服務范圍
風險評估范圍包括業務系統基礎架構、管理制度、使用或管理業務系統的相關人員以及由業務系統使用時所產生的文檔、數據等。
主要根據國際、國內的相關標準,從識別信息系統的資產入手,確定重要資產,針對重要資產分析其面臨的安全威脅并識別其存在的脆弱性,最后綜合評估系統的安全風險。
適用的目標客戶范圍
1. 需要了解企業安全現狀的客戶;
2. 當企業進行IT規劃設計時;
3. 在企業發生信息安全事件后,或懷疑可能會發生安全事件時;
4. 關心組織現有的信息安全控制措施是否有效時;
5. 當需要對組織安全狀況進行周期性評估,以查看是否滿足組織持續運營。
安全評估總體思路
第一階段 - 確定評估范圍階段
調查并了解用戶網絡系統業務的流程和運行環境,確定評估范圍的邊界以及范圍內的所有網絡系統;
第二階段 - 資產的識別和估價階段
對評估范圍內的所有資產進行識別,并調查資產破壞后可能造成的影響大小,根據影響的大小為資產進行相對賦值;
第三階段 - 安全威脅評估階段
即評估資產所面臨的每種威脅發生的可能性;
第四階段 - 脆弱性評估階段
包括從組織、管理、技術方面進行的脆弱程度檢查,特別是技術方面,以遠程和本地兩種方式進行系統掃描和人工檢查的評估;
第五階段 - 安全措施評估階段
對防火墻、IDS、防病毒等各種安全技術保障措施進行識別和評估;對各種管理流程中已有的安全控管措施進行識別和評估。
第六階段 - 風險的分析階段
即通過分析上面所評估的數據,進行風險值計算、區分和確認高風險因素;
第七階段 - 風險的管理階段
這一階段主要是總結整個風險評估過程,制定相關風險控制策略,建立風險評估報告,實施某些緊急風險控制措施。
服務價值
1. 了解企業信息安全現狀與所面臨的各種威脅;
2. 對企業信息安全各個層次的安全性狀況和整體安全狀況有全面具體的了解;
3. 為客戶準確地定義出管理層自上而下的信息安全目標和要求;
4. 使客戶全體得到教育和提升,并能夠遵守公司信息安全的總體策略;
5. 評估企業信息安全的指南是否符合業務標準,同時有效保障公司的業務安全,并能夠確保一致地執行;
6. 清晰的展現信息系統當前的安全現狀,提供公正、客觀、翔實的數據作為決策參考,企業可以在投資提升安全、降低風險、承受風險、轉移風險等方面做出正確的選擇。
安全滲透
服務產品內容
滲透測試是指安全顧問盡可能完整地模擬黑客使用的漏洞發現技術和攻擊手段,對目標網絡、主機、數據庫、應用的安全性作深入的探測,發現系統最脆弱的環節。滲透測試是一種沙盤推演的概念,通過實戰和推演讓用戶清晰地了解目前網絡的脆弱性以及可能造成的影響,以便采取必要的防范措施。
給客戶創造的價值
1. 用最少的代價發現IT基礎架構(網絡、主機、數據庫、應用)中的主要安全問題,從而保護核心技術、關鍵信息免受外部攻擊者盜取和破解;
2. 協助用戶發現組織中的安全最短板,協助客戶有效的了解降低風險的初始任務;
3. 信息安全是一個整體工程,有助于客戶的所有成員意識到自己的崗位可能存在的安全風險,有助于內部安全的提升性。