1.1 信息安全风险评估
在信息系统建设完毕竣工验收前,邀请具有相关资质的第三方评测机构,对系统信息安全风险进行评估。分析信息系统及其处理、传输和存储的信息的保密性、完整性和可用性等安全属性所面临的威胁及其存在的脆弱性;评估资产面临的威胁以及利用脆弱性导致安全事件的可能性;结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响,提出有针对性的抵御威胁的防护对策和整改措施,防范和化解信息安全风险,将风险控制在可接受的水平,并为项目的整体竣工验收及后续的审计工作提供依据。
适用客户:政府、事业单位、国企、监理单位
报告类型:《信息安全风险评估报告》
依据标准:
《中华人民共和国网络安全法》
国家发改委第55号令《国家信息工程建设和项目管理暂行办法》
国办函2016108号《国务院办公厅关于印发"互联网+政务服务"技术体系建设指南》
GB/T30850《信息标准化指南》
GB/T20984-2007《信息安全技术 信息安全风险评估规范》
GB/T31509-2015《信息安全技术 信息安全风险评估实施指南》
1.2 信息安全专项服务
1.2.1 安全咨询服务
综合开展包括信息安全策略体系建设、信息安全组织体系建设、信息安全制度流程制定、信息安全标准指南制定。为提高现有及新系统的自身安全健壮性,在系统上线、更新及后续规划前,综合各类评估及测评的安全检查结果,发现系统安全的不足,提供整改及安全保障体系建设意见,并监督安全集成、整改过程中的各类方案和对产品选型提供建议。
1.2.2 安全运维服务
服务器及存储设备运维服务对象:机架服务器、刀片服务器、磁带库、存储设备、光纤交换机。
网络及安全设备维护运维服务对象:负载均衡、防病毒软件、IDS入侵检测设备、VPN接入设备、防火墙、Web防火墙、其他安全设备、交换设备、网络链路。
机房环境维护运维服务对象:KVM、空调系统、市电供配电系统、应急供电系统、UPS系统、消防系统、安全系统。
1.2.3 漏洞扫描服务
利用漏洞扫描工具对网络、操作系统、数据库及web系统等进行检查,发现其存在的安全漏洞,并针对发现的各种漏洞提出针对性的整改建议。
1.2.4 渗透测试服务
在获得客户授权的情况下,模拟黑客可能使用的漏洞发现技术和攻击技术,对目标系统进行攻击测试,以发现目标系统中存在的漏洞并直观地显示给用户,同时提出整改建议。
1.2.5 配置核查服务
对操作系统、数据库、应用软件、网络设备、防火墙等设备的配置进行核查,检查配置上存在的安全漏洞,针对各种错误配置提出整改方案。
1.2.6 代码审查服务
采用人工审核和静态分析工具的方法寻找代码在架构和编码上的安全缺陷,并提供改进建议,以在系统上线时将安全风险控制在可接受的程度。