您現在的位置 > 首頁 > 安全服務 > 安全評估服務

 

安全評估服務

 

  信息系統的安全風險,是指由于系統存在的脆弱性,人為或自然的威脅導緻安全事件發生所造成的影響。信息安全安全評估,則是指依據國家有關信息安全技術标準,對信息系統及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行科學評價的過程,它要評估信息系統的脆弱性、信息系統面臨的威脅以及脆弱性被威脅源利用後所産生的實際負面影響,并根據安全事件發生的可能性和負面影響的程度來識别信息系統的安全風險。

 

  信息安全安全是信息安全保障體系建立過程中的重要的評價方法和決策機制。沒有準确及時的風險評估,将使得各個機構無法對其信息安全的狀況做出準确的判斷。因此,風險評估應當成為各個機構建立信息安全保障體系的優先步驟。通過安全評估服務,客戶可以獲取以下價值:

  

  對客戶信息系統安全的各個方面的當前潛在威脅、弱點和影響進行全面的評估


  通過安全評估,能夠清晰地了解當前所面臨的安全風險,清晰地了解信息系統的安全現狀
  

  為下一步控制和降低安全風險、改善安全狀況提供客觀和翔實的依據

 

1.風險評估服務



  銥迅信息提供全面的分析評估服務以徹底檢查和分析組織的信息基礎設施,發現安全問題,以确定對信息系統采用什麼程度的安全保障力度。

 

  風險評估是對待評估對象的信息系統的影響、威脅和脆弱性進行全方位評估,歸納并總結該系統所面臨的安全風險,為後續的安全規劃和建設提供決策依據。

 

  風險評估服務包括以下主要内容:

 

  組建風險評估小組,成員包括外部評估專家、組織的信息安全負責人、IT代表、業務部門代表、管理層代表等;


  按照組織的業務運作流程來識别需要保護的信息資産,并根據估價原則對信息資産進行估價;


  弱點識别及評估,包括技術性弱點和非技術性弱點;


  對可能存在的各項威脅進行識别和評估;


  利用既定的風險評估方法,結合資産、弱點和威脅三個要素,對已識别的風險進行評估,劃分風險等級;


  識别并評估當前風險控制措施的有效性;


  建議風險處理措施和優先順序。

 

2.技術安全評估

 

  一個組織的信息系統經常會面臨内部和外部威脅的風險。随着黑客技術的日趨先進,沒有這些黑客技術的經驗與知識很難充分保護您的系統。

 

  銥迅信息利用積累的大量安全性行業經驗和最先進的漏洞掃描技術,從内部和外部兩個角度,對您的信息系統提供全面的評估。

 

  利用安全評估系統對您信息系統進行遠程或本地的技術脆弱性評估,同事針對評估系統的報告進行漏洞分析,以确保正确識别安全問題的存在并減少其發生的可能性。

 

  技術安全評估服務包括以下主要内容:

 

  搜集必要的信息,為實施掃描做好準備,相關信息包括:


  網絡拓撲結構;


  主機設備的分布和基本配置;


  IP地址分配;


  相關管理和操作人員;


  現有的相關策略;

 

  已經部署的安全控制措施(産品)。


  外部(外網)掃描,掃描内容包括(不限于): 
 

  網絡服務開放端口掃描;


  域名信息攫取;


  whois信息攫取;


  網絡、操作系統及應用程序漏洞掃描;


  Web服務器漏洞掃描;

 

  SNMP探測;


  其他掃描探測内容(包括LDAP、SQLServer、NetBIOS等)。


  内部(内網)掃描,内容包括:


  越過邊界防護措施進行開放式掃描;


  對外部掃描效果及記錄進行驗證。 
 

  重點主機及防護工具審核,内容包括:

 

  對重點系統進行基于主機的掃描和檢查;


  對現有的防護工具(防火牆、IDS)進行有效性驗證。

 

  數據分析;


  編寫并提交安全掃描報告,掃描報告應該體現:


  經過确認且經過嚴重級劃分的漏洞;


  針對每項漏洞提出的解決對策。

 

3.滲透測試評估

 

  滲透測試(PenetrationTest)是指安全滲透測試者盡可能完整地模拟黑客使用的漏洞發現技術和攻擊手段,對目标網絡/系統/主機/應用的安全性作深入的探測,發現系統最脆弱的環節的過程。

 

  不過,經用戶授權所進行的滲透測試與黑客所進行的滲透攻擊測試是有一定的區别。授權所進行的滲透測試一般不會對客戶的信息系統造成任何危害和損失,其目的隻在于從信息系統的外部發現信息系統對外所呈現出的安全脆弱性并驗證這些安全脆弱性的真實存在性,到此為止就不再進行進一步的滲透(即不進行後門植入等後續手段),并将這些所存在的脆弱性通告客戶方,這是與黑客所進行的滲透測試的區别所在。

 

  此次客戶滲透測試目的是讓用戶清晰了解目前網絡的脆弱性、可能造成的影響,以便采取必要的防範措施。不過滲透測試并不能保證發現目标網絡中的“所有”弱點,滲透測試隻能是減少風險,但是不一定能絕對避免風險,因此滲透測試不能讓系統達到絕對得安全,經過滲透測試後的系統被攻破是可能的,也是正常的。因此,滲透測試隻是檢測信息系統安全的一種方式,要保障系統的安全需要采取綜合性的安全保障措施,才能使信息系統的安全達到較高的程度。

 

  從滲透測試中,客戶能夠得到的收益至少有:

 

  滲透測試可幫助客戶發現其互聯網系統的安全最短闆,協助客戶有效地了解目前降低風險的初始任務;


  滲透測試報告有助于客戶管理者以案例形式說明目前互聯網系統的安全現狀,從而增強客戶信息安全的認知程度,甚至提高客戶在安全方面的預算;


   信息安全是一個整體工程,滲透測試還有助于客戶中的所有成員意識到自己的崗位同樣可能提高或降低風險,有助于内部安全的提升。