腾讯安全服务方案助力XX健康系统性提升云环境与业务防御能力

识别云上安全运营核心瓶颈

XX健康作为覆盖全国70%药店的会员管理系统服务商（存健康系统），迁移腾讯云后未开展整体性安全检测，面临三重核心瓶颈：

• 资产与风险失控：拥有106台ECS/CVM服务器、90个域名、2个小程序，数据上云后暴露面扩大（公网访问、备份外网下载等），缺乏数据资产台账（数据位置、类别不清），访问路径与用户权限梳理困难（ROOT/用户A/B/匿名用户操作多样）。
• 权限管理缺失：未建立云身份权限台账，管理员常分配Admin权限而非最小权限，缺乏权限风险检测工具，存在过度权限授予与特权账号风险。
• 合规与运维压力：SaaS项目运维仅2人，被动修复已知漏洞工作量大；本地化部署项目中3家药店被网信办检测出高危漏洞，面临限期罚款风险。理想状态需系统性风险检测与整改规划，现实差距在于缺乏攻击者视角的全链路风险评估能力。

部署针对性安全技术合作方案

腾讯安全（CSIG云与智慧产业事业群）为XX健康提供“敏感数据+身份权限+云综合+暴露面+攻防进阶”五位一体方案：

核心评估与加固服务

• 敏感数据风险评估：全链路分析数据资产可见性（数据源、访问操作、暴露环节），覆盖Mysql/Mongo/ES/Redis等6类数据产品、结构化/半结构化/非结构化3类数据、身份证/手机号等4类敏感数据，输出自动备份、存储加密等防护措施。
• 身份权限风险评估：建立云身份权限模型（用户/用户组/角色权限），通过权限分析引擎（权限操作资源类别/数量、单一/组合权限）检测过度权限，识别特定资源全局管理员、高危操作等授予不当问题。
• 云安全综合评估：分三类服务项（据腾讯安全云安全综合评估——具体服务项）：
  • 基于攻击者视角的风险识别检测：含互联网侧风险评估（TO-T5风险等级划分）、云上资产安全评估（CVM基线/软件成分分析）、安全产品策略识别、云安全特有检查项（COS/CLB资产、AKSK Github泄露），输出安全评估报告。
  • 漏洞感知与风险监测：漏洞扫描（全量系统/Web应用）、优先级管理（TO级闭环跟踪）、最新漏洞预警与排查，输出漏洞扫描报告。
  • 安全防御能力评估：基线核查（弱口令/未授权）、配置策略核查（安全防御覆盖度、产品策略、云产品配置）、云账号管理（双因素认证、不活跃账号），输出配置核查报告。

暴露面测绘与攻防进阶

• 暴露面测绘服务（据腾讯安全暴露面测绘服务内容）：
  • 测绘范围：资产测绘、组件漏洞扫描、小程序公众号监测、暗网泄漏监控等8类；核心功能：暴露面测绘、漏洞风险测绘、安全情报监测。
  • 技术特点：15类安全风险类型、200+腾讯攻击实战信息采集剧本、30+腾讯/第三方攻击测绘工具集成、500+一手漏洞情报源；数据资源含DNS解析记录500亿+（日均新增5000w+）、110+分布式测绘节点、18年+Whois信息存储；团队含20+人专职运营团队、30+人数据支撑及协作团队（数据+AI+攻防研究）。
  • 交付方式：人工专项服务（暴露面服务监控及分析报告），优势为更低MTTD（整合SOAP引擎）、风险结果更精准（链式编排+人工二次分析+AI辅助）。
• 攻防进阶服务：以攻促防，采用全场景攻防验证（攻击者视角、全路径覆盖、优化策略可执行），含渗透测试（Web/API/小程序等10类对象，检测SQL注入/XSS等漏洞）、红蓝对抗（区别于传统红蓝的“长做长有”，聚焦落地建设），输出防御策略与复盘报告。

