挑選重要網(wǎng)站或信息系統(tǒng)進行滲透測試，模擬黑客的攻擊方法對系統(tǒng)和網(wǎng)絡進行非破壞性質(zhì)的攻擊性測試，在保證整個滲透測試過程都在可以控制和調(diào)整的范圍之內(nèi)盡可能的獲取目標信息系統(tǒng)的管理權(quán)限以及敏感信息，并將入侵的過程和細節(jié)產(chǎn)生報告給用戶，由此證實用戶系統(tǒng)所存在的安全威脅和風險，并能及時提醒安全管理員完善安全策略。

涵蓋現(xiàn)有的攻擊手段和最前沿的安全攻擊方法，滲透測試不得影響系統(tǒng)的正常運作和業(yè)務應用。

內(nèi)容包括：信息收集、權(quán)限提升、溢出測試、注入攻擊、跨站攻擊、后門程序檢查、登錄體系測試、權(quán)限體系測試、命令執(zhí)行攻擊、反序列化攻擊、文件包含漏洞、文件上傳漏洞、路徑遍歷與文件讀取等。

對網(wǎng)站、信息系統(tǒng)進行滲透測試，可帶來如下收益：

1.評估網(wǎng)站中存在的安全隱患、安全隱患；

2.發(fā)現(xiàn)網(wǎng)站存在的深層次安全隱患；

3.驗證網(wǎng)站現(xiàn)有安全措施的防護強度；

4.評估網(wǎng)站被入侵的可能性，并在入侵者發(fā)起攻擊前封堵可能被利用的攻擊途徑。

風險（安全）評估是對信息系統(tǒng)和IT基礎(chǔ)設(shè)施進行安全風險評估，包括明確風險評估范圍、識別重要資產(chǎn)、識別脆弱性和威脅、現(xiàn)有安全控制措施、應用系統(tǒng)漏洞掃描、分析和計算風險狀況、制定不可接受風險處置方案和風險評估報告和總結(jié)。協(xié)助完成對風評過程中發(fā)現(xiàn)的問題進行整改，整改完成后測試是否整改完畢。

風險評估，可帶來如下收益：

風險評估服務通過信息資產(chǎn)的識別與賦值、威脅評估、弱點評估、現(xiàn)有安全措施評估、綜合風險分析等若干環(huán)節(jié)，對信息系統(tǒng)的安全風險進行風險分析，清晰地展現(xiàn)信息系統(tǒng)當前的安全現(xiàn)狀，提供公正、客觀、翔實的數(shù)據(jù)作為決策參考，為組織下一步控制和降低安全風險、 改善安全狀況、實施信息系統(tǒng)的風險管理提供依據(jù)。

每季度對信息系統(tǒng)進行一次安全檢測，以評估信息系統(tǒng)在運行過程中是否出現(xiàn)新的安全隱患和漏洞，包括主機層、應用層、數(shù)據(jù)庫、基線配置、安全日志。

安全巡檢服務，可帶來如下收益：

1.有效發(fā)現(xiàn)網(wǎng)站中存在的安全漏洞、安全配置隱患、安全風險，為安全加固提供事實依據(jù)。

2.周期性檢查，促進ISMS信息安全管理體系和PDCA在實際工作中的執(zhí)行，確保設(shè)備和系統(tǒng)的持續(xù)、安全、穩(wěn)定運行。

在能百分百規(guī)避風險的情況下，針對系統(tǒng)滲透測試，漏洞掃描，風險評估等項目的實施結(jié)果，提供詳細可行的漏洞修補及系統(tǒng)加固 方案，協(xié)調(diào)系統(tǒng)運維人員進行安全加固，跟進安全加固進度，確保信息系統(tǒng)的安全。

系統(tǒng)安全加固服務，可帶來如下收益：

有效修復、減少系統(tǒng)中存在的高、中危漏洞，降低安全漏洞和隱患帶來的安全風險。有效提升系統(tǒng)自身的安全防護能力。最大程度保障系統(tǒng)的持續(xù)、安全、穩(wěn)定運行。

根據(jù)用戶實際情況，提供信息安全應急響應服務，包括應急預案、事件處置及問題修復、報告輸出。提供7*24小時重大安全事件的應急響應工作，應急響應主要針對突發(fā)的網(wǎng)站安全故障、網(wǎng)絡安全事件、應用系統(tǒng)安全事件、主機安全事件、黑客攻擊事件等進行診斷，分析并協(xié)助解決。

應急響應服務，可帶來如下收益：

1.還原攻擊事件，收集由于安全故障造成的入侵記錄、破壞情況、直接損失情況等證據(jù)。

2.提升安全事件處理效率，及時解決安全故障，恢復系統(tǒng)正常運 行，盡可能挽回或減少安全事件帶來的損失。

3.對安全故障發(fā)生的系統(tǒng)作安全檢查和清理，保證信息系統(tǒng)安全。

4.彌補安全故障發(fā)生系統(tǒng)上的安全漏洞，加強安全保護措施，防止類似事件的再次發(fā)生。評估網(wǎng)站被入侵的可能性，并在入侵者發(fā)起攻擊前封堵可能被利用的攻擊途徑。

安全培訓分為全員信息安全意識培訓及安全技術(shù)培訓。

安全培訓服務，可帶來如下收益：

1.對單位員工進行必要的、特定的安全教育培訓，是讓 員工了解和掌握安全規(guī)章制度，提高員工安全技術(shù)素 質(zhì)，增強員工安全意識的主要途徑，是保證業(yè)務正常 運行，做好信息安全工作的基礎(chǔ)。

2.通過安全技術(shù)培訓，使得運維人員了解常見的攻擊和防御手段，能夠?qū)ο到y(tǒng)和網(wǎng)絡設(shè)備進行基本的安全配置，避免由安全配置等原因而導致的安全事件，并且在出現(xiàn)安全事件后，能夠?qū)Π踩录M行及時、有效地判斷和處理，盡可能降低安全事件的影響。

根據(jù)我國的信息化發(fā)展現(xiàn)狀和我國特有的行政管理模式，提出了安全等級保護的整體框架和設(shè)計方案，為指導信息系統(tǒng)的建設(shè)和改進，從安全等級保護技術(shù)體系和安全等級保護管理體系兩個方面分別給出了等級化的解決建議。并提供如下咨詢服務：等級保護定級備案、等級保護差距測評、等級保護安全整改與加固、等級保護測評輔助、等級保護管理體系建設(shè)。

等級保護咨詢服務，可帶來如下收益：

1.發(fā)現(xiàn)被測系統(tǒng)與等保當前級別的差距，可針對性做整改。

2.提高工作效率，避免重復進行整改建設(shè)，提高測評通過率。

重要時期安全保障，是指在重大會議、節(jié)假日等特殊時期內(nèi)，我司派出安全攻防經(jīng)驗豐富的安全專家，進駐客戶單位，對目標系統(tǒng)進行現(xiàn)場或遠程安全值守和保障，對業(yè)務系統(tǒng)的安全狀況進行實時監(jiān)控和日志分析。

在現(xiàn)場安全保障期間，當目標遭受黑客入侵攻擊時，現(xiàn)場值守人員立即對入侵事件進行分析、檢測、抑制、處理，查找入侵來源并恢復系統(tǒng)正常運行，完成后給出應急響應報告，報告中將還原入侵過程，同時給出對應的解決建議。

重大活動安全保障服務，可帶來如下收益：

對信息系統(tǒng)、網(wǎng)站進行7*24小時監(jiān)控，包括運行狀態(tài)、漏 洞情況等突發(fā)安全事件時，及時進行應急處置，消除或降低 影響。