安全評(píng)估服務(wù)介紹

基線核查服務(wù)：結(jié)合國(guó)家和行業(yè)要求，通過(guò)工具 人工的方式對(duì)信息系統(tǒng)的資產(chǎn)進(jìn)行安全基線核查與分析，并提供相應(yīng)的安全整改建議。

滲透測(cè)試服務(wù)：依據(jù)各行業(yè)滲透測(cè)試實(shí)踐，通過(guò)工具輔助，主要以人工測(cè)試的方式，對(duì)客戶授權(quán)下的應(yīng)用系統(tǒng)進(jìn)行非破壞性攻擊測(cè)試。

安全巡檢服務(wù)：針對(duì)客戶已有的業(yè)務(wù)系統(tǒng)及資產(chǎn)提供周期性上門安全檢測(cè)服務(wù)，包含漏洞識(shí)別、基線核查、安全設(shè)備日志分析，并提供安全巡檢報(bào)告。

新上線安全測(cè)試：圍繞應(yīng)用系統(tǒng)的生命周期，在新應(yīng)用系統(tǒng)投入運(yùn)行前，從應(yīng)用系統(tǒng)的應(yīng)用、主機(jī)、運(yùn)行邏輯、第三方組件以及合規(guī)性等方面，進(jìn)行上線安全評(píng)估。根據(jù)評(píng)估的結(jié)果形成安全檢測(cè)報(bào)告并提供解決方案，確保應(yīng)用系統(tǒng)安全、平穩(wěn)的運(yùn)行。

安全體檢：通過(guò)用戶訪談和問(wèn)卷調(diào)研識(shí)別客戶的重要業(yè)務(wù)系統(tǒng)，進(jìn)行脆弱性識(shí)別，針對(duì)已識(shí)別的脆弱性進(jìn)行場(chǎng)景化風(fēng)險(xiǎn)分析并給出相應(yīng)的場(chǎng)景解決方案。

安全評(píng)估服務(wù) - 流程介紹

準(zhǔn)備階段：

1、確定評(píng)估范圍：提出信息系統(tǒng)的目的、需求、規(guī)模和安全要求。

2、建立評(píng)估組織架構(gòu)：責(zé)任人及編制信息安全評(píng)估方案及計(jì)劃。

3、項(xiàng)目啟動(dòng)會(huì)議：講解方案計(jì)劃明晰責(zé)任及流程，輸出會(huì)議紀(jì)要。

輸出成果：《安全風(fēng)險(xiǎn)評(píng)估評(píng)估組織》、《保密協(xié)議書》、《信息安全風(fēng)險(xiǎn)評(píng)估方案與計(jì)劃》、《安全風(fēng)險(xiǎn)評(píng)估工作啟動(dòng)會(huì)議紀(jì)要》等

資產(chǎn)識(shí)別：

1、資產(chǎn)收集：業(yè)務(wù)應(yīng)用、文檔和數(shù)據(jù)（網(wǎng)絡(luò)拓?fù)?、資產(chǎn)臺(tái)賬、相關(guān)文檔及數(shù)據(jù)）、軟硬件資產(chǎn)、物理環(huán)境（機(jī)房）、組織管理（規(guī)章制度）；

2、區(qū)分資產(chǎn)重要性：結(jié)合業(yè)務(wù)情況及實(shí)際依賴程度區(qū)分重要資產(chǎn)與非重要資產(chǎn)；

3、重要資產(chǎn)估值與確認(rèn)。

輸出成果：《資產(chǎn)識(shí)別表》、《重要資產(chǎn)估值表》等。

脆弱性威脅評(píng)估：

1、脆弱性評(píng)估：1）技術(shù)性弱點(diǎn)、2）操作性弱點(diǎn)、3）管理性弱點(diǎn)；

2、威脅評(píng)估：1）人員威脅、2）系統(tǒng)威脅、3）環(huán)境威脅、4）自然威脅；

輸出成果：《脆弱性、威脅、風(fēng)險(xiǎn)分析表》、《潛伏威脅評(píng)估表》。

防護(hù)能力評(píng)估：

通過(guò)訪談途徑識(shí)別現(xiàn)有的安全措施并評(píng)估其效力。重點(diǎn)分析場(chǎng)景：

1、漏洞利用防護(hù)；

2、身份認(rèn)證；

3、監(jiān)控審計(jì)；

4、應(yīng)急備份；

5、其他。

輸出成果：《防護(hù)能力評(píng)估表》。

風(fēng)險(xiǎn)分析：

1、風(fēng)險(xiǎn)分析方法；

2、風(fēng)險(xiǎn)等級(jí)劃分；

3、不可接受風(fēng)險(xiǎn)劃分；

4、風(fēng)險(xiǎn)統(tǒng)計(jì)。

輸出成果：《脆弱性、威脅、風(fēng)險(xiǎn)分析表》。

風(fēng)險(xiǎn)處置：

針對(duì)不可接受風(fēng)險(xiǎn)提出相應(yīng)的整改方案及計(jì)劃完成時(shí)間。

輸出成果：《安全風(fēng)險(xiǎn)評(píng)估報(bào)告》、《安全風(fēng)險(xiǎn)評(píng)估工作總結(jié)會(huì)議紀(jì)要》。

安全評(píng)估服務(wù) - 價(jià)值

避免業(yè)務(wù)安全隱患：技術(shù)層面定性的分析系統(tǒng)的安全性，串聯(lián)系統(tǒng)安全隱患點(diǎn)，有效驗(yàn)證其存在性及其可利用程度，避免因安全漏洞造成業(yè)務(wù)損失。

保證規(guī)劃的合理和可行：正確反映各風(fēng)險(xiǎn)對(duì)信息安全的不同影響，使規(guī)劃的結(jié)果更合理可靠，使在 此基礎(chǔ)上制定的計(jì)劃具有現(xiàn)實(shí)的可行性。

選擇較佳的風(fēng)險(xiǎn)對(duì)策組合：風(fēng)險(xiǎn)對(duì)策會(huì)付出一定代價(jià)，需將不同風(fēng)險(xiǎn)對(duì)策的適用性與不同風(fēng)險(xiǎn)的后果 結(jié)合考慮，使不同風(fēng)險(xiǎn)選擇適宜的風(fēng)險(xiǎn)對(duì)策，形成佳風(fēng)險(xiǎn)對(duì)策組合。