安全評估服務介紹

基線核查服務：結合國家和行業(yè)要求，通過工具 人工的方式對信息系統(tǒng)的資產進行安全基線核查與分析，并提供相應的安全整改建議。

滲透測試服務：依據各行業(yè)滲透測試實踐，通過工具輔助，主要以人工測試的方式，對客戶授權下的應用系統(tǒng)進行非破壞性攻擊測試。

安全巡檢服務：針對客戶已有的業(yè)務系統(tǒng)及資產提供周期性上門安全檢測服務，包含漏洞識別、基線核查、安全設備日志分析，并提供安全巡檢報告。

新上線安全測試：圍繞應用系統(tǒng)的生命周期，在新應用系統(tǒng)投入運行前，從應用系統(tǒng)的應用、主機、運行邏輯、第三方組件以及合規(guī)性等方面，進行上線安全評估。根據評估的結果形成安全檢測報告并提供解決方案，確保應用系統(tǒng)安全、平穩(wěn)的運行。

安全體檢：通過用戶訪談和問卷調研識別客戶的重要業(yè)務系統(tǒng)，進行脆弱性識別，針對已識別的脆弱性進行場景化風險分析并給出相應的場景解決方案。

安全評估服務 - 流程介紹

準備階段：

1、確定評估范圍：提出信息系統(tǒng)的目的、需求、規(guī)模和安全要求。

2、建立評估組織架構：責任人及編制信息安全評估方案及計劃。

3、項目啟動會議：講解方案計劃明晰責任及流程，輸出會議紀要。

輸出成果：《安全風險評估評估組織》、《保密協議書》、《信息安全風險評估方案與計劃》、《安全風險評估工作啟動會議紀要》等

資產識別：

1、資產收集：業(yè)務應用、文檔和數據（網絡拓撲、資產臺賬、相關文檔及數據）、軟硬件資產、物理環(huán)境（機房）、組織管理（規(guī)章制度）；

2、區(qū)分資產重要性：結合業(yè)務情況及實際依賴程度區(qū)分重要資產與非重要資產；

3、重要資產估值與確認。

輸出成果：《資產識別表》、《重要資產估值表》等。

脆弱性威脅評估：

1、脆弱性評估：1）技術性弱點、2）操作性弱點、3）管理性弱點；

2、威脅評估：1）人員威脅、2）系統(tǒng)威脅、3）環(huán)境威脅、4）自然威脅；

輸出成果：《脆弱性、威脅、風險分析表》、《潛伏威脅評估表》。

防護能力評估：

通過訪談途徑識別現有的安全措施并評估其效力。重點分析場景：

1、漏洞利用防護；

2、身份認證；

3、監(jiān)控審計；

4、應急備份；

5、其他。

輸出成果：《防護能力評估表》。

風險分析：

1、風險分析方法；

2、風險等級劃分；

3、不可接受風險劃分；

4、風險統(tǒng)計。

輸出成果：《脆弱性、威脅、風險分析表》。

風險處置：

針對不可接受風險提出相應的整改方案及計劃完成時間。

輸出成果：《安全風險評估報告》、《安全風險評估工作總結會議紀要》。

安全評估服務 - 價值

避免業(yè)務安全隱患：技術層面定性的分析系統(tǒng)的安全性，串聯系統(tǒng)安全隱患點，有效驗證其存在性及其可利用程度，避免因安全漏洞造成業(yè)務損失。

保證規(guī)劃的合理和可行：正確反映各風險對信息安全的不同影響，使規(guī)劃的結果更合理可靠，使在 此基礎上制定的計劃具有現實的可行性。

選擇較佳的風險對策組合：風險對策會付出一定代價，需將不同風險對策的適用性與不同風險的后果 結合考慮，使不同風險選擇適宜的風險對策，形成佳風險對策組合。