安全评测

某铁路局管理系统上线安全漏洞修复
安全评测,根据国家安全标准进行评测,评测系统综合安全性,并协助解决问题。
项目背景
该客户为中国铁路总公司管理的大型铁路运输企业的18个局之一,也是中国铁路总公司下属的特大型运输企业。
该客户建立了一套严格的信息安全审核机制,到了一定级别的系统上线前需通过内部安全审计。该客户的某铁路项目管理系统,在上线阶段,未通过审计系统的安全审核,并且尝试修改部分漏洞后依然没有通过,因此向第三方机构寻求技术支持。
方案实施
安全团队接到客户的需求,采取以下措施解决客户的问题:
  • 分析审计报告的结果,确定检查机制,验证给出的扫描报告:为客户排除掉90%的漏洞误报,并且准确定位问题
  • 熟悉系统所使用的开发框架,对验证存在的漏洞给出针对性的修复方案,并负责实施过程中的技术支持。
  • 利用静态代码审计和渗透测试结合的方式排查自动化工具未发现的安全漏洞,发现十几处安全隐患。
    • 项目成果
    安全团队经过系统排查和漏洞方案建议,解决了审查报告中的漏洞,使得该系统顺利通过安全审计,得以成功上线。具体成果如下:
  • 系统顺利通过审计
  • 重现了并修复了原来审计报告中的十余处安全漏洞
  • 新发现十几处未在审计报告中的漏洞