本文档介绍了渗透测试、攻防演练的服务内容以及服务等级协议(SLA)。

渗透测试

阿里云提供的渗透测试服务内容及服务等级协议(SLA)如下:
服务内容 服务分类 服务描述 服务范围 服务的交付件
应用系统测试 基础业务逻辑测试 阿里云以攻击者(黑客)思维,对业务系统进行全面深入的安全测试,帮助客户排查正常业务流程中隐藏的安全缺陷和漏洞,并提出修复建议,助力客户先于攻击者(黑客)发现安全风险,排查安全隐患。 内网和外网资产
  • 《漏洞测试报告》
  • 《修复意见以及复测报告》
OWASP TOP 10漏洞测试
服务器压力测试
第三方组件测试
权限认证测试
安全配置测试
业务流程测试
移动app测试 客户端测试:
  • 安装包测试
  • 数据传输安全测试
  • 组件安全测试
  • 安全增强项测试
  • 应用更新安全测试
对于移动app的应用,客户需要同时考虑客户端和服务端的安全。阿里云全量覆盖app的整个安全生命周期,对安全加固和数据合规等做出深度测试。
服务端测试:
  • 账号体系安全测试
  • 基础业务安全测试
  • 代码保护测试
  • 动态保护对抗测试
渗透测试的服务流程图如下:渗透测试的服务流程图

攻防演练

阿里云提供的攻防演练服务内容及服务等级协议(SLA)如下:
服务内容 服务分类 服务描述 服务范围 服务的交付件
网络安全现状调研评估服务 资产梳理
  • 阿里云针对客户暴露在内网和外网的资产进行全面的清查梳理,并对于检测到的所有暴露在外网的端口及服务进行排查。
  • 阿里云梳理客户的网站、系统、平台,明确网站与系统的主管单位和具体责任人,形成详细清单。
外网资产和内网资产
  • 《互联网开放资产清单》
  • 《应用系统资产清单》
资产风险排查 阿里云通过专用工具和人工结合的方式,对客户的内网资产开展全面清查,根据客户的现有资产表全面开展漏洞扫描、弱口令检查、入侵痕迹排查、开放端口核查、无用系统及账号清理等工作。 内网资产
  • 《漏洞扫描报告》
  • 《弱口令扫描报告》
  • 《主机安全检查报告》
协助资产风险修复 阿里云协助客户对内网资产排查的结果进行梳理,对漏洞修复的优先级给出专业意见,并提供漏洞的修复指导建议。 《漏洞修复建议》
渗透测试 阿里云借鉴黑客攻击的手法和技巧,在可控的范围内通过多方式、多角度进对客户外网资产行渗透,最大限度的发现漏洞,以达到网络防御能够按照预订计划正常运行的目的。 外网资产 《XX系统渗透测试评估报告》
网络架构安全分析 阿里云分析客户当前网络架构中的安全能力现状,以及关键业务流的流向等,便于后续进行安全能力缺陷补充及监控分析处置。 《网络架构安全分析报告》
安全意识评估 阿里云为了检测客户的安全意识培训效果,加强安全意识认同感,有必要开展网络安全意识评估。阿里云采取邮件钓鱼、电信诈骗、身份仿冒、办公区走访等模拟社会工程学方式进行安全意识评估。 《安全意识评估报告》
红蓝对抗实战演练服务 红蓝对抗演练组织
  1. 阿里云协助客户统筹红蓝对抗实战攻防演练的方案、计划及各项工作。
  2. 在演练结束后阿里云梳理演练过程中蓝军的攻击思路、成果路径、攻击手法,红军协防过程中监测到的攻击事件、攻击特征、木马、事件处置措施;根据红蓝对抗成果总结实战经验,分析防护能力、安全制度的缺陷,商讨可落地的解决方案;协助客户对发现的问题进行整改和加固。
  • 《红蓝对抗演练复盘报告》
  • 《红蓝对抗演练阶段性报告》
  • 《全网全端口资产》
蓝军(攻击队)服务 由阿里云安全攻击队按照攻防演练标准,开展网络入侵,寻找攻击路径,以获取目标系统的关键信息(包括但不限于资产信息、重要业务数据、代码或管理员账号等)为目的,发现客户的安全漏洞和隐患,摸索客户的安全防护能力;演练结束后,应做好记录,整理成果,并清理攻击痕迹。 《红蓝对抗-蓝军攻击报告》
红军(协防)服务 根据演练的资产范围,阿里云派驻1名工程师协助客户做好攻击监测和应急处置工作,实时对攻击行为进行监测,挖掘入侵事件,研判并处置事件,保障业务系统的安全平稳运行;验证各项安全协同机制和应急处置的机制能否正常运转,协助客户进行分析优化。 《红蓝对抗-协防工作日报》
攻防演练的服务流程图如下:攻防演练服务流程图

咨询服务

如您需要了解更详细的服务细节,请单击渗透测试服务咨询 ,阿里云将会在1~2个工作日内给您答复。