服务热线

020-38921330

首页 > 新闻资讯 > 行业新闻

中标喜讯 | 天畅信息中标银行客户安全风险评估服务项目

2023-5-26 0:00:00浏览量:1031编辑:管理员来源:天畅


天畅信息中标银行客户安全风险评估服务项目,为该行旅游业务小程序、阳光信贷系统、电子审批系统等相关业务系统提供安全风险评估服务,为该行管理部门开展信息安全建设提供依据,为确立安全策略、制定安全规划、开展安全建设提供决策建议。


项目背景

随着多年来信息化程度的不断提高,对信息系统的依赖程度也不断增加,网上信息的价值也逐渐增大,随之而来的信息安全问题也日渐凸现,银行领导对当前信息化安全的建设给予了高度重视,为充分了解当前安全现状,掌握信息系统的安全风险状况,组织了本次风险评估项目。


开平中标-1.jpg



方案介绍

针对旅游业务小程序、阳光信贷系统、电子审批系统、视频监控等系统提供以下方面的服务:

对所有系统进行漏洞扫描;


对所有系统进行渗透测试;
渗透测试所涉及的测试类型:网站挂马检查、敏感信息下载、业务逻辑漏洞、Cookies漏洞、管理入口安全性、WEB应用指纹测试、错误代码分析、认证测试、会话管理测试、HTTP参数测试、验证码安全性、SQL注入漏洞、弱口令、口令验证不足、目录遍历、文件上传、HTTP协议追踪、跨站脚本、后台漏洞、敏感信息泄漏、网络漏洞、SSL加密漏洞等;
验收时提交渗透测试报告及安全加固建议;项目加固完成后,客户需再做复测验证,验证加固是否完成。

项目目标

通过建设本项目,天畅信息提供综合风险评估系统助力客户实现如下几个目标:

1

安全漏洞扫描:通过使用专业的安全漏洞扫描工具,对业务系统进行全面的安全漏洞扫描,以发现潜在的安全风险,并提供相应解决方案。

2

安全渗透测试:通过模拟黑客攻击的方式,对业务系统进行全面的安全渗透测试,以发现应用系统的安全漏洞和弱点。



3

威胁识别与分析:对该行需要保护的关键资产进行威胁识别。根据资产所处的环境条件、资产以前遭受威胁、资产目前存在的威胁情况来判断威胁的可能性。同时识别出威胁由谁什么事物引发,即确认威胁的主体和客体,然后还要识别出威胁的主要方式。

4

脆弱性识别与分析:在这一阶段,我们将对每一项需要保护的信息资产,找出每一种威胁所能利用的脆弱性,并对脆弱性的严重程度进行评估。从技术、管理两方面脆弱性进行脆弱性评估,其中技术方面包括物理环境、网络环境、主机系统、中间件系统和应用系统五个层次。管理脆弱性评估方面主要是按照等级保护的安全管理要求对现有的安全管理制度的制定和执行情况进行检查,发现其中的管理漏洞和不足。




服务能力

我司拥有一支专业的信息安全服务团队,其中包括多名信息安全专家和多名资深的安全工程师。我们拥有丰富的信息安全经验和专业的技术能力,可以为客户提供全面的信息安全保障服务。通过对各行业客户网络和应用系统开展漏洞扫描、渗透测试、日志分析、安全风险评估等安全服务工作,协助客户发现网络和应用系统与行业安全标准之间存在的差距,找到客户当前系统存在的安全隐患和不足,通过安全整改,提高信息系统的安全防护能力,降低系统被各种攻击的风险,为行业客户提供了众多高可用的网络安全解决方案。


11.jpg
12.jpg
GCC-CN Certificate ISO 27001 - CN1069-I-1 - Guangzhou Techcan_页面_2.jpg
14.jpg



风险提示

流量控制,尽可能减少对其他网段的网络流量影响

性能控制,尽量让被测试主机不对外开放除测试应用外的其他服务

时间选择,测试时间尽量选择在非业务高峰期间进行

测试策略不使用含有拒绝服务的测试策略,防止测试造成用户网络和系统的服务中断

准备测试前应备份相关系统、应用、数据库,在发现有数据非法变更时可以尽快恢复系统及数据库日志

在测试前尽可能了解应用系统的性能,定制合理的测试线程


项目结果

本次安全风险评估服务是在有效测试时间内针对客户重要业务系统的安全性和完整性进行测试,对发现的漏洞与风险项及时修复和分发补丁,修复后结果进行了复测,复测结果显示所有漏洞已经成功修复。在完成了资产识别、威胁识别、脆弱性识别后,采用适当的方法与工具确定威胁利用脆弱性导致安全事件的可能性。综合安全事件所作用的资产价值及脆弱性的严重程度,判断安全事件造成的损失对组织的影响,形成风险评估报告。


END