安全咨询 安全评估 方案设计 安全建设 安全运维 安全废弃 安全培训 安全应急
服务介绍

安全测试团队在安全可控的情况下,通过模拟黑客的攻击方法和攻击路径对工业控制系统及其关联网络进行非破坏性的攻击测试,目的是侵入目标系统,获取系统控制权并将入侵的过程和细节生成报告。通过渗透测试,可直观发现目标系统存在的安全威胁和风险,并据此对现有安全防护体系进行完善提升。

服务内容

1.信息收集
利用公开域查询、扫描、嗅探以及社会工程学等方法收集系统信息,从中提取有用信息;
2.端口扫描
通过对目标地址的 TCP/UDP 端口扫描,确定其开放的服务数量和类型;
3.权限提升
通过获取本地权限,收集本地资料信息,寻求本地权限升级的机会;
4.应用测试
a.检查应用系统架构,防止非法用户绕过系统直接修改数据库;
b.检查身份认证模块,防止非法用户绕过身份认证;
c.检查数据库接口模块,防止非法用户获取系统权限;
d.检查文件接口模块,防止非法用户获取系统文件;
e.检查其他安全威胁。
5.不同网段/Vlan之间的渗透
这种渗透方式是从某内/外部网段,尝试对另一网段/Vlan 进行渗透;
6.后门程序
检查系统开发过程中是否遗留后门和调试选项可能被入侵者所利用,导致入侵者轻易地从捷径实施攻击;
7.代码审查
对受测业务系统进行安全代码审查,识别出会导致安全问题和事故的不安全编码技术和漏洞;
8.其他测试
在渗透测试中还需要借助暴力破解、网络嗅探等其他方法,来尝试获取用户名及密码。

输出物

1.《渗透测试方案》;
2.《渗透测试报告》;
3.《安全整改建议》。

客户价值

1.评估工控系统被入侵的可能性;
2.发现工控系统存在的深层次安全隐患;
3.验证工控系统现有安全措施的防护强度;
4.在入侵者发起攻击前封堵可能被利用的攻击途径;
5.帮助用户降低安全风险,规避安全事件,保障生产安全。

服务优势

1.顶尖的安全专家团队提供渗透测试服务,强大的漏洞研究与挖掘技术实力,自渗透小组成立以来,已陆续为多个行业用户提供服务;
2.针对工业企业网络特点,总结了一套适用于工控系统渗透测试的工具及渗透实施方法;
3.基于业务视角深入发现工控系统缺陷和安全风险;
4.对工控系统的安全性得到深刻的感性认知,有助于进一步健全安全建设体系。

服务流程


ISASecure CRT Tool认证
等保建设服务资质
信息系统安全集成服务资质
信息安全服务风险评估资质
ISO9001质量管理体系认证
ISO20000技术服务管理体系认证
ISO27001信息安全管理体系认证
信息安全服务资质安全工程类一级
信息安全服务资质安全开发类一级
微信二维码
在线咨询
周一至周日 0:00-24:00
4000-680-620
亚游俱乐部 Copyright2016 Winicssec All Rights Reserved 版权所有 京ICP备14062383号-1
站长统计