更多
資訊活動
- 2017-09-11偉大的軟件開發(fā)者重要的技能
- 2017-09-11調查顯示:美國軟件開發(fā)商薪資呈現成長
- 2017-09-11移動互聯(lián)網時代真的結束了嗎?
- 2017-09-11精益創(chuàng)業(yè)是軟件公司開發(fā)產品的方法論
- 2017-09-11移動電商app的發(fā)展前景
- 2017-09-11用移動互聯(lián)網思維改造傳統(tǒng)教育培訓行業(yè)
安全集成
安全集成
——
從信息安全的角度出發(fā),在保證客戶信息系統(tǒng)健壯性和穩(wěn)定性的基礎上,針對性地提出安全集成解決方案,提升客戶信息系統(tǒng)的整體安全。
傳統(tǒng)的安全集成,只是在做設備排列組合的游戲,打補丁式的信息化建設思路,多廠商設備的堆積,不兼容的技術建構,導致后續(xù)的運營復雜度提升,相應的也提高了運維的成本,信息系統(tǒng)的穩(wěn)定性成了懸在我們頭頂的達摩克利斯之劍·····
我們沉浸安全行業(yè)多年,深知安全管理之痛;
我們從事安全集成,但我們不會為了賣設備,而增加用戶后續(xù)的管理之痛;
我們期望通過整體的安全服務解決方案,幫用戶排憂解難,成為用戶的好伙伴·····
一、網站安全服務
專門針對客戶web網站提供的包括風險分析、監(jiān)控、防護為一體的web網站整體安全服務類方案。
傳統(tǒng)的防御體系的局限性
設備多,成本高,故障多,性能低;傳統(tǒng)防火墻作為4層設備,應用層防護能力差;IPS/IDS誤報高,缺乏和防火墻的聯(lián)動;WEB防護基于特征庫。無法對Oday、Nday等。
新出現的攻擊進行防護
DDOS防護能力薄弱;僅對設備日志進行收集,缺乏日志分析,更無法跨設備實現日志的關聯(lián)分析;無法了解系統(tǒng)安全的狀況,決策分析缺乏數據支持;安全事件發(fā)生后,無法取證定貴、追溯源頭;不了解信息系統(tǒng)安全狀況。
千丈網站安全服務解決方案核心理念
基于Saas平臺實時的防護和監(jiān)控;保證客戶網站系統(tǒng)和業(yè)務的可用性和安全性。
網站安全服務八大功能
1. Web資產自學習:及時了解網絡中有哪些網站及業(yè)務系統(tǒng)在提供服務,自動識別疑似不合規(guī)Web系統(tǒng)。
2. 備案管理:提供公安備案管理以及組織自用備案管理系統(tǒng),明確各Web系統(tǒng)的所有人、用途等各類信息。并提供備案申請、備案審核等流程。
3. 安全評估:對新上線系統(tǒng)進行脆弱性檢測,檢測結果會在備案審核中自動體現。
4. 日常安全監(jiān)控:可自定義時間周期對網站進行安全檢測,檢測內容包括系統(tǒng)漏洞檢測、Web漏洞檢測、敏感詞檢測、暗鏈檢測、篡改監(jiān)控。
5. 指紋信息識別:自動識別所有Web系統(tǒng)的中間件信息、操作系統(tǒng)、網站編碼、物理地址等信息。幫助管理人員更全面掌握資產信息。
6. 流量分析:可統(tǒng)計所有Web站點的訪問量,幫助管理人員發(fā)現異常訪問情況、找出“僵尸網站”。
7. 異常阻斷:對發(fā)現的不合規(guī)或不安全的Web站點提供兩種阻斷方式,一是通過配置旁路阻斷模塊進行阻斷,二是通過與防護探針進行聯(lián)動禁止網站對外提供訪問。
8. 自動化攻擊防護:防撞庫、防爬蟲、防刷單、防應用層DDOS攻擊。
二、無線安全服務
專門為解決客戶無線網絡安全所提出的產品+服務整體解決方案。
千丈無線安全服務解決方案的核心目標
幫助客戶守住無限邊界。
無線安全服務解決方案的核心功能
1、提高無線基礎架構的健壯性;
2、發(fā)現私建、非法無線熱點;
3、監(jiān)測無線安全風險;
4、及時警告、定位,并阻斷。
無線安全服務解決方案
1、無線攻擊發(fā)現及防御;
2、私建、非法熱點防護;
3、無線安全產品部署;
4、無線安全架構、配置分析。
三、數據庫安全服務
專門為解決客戶數據安全所提出的產品+服務整體解決方案。
隨著信息化的不斷發(fā)展,信息安全面臨的威脅也在持續(xù)增加
1、100%的企業(yè)存在數據安全需求;
2、80%的企業(yè)存在數據泄露風險;
3、90%的企業(yè)對數據訪問行為未進行監(jiān)控審計;
4、99%的企業(yè)對黑客入侵行為無法做出及時響應。
傳統(tǒng)的安全防護手段無法對數據安全進行深度防護!