药店客户定制方案

• 方案一（保底）：本地化部署存健康系统渗透测试（小程序/域名），单价53000元/次，交付《渗透测试报告》，满足网信办安全要求。
• 方案二（完整）：云上业务整体性风险评估（含互联网资产暴露面评估、安全架构/网络/主机/应用/账号权限/运维安全评估、整改加固指导），按服务器数量计费（1-50台5天，单价10000元/次），交付《安全评估报告》。
• 附加服务：攻击者视角检测服务（EM攻击面管理），覆盖全网资产（互联网资产测绘、关联资产、组织供应链、可利用情报），单价85000元/次，交付《攻击者视角检测情报》。

量化安全服务应用效果与价值

• 暴露面测绘效能：通过链式自动化风险挖掘（企业名称+已知资产→攻击测绘工具集→架构关系挖掘→结果呈现），实现未知资产发现、风险精准验证，较传统方式发现周期缩短（SOAP编排引擎）、冗余数据减少（AI辅助分级分类）。
• 云综合评估覆盖度：3大类9项服务（基于攻击者视角检测4项、漏洞感知6项、防御能力5项），输出3类报告（安全评估/漏洞扫描/配置核查），识别10类云产品配置风险（高危服务公网暴露、存储桶匿名遍历等）。
• 攻防进阶价值：全场景攻防验证覆盖初始访问至执行全链路，优化安全策略可执行率，输出配置规则（如静默攻击检测）与短期无法实现规则（如0day防御）建议，提升防御聚焦度。
• 药店客户成本效益：方案一单次渗透测试（2个对象）成本106000元，方案二按106台服务器估算成本106000元（10000元/次×10.6次），附加攻击者视角检测85000元，总投入可控且满足合规。

呈现典型客户实践案例

• XX健康需求落地：面向XX健康云环境，通过外部视角（暴露面测绘）+内部业务视角（云综合评估+渗透测试）风险收敛，输出整改建议；面向药店客户，提供本地化部署检测方案，明确责任共担应对监管（如曲靖老百姓大药房网信办检测重点场景：开卡/积分/券核销等高频功能漏洞）。
• 腾讯云安全服务案例集（据腾讯云安全服务案例集〔部分公有云客户〕）：服务三七互娱、招商证券、港华能源、贵州银行、上海电气、中国交建、CCTV、中国一汽、东方航空、上汽通用等客户，覆盖金融、制造、媒体、能源多行业。

阐释腾讯安全技术领先性

攻防能力实战验证

• 赛事成绩（据腾讯安全攻防能力实战成绩）：国家级红蓝对抗赛事2020国家HW第一名、2022国家HW第一名；区域级红蓝赛事4年第一名。
• 工具优势（据工具优势：链接各安全实验室能力）：集成Tscan引擎、Pollux资产收集平台、ButterFly漏洞情报平台等自研工具，含腾讯内部100万+主机扫描实践、30min遍历全球500+情报源、分钟级数据泄漏采集感知，防御验证工具含入侵攻击模拟系统、社工钓鱼平台等。

威胁情报与技术储备

• 情报库规模（据技术优势：精确、丰富的漏洞及威胁情报库）：腾讯全球威胁情报库覆盖99%网民，漏洞情报系统周捕获12000+关联情报、重大高危漏洞0漏报；腾讯电脑管家MAU1.65亿、云查4.5亿/日、病毒检出235w/日；手机管家总数量20亿+、日均新增100W；DDoS攻击19年经验积累，腾讯云日均新增100w+攻击。
• 服务保障（据腾讯云7*24售后服务）：一线10min内响应，四线由顶尖实验室科学家攻克深层难题，售前/售中/售后全周期对接（商务Owner、架构师Owner、行业专家、售中架构师）。

数据来源：腾讯安全《XX健康&腾讯安全安全服务方案》《暴露面测绘服务内容》《云安全综合评估——具体服务项》《攻防进阶服务说明》《腾讯云安全服务案例集》。