参照国际风险评估安全要素提取惯例和标准,调查分析用户的已有策略,从管理、制度、落实情况、物理安全、人员安全、第三方安全等等各方面来评估分析。调查业务流程,并对信息资产进行赋值和等级划分;结合工具扫描、人工评估对系统、网络、数据库以及管理制度进行安全性评估,最终完成信息安全风险报告。具体内容包括:

aaa

策略制度调查分析
策略制度调查是便于分析用于已经形成的安全策略是否能满足符合实际的需求,同时形成策略的同时我们也会充分的分析其策略的有效落实情况。包括以下内容:
>>现有安全策略文档分析
>>人员访谈&调查问卷
>>策略贯彻执行情况调查
>>安全管理策略调整

安全需求分析
分析企业安全风险的最佳方法是定期的进行信息安全的风险评估。安全需求分析可以帮助谐润科技了解,和评估客户的企业财产可能会遇到的风险。要建立一个安全的防护体系,第一步就是要了解这些风险。

资产调查分析
风险评估首先要了解自己企业里各项资产的作用,更据各设计信息的资产的重要程度不同,功能不同形式不同来进行分类。这对精确的评估风险的潜在影响是很必要有的。谐润科技将根据客户提供的资产列表,结合安全需求分析报告对其进行有序的分类及分级。
资产清单能帮助客户确保对资产实施有效的保护,也可以用于其它商业目的,如上市、金融保险等(资产评估)。编辑资产清单的过程是资产评估的一个重要方面。谐润科技将协助客户确定其资产及其相对价值和重要性。利用以上信息,根据资产的重要性和价值提供相应级别的保护。应该为每个信息系统的关联资产草拟并保存一份清单。
资源评估的主要类别与信息系统相关联的资产示例有:
>>信息资产:数据库和数据文件、系统文档、用户手册、培训材料、操作或支持步骤、连续性计划、退守计划、归档信息;
>>软件资产:应用程序软件、系统软件、开发工具以及实用程序;
>>物质资产:计算机设备(处理器、监视器、膝上型电脑、调制解调器)、通讯设备(路由器、PABX、传真机、应答机)、磁介质(磁带和磁盘)、其它技术设备(电源 、空调器)、家具、机房等;
>>其他设备:计算和通讯服务、常用设备,如后备电源、照明设备、电源、空调等。

业务系统分析
业务系统安全评估的目标是全方位的提供一个业务系统中的安全可见性,业务系统安全评估不仅仅是对网络、主机和已采用安全产品的评估,还包括客户或者第三方为客户业务开发的应用系统的安全评估,及在该业务系统内的操作和管理的安全评估等几个方面,客观综合地反应客户业务系统安全现状,指出对客户业务系统存在的安全风险,并提出全面的解决方案。
业务系统评估包括:
>>业务系统的基础IT设施评估
>>应用平台规划设计阶段
>>应用系统开发、测试阶段
>>应用系统操作和管理安全
>>业务系统的数据流安全

网络架构分析
工具扫描分析网络脆弱性分析将依据谐润科技的网络安全评估工具及人工检测的方式,通过工程师的综合分析发现网络的脆弱性,其包括防火墙设备、路由设备等其他网关设备的策略配置分析。其包括:
>>模拟入侵测试分析
>>脆弱性测试分析
>>工具测试分析
>>未知攻击风险分析

弱点评估分析
谐润科技的安全顾问使用网络安全评估工具及人工检测的方式,通过工程师的综合分析发现各类Windows/Unix主机的脆弱性,分析并确定主机系统的弱点。其包括:
>>模拟入侵测试分析
>>脆弱性测试分析
>>工具测试分析
>>未知攻击风险分析

数据库安全审计
通过制定数据库方面规范统一的安全基准,发现数据库系统存在的脆弱点,通过推行数据库安全策略文档来加强数据库系统的安全性,保护数据库系统的数据完整性、保密性与可靠性。

白客渗透测试
渗透测试服务用于验证在当前的安全防护措施下网络、系统抵抗黑客攻击的能力。谐润科技渗透测试小组利用各种主流的攻击技术对网络、系统做模拟攻击测试,以发现网络、系统中存在的安全漏洞和风险点。
企业、组织根据测试的结果遵循安全策略制定适合的、不同优先级别的安全防护措施。谐润科技渗透测试服务是经过授权的,也是有时间限制的。
渗透测试服务主要包括如下内容:
>>敏感业务系统测试–针对客户敏感业务系统(办公系统、生产系统等)进行渗透测试。
>>现有安全系统测试–针对客户现有安全系统(防火墙、专有访问控制系统等)进行渗透测试。

安全等级划分
确定信息系统的安全保护等级,是建设符合安全等级保护要求的信息系统,实施信息系统安全等级保护的基础。确定信息系统安全保护等级的基本步骤包括根据业务类别划分信息系统或子系统、分析信息系统或子系统承载业务的重要性和业务对信息系统或子系统的依赖性、确定信息系统或子系统安全保护等级以及对安全保护等级的调整,基本流程如下。

aaa1

第一步:识别信息系统/子系统
信息系统或子系统识别的目标是确定进行不同安全保护要求的单元,从而确定它们的安全保护等级。
第二步:分析信息系统承载业务重要性和业务对系统依赖度
信息系统或子系统承载业务重要性和业务对信息系统或子系统依赖度主要分析信息系统承载的业务及数据的特性,确定影响信息系统的主要因素,提出信息系统或子系统的安全保护需求。不同的信息系统或子系统由于承载的业务和数据不同,其遭到破坏后带来的损失和产生的影响不同,应在第一步工作的基础上,依次分析划分后的信息系统或子系统承载的业务特性,对影响信息系统或子系统等级的主要因素进行赋值,并对多项赋值进行分析,得到最终合理的赋值结果,正确反映信息系统或子系统的安全保护需求和影响范围。
第三步:确定信息系统/子系统安全保护等级
根据对影响等级的重要因素的赋值,得到信息系统或子系统的业务数据安全性要求和业务处理连续性要求,确定业务数据安全性等级和业务处理连续性等级,依据业务数据安全性等级和业务处理连续性等级最终确定信息系统或子系统的安全保护等级。
第四步:安全保护等级的调整
安全保护等级调整的目标是为信息系统的决策者或上级主管部门根据系统的特殊需求,对第三步确定的信息系统或子系统的安全保护等级进行调整提供指导。等级调整后,应重新分析信息系统/子系统承载业务重要性和业务对信息系统/子系统依赖性,重新确定信息系统的业务数据安全等级和业务处理连续性等级,从而确定信息系统的安全保护要求的组合。

版权所有 Copyright(C)2007-2015 上海谐润网络信息技术有限公司