信息安全风险评估 渗透测试 漏洞挖掘 工控信息安全实验室建设

联系我们 >

信息安全风险评估

信息安全风险评估是通过针对系统的资产识别、威胁和脆弱性等分析来评估系统和网络遭到攻击或破坏对整个系统造成的损失期望值,对系统进行风险分析和评估的目的就是:了解系统目前与未来的风险所在,评估这些风险可能带来的安全威胁与影响程度,为安全策略的确定、信息系统的建立及安全运行提供依据。

主要提供的信息安全风险评估包括工业控制系统安全评估、电信系统安全评估和IT系统安全评估、IEC62443、GB/T 30976、等级保护、两部委考核、ISO27001等标准符合性评估以及安全支撑服务。

渗透测试

渗透测试服务是指主要依据已经发现的安全漏洞,模拟黑客的攻击方法对系统和网络进行非破坏性质的攻击性测试,从而从深层次发现应用系统中存在的安全问题。这个过程包括对系统的任何弱点、技术缺陷或漏洞的主动分析,这个分析是从一个攻击者可能存在的位置来进行的,并且从这个位置有条件主动利用安全漏洞。换句话来说,渗透测试是指渗透人员在不同的位置(比如从内网、从外网等位置)利用各种手段对某个特定网络进行测试,以期发现和挖掘系统中存在的漏洞,然后输出渗透测试报告,并提交给网络所有者。网络所有者根据渗透人员提供的渗透测试报告,可以清晰知晓系统中存在的安全隐患和问题。

主要提供的渗透测试服务包括工业控制系统渗透测试、电信系统渗透测试、应用系统渗透测试和操作系统渗透测试等。

漏洞挖掘

漏洞是指系统中存在的一些功能性或安全性的逻辑缺陷,包括一切导致威胁、损坏计算机系统安全性的所有因素,是计算机系统在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷和不足。

漏洞挖掘主要对目标系统的未知漏洞进行分析和检测,综合使用多种技术和工具,尽可能地找出软件中的潜在漏洞。由于产品设计、实现过程和部署过程中的安全考虑不足,会产生一些未知的漏洞,一旦某些较严重的漏洞被攻击者发现,就有可能被其利用,在未授权的情况下访问或破坏信息系统。先于攻击者发现并及时修补漏洞可有效减少来自网络的威胁。因此主动发掘并分析系统安全漏洞,对网络攻防战具有重要的意义。漏洞挖掘是就漏洞发现与利用的重要手段。

根据检测对象的不同,可以使用自主研发的协议漏洞挖掘工具针对IT设备、工控设备和电信设备等进行业务协议层的脆弱性探测与分析,也可以使用灰盒代码审计对目标的部署包进行代码审计,发现可能存在的代码实现方面的漏洞,比如SQL注入、跨站脚本等漏洞。

工控信息安全实验室建设

随着信息化和工业化的两化整合的深入发展,以及工业4.0和“中国制造2025”的加速推进,以往相对封闭的工业控制系统也逐渐采用通用的通信协议、硬软件系统,部分工业控制系统也能够以某些方式连接到互联网等公共网络,越来越多的工业控制系统暴露于互联网上。传统信息网络所面临的病毒、木马、入侵攻击、拒绝服务等安全威胁也正在向工业控制系统扩散。

工业控制系统信息安全实验室建设可以解决不同行业特有的工控领域信息安全相关问题进行规划设计和实施,针对不同的工控应用场景部署工业控制系统安全仿真验证设备,为工业控制系统安全防护体系建设提供安全实验环境。

针对不同行业的特殊应用需求,提供工控信息安全实验室的规划、设计、实施,包括石油石化、水处理、交通、制造业等领域。