安全服務
滲透測試與漏洞管理
博迅持證道德黑客針對您的 IT 基礎架構、應用程序和員工實施受控模擬攻擊,發現自動化掃描器遺漏的真實漏洞。每項發現均附 CVSS 評分、概念驗證證據和逐步修復指導——支持 PCI DSS、HIPAA、NIST 800-53 等合規框架。
72%
企業過去一年曾遭受網絡攻擊(Deloitte 2021)
CVSS
國際標準漏洞評分體系
9 類
標準合規報告輸出
OSCP / GPEN
持證道德黑客認證
市場背景
威脅形勢持續升級
當今威脅態勢以前所未有的速度演變——每年報告數以千計的新漏洞,企業環境的複雜性不斷增加。技術創新在帶來機遇的同時,也引入了新的風險:攻擊面擴大、數據泄露頻發、合規要求收緊。
72% 的受訪企業在過去一年中遭受了 1 至 10 次網絡攻擊或數據泄露
— Deloitte 全球 2021 未來網絡安全調查
您的企業是否面臨以下挑戰?
您是否存儲或處理敏感數據?
企業環境是否日益複雜?
組織是否頻繁遭受攻擊嘗試?
是否有關鍵業務應用程序?
是否使用多平台和多種技術?
是否處於受安全合規約束的受監管市場?
服務內容
滲透測試服務類型
博迅提供覆蓋外部邊界、內部網絡、Web 應用、社會工程和主動目錄的全方位滲透測試——模擬真實攻擊者視角,發現自動化工具無法識別的漏洞鏈。
外部網絡滲透測試
針對互聯網可訪問的邊界發起模擬攻擊——防火牆、VPN、郵件網關、DNS、外部 Web 服務器和遠程訪問門户。識別互聯網上任何攻擊者都可訪問的漏洞。
測試範圍
- 互聯網邊界資產
- 開放端口與協議
- 遠程訪問入口
- 公開暴露的服務
內部網絡滲透測試
假設內部立足點已被攻破(模擬員工或承包商被入侵),測試人員嘗試在內部網絡中橫向移動和提權——揭示攻擊者在內部可以到達的深度。
測試範圍
- 橫向移動路徑
- 權限提升漏洞
- 內網分段有效性
- 域控和關鍵服務器
Web 應用測試(OWASP Top 10+)
對 Web 和移動應用程序進行手動和自動測試,覆蓋 OWASP Top 10 漏洞——注入缺陷、身份驗證失效、不安全的直接對象引用、安全配置錯誤和訪問控制弱點。
測試範圍
- SQL/命令注入
- 身份認證缺陷
- 跨站腳本(XSS)
- 訪問控制繞過
社會工程與釣魚演練
定向釣魚郵件活動和偽裝電話評估員工對操縱行為的易感性。結果揭示哪些部門和人員代表最高人力風險——為安全意識培訓提供優先級依據。
測試範圍
- 定向釣魚郵件
- 短信釣魚(Smishing)
- 電話偽裝(Vishing)
- 員工安全意識評估
黑盒與白盒測試選項
黑盒(閉盒)測試模擬無任何預知信息的外部攻擊者。白盒(開盒)測試向測試人員提供架構詳情,以在測試窗口內最大化測試深度和覆蓋範圍。
測試範圍
- 黑盒:零知識攻擊
- 白盒:架構已知測試
- 灰盒:部分信息測試
- 靈活範圍定製
主動目錄(Active Directory)評估
本地和雲端 Active Directory 安全評估,識別配置錯誤、過度權限、Kerberoasting 等 AD 專項攻擊路徑,以及 Azure AD / Entra ID 安全配置問題。
測試範圍
- 本地 AD 評估
- Azure AD / Entra ID
- 權限配置審查
- AD 攻擊路徑分析
管理流程
漏洞管理生命週期
博迅的漏洞管理不止於掃描——我們覆蓋從資產發現、掃描執行、分析輸出到修復追蹤的完整閉環,確保每項漏洞均有記錄和跟進。
前期準備
- 創建賬户
- 確認服務範圍(VM 服務)
- 確定納入範圍的資產(網絡/服務器/工作站)
資產發現
- 資產清單建立
- 主機特殊配置識別
- 使用多種協議發現和探測網絡資產
掃描執行
- 策略合規掃描(PCI/策略)
- 按需掃描
