华为云安全体检服务用户指南20171029
1简介
1.1概念
1.1.1安全体检服务
安全体检服务(Security Assessment Service, SAS)是指通过安全测试手段,发现用户信息资产的潜在安全风险并提供修复建议的“专家式”安全服务。
1.1.2服务单
服务单是用户在安全体检服务界面,创建的用于咨询安全体检事宜或提交给华为安全专家审核测试范围归属权的申请单。
1.1.3订单
订单是在服务单通过审核后,需要用户继续填写并提交给第三方安全机构执行安全体 检的支付确认单,系统将订单发送给第三方安全机构,第三方安全机构根据用户订单中描述的测试范围进行安全测试。
1.1.4安全机构
安全机构是执行安全体检的第三方安全机构,相关测试人员具有安全测试专业技能和 安全测试实践经验。
1.1.5初测模式
初测模式是安全体检服务提供的免费的入门体检项目,包括以下3个测试项目:
I 常见端口扫描
I 开放服务识别
I Web安全初步分析
1.1.6精测模式
精测模式是安全体检服务提供的高级体检项目,包括以下10个测试项目:
I 常见端口扫描
I 开放服务识别
I Web安全初步分析
I SQL注入
I XSS跨站
I文件包含漏洞
I 任意文件上传
I 任意文件下载
I Web弱口令
I 服务弱口令
1.2使用场景
安全体检服务为用户提供安全体检服务咨询、购买和报告审核业务,业务流程如下所示。
图1-1安全体检服务的业务流程图
1.3计费标准
安全体检服务现以申请公测资格方式免费试用。
1.4功能介绍
安全体检服务提供初测模式和精测模式,其中初测模式为免费服务,精测模式在公测 期间不开启。
安全体检服务提供以下功能:
| 申请服务单
用户通过申请服务单,可以让华为安全专家审核提交的安全体检需求。
i 支付订单
用户申请的服务单审核通过后,可以根据业务需求填写服务订单并完成支付。
i 管理服务单
用户申请服务单后,如果“服务单状态”为“审核中”,可以修改、取消或删除 服务单。
1.5访问与使用
1.5.1如何访问
请使用管理控制台方式访问安全体检服务。如果用户已注册公有云,可直接登录管理控制台,从主页选择“安全> 安全体检服务”访问。
1.5.2如何使用
安全体检服务使用说明如下:
用户在安全体检服务界面申请服务单后,华为安全专家将在24小时内线下联系用户,与用户沟通明确服务单的测试范围,并审核申请范围的归属权。
审核通过后,用户需要填写订单并完成支付,系统线下将体检需求发送到第三方 安全机构,第三方安全机构根据用户订单中提交的测试范围进行安全体检。
安全体检完成后,第三方安全机构需要将生成的体检报告交由华为安全专家团队 审核,审核通过后再交给用户验收,用户验收通过,本次安全体检服务完成。
1.5.3与其他云服务的关系
与云审计服务的关系
云审计服务(Cloud Trace Service, CTS)记录安全体检服务相关的操作事件,如表1-1
所示。方便用户日后的查询、审计和回溯,具体请参见《云审计服务用户指南》。?
表1-1云审计服务支持的安全体检服务操作列表
与消息通知服务的关系
安全体检服务对接了消息通知服务( Simple Message Notification,SMN ),可以为用 户提供消息通知功能。用户申请服务单后,服务单审核通过或订单完成时用户会收到 短信或邮件的通知信息。
有关SMN的详细介绍,请参见《消息通知服务用户指南》。
2管理
2.1查看申请流程
操作场景
为了快速了解并使用安全体检服务,请查看安全体检服务的申请流程。
前提条件
已获取管理控制台的登录帐号与密码。
操作步骤
步骤1登录管理控制台。
步骤2选择“安全 > 安全体检服务 > 总览”,进入安全体检服务总览界面。
步骤3查看安全体检服务的申请流程,如 图2-1所示,流程相关说明如 表2-1所示。
图2-1查看申请流程
申请流程
表2-1申请流程说明
2.2申请服务单
操作场景
用户申请服务单后,华为安全专家将在24小时内线下联系用户,用户可以咨询安全体检服务相关事宜。同时,华为安全专家将与用户沟通,明确测试范围并对用户申请范 围的归属权进行审核。
前提条件
已获取管理控制台的登录帐号与密码。
操作步骤
步骤1登录管理控制台。
步骤2选择“安全 > 安全体检服务 > 总览”,进入安全体检服务总览界面。
步骤3在界面右上角,单击“申请试用安全体检服务”。
步骤4在申请服务单界面,填写服务单信息,各参数说明如表2-2所示。
图2-2申请服务单
表2-2参数说明
步骤5在阅读并同意隐私保护后,勾选“我已阅读并同意《隐私保护协议》”,单击“提交 审核”。
步骤6在弹出的“提示”框中,单击“确定”。
服务单列表中会新增一条状态为“审核中”的服务单,表示申请服务单成功。
2.3支付订单
操作场景
用户申请的服务单,经过华为安全专家线下与用户沟通审核通过后,用户可以根据测 试需求提交安全体检服务订单并完成支付。支付完成后,系统线下将该订单转交第三 方安全机构,第三方安全机构根据用户订单中描述的测试范围进行安全体检。
前提条件 l 已获取管理控制台的登录帐号与密码。
l 已成功申请服务单。
l “服务单状态”为“审核通过待支付”。
操作步骤
步骤i登录管理控制台。
步骤2选择“安全 > 安全体检服务 > 服务单列表”,进入服务单列表界面。
步骤3在需要支付的服务单所在行,单击“支付”。
步骤4在订单支付页面,填写订单信息,各参数如表2-3所示。
图2-3支付订单
表2-3参数说明
步骤5确认订单信息填写无误后,单击“立即购买”。
步骤6在“订单详情”界面,确认订单信息无误后,勾选“我已阅读并同意《公测免费试用 服务协议》和《安全体检服务申明》”,单击“提交订单”。
订单提交成功后,服务单状态为“已支付”,用户会收到短信或邮件的通知信息。
系统线下将该订单转交第三方安全机构,第三方安全机构根据用户订单中描述的测试 范围进行安全体检。体检完成后,华为安全专家将线下审核通过的第三安全机构的体 检报告转交用户,用户验收通过后,本次安全体检服务完成。
2.4管理服务单
2.4.1查看服务单信息
操作场景
该任务指导用户在服务单列表查看服务单信息。
前提条件
I 已获取管理控制台的登录帐号与密码。
I 已成功申请服务单。
操作步骤
步骤i登录管理控制台。
步骤2选择“安全 > 安全体检服务 > 服务单列表”,进入服务单列表界面。
步骤3在服务单列表中查看服务单信息,如 图2-4所示,各参数说明如 表2-4所示。
图2-4服务单列表
说明
I在“所有服务单状态”搜索栏选择服务单状态,服务单列表界面将只显示对应状态的服务 单。
I在搜索框中选择“服务单号”或“项目名称”,输入服务单号或项目名称的关键字,单击 或按“ Enter”,可以搜索指定的服务单。
I单击服务单号前面的 ,可以查看服务单的详细信息。?
