本文档介绍了漏洞托管、渗透测试、攻防演练的服务内容以及服务等级协议(SLA)。

漏洞托管

阿里云提供的漏洞托管服务内容及服务等级协议(SLA)如下:
服务内容 服务分类 服务描述 服务范围 服务方式 服务的交付件
安全测试 人工渗透
  • 阿里云的安全测试主要针对外网资产的业务迭代和新的风险面进行测试,通常每月进行一次。
  • 阿里云的安全测试主要以人工方式进行测试,并发现安全漏洞。安全测试覆盖的范围包括OWASP TOP 10,以及一些常见的安全风险,如业务逻辑、服务配置、敏感信息泄露、权限控制不当、请求伪造、第三方组件漏洞、端口开放、网络边界、弱密码、数据泄露、接口被恶意调用、命令执行等。
外网资产
  • 阿里云提供7*24小时的电话响应,解答您在使用中的问题。
  • 阿里云提供5*8小时的在线安全咨询(钉钉、邮件、工单),解答您在使用中的问题。
说明 高危漏洞阿里云确认后将在1小时内同步;漏洞复测将在24小时内完成;风险总计报告每周进行汇总。
  • 《漏洞详情报告》
  • 《漏洞修复建议》
  • 《安全风险周报》
资产众测
自动化扫描
安全巡检 自动化扫描 阿里云对客户服务范围内的公网IP、对公网开放的主机、WEB应用进行自动化安全巡检,通常每月进行两次。 外网资产 阿里云的服务专家对巡检结果进行人工分析,并提供修复指导。
安全通告 阿里云为客户提供与客户资产相关的安全风险预警信息,包括最新的安全漏洞、安全威胁(0 day、系统漏洞)的详细风险描述、检测方案、安全解决建议。 通过钉钉或邮件方式通知客户。 《安全漏洞通告》
漏洞托管的服务流程图如下:漏洞服务流程图

渗透测试

阿里云提供的渗透测试服务内容及服务等级协议(SLA)如下:
服务内容 服务分类 服务描述 服务范围 服务的交付件
应用系统测试 基础业务逻辑测试 阿里云以攻击者(黑客)思维,对业务系统进行全面深入的安全测试,帮助客户排查正常业务流程中隐藏的安全缺陷和漏洞,并提出修复建议,助力客户先于攻击者(黑客)发现安全风险,排查安全隐患。 内网和外网资产
  • 《漏洞测试报告》
  • 《修复意见以及复测报告》
OWASP TOP 10漏洞测试
服务器压力测试
第三方组件测试
权限认证测试
安全配置测试
业务流程测试
移动app测试 客户端测试:
  • 安装包测试
  • 数据传输安全测试
  • 组件安全测试
  • 安全增强项测试
  • 应用更新安全测试
对于移动app的应用,客户需要同时考虑客户端和服务端的安全。阿里云全量覆盖app的整个安全生命周期,对安全加固和数据合规等做出深度测试。
服务端测试:
  • 账号体系安全测试
  • 基础业务安全测试
  • 代码保护测试
  • 动态保护对抗测试
渗透测试的服务流程图如下:渗透测试的服务流程图

攻防演练

阿里云提供的攻防演练服务内容及服务等级协议(SLA)如下:
服务内容 服务分类 服务描述 服务范围 服务的交付件
网络安全现状调研评估服务 资产梳理
  • 阿里云针对客户暴露在内网和外网的资产进行全面的清查梳理,并对于检测到的所有暴露在外网的端口及服务进行排查。
  • 阿里云梳理客户的网站、系统、平台,明确网站与系统的主管单位和具体责任人,形成详细清单。
外网资产和内网资产
  • 《互联网开放资产清单》
  • 《应用系统资产清单》
资产风险排查 阿里云通过专用工具和人工结合的方式,对客户的内网资产开展全面清查,根据客户的现有资产表全面开展漏洞扫描、弱口令检查、入侵痕迹排查、开放端口核查、无用系统及账号清理等工作。 内网资产
  • 《漏洞扫描报告》
  • 《弱口令扫描报告》
  • 《主机安全检查报告》
协助资产风险修复 阿里云协助客户对内网资产排查的结果进行梳理,对漏洞修复的优先级给出专业意见,并提供漏洞的修复指导建议。 《漏洞修复建议》
渗透测试 阿里云借鉴黑客攻击的手法和技巧,在可控的范围内通过多方式、多角度进对客户外网资产行渗透,最大限度的发现漏洞,以达到网络防御能够按照预订计划正常运行的目的。 外网资产 《XX系统渗透测试评估报告》
网络架构安全分析 阿里云分析客户当前网络架构中的安全能力现状,以及关键业务流的流向等,便于后续进行安全能力缺陷补充及监控分析处置。 《网络架构安全分析报告》
安全意识评估 阿里云为了检测客户的安全意识培训效果,加强安全意识认同感,有必要开展网络安全意识评估。阿里云采取邮件钓鱼、电信诈骗、身份仿冒、办公区走访等模拟社会工程学方式进行安全意识评估。 《安全意识评估报告》
红蓝对抗实战演练服务 红蓝对抗演练组织
  1. 阿里云协助客户统筹红蓝对抗实战攻防演练的方案、计划及各项工作。
  2. 在演练结束后阿里云梳理演练过程中蓝军的攻击思路、成果路径、攻击手法,红军协防过程中监测到的攻击事件、攻击特征、木马、事件处置措施;根据红蓝对抗成果总结实战经验,分析防护能力、安全制度的缺陷,商讨可落地的解决方案;协助客户对发现的问题进行整改和加固。
  • 《红蓝对抗演练复盘报告》
  • 《红蓝对抗演练阶段性报告》
  • 《全网全端口资产》
蓝军(攻击队)服务 由阿里云专业的护网攻击队按照护网演练标准,开展网络入侵,寻找攻击路径,以获取目标系统的关键信息(包括但不限于资产信息、重要业务数据、代码或管理员账号等)为目的,发现客户的安全漏洞和隐患,摸索客户的安全防护能力;演练结束后,应做好记录,整理成果,并清理攻击痕迹。 《红蓝对抗-蓝军攻击报告》
红军(协防)服务 根据演练的资产范围,阿里云派驻1名工程师协助客户做好攻击监测和应急处置工作,实时对攻击行为进行监测,挖掘入侵事件,研判并处置事件,保障业务系统的安全平稳运行;验证护网保障各项安全协同机制和应急处置的机制能否正常运转,协助客户进行分析优化。 《红蓝对抗-协防工作日报》
攻防演练的服务流程图如下:攻防演练服务流程图

咨询服务

如您需要了解更详细的服务细节,请单击渗透测试服务咨询 ,阿里云将会在1~2个工作日内给您答复。