- 數據輸送至管理門户
分析輸出
- 漏洞數據彙總
- 漏洞追蹤狀態報告
- 修復趨勢分析
- 合規報告生成
修復與誤報處理
- 修復與風險控制
- 誤報資產複核
- 整合安全補丁、惡意軟件防禦、郵件及網頁瀏覽器防護等服務
服務套餐
三種漏洞管理服務套餐
根據企業規模、合規需求和安全成熟度,選擇適合的服務層級——從基礎合規掃描到 SIEM 全集成的企業級威脅管理。
基礎漏洞管理
標準化服務模式,提供完整漏洞管理生命週期,滿足合規需求。適合希望建立規範化漏洞管理流程的企業。
包含內容
- 資產發現與清單
- 定期漏洞掃描
- CVSS 評分報告
- 合規性掃描(PCI DSS / HIPAA)
- 修復指導
高級漏洞管理
在基礎版基礎上整合 SIEM 工具和事件管理,實現漏洞發現與安全事件響應的聯動。
包含內容
- 基礎版全部內容
- SIEM 平台集成
- 安全事件管理
- 實時威脅關聯分析
- 升級響應優先級
企業級漏洞管理
將 SIEM、威脅情報和資產管理全面關聯,提供對威脅態勢的完整視圖。適合大型企業和受監管行業。
包含內容
- 高級版全部內容
- 威脅情報平台整合
- 資產管理關聯
- 高級威脅態勢視圖
- 優先級自動化排序
差異化優勢
為什麼選擇博迅漏洞管理
概念驗證(PoC)
每項重大漏洞均附帶概念驗證,幫助客户理解漏洞的業務影響,以及修復嚴重和高危漏洞的必要性。
7×24 全天候響應
博迅為客户提供全天候支持。在 POODLE、Shellshock 等重大漏洞爆發期間,迅速響應至關重要。
端到端全程支持
與傳統漏洞管理不同,我們提供從掃描啓動到修復完成的全程支持,通過託管方式有效應對漏洞。
誤報分析
誤報處理對漏洞修復至關重要。徹底的誤報分析大幅減少在無效修復上浪費的時間和精力。
修復追蹤
漏洞管理不止於掃描。有效的方案以修復質量為核心,防止漏洞復現。我們追蹤每項漏洞直至完全關閉。
基礎設施 360 服務
博迅網絡安全團隊提供廣泛的 Infra 360 服務,持續分析並修復安全弱點。
專業工具
行業級掃描工具
Nessus & Tenable
業界標準漏洞掃描平台,支持超過 500 種預置掃描策略,覆蓋網絡設備、服務器、端點和雲資產。
Qualys
雲原生漏洞管理平台,支持外部攻擊面掃描、雲基礎設施掃描,提供實時結果和可配置合規報告。
CyberCNS
託管式漏洞管理平台,支持輕量級代理安裝,可掃描在家辦公的遠程用户設備,提供應用基線檢測。
工程師認證
持證道德黑客
ISO 27001
信息安全管理體系國際標準
GPEN(GIAC 滲透測試師)
GIAC 認證網絡滲透測試專業資質
OSWE(Web 安全專家)
Offensive Security Web 漏洞利用專家認證
OSCP(認證滲透測試專家)
Offensive Security 最權威的滲透測試認證
合規支持
支持的合規框架
博迅的漏洞管理掃描和報告直接支持以下主流合規框架的「識別」類別,為合規審計提供可追溯的證據。
PCI DSS
支付卡行業數據安全標準
HIPAA
美國醫療保險可攜性與責任法案
NIST 800-53
美國國家安全控制框架
NIST 800-171
受控非密信息保護標準
GDPR IV
歐盟通用數據保護條例
CIS / CIS 8.0
互聯網安全中心關鍵安全控制
ISO 27002
信息安全控制實踐準則
Cyber Essentials
英國政府網絡基礎安全認證
Essential Eight
澳大利亞 ASD 八項基礎緩解策略
標準合規報告輸出(9 類)
綜合摘要報告
整體漏洞態勢總結,供管理層和董事會使用
漏洞明細報告
全部漏洞詳情,含 CVSS 評分和 PoC 證據
防火牆專項報告
防火牆配置和規則集安全評估
安全態勢詳細報告卡
按資產類別展示的詳細安全評分
