安全风险管控 – 豌豆信息

渗透测试服务

针对渗透测试服务范围，结合等级保护合规性测评等各项检查工作的成果，采用外部渗透方式对应用系统和网络安全基础设施进行非破坏性质的模拟入侵者攻击的测试，检测外部威胁源和路径，以便掌握系统的安全状况，寻找系统存在的漏洞和风险，并出具《渗透测试报告》。

周期开展全面的漏洞扫描服务，使用漏洞扫描系统并结合人工方式，进行安全漏洞扫描，扫描范围包括核心业务系统的数据库、操作系统、中间件、物联网设备等。

识别出能被入侵者用来非法进入网络或者非法获取信息资产的漏洞，提醒安全管理员及时完善安全策略，及时发现最新的安全漏洞及安全风险，并出具详细的漏洞扫描报告及修复建议。

紧跟监管政策要求，基于等保测评三级要求、CIS等基线标准进行安全基线核查，基于SecMind自研的基线核查工具进行快速核查，支持主流操作系统、中间件、数据库等的配置策略核查，满足企业监管、合规和最基础的安全配置要求。

风险评估的范围涉及到网络信息系统的各个方面，包括物理环境、网络结构、应用系统、数据库、服务器及网络安全设备等保，评估范围包含安全性、安全产品和技术的应用状况以及管理体系是否完善等等;

同时对管理风险、综合安全风险以及应用系统安全性进行评估，风险评估采用专业工具扫描、人工评估、渗透测试三种相结合的方式，审核应用所处环境下存在哪些威胁，根据应用系统所存在的威胁，来确定需要达到哪些系统安全目标才能保证应用系统能够抵挡预期的安全威胁；

安全风险评估的服务内容包括:资产识别、威胁识别、脆弱性识别、已有安全措施识别、风险分析和识别、风险处置建议。

通过逐行审查客户软件系统的源代码，精准发现潜在的安全漏洞和代码缺陷；这项服务特别适用于开发软件系统的企事业单位，通过我们的审计，客户能够显著提升软件的安全性，有效减少因软件漏洞而引发的安全事件，从而有力保护客户的数据和业务安全，同时提高软件的可靠性和稳定性。

移动应用安全评估是针对智能手机、平板等移动设备上的应用程序（iOS/Android），通过技术检测、人工分析和攻防模拟，识别应用自身、数据传输、后端接口及部署环境中的安全风险，帮助企业构建移动应用安全防护体系的专业服务。

针对新信息系统进行上线和重要调整前开展安全评估服务，包括物理环境、网络设备、操作系统、中间件、数据库、安全配置合规性检查等。根据安全性检查的结果，出具安全评估报告并指导和协助应用系统厂商进行风险控制、加固和修复。