网站首页 >风险评估

安全风险评估

信息安全风险永远存在,安全产品不能解决所有的问题,安全服务已经成为信息安全工作的核心内容。信息安全工作本身是一个过程,它的本质是风险的管理。

风险管理工作不仅仅是一个简单的理论、方法,更需要在实践中检验发展。海丰科技强调安全须为业务服务,以“最佳实践”(Best Practice)作为信息安全工作的落脚点,通过有效的安全服务,让安全技术有效地发挥作用。

海丰科技信息安全风险评估服务综合国内外相关标准与业界最佳实践,为客户清晰地展现信息系统当前的安全现状,提供公正、客观、翔实的数据作为决策参考,为客户下一步控制和降低安全风险、改善安全状况、实施信息系统的风险管理提供依据。客户可以根据自身信息系统特点来选择相应服务组件。海丰科技也可根据客户的需求以及信息系统的具体情况制订相应的个性化风险评估方案。从风险管理角度,运用科学的方法和手段,系统地分析信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的:Τ潭,提出有针对性的抵御威胁的防护对策和整改措施。

参与标准与规范

?按照GB/T20984-2007 信息安全技术 信息安全风险评估规范;

?结合国内外相关行业风险管理最佳实践与最新标准;

?结合行业信息安全管理体系、规范与要求、业务特点。

评估框架内容

安全风险评估服务包含技术、管理二个方面,十个维度的全面评估:物理、网络、主机、应用、数据 、机构、制度、人员、建设、运维。

信息安全风险评估就是从风险管理角度,运用科学的方法和手段,系统地分析信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的:Τ潭,提出有针对性的抵御威胁的防护对策和整改措施;为防范和化解信息安全风险,将风险控制在可接受的水平,从而最大限度地保障信息安全提供科学依据。

渗透测试服务
网站安全漏洞全方位检测:对网络系统层和WEB应用层安全漏洞扫描检测、网站L4~7层漏洞发现、主机安全漏洞、中间件安全漏洞、网站代码安全漏洞发现、业务逻辑漏洞发现、弱口令破解、安全运维漏洞发现。

WEB网站防护能力验证性测试:提供黑客攻击防护,非法HTTP请求防护,BOT防护,DDOS攻击、CC攻击防护能力的检测等。

WEB网页防篡改专项测试:模拟黑客进行首页篡改攻击尝试,适用于政府、高校、企事业单位等门户类代表企事业形象的网站。

旁站渗透专项测试:利用旁站安全漏洞为跳板攻击服务器实现网站入侵。检测网站服务器为跳板入侵网络其他内部服务器,例如数据库服务器等。

网站已存木马、后门、暗链检查:通过智能木马检测技术,识别网站页面中已有的恶意代码,支持挂马、暗链、内容变更和关键字监测等。

网站安全漏洞加固指导:网站所有安全漏洞加固建议与指导,网站所有安全漏洞修补复查。

政策标准依据:

?《信息技术安全性评估准则GB/T 18336-2008》;

?《信息系统安全保障评估框架 GB/T 20274-2008》;

?《OWASP Testing Guide v3》(OWASP,2008);

?《Web Security Threat Classification》(WASC,2010);

?《Information Systems Security Assessment Framework》(ISSAF ,2008);

?《Open-Source Security Testing Methodology Manual v3》(OSSTMM,2010)。

渗透测试服务种类

?按渗透目标类型:提供Internet网络渗透测试、无线网络渗透测试、拨号网络渗透测试等。

?按渗透攻击路径:提供外网渗透测试、内网络渗透测试、不同网段/VLAN间的渗透测试。

?按渗透层次:提供网络层渗透测试、系统层渗透测试和应用渗透测试。

通过开展渗透测试工作可获得的收益:

?评估信息系统被入侵的可能性;

?发现信息系统存在的深层次安全隐患;

?验证信息系统现有安全措施的防护强度;

?在入侵者发起攻击前封堵可能被利用的攻击途径。

等保差距分析

基于国家信息系统安全等级保护相关标准和文件的要求,结合客户组织架构、业务要求、信息系统实际情况,协助客户进行风险评估和等级保护差距分析,制定完整的安全整改建议方案,并根据需要协助客户对落实整改实施方案或进行方案的评审、招投标、整改监理等工作。

标准依据:

?《信息系统安全等级保护实施指南》(GB/T 25058-2010);

?《信息安全风险评估规范》(GB/T 20984-2007);

?《计算机信息系统安全保护等级划分准则》(GB 17859);

?《信息系统安全等级保护基本要求》(GB/T 22239-2008);

?《信息系统安全等级保护定级指南》(GB/T 22240-2008) ;

?《信息系统安全等级保护测评要求》(GB/T 28448-2012) ;

?《信息系统安全等级保护测评过程指南》(GB/T 28449-2012)。

依据公通字[2007]43号文的要求,信息系统定级工作完成后,运营、使用单位首先要按照相关的管理规范和技术标准进行安全建设和整改,使用符合国家有关规定、满足信息系统安全保护等级需求的信息技术产品,进行信息系统安全建设或者改建工作。

等级保护整改的核心是根据用户的实际信息安全需求、业务特点及应用重点,在确定不同系统重要程度的基础上,进行重点保护。整改工作要遵循国家等级保护相关要求,将等级保护要求体现到方案、产品和安全服务中去,并切实结合用户信息安全建设的实际需求,建设一套全面保护、重点突出、持续运行的安全保障体系,将等级保护制度确实落实到企业的信息安全规划、建设、评估、运行和维护等各个环节,保障企业的信息安全。

通过落实等保整改与建设服务,可以达到以下目标:

?有效落实国家等级保护文件精神,清晰了解与等保要求的差距

客户通过落实等级保护整改要求,可有效落实贯彻落实国家公通字43号文及其配套标准的文件精神。通过开展等保整改与建设工作,可明确当前系统与相应保护等级要求之间的差距,为等级保护整改规划的实施提供科学依据。

?依据业务实际需求落实等级保护工作

海丰科技不仅仅熟悉国家等级保护相关政策,在各行业具有丰富的风险评估、安全规划、建设整改的经验,实施过千余项安全服务项目,具有多项自主知识产权的信息安全产品并得到了成熟的部署应用。基于最佳实践的理念,海丰科技可以协助客户把等级保护的要求与客户实际建设需求更好地结合起来,更好地满足客户的实际安全保障需求,同时把等级保护工作落到实处。

?科学地进行投资决策

通过等保整改工作,客户可以清晰地了解本单位信息系统与对应等级的基本要求、技术要求之间的差距,明确需要在哪些方面做出改进,分析确定哪些方面是实际需要整改的重点、哪些方面是具有本行业或单位特色的保护要求,从而更有的放矢地进行信息安全建设,在符合等级保护要求的前提下,使投资决策更加科学有效。

?提高员工的安全意识,培养安全人才

在等保整改的咨询过程中,海丰科技专业人员将与客户信息安全管理人员密切合作,通过项目的实施过程,传递信息系统等级保护的知识,传递信息安全建设与整改的思路,协助客户提高管理人员、业务人员、技术人员的安全意识,培养客户自己的信息安全队伍。

地址:甘肃省兰州市城关区南滨河东路66号

电话:0931-8278968

传真:0931-8814250-8027

邮编:730000

官网:http://www.godfantasy.com/