表2-4参数说明
2.4.2修改服务单
操作场景
成功申请服务单后,如果“服务单状态”为“审核中”时,用户可以修改服务单信息。
前提条件
I 已获取管理控制台的登录帐号与密码。
| 已成功申请服务单。
i “服务单状态”为“审核中”。
操作步骤
步骤i登录管理控制台。
步骤2选择“安全 > 安全体检服务 > 服务单列表”,进入服务单列表界面。
步骤3在需要修改的服务单所在行,单击“修改服务单”。
步骤4在弹出“修改服务单”对话框中,修改服务单信息。各参数说明如表2-5所示。
表2-5参数说明
步骤5单击“确定”。
2.4.3取消服务单
操作场景
前提条件
I 已获取管成功申请服务单后,如果“服务单状态”为“审核中”时,用户可以取消服务单。取 消服务单后,该服务单的“服务单状态”更新为“已取消”。
理控制台的登录帐号与密码。
| 已成功申请服务单。
i “服务单状态”为“审核中”。
操作步骤
步骤i登录管理控制台。
步骤2选择“安全 > 安全体检服务 > 服务单列表”,进入服务单列表界面。
步骤3在需要取消的服务单所在行,选择“更多>取消服务单”。
步骤4在弹出的对话框中,单击“确定”。
2.4.4删除服务单
操作场景
成功申请服务单后,如果“服务单状态”为“审核中”,当不需要某个服务单时,用户可以删除该服务单。
前提条件
i 已获取管理控制台的登录帐号与密码。
i 已成功申请服务单。
i “服务单状态”为“审核中”。
操作步骤
步骤1登录管理控制台。
步骤2选择“安全 > 安全体检服务 > 服务单列表”,进入服务单列表界面。
步骤3在需要删除的服务单所在行,选择“更多 >删除服务单”。
步骤4在弹出的对话框中,单击“确定”。
3常见问题
3.1安全体检服务能给用户带来什么好处?
用户通过安全体检服务获得的安全体检报告,能够发现自身站点潜在的安全风险,并 能根据体检报告中的修复建议及时消除潜在的安全隐患,保障站点运行安全和后端数据安全。
3.2安全体检服务和传统漏洞扫描的主要区别是什么?
安全体检服务的核心是安全专家人工服务,相比传统漏洞扫描,华为安全专家团队审 核用户申请范围的归属权和体检报告,且由第三方安全机构进行安全体检,检测深度 和广度更有显著优势,能够发现普通扫描器无法发现的安全风险。
3.3如何申请安全体检服务?
申请安全体检服务的流程说明如下:
1. 业务咨询
用户申请安全体检服务后,华为安全专家将线下与用户沟通并审核用户资质。
2. 业务申请
用户根据业务需求填写服务订单并完成支付。
3. 安全体检
根据订单需求由华为认可的第三方安全机构专家提供安全体检服务。
4. 报告验收
第三方安全机构安全体检完成后,由华为安全专家审核体检报告,审核通过后再 转交用户,用户验收通过,本次安全体检服务完成。
3.4安全体检服务提供几种服务模式?
安全体检服务提供以下两种服务模式:
I 免费的初测模式
I 收费的精测模式
3.5安全体检服务可以对哪些IP进行体检服务?
除了华为公有云ip,安全体检服务还可以对用户拥有所属权的ip进行体检服务。
3.6安全体检服务提供了哪些线下沟通渠道?
通过联系客服,用户可以获取华为云的公共邮箱和售前电话,线下咨询安全体检服务 的相关事宜。除此之外,用户还可以通过安全体检服务的公共邮箱sas notice@huawei.com,和华为安全专家线下交流安全体检服务的使用事宜。
3.7用户通过安全体检服务获得的最终交付件是什么?
安全体检服务最终的交付件为经过华为安全专家团队审核通过的安全体检报告,体检 报告包含安全体检发现的安全风险和相应的漏洞修复建议。
3.8安全体检服务审核申请服务单的什么内容?
用户申请服务单后,华为安全专家线下和用户沟通,明确用户的测试范围并对用户申 请范围的归属权进行审核。
3.9安全体检服务审核体检报告的什么内容?
华为安全专家团队对第三方安全机构提供的体检报告的测试覆盖范围进行审核,确认 测试范围是否满足对应的体检服务的交付标准。