服务内容

漏洞扫描服务能够全方位检测服务器存在的脆弱性，发现系统存在的安全漏洞、安全配置问题、应用系统安全漏洞，检查系统存在的弱口令，收集系统不必要开放的账号、服务、端口，形成整体安全风险报告，帮助安全管理人员先于攻击者发现安全问题，及时进行修补，包括但不仅限于：

o    SQL注入攻击漏洞（支持基于GET/POST等方式提交的数据检测）

o    失效的身份认证（过期会话产生的安全隐患）

o    敏感信息泄露（包括但不限于服务器信息，邮箱，银行卡，身份证等敏感信息）

o    XXE漏洞

o    失效的访问控制（身份认证和会话管理相关的应用程序功能错误实现，导致的安全隐患）

o    安全配置错误(包括但不限于服务器网站配置错误，导致的安全隐患)

o    跨站脚本XSS（支持GET、 POST方式的跨站攻击漏洞）

o    不安全反序列化漏洞

o    使用含有已知漏洞的组件（持续更新主流的WEB应用及组件漏洞规则）

o    目录遍历及CSRF漏洞（有可能存在CSRF跨域及文件目录遍历的漏洞）

o    自动更新

扫描报告（含专业修复建议）

漏洞扫描报告满足等级保护的要求，报告中包括系统存在的安全漏洞、安全配置问题、应用系统安全漏洞，系统存在的弱口令，不必要开放的账号、服务、端口等，及修复建议，引导并帮助用户修补漏洞。

服务内容

通过在系统生命周期不同阶段对目标系统展开各类安全检查，找出不符合基线定义的安全配置项并选择和实施安全措施来控制安全风险，并通过对历史数据的分析获得系统安全状态和变化趋势。并给出专业的渗透测试报告以及有针对性的整改加固建议

收集了常用的弱口令字典，检测您SSH、RDP等服务是否使用了弱密码。

弱口令检查

深度检测服务器上是否存在黑客入侵后，留下的账户，对影子账户、隐藏账户、克隆账户进行提醒。

账户安全检测：

对常见登录配置、进程配置、注册表配置进行监测，以达到企业级服务器安全准入标准。

配置风险监测

服务对象

主机 / 网络设备 / 安全设备 / 国产化设备 / 数据库 / 中间件，等等

服务内容

依托国家信息安全漏洞共享平台（CNVD）权威、全面、最新的移动互联网安全漏洞信息，通过从客户端代码安全、密码与安全策略、权限与界面安全、隐私与存储安全、通信数据安全和漏洞检测六大方面，对待检测的前端 APP 和小程序的文件和后端服务平台进行安全风险评估，评估其抵御敏感信息泄露、抵御恶意程序入侵和抵御被黑客恶意利用的安全能力，帮助用户单位发现手机应用 APP 软件和小程序存在的安全隐患，并向用户提供详尽的安全评估分析报告和相应的风险修复建议。

服务优势

o  基于随机性检验的 Android 软件加固检测方法 专利号：CN201510316849.4

o  一种面向安卓系统软件的扩展签名的实现方法 专利号：CN201410250845.6

APP 安全风险评估工作方面，CNCERT获得了两项发明专利授权：

服务介绍

CNCERT 依靠多年来在国家网络安全以及行业安全的实践经验，根据对国家和行业的政策的理解，结合企业业务发展的现状，参考行业最佳实践，帮助企业梳理和导出信息安全需求，明确网络信息安全建设目标，设计网络信息安全体系框架，并为企业建立一个 3—5 年的网络信息安全建设蓝图，规划实施路线图，以有序指导企业未来网络安全建设和管理工作。

适用对象

对网络信息安全保护有较高要求、需要进行长期网络信息安全规划的：国家部委、关键信 息基础设施运营方、其他重要行业、大型企事业单位。

服务内容