資產缺失補丁報告
各資產的未安裝安全補丁列表
已安裝程序報告
應用基線偏差檢測與未授權程序識別
外部掃描報告
互聯網暴露面漏洞和開放端口報告
修復計劃
按優先級排序的漏洞修復行動計劃
修復摘要報告
修復進度跟蹤和關閉率統計
評分體系
安全態勢評分維度
博迅採用六大維度對每個資產的安全態勢進行量化評分,幫助管理層直觀瞭解最高風險區域並優先分配修復資源。
防病毒軟件
已安裝且已更新至最新版本
已安裝但未更新至最新版本
未安裝防病毒軟件
本地防火牆
公共和私有網絡防火牆均已啓用
私有網絡防火牆已禁用
防火牆完全禁用
不安全監聽端口
無不安全監聽端口
檢測到 1 個不安全監聽端口
檢測到多於 1 個不安全監聽端口
登錄失敗記錄
過去 7 天內無登錄失敗記錄
過去 7 天內 7 次或以下登錄失敗
過去 7 天內 15 次或以上登錄失敗
網絡漏洞
無網絡漏洞
發現輕微漏洞(CVSS < 4.0)
發現嚴重漏洞(CVSS ≥ 7.0)
系統老化
計算機使用年限少於 2 年
計算機使用年限 4–7 年
計算機使用年限超過 8 年
掃描能力
全面的漏洞掃描功能
博迅的漏洞掃描平台在 NIST 網絡安全框架「識別」類別提供強大的發現和報告能力——從網絡資產到遠程端點,從應用基線到雲基礎設施,全面覆蓋。
IT 資產發現(支持多種網絡協議探測)
漏洞 IT 評估
配置合規性評估
實時掃描結果
可配置合規報告
外部攻擊面掃描
支持添加域名進行掃描
雲基礎設施掃描
500+ 預置掃描策略
主動目錄(AD)本地與雲端評估
應用基線偏差檢測
遠程安全解決方案部署
5×8×次日響應的配置與掃描任務執行
安全漏洞分析報告輸出
支持 Work-From-Home 遠程端點掃描(輕量級代理)
服務行業
零售行業
製造業
金融投資
對沖基金
物流
航空航天
漏洞管理(CS-VM)掃描需要代理、探針還是其他工具?
漏洞管理是一項 SaaS 服務,包含「雲端」組件和「客户端」組件(代理)。代理可安裝在客户網絡中的任意一台機器上作為探針使用,部署簡單,無需改造現有基礎設施。
CS-VM 能否掃描在家辦公(WFH)員工的設備?
可以。CS-VM 提供「輕量級代理」,可安裝在遠程員工和在家辦公用户的終端設備上,掃描這些本地系統的漏洞和合規差距。
CS-VM 能掃描哪些類型的資產?
CS-VM 可掃描網絡設備(路由器、交換機、接入點、防火牆)、終端設備(筆記本電腦、台式機)、打印機以及服務器和虛擬機。
CS-VM 服務包含哪些主要掃描類型?
包含:1)網絡漏洞掃描;2)終端設備漏洞掃描;3)合規性掃描;4)應用基線掃描;5)主動目錄(AD)掃描;6)雲資產掃描。
CS-VM 支持哪些行業合規框架?
CS-VM 滿足 NIST 網絡安全框架 1.1「識別」類別的全部要求,並額外支持 PCI DSS、HIPAA、GDPR IV、NIST 800-53、NIST 800-171、CIS、CIS 8.0、ISO 27002、Cyber Essentials 和 Essential Eight。
滲透測試與漏洞掃描有何區別?
漏洞掃描通過自動化工具識別已知弱點。滲透測試更進一步——持證道德黑客主動嘗試利用這些弱點,將多個漏洞串聯,並展示成功攻擊的真實業務影響。
一次滲透測試需要多長時間?
範圍決定時長。專項外部網絡測試通常需要 3–5 天。完整的外部+內部+Web 應用測試通常需要 2–3 周。博迅在方案階段提供時間和範圍估算。
滲透測試會影響業務運營嗎?
標準滲透測試設計為非破壞性。如有需要,測試窗口可安排在非工作時間。博迅全程與您的 IT 團隊協調,避免意外中斷。
修復後是否可以重新測試?
可以。博迅的年度測試套餐包含在初次發現的漏洞修復完成後的複測——確認漏洞已關閉且未引入新問題。