服务范围
风险评估范围包括业务系统基础架构、管理制度、使用或管理业务系统的相关人员以及由业务系统使用时所产生的文档、数据等。
主要根据国际、国内的相关标准,从识别信息系统的资产入手,确定重要资产,针对重要资产分析其面临的安全威胁并识别其存在的脆弱性,最后综合评估系统的安全风险。
适用的目标客户范围
1. 需要了解企业安全现状的客户;
2. 当企业进行IT规划设计时;
3. 在企业发生信息安全事件后,或怀疑可能会发生安全事件时;
4. 关心组织现有的信息安全控制措施是否有效时;
5. 当需要对组织安全状况进行周期性评估,以查看是否满足组织持续运营。
安全评估总体思路
第一阶段 - 确定评估范围阶段
调查并了解用户网络系统业务的流程和运行环境,确定评估范围的边界以及范围内的所有网络系统;
第二阶段 - 资产的识别和估价阶段
对评估范围内的所有资产进行识别,并调查资产破坏后可能造成的影响大小,根据影响的大小为资产进行相对赋值;
第三阶段 - 安全威胁评估阶段
即评估资产所面临的每种威胁发生的可能性;
第四阶段 - 脆弱性评估阶段
包括从组织、管理、技术方面进行的脆弱程度检查,特别是技术方面,以远程和本地两种方式进行系统扫描和人工检查的评估;
第五阶段 - 安全措施评估阶段
对防火墙、IDS、防病毒等各种安全技术保障措施进行识别和评估;对各种管理流程中已有的安全控管措施进行识别和评估。
第六阶段 - 风险的分析阶段
即通过分析上面所评估的数据,进行风险值计算、区分和确认高风险因素;
第七阶段 - 风险的管理阶段
这一阶段主要是总结整个风险评估过程,制定相关风险控制策略,建立风险评估报告,实施某些紧急风险控制措施。
服务价值
1. 了解企业信息安全现状与所面临的各种威胁;
2. 对企业信息安全各个层次的安全性状况和整体安全状况有全面具体的了解;
3. 为客户准确地定义出管理层自上而下的信息安全目标和要求;
4. 使客户全体得到教育和提升,并能够遵守公司信息安全的总体策略;
5. 评估企业信息安全的指南是否符合业务标准,同时有效保障公司的业务安全,并能够确保一致地执行;
6. 清晰的展现信息系统当前的安全现状,提供公正、客观、翔实的数据作为决策参考,企业可以在投资提升安全、降低风险、承受风险、转移风险等方面做出正确的选择。
安全渗透
服务产品内容
渗透测试是指安全顾问尽可能完整地模拟黑客使用的漏洞发现技术和攻击手段,对目标网络、主机、数据库、应用的安全性作深入的探测,发现系统最脆弱的环节。渗透测试是一种沙盘推演的概念,通过实战和推演让用户清晰地了解目前网络的脆弱性以及可能造成的影响,以便采取必要的防范措施。
给客户创造的价值
1. 用最少的代价发现IT基础架构(网络、主机、数据库、应用)中的主要安全问题,从而保护核心技术、关键信息免受外部攻击者盗取和破解;
2. 协助用户发现组织中的安全最短板,协助客户有效的了解降低风险的初始任务;
3. 信息安全是一个整体工程,有助于客户的所有成员意识到自己的岗位可能存在的安全风险,有助于内部安全的提升性。