安全测试服务
※目前提供四类安全测试服务
通用WEB系统与网站安全测试服务 下载<翰海源通用WEB系统与网站安全测试服务白皮书>
通用二进制软件安全测试服务 下载<翰海源通用二进制软件安全测试服务技术白皮书>
网银客户端安全测试服务 下载<翰海源网银客户端安全测试服务白皮书>
网银服务器端安全测试服务
※翰海源安全测试
我们的安全测试服务不同于渗透测试服务,我们遵循的原则是:尽量完备地帮助客户找到潜在的安全问题,并指导客户从代码级上实施安全整改,从而真正提升系统本身的安全性。主要特色有:
1. 完备的方法论:如何实施完备的安全测试,之前没有人系统提出过相关的方法论, 我公司通过专业安全测试研究专家多年的经验和分析总结出了一套实施完备的安全测试的方法论并首先提出,在今年的多个国际安全会议上公布,获得了业界的广泛认同和兴趣。
2. 专业的安全测试流程:安全测试是一种服务,提供专业的安全测试服务流程确保项目的质量是必须的,我们提供的安全测试流程,包括系统的安全需求分析,系统威胁建模与分析,系统安全测试方案设计,系统安全测试预备,系统安全测试实施,系统安全问题与隐患分析,系统安全问题与隐患整改指导,安全问题与隐患修复回归测试,系统安全问题与隐患整体评估与建议,建立安全质量基线。通过专业的安全测试流程,确保安全测试过程的执行和指导客户整改提升系统安全的有效性。
3. 独特的二进制,中间件,硬件设备安全测试支持:目前国内大多数厂商只能针对WEB的系统实施渗透测试,但其实客户的业务系统组合是复杂的,大量的C/S架构的软件,中间件甚至一些自己开发的硬件产品,都成为渗透测试当中的盲点,而这些测试,对技术能力的要求非常高端。而我们本身拥有其核心技术能力和产品,可以有效对这些区域范围实施安全测试。
4. SDL支持:我们的测试流程本身就是依据SDL的,测试过程中采用威胁建模,测试完成后会给予客户整体的安全开发过程的改进建议,客户和我们合作的过程中,可以学习到SDL的相关知识和方法,工具的使用,可以帮助客户学习和掌握SDL,推进客户的安全开发过程的实施。
5. 安全能力的教育与培训:提升开发团队自身对安全漏洞的认识和意识是系统安全开发的基础,我们会在安全测试过程中,组织对开发团队的安全能力的教育与培训,就具体发现的重大安全隐患,演示给开发团队看导致的危害,解析问题机理,帮助他们认识到安全问题,同时给予安全开发指导。
6. 整改指导:我们提交的安全隐患/漏洞分析报告都会详细分析漏洞的机理,导致的危害,建议修改的方法,帮助开发团队实施整改,必要时也可以参与开发团队的整改过程,具体指导整改。
7. 回归测试:整改后我们提供回归测试,确保安全隐患修复正确并不引入其他安全问题。
8. 安全质量基线:在保证基础安全的同时为减少客户持续实施安全测试的成本和提高效率和时间,我们在初次测试后提供安全质量基线,可在未来持续的安全测试中(如新版本),重点只进行基线测试和新增功能。
可参考:安全测试与渗透测试区别
哪些产品需要做安全测试:
- 用户量大的产品,用户量大意味着影响大
- 对数据安全敏感的产品,尤其是银行、金融、证券等行业的产品
- 攻击界面多,且攻击界面的数据复杂
举例:
- 解析文件类:媒体播放器类软件 ,例如microsoft media player ,mplayer,国内外众多的影音播放软件。
- 解析文件类:其他,例如adobe reader,adobe shockware player等
- 解析网络数据类:服务器软件,例如oracle db server, serv-u ftp server.
- 解析网络数据类:客户端软件,例如ftp
- IM软件类,例如msn等
- ActiveX插件类
- WEB应用系统类,例如phpbb,CRM , ERP等系统
- 浏览器软件类,例如IE,firefox
- p2p软件类
- 硬件产品类,例如路由器,防火墙等各种设备
- 其他等等
※ 哪些客户需要专业的安全测试?
银行/金融/证券类客户
第三方支付类客户
移动/电信类客户
电力系统类客户
互联网企业类客户
软件企业类客户
安全产品类客户
游戏产业类客户
数据重要类客户
其他等
※翰海源安全测试服务实施方法图
※翰海源安全测试服务实施案例图
如需获得进一步信息或购买我们的服务,请联系我们
相关页面
