返回至PCI服务页面


渗透测试

atsec所提供的服务
atsec提供各种网络脆弱性评估和渗透测试服务。凭借atsec在操作系统和网络应用评估领域的专业技能,能够提供针对客户的具体环境和要求而定制化且独一无二的渗透测试服务。我们与不同类型的机构保持密切合作,以帮助他们实时并且透彻地了解他们组织的安全状态。

我们理解您的网站服务器、数据库、网络以及大型主机是关键资源,需要非常谨慎地对待。项目流程要求我们的渗透测试人员与您的团队始终保持紧密合作,在渗透测试过程中降低任何对您的系统造成不利影响的风险。我们在工作时需要确保在正式执行测试工作前,明确任何测试的范围,确认扩展计划。

atsec在渗透测试方面具有丰富的国际经验,并维护自有品牌@PT LAB渗透测试实验室。我们的顾问熟悉复杂的渗透测试工具使用,也开发了自己的工具以维护完整的渗透测试方法论并为您进行深入的测试。我们使用黑盒(即仅提供给测试人员目标系统的IP地址或域名,没有其它的信息可用,比如账号或密码、操作系统或网络架构信息)、白盒(测试人员熟悉被测系统的架构, 包括网络拓扑、IP地址、甚至源码信息)或灰盒(两者的结合)方法。在操作系统(从z/OS到Linux等)、数据库、应用程序和网络设备方面我们均有深入的理解与积累。

我们能提供的渗透测试服务包括以下方面:

  • 系统级渗透测试
  • 网络级渗透测试
  • Web应用渗透测试
  • 服务应用渗透测试
  • 大型主机渗透测试
  • 社会工程学渗透测试
  • 产品级渗透测试
  • 移动应用渗透测试

atsec的渗透测试专家在金融、电信、大型设备厂商领域具有丰富的经验,他们将国外先进丰富的渗透测试经验融入到自身的渗透工作之中,为中国以及全球的客户提供一流的渗透测试服务。

atsec具有完备的渗透测试方法论,是全球为数不多的拥有针对大型主机渗透测试能力和经验的公司,诸多针对IBM的大型主机的渗透测试都是由atsec完成的。

atsec中国团队向PCI SSC提出了渗透测试工作组的提案并获得批准,且直接参与了PCI标准渗透测试指导的开发编写和审核工作,为产业的发展做出贡献。

此外,atsec的相关服务包括但不限于PCI QSA审核、脆弱性扫描、风险评估,防火墙和网络设备审计等。

我们为您所提供服务的重要性
常规的渗透测试提供一种方法来获知机构的安全现状,标识针对入侵检测与响应流程方面的不足。atsec渗透测试服务从攻击者的角度评估单独系统、大型复杂的网络或特定应用的安全。即使设计周详的系统也可能存在技术实现的诸多漏洞。通常这些漏洞仅能通过渗透测试被检测到,atsec顾问利用自己构建的知识库和丰富的经验能够识别错误的配置与编码上的缺陷。

渗透测试也可能是不同的标准和法规所强制或者推荐执行的,从而作为尽职调研或者合规的有效证据,比如支付卡产业数据安全标准PCI DSS要求11.3、ISO/IEC 27001、FISMA认证和认可、NIST SP 800-53A、O-TTPS等。

我们的顾问熟悉行业中被广泛接受的测试方法与渗透测试的最佳实践,比如:

  • OWASP(Open Web Application Security Project)Testing Guide -- 关注在web应用安全测试的测试指导
  • OSSTMM(Open Source Security Testing Methodology Manual) -- 开放源代码安全测试方法手册
  • Special Publication 800-115 Technical Guide to Information Security Testing and Assessment -- 美国NIST发布的针对信息安全测试和评估的技术指导
  • ISSAF(Information Systems Security Assessment Framework)-- 关注在信息系统安全评估的框架

atsec是一家成熟且专业的公司,我们非常清楚渗透测试可能为您带来的潜在风险,我们将与您紧密配合,遵从协商的渗透测试协议执行测试从而降低潜在风险。我们是独立的第三方服务提供商。

更多信息

了解更多服务信息,请联系我们:info_cn@atsec.com