先于黑(hēi)客發現系統安全隐患,提前部署好安全防禦措施,減少不必要的(de)經濟損失。
一、先于黑(hēi)客發現系統的(de)安全隐患,提前部署好安全防禦措施,保證系統的(de)每個(gè)環節在未知環境下(xià)都能經得(de)起黑(hēi)客挑戰,進一步鞏固客戶對(duì)企業及平台的(de)信賴;
二、有助于進一步健全安全建設體系,提升了(le)網絡安全綜合防護能力;
三、滿足安全合規的(de)要求。
根據客戶工作要求,組建代碼審計工作小組,确定項目負責人(rén);
項目負責人(rén)負責與客戶進一步對(duì)接,簽署代碼審計授權協議(yì)書(shū),确認代碼審計數量、環境、時(shí)間、地點等因素;
根據項目實際情況,召開項目啓動會議(yì),部署審計實施方式、人(rén)員(yuán)安排等工作,确認代碼審計人(rén)員(yuán)在代碼審計過程中需涉及到的(de)注意事項以及相關實施工具的(de)準備。
代碼審計實施階段可(kě)根據客戶需求,分(fēn)爲遠(yuǎn)程實施和(hé)現場(chǎng)實施兩種方式:
進行遠(yuǎn)程代碼審計時(shí),須向客戶說明(míng)爲保障代碼安全性,應對(duì)代碼文件包采用(yòng)對(duì)稱加密後進行傳輸。
在代碼審計過程中,代碼審計人(rén)員(yuán)應時(shí)刻開啓代碼審計設備的(de)錄屏操作,直到審計完成後并删除清空被審計的(de)源代碼後,方可(kě)關閉錄屏。
進行現場(chǎng)代碼審計時(shí),對(duì)于可(kě)能會存在需要在客戶設備上進行代碼審計情況,應及時(shí)與客戶溝通(tōng),說明(míng)需要在客戶電腦(nǎo)上所需要安裝程序的(de)必要性,并在事後提交的(de)審計報告中清晰說明(míng)程序安裝的(de)具體信息,如安裝位置、數據存在位置等。
在代碼審計過程中,代碼審計人(rén)員(yuán)應時(shí)刻開啓代碼審計設備的(de)錄屏操作,直到審計完成後并删除清空被審計的(de)源代碼後,方可(kě)關閉錄屏。
代碼審計服務完成後,由代碼審計人(rén)員(yuán)完成《代碼審計報告》的(de)編制,在報告編制過程中,不得(de)以任何理(lǐ)由讓任何第三方或無關人(rén)員(yuán)協助來(lái)完成報告的(de)編寫;
項目負責人(rén)召開項目總結會議(yì),對(duì)《代碼審計報告》進行審核,針對(duì)審計過程中發現的(de)漏洞等安全問題,制定科學的(de)整改建議(yì),并于第一時(shí)間反饋至客戶;
将項目總結會相關會議(yì)記錄、審計報告、修複建議(yì)等文檔按照(zhào)上海蘇辛信息科技有限公司網絡安全部《文件存儲标準》進行統一加密存檔。
Sec-scan安全團隊是上海蘇辛信息科技有限公司核心技術團隊,主要從事網絡安全産品研發、運維服務、技術培訓、應急響應以及WEB、APP、工控系統、應用(yòng)軟件系統等漏洞挖掘服務。團隊成員(yuán)擁有資深的(de)業務能力、豐富的(de)理(lǐ)論知識儲備和(hé)一線實戰經驗,被重慶市網安總隊列爲技術支撐團隊,曾多(duō)次向CNVD、CVE提交百萬級、千萬級的(de)通(tōng)用(yòng)工控系統漏洞、WEB系統漏洞,并多(duō)次參與互聯網攻防賽事,取得(de)了(le)優異的(de)成績。
專注于漏洞分(fēn)析與研究,主要擅長(cháng)web滲透、app滲透以及工控、物(wù)聯網等滲透測試,同時(shí)擅長(cháng)代碼審計、逆向工程、應急響應、網絡事件取證、漏洞修複、漏洞安全研究、技術培訓等,是重慶地區(qū)唯一每周持續向國家信息安全漏洞庫(CNVD)提交漏洞的(de)團隊,在整個(gè)國家信息安全漏洞共享平台(CNVD)7000多(duō)個(gè)隊伍中排名50位,是重慶地區(qū)排名最高(gāo)的(de)單位。多(duō)次獲得(de)CNVD以及上海同濟大(dà)學、上海外國語大(dà)學、上海交通(tōng)大(dà)學、天津南(nán)開大(dà)學等高(gāo)校榮譽表彰。
主要提供網絡安全應急響應、安全加固、安全意識培訓與安全技術培訓、應急演練、安全巡檢、專項安全檢查、風險評估、安全建設、信息化(huà)管理(lǐ)制度建設、等保2.0整改、網站監測、安全監測預警、通(tōng)報等運維服務。成員(yuán)大(dà)多(duō)都持有CISP、CISAW、PMP等行業證書(shū)。
