參照國際風險評估安全要素提取慣例和標準,調查分析用戶的已有策略,從管理、制度、落實情況、物理安全、人員安全、第三方安全等等各方面來評估分析。調查業務流程,并對信息資產進行賦值和等級劃分;結合工具掃描、人工評估對系統、網絡、數據庫以及管理制度進行安全性評估,最終完成信息安全風險報告。具體內容包括:
策略制度調查分析
策略制度調查是便于分析用于已經形成的安全策略是否能滿足符合實際的需求,同時形成策略的同時我們也會充分的分析其策略的有效落實情況。包括以下內容:
>>現有安全策略文檔分析
>>人員訪談&調查問卷
>>策略貫徹執行情況調查
>>安全管理策略調整
安全需求分析
分析企業安全風險的最佳方法是定期的進行信息安全的風險評估。安全需求分析可以幫助諧潤科技了解,和評估客戶的企業財產可能會遇到的風險。要建立一個安全的防護體系,第一步就是要了解這些風險。
資產調查分析
風險評估首先要了解自己企業里各項資產的作用,更據各設計信息的資產的重要程度不同,功能不同形式不同來進行分類。這對精確的評估風險的潛在影響是很必要有的。諧潤科技將根據客戶提供的資產列表,結合安全需求分析報告對其進行有序的分類及分級。
資產清單能幫助客戶確保對資產實施有效的保護,也可以用于其它商業目的,如上市、金融保險等(資產評估)。編輯資產清單的過程是資產評估的一個重要方面。諧潤科技將協助客戶確定其資產及其相對價值和重要性。利用以上信息,根據資產的重要性和價值提供相應級別的保護。應該為每個信息系統的關聯資產草擬并保存一份清單。
資源評估的主要類別與信息系統相關聯的資產示例有:
>>信息資產:數據庫和數據文件、系統文檔、用戶手冊、培訓材料、操作或支持步驟、連續性計劃、退守計劃、歸檔信息;
>>軟件資產:應用程序軟件、系統軟件、開發工具以及實用程序;
>>物質資產:計算機設備(處理器、監視器、膝上型電腦、調制解調器)、通訊設備(路由器、PABX、傳真機、應答機)、磁介質(磁帶和磁盤)、其它技術設備(電源 、空調器)、家具、機房等;
>>其他設備:計算和通訊服務、常用設備,如后備電源、照明設備、電源、空調等。
業務系統分析
業務系統安全評估的目標是全方位的提供一個業務系統中的安全可見性,業務系統安全評估不僅僅是對網絡、主機和已采用安全產品的評估,還包括客戶或者第三方為客戶業務開發的應用系統的安全評估,及在該業務系統內的操作和管理的安全評估等幾個方面,客觀綜合地反應客戶業務系統安全現狀,指出對客戶業務系統存在的安全風險,并提出全面的解決方案。
業務系統評估包括:
>>業務系統的基礎IT設施評估
>>應用平臺規劃設計階段
>>應用系統開發、測試階段
>>應用系統操作和管理安全
>>業務系統的數據流安全
網絡架構分析
工具掃描分析網絡脆弱性分析將依據諧潤科技的網絡安全評估工具及人工檢測的方式,通過工程師的綜合分析發現網絡的脆弱性,其包括防火墻設備、路由設備等其他網關設備的策略配置分析。其包括:
>>模擬入侵測試分析
>>脆弱性測試分析
>>工具測試分析
>>未知攻擊風險分析
弱點評估分析
諧潤科技的安全顧問使用網絡安全評估工具及人工檢測的方式,通過工程師的綜合分析發現各類Windows/Unix主機的脆弱性,分析并確定主機系統的弱點。其包括:
>>模擬入侵測試分析
>>脆弱性測試分析
>>工具測試分析
>>未知攻擊風險分析
數據庫安全審計
通過制定數據庫方面規范統一的安全基準,發現數據庫系統存在的脆弱點,通過推行數據庫安全策略文檔來加強數據庫系統的安全性,保護數據庫系統的數據完整性、保密性與可靠性。
白客滲透測試
滲透測試服務用于驗證在當前的安全防護措施下網絡、系統抵抗黑客攻擊的能力。諧潤科技滲透測試小組利用各種主流的攻擊技術對網絡、系統做模擬攻擊測試,以發現網絡、系統中存在的安全漏洞和風險點。
企業、組織根據測試的結果遵循安全策略制定適合的、不同優先級別的安全防護措施。諧潤科技滲透測試服務是經過授權的,也是有時間限制的。
滲透測試服務主要包括如下內容:
>>敏感業務系統測試–針對客戶敏感業務系統(辦公系統、生產系統等)進行滲透測試。
>>現有安全系統測試–針對客戶現有安全系統(防火墻、專有訪問控制系統等)進行滲透測試。
安全等級劃分
確定信息系統的安全保護等級,是建設符合安全等級保護要求的信息系統,實施信息系統安全等級保護的基礎。確定信息系統安全保護等級的基本步驟包括根據業務類別劃分信息系統或子系統、分析信息系統或子系統承載業務的重要性和業務對信息系統或子系統的依賴性、確定信息系統或子系統安全保護等級以及對安全保護等級的調整,基本流程如下。
第一步:識別信息系統/子系統
信息系統或子系統識別的目標是確定進行不同安全保護要求的單元,從而確定它們的安全保護等級。
第二步:分析信息系統承載業務重要性和業務對系統依賴度
信息系統或子系統承載業務重要性和業務對信息系統或子系統依賴度主要分析信息系統承載的業務及數據的特性,確定影響信息系統的主要因素,提出信息系統或子系統的安全保護需求。不同的信息系統或子系統由于承載的業務和數據不同,其遭到破壞后帶來的損失和產生的影響不同,應在第一步工作的基礎上,依次分析劃分后的信息系統或子系統承載的業務特性,對影響信息系統或子系統等級的主要因素進行賦值,并對多項賦值進行分析,得到最終合理的賦值結果,正確反映信息系統或子系統的安全保護需求和影響范圍。
第三步:確定信息系統/子系統安全保護等級
根據對影響等級的重要因素的賦值,得到信息系統或子系統的業務數據安全性要求和業務處理連續性要求,確定業務數據安全性等級和業務處理連續性等級,依據業務數據安全性等級和業務處理連續性等級最終確定信息系統或子系統的安全保護等級。
第四步:安全保護等級的調整
安全保護等級調整的目標是為信息系統的決策者或上級主管部門根據系統的特殊需求,對第三步確定的信息系統或子系統的安全保護等級進行調整提供指導。等級調整后,應重新分析信息系統/子系統承載業務重要性和業務對信息系統/子系統依賴性,重新確定信息系統的業務數據安全等級和業務處理連續性等級,從而確定信息系統的安全保護要求的組合。