网络安全风险评估

随着机关单位和企业业务的发展,各项业务工作对信息系统的依赖性越来越高,随之而来的安全风险也越来越高,当发生安全问题导致系统故障后,会影响单位企业业务工作的正常开展,因此提高单位信息安全防护能力迫在眉睫。为了给信息安全规范提供科学依据,控制信息系统安全风险,使信息安全建设投入性价比最大化,需要实施信息安全风险评估。

本服务将根据单位或企业现有网络安全的风险级别,针对不同漏洞选择不同针对性的网络安全解决方案,解决现有的网络安全问题,完善业务信息网络安全系统,控制由系统漏洞、病毒、黑客攻击等原因引起的重大网络危害风险,从物理安全、网络安全、主机安全、应用安全、数据安全和管理安全(包含人员信息安全意识)六个层面分别进行风险评估和等级保护差距测评,并结合风险评估和差距测评的数据,评定当前所面临的信息安全风险的状况,确定安全需求,提出安全整改建议,为单位或企业实施安全整改提供决策依据,以提高信息安全的预警、防护水平,为各项业务顺利、稳定运行提供保障。


风险评估实施流程图


成果交付内容包括:

1. 《信息安全评估与安全管理咨询工作计划》

2. 《风险评估报告》

3. 《渗透测试报告》

4. 《漏洞扫描报告》

5. 《信息安全风险管理系统整改规划方案》

6. 《信息系统资源安全管理制度集》

7. 《等保预评测资料集》

             8.《员工信息安全意识态势报告》


信息安全风险评估基本检测项目

《信息安全技术信息安全风险评估规范(GB/T 20984-2007)》中所规定的检测项目包含但不限于以下内容,具体以“规范”为准:

1、资产边界分析

(1)分析待评估资产范围;

(2)划分内部资产子系统;

(3)对各子系统进行边界确认;

(4)确定最终资产子系统边界;

2、资产识别

(1)根据资产表格进行资产审计;

(2)分组对本地、非本地区域资产进行有效录入登记;

(3)每类资产明细需要审计资产详细配置与当前状态;

3、威胁识别

(1)从物理准入控制、机房温湿度控制、机房防尘、机房电源、接地、机房屏蔽、以及防雷、防火、防盗等多个方面进行物理威胁识别;

(2)从网络拓扑、地址分配、VLAN划分、路由协议、准入控制、访问控制等多个方面进行网络威胁识别;

(3)从系统来源、系统补丁、账号安全、密码安全、审计安全、服务安全、恶意代码防护等多方面进行系统威胁识别;

(4)从应用服务平台、数据库安全、中间件安全、代码安全、数据安全、账号安全、密码安全、审计安全等多个方面进行应用威胁识别;

(5)从组织架构、人员安全、管理规定、合规性、应用连续性要求等多个方面进行管理威胁识别。

4、脆弱性识别

(1)从物理准入控制、机房温湿度控制、机房防尘、机房电源、接地、机房屏蔽、以及防雷、防火、防盗等多个方面进行物理脆弱性识别;

(2)从系统来源、系统补丁、账号安全、密码安全、审计安全、服务安全、恶意代码防护、日常运维等多方面进行系统脆弱性识别;

(3)从网络拓扑、地址分配、VLAN划分、路由协议、准入控制、访问控制、日常运维等多个方面进行网络脆弱性识别;

(4)从应用服务平台、数据库安全、中间件安全、代码安全、账号安全、密码安全、审计安全、日常运维等多个方面进行应用脆弱性;

(5)从数据备份及恢复、应急响应、灾备与冗余等多方面进行数据脆弱性识别;

5、已有安全措施登记

(1)识别已有操作系统安全策略;

(2)识别已有应用系统安全策略;

(3)识别已有网络系统安全策略;

(4)识别已有安防系统安全策略;

(5)识别已有机房系统安全策略;

6、风险分析

(1)根据收集的用户数据进行分析,评估要素关系映射;

(2)根据评估要素关系进行风险值计算

(3)形成风险评估报告;

(4)针对风险评估报告的解决方案。

7、等保预评测

(1)推荐认定安全保护等级

(2)备案材料辅导

(3)符合等级要求的安全技术、管理体系整改

(4)协助并参与等级测评过程和进行整改

(5)协助单位授检查和进行整改

8、人员信息安全意识测评

(1)全员信息测评考试

(2)员工信息安全意识态势报告



文章分类: 产品介绍
分享到: