安全服务介绍

服务内容

服务分类

服务描述

服务范围

服务的交付件

应用系统测试

基础业务逻辑测试

阿里云以攻击者（黑客）思维，对业务系统进行全面深入的安全测试，帮助客户排查正常业务流程中隐藏的安全缺陷和漏洞，并提出修复建议，助力客户先于攻击者（黑客）发现安全风险，排查安全隐患。

内网和外网资产

• 《漏洞测试报告》

• 《修复意见以及复测报告》

OWASP TOP 10漏洞测试

第三方组件测试

权限认证测试

安全配置测试

业务流程测试

移动app测试

客户端测试：

• 安装包测试

• 数据传输安全测试

• 组件安全测试

• 安全增强项测试

• 应用更新安全测试

对于移动app的应用，客户需要同时考虑客户端和服务端的安全。阿里云全量覆盖app的整个安全生命周期，对安全加固和数据合规等做出深度测试。

服务端测试：

• 账号体系安全测试

• 基础业务安全测试

• 代码保护测试

• 动态保护对抗测试

服务内容

服务分类

服务描述

服务范围

服务的交付件

网络安全现状调研评估服务

资产梳理

• 阿里云针对客户暴露在内网和外网的资产进行全面的清查梳理，并对于检测到的所有暴露在外网的端口及服务进行排查。

• 阿里云梳理客户的网站、系统、平台，明确网站与系统的主管单位和具体责任人，形成详细清单。

外网资产和内网资产

• 《互联网开放资产清单》

• 《应用系统资产清单》

资产风险排查

阿里云通过专用工具和人工结合的方式，对客户的内网资产开展全面清查，根据客户的现有资产表全面开展漏洞扫描、弱口令检查、入侵痕迹排查、开放端口核查、无用系统及账号清理等工作。

内网资产

• 《漏洞扫描报告》

• 《弱口令扫描报告》

• 《主机安全检查报告》

协助资产风险修复

阿里云协助客户对内网资产排查的结果进行梳理，对漏洞修复的优先级给出专业意见，并提供漏洞的修复指导建议。

《漏洞修复建议》

渗透测试

阿里云借鉴黑客攻击的手法和技巧，在可控的范围内通过多方式、多角度对客户外网资产进行渗透，最大限度的发现漏洞，以达到网络防御能够按照预订计划正常运行的目的。

外网资产

《XX系统渗透测试评估报告》

网络架构安全分析

阿里云分析客户当前网络架构中的安全能力现状，以及关键业务流的流向等，便于后续进行安全能力缺陷补充及监控分析处置。

无

《网络架构安全分析报告》

安全意识评估

阿里云为了检测客户的安全意识培训效果，加强安全意识认同感，有必要开展网络安全意识评估。阿里云采取邮件钓鱼、电信诈骗、身份仿冒、办公区走访等模拟社会工程学方式进行安全意识评估。

无

《安全意识评估报告》

红蓝对抗实战演练服务

红蓝对抗演练组织

1. 阿里云协助客户统筹红蓝对抗实战攻防演练的方案、计划及各项工作。

2. 在演练结束后，阿里云梳理演练过程中蓝军的攻击思路、成果路径、攻击手法，红军协防过程中监测到的攻击事件、攻击特征、木马、事件处置措施；根据红蓝对抗成果总结实战经验，分析防护能力、安全制度的缺陷，商讨可落地的解决方案；协助客户对发现的问题进行整改和加固。

无

• 《红蓝对抗演练复盘报告》

• 《红蓝对抗演练阶段性报告》

• 《全网全端口资产》

蓝军（攻击队）服务

由阿里云安全攻击队按照攻防演练标准，开展网络入侵，寻找攻击路径，以获取目标系统的关键信息（包括但不限于资产信息、重要业务数据、代码或管理员账号等）为目的，发现客户的安全漏洞和隐患，摸索客户的安全防护能力；演练结束后，应做好记录，整理成果，并清理攻击痕迹。

无

《红蓝对抗-蓝军攻击报告》

红军（协防）服务

根据演练的资产范围，阿里云派驻1名工程师协助客户做好攻击监测和应急处置工作，实时对攻击行为进行监测，挖掘入侵事件，研判并处置事件，保障业务系统的安全平稳运行；验证各项安全协同机制和应急处置的机制能否正常运转，协助客户进行分析优化。

无

《红蓝对抗-协防工作日报》