网络安全最终是技术的安全,管理的安全,而不是产品的安全。产品只是安全的基础和技术手段,“人”是安全及安全运维的关键,需要网络安全人员对其进行利用和完善,才能达到真正的“安全”。
安全服务
风险评估服务
服务介绍
信息安全风险评估就是对组织信息系统安全现状,运用科学的方法和手段,系统地分析待评估信息系统所面临的威胁和及其脆弱性等方面的问题,评估安全事件一旦发生可能造成的危害程度,并提出有针对性的抵御威胁的防护对策和整改措施,以此来防范和规避信息安全风险,为最大限度地保障信息安全提供科学依据。
服务内容
信息系统资产调研
信息系统基本情况调研
信息资产收集、梳理、分类
信息资产重要性程度赋值
风险识别
识别分析威胁及风险来源、方式及可能性
评估信息资产面临威胁及风险的严重程度并赋值
脆弱性评估
通过访谈调研、人工审计、工具扫描的方式对技术与管理进行评估
风险分析
确认已有安全控制措施及其有效性
根据信息资产重要性程度、脆弱性、威胁性确定信息系统风险等级
风险处置
评估信息系统面临的残余风险
提出风险处置建议,以控制或降低风险等级
输出产物
《资产赋值识别清单》《系统脆弱性评估报告》《威胁评估报告》《风险分析及处置报告》
服务价值
- ✔ 梳理企业资产,分析系统漏洞,明确系统存在的风险
- ✔ 有助于提升系统安全性能,大大降低被攻击的危险
- ✔ 指导安全建设,节约资金、人力、时间
服务流程
STEP 1
评估准备
1.项目成员、工具包、访谈表单、流程;
2.制定风险评估方案;
3.了解应用系统、主机、数据库、网络环境、安全设备、组织架构、管理制度等。
STEP 2
技术评估
1.漏扫评估:对主机、网络设备、数据库、中间件;
2.应用评估:安全功能、日常维护;
3.渗透测试:业务系统、APP程序、微信小程序。
STEP 3
管理评估
1.技术管理评估:物理环境、通信与操作管理、访问控制、系统开发与维护、业务连续性;
2.组织管理评估:安全策略、组织安全、资产分类与控制、人员安全、符合性。
STEP 4
评估报告
1.列出在风险评估工作中,发现的重要资产分布、脆弱性分布及综合威胁分布;
2.详细描述发现的安全风险现状及评估分析结果;
3.提出相关风险控制方案,为之后的加固整改提出合理化建议。