的单位之一,以拥有 自主知识产权、国内第一个通过ISA Secure国际权威认可的Acheron测试平台为依 托,面向工控物联网领域的产品供应商开展安全测评认证服务。
仿真演练能力
研究车联网安全攻防演练核心技术,搭建可支撑车联网整体信息系统在内的安全仿真演练环境。
-
代码审计服务
代码审计服务是通过对软件系统的源代码进行分析,发现和消除源代码中存在的安全漏洞、逻辑缺陷及恶意代码,并从根本上解决这些问题。
服务内容
安全编程规范及规则咨询 / 代码安全审计 / 安全编程培训 / 合规性检查
服务优势
o 在通信运营商、政府和重要部门等领域有丰富的代码审计项目实施经验。
o 对开源软件的技术检测过程中,检测代码总行数超过 6000 万行。
o 代码检测累计发现高危漏洞 3.5 万余个。
o 首次发现 20 余个高危 0day 漏洞,获得了 CVE、CNVD 的原创漏洞证明 40 余个。
o 标准制定牵头主导代码安全审计相关国家标准 1 项,行业标准 3 项。
原创漏洞证明
拥有国内外知名代码审计产品,包含但不限于以上工具
-
软件测评服务
常规测试,固件检测,安全检测认证
常规测试
根据国家标准对各种开发环境下软件(商业应用软件与定制化软件)进行单元测试、 部件测试、配置项测试和系统测试。
固件检测
静态检测:对固件文件信息、版本信息、版权信息等基本信息进行检测,对固件是否含有 内部信息、是否使用危险函数、使用的 lib 库是否有历史漏洞等进行检测。
安全检测:对固件进行安全扫描,发现是否存在安全风险和漏洞。
检测流程 :
安全检测认证
测试类型:功能、性能、接口、压力、易用性、可维护性与可移植性等方面的测试。
业务类型:验收测试、标准符合性测试、确认测试、鉴定测试、性能专项测试与性能优化测试等。
业务范围:国家部委、地方政府、企事业单位及电力、运营商、金融等众多行业领域。
主要针对智能硬件、物联网设备、智能穿戴设备等设备的固件进行全面的分析和检测, 开展静态检测和安全检测,并提出有效的安全加固建议。
针对目前 PC 终端应用软件易泄漏用户信息、占用过多资源导致 PC 性能下降等问题,开展应用软件安全、绿色检测认证服务。
技术支撑:国家信息安全漏洞库(CNVD)、静态病毒检测、动态沙箱检测等。
技术支撑:国家信息安全漏洞库(CNVD)、静态病毒检测、动态沙箱检测等。
检测流程:
-
工控物联网安全检测与认证
CNCERT作为CNAS认可的第三方测评机构,同时也是网信办、工信部、公安部和 认监委四部委联合认定的第一批承担网络关键设备安全检测任务的单位之一,以拥有 自主知识产权、国内第一个通过ISA Secure国际权威认可的Acheron测试平台为依 托,面向工控物联网领域的产品供应商开展安全测评认证服务。
服务优势
支持 IT、工控、物联网、医疗、安全等领域 103 种主流通信协议。
截止目前通过 Acheron已累计发现 80 余个工控系统的 0Day 漏洞,均被收录到 CNVD 国家漏洞库中。
检测服务能力
Acheron是体系化漏洞检测平台的核心,主要用于测试设备通信协议健壮性,发 现和挖掘通信协议组件中存在的安全隐患和漏洞。
Acheron具有如下特点:
全方位测试环境监测
支持网络状态监测功能,可通过ICMP、TCP、UDP、SNMP、PROFINET-DCP等多种方式监测被测设备的网络状态和响应时间,支持用户自定义网络检测协议。支持IO控制信号监测功能(包括数字信号和模拟信号),可实时感知被测设备IO模块在测试过程中出现的信号抖动。
基于对工业互联网协议的深度理解,参考ISASecure CRT测试理念,通过错误注入、结构变异、上下文不一致、压力测试等多种方式对工业互联网协议 进行深度测试,挖掘协议组件在软件实现中存在的漏洞。
工业通信协议深度测试
将模糊测试方法与工业互联网系统特点有机结合,支持无人值守自动化测试,在测试过程中如被测设备出现宕机等异常,系统可自动记录相关场景数据,并远程复位被测设备,断点续测,测试全部结束后可根据用户指定格式自动生成测试报告。
高度自动化测试
支持IT、工控、物联网、医疗等领域103种主流通信协议。
协议覆盖广泛
Acheron—国内首款通过 ISASecure 认可的通信协议健壮性测试工具
Acheron也是国内首款通过国 际ISASecure认可的检测工具
-
网络与信息安全应急人员认证 (CCSRP)
CNCERT对外提供“网络与信息安全应急人员(Certified Cyber Security Response Professional, CCSRP)”能力认证业务)
CCSRP认证的目标群体
ccsrp认证体系
ccsrp认证体系包括网络安全管理能力认证和技术能力认证,同时按照人员能力的差异分为不同的等级。另 外兼顾不同领域和不同行业的差异性,提供面向工控安全、数据安全、网络安全意识等特定领域,以及面向电 信、能源、交通等特定关键信息基础设施行业的特色认证。
CCSRP认证体系的特点
CCSRP认证面向党政机关、重点行业(电信、金融、制造、能源等)的网络信息安全从业人员,职位包括但不限于安全管理类的首席安全官、网络安全经理、安全总监、合规经理、审计员等, 安全技术类的系统安全管理员、安全运维中心分析员、工业控制系统工程师等。
管理与技术并重/能力等级递进/通用与特殊兼顾/实践能力 优先
CCSRP认证的能力要求
管理方向的I级认证要求了解网络信息安全基础知识、法律法规、 安全体系标准和安全管理相关内容,II级认证要求掌握利用安全 标准、规范等指导本单位开展安全工作的能力;技术方向的I级认证要求了解网络信息安全基础知识、法律法规、标准规范,了解网络与信息安全测评、应急响应等工作内容;II级认证要求掌握网络信息安全测评、应急响应等技术,掌握常用安全工具的使用方法,具备查找本单位安全隐患和处置安全事件的能力。
工控安全方向认证要求掌握工控安全相关法规和标准、工控安 全检测、工控安全防护、工控安全应急响应等能力;网络安全意识培训则重点培养互联网上的行为规范,要求理解掌握相关 法律、法规,重视网络意识形态安全,自觉抵制网络违法犯罪 行为;面向关键信息基础设施行业的技能认证要求掌握本领域 系统安全、业务安全和内容安全等方面的能力。
CNCERT服务内容(部分)
SERVICE AREA