千丈數據庫安全服務解決方案通過服務+產品的整合,幫助客戶提升數據的安全性
數據庫系統(tǒng)安全:
應用層滲透測試:應用層面SQL注入檢測
數據庫IP訪問控制:防止未授權系統(tǒng)對數據訪問
數據庫訪問行為控制:合法用戶行為檢測
數據庫業(yè)務安全防護:自學習+未知威脅防護
數據庫使用安全:
數據脫敏:針對結構化數據
數據防泄密:針對非結構化數據
四、移動應用安全服務
從2013年開始移動應用爆發(fā)式的增長,銀行客戶端,移動端第三方支付,手機電商等。移動互聯(lián)網已經占據人們的生活,人們的消費逐漸向手機過渡。據統(tǒng)計,目前移動端流量已占到整個互聯(lián)網流量的70% 。隨著移動互聯(lián)網的發(fā)展和移動APP的廣泛應用,銀行、電信、稅務以及其他各個行業(yè)移動應用也暴露出越來越多的安全問題。
移動應用面臨的4大威脅
1.APK文件缺乏保護
2.未有效保護傳輸數據安全
3.脆弱的認證和授權
4.服務器端訪問控制不嚴
移動應用安全解決方案
安全評估服務:可對在線APP客戶端、服務端、通訊鏈路進行安全檢測
1.APP客戶端自身、組件、第三方SDK、數據安全、業(yè)務流程等進行自動化及人工檢測;
2.數據通信安全性檢測,包括:協(xié)議加密機制檢測、服務端證書校驗檢測、中間人攻擊防護分析;
3.服務器進行網絡滲透測試,并出具安全報告及安全修復建議;
安全加固服務:可提供標準型、增強型及定制型安全加固服務
1.提供云加固服務和離線加固服務,適用不同客戶需求
2.對加固后的應用技術指標進行兼容性、性能、功能等對比測試,保證可用性
渠道檢測服務:可對應用市場進行監(jiān)控,第一時間發(fā)現盜版軟件
1.動態(tài)監(jiān)控大約400個渠道
2.覆蓋WEB端和APP端渠道
3.盜版識別
4.檢索到疑似盜版手機短信通知
五、內網安全服務
內部合法用戶的非法行為,不合規(guī)的系統(tǒng)、終端,導致安全問題層出不窮,內網安全服務通過整體的內網安全服務解決方案,幫你解決內網安全問題。
內網安全面臨的挑戰(zhàn)
1、如何進行用戶接入控制,如何做到用戶認證方能入網,如何保證只有合法用戶才能允許接入;
2、如何解決終端安全和網絡安全,主機的操作系統(tǒng)補丁是否更新;主機是否安裝殺毒軟件,且病毒庫是否更新;如何保證主機上安裝的程序符合要求;網絡的ARP問題如何徹底解決;
3、如何實現信息系統(tǒng)權限的分配,用戶授權如何實現?用戶授權如何管理?
4、如何保證用戶上網行為的安全,對用戶上網行為進行監(jiān)控;進行有效的審計定位;發(fā)生問題后可以追查到人。
內網安全
1、安全準入,實現終端安全,防止非法用戶隨意接入內網;
2、安全域邊界隔離,實現分級分域管理,防止黑客操縱內網PC;
3、網絡授權,控制指定的人訪問指定的業(yè)務,防止非法竊取機密數據;
4、用戶行為審計,防止非法的網絡行為。
