整体解决方案服务思路
THOUGHT-
核心业务安全审计
服务平台安全审计
服务容器安全审计
公链安全审计
智能合约安全审计
-
关键资产风险监测
内网安全解决方案
红蓝攻防对抗演习
-
日常安全运维服务
全网安全运维服务
全网安全策略评估
核心业务安全审计
CORE BUSINESS SECURITY AUDIT服务器平台安全审计
WEB服务平台+APP服务平台安全审计服务内容
| 域名安全 | 业务安全 | 应用安全 | 中间件配置 |
| 数据库安全 | 通信安全 | 信息泄露 | 服务器安全 |
服务容器安全审计
针对APP服务容器、PC客户端服务容器、浏览器扩展服务容器、全节点服务容器-
代码审计
从安全的角度对代码进行的安全测试评估,通过分析当前 应用系统的源代码,在熟悉服务容器业务系统的情况下,从应用 系统结构方面检查其模块和功能之间的关联、权限验证等内容; 从安全性方面检查其脆弱性和缺陷。
-
渗透测试
根据创宇的安全服务经验,区块链客户关于服务容器的安全,较注重其注册,登录,提现,交易的过程中的安全,知道创宇 工程师会在对服务容器系统不造成任何损害的前提下,模拟黑客攻击的方式对服务容器 进行完整的攻击测试,发现其存在的安全缺陷。
公链安全解决方案
针对公用链进行源代码审计及整体性安全测试,通过部署测试环境,结合源代码,找出可能存在的安全风险
智能合约安全审计
黑客利用漏洞入侵系统对智能合约用户造成巨大损失-
隐私泄露
智能合约对区块链上的所有用户可见,包括但不限于标记为 private 的资源,或可造成隐私信息泄露。
-
交易溢出及异常
由于智能合约本身的约束条件,如条件竞争、交易顺序依赖等,造成的交易溢出与异常。
-
合约故障
由于智能合约代码中可能存在的不合理故障处理机制,造成的异常行为。
-
拒绝服务
由于各种原因可能导致的拒绝服务风险。
安全风险
-
函数可见性审核
敏感函数继承权限检测; 函数调用权限检测。
-
合约限制绕过审核
使合约失效,删除地址字节码; 将所有合约资金发送到一个目标地址。
-
调用栈耗尽审核
检测栈高度限制,是否出现栈耗尽情况。
-
拒绝服务审核
过多货币交易发生异常,导致交易回滚,终导致合约拒绝服务。
解决方案
关键资产风险检测
CRITICAL ASSET RISK DETECTION内网安全解决方案
-
建立关键资产的统一管理系统,对内网终端进行统一管理,杜绝内网终端存在弱密码的情况出现。
-
隔离办公网、生产网,使用堡垒机进行管理,确保安全。
-
对内网终端产生的流量、外部对内网的流量,例如APT攻击、DDOS攻击等进行监控,保障内网平稳运行。
-
定期检测违规外联资产,并对新爆发的漏洞进行实时批量检测验证。
-
对内网终端的配置文件进行校验,配置文件不正确则进行报警。
-
内网终端身份识别,采集内网终端的MAC地址等信息进行资产管理。
红蓝攻防对抗演习
-
仿真环境搭建(CSE)
仿制实际业务环境或按照要求定制仿真业务环境或系统。
-
应急策略制定(ERR)
与相关部门人员制定应急策略,并规范工作流程。
-
风险检测(RCM)
针对公用链进行源代码审计及整体性安全。
-
日志威胁分析(LTA)
在对抗演习期间,对网络、安全设备、主机、中间件等系统日志进行综合安全分析。
红军服务综述
-
可控无限渗透测试(IPT)
在风险可控的范围下,对关键系统或资产进行定向渗透攻击,以攻击进入组织内部、内网,获取敏感数据或某个关键目标为目的。
-
内网漫游(IRT)
成功进入组织内部或内网后,进行内网整体漫游,以获取多、高权限、敏感数据或某个关键目标为目的。
-
物理攻击尝试(PAT)
使用物理手段,例如通过门禁弱点、WIFI缺陷、办公场所弱点、人员意识缺陷等,尝试进行攻击并获取敏感数据。
-
社交攻击尝试(SAT)
使用社交手段,例如电话、微信、企业QQ、人肉搜索、社工库等方式进行社会工程学攻击尝试,同时获取敏感信息或数据。
蓝军服务综述
日常安全运维服务
DAILY SAFETY OPERATION AND MAINTENANCE SERVICE全网安全运维服务
全网安全策略评估
服务优势
SERVICE ADVANTAGE
具有丰富的区块链安全服务经验,针对区块链业务关键点和重点漏洞审查能力居国内一线水平。
国际知名安全专家带队,长期致力于研究国内外区块链安全生态信息。
良好的项目质量控制,对项目环节严谨把关,安全专家全程在线,实时解答用户问题。
