安全評估及滲透測試-

市場需求
參考標(biāo)準(zhǔn)
評估內(nèi)容
交付產(chǎn)物
適用群體
客戶收益

市場需求

在信息系統(tǒng)上線階段，由于部分機(jī)構(gòu)僅注重系統(tǒng)功能和性能測試，對安全方面沒有進(jìn)行安全評估測試，導(dǎo)致信息系統(tǒng)帶著安全風(fēng)險上線部署運行，給后期運維和機(jī)構(gòu)業(yè)務(wù)開展帶來風(fēng)險。因此，目前國內(nèi)重要行業(yè)、重要企業(yè)和機(jī)構(gòu)的信息系統(tǒng)上線時，有關(guān)監(jiān)管機(jī)構(gòu)以及企業(yè)內(nèi)的IT部門，都要求進(jìn)行上線前的安全評估，通過后才能部署運行。

在信息系統(tǒng)運行階段，各類機(jī)構(gòu)中也存在著大量信息系統(tǒng)及其賴以運行的基礎(chǔ)網(wǎng)絡(luò)、處理的數(shù)據(jù)和信息，由于其可能存在的技術(shù)漏洞和脆弱性，以及信息安全管理中潛在的薄弱環(huán)節(jié)，從而導(dǎo)致不同程度的信息安全風(fēng)險。引起機(jī)構(gòu)業(yè)務(wù)風(fēng)險和聲譽的降低。因此，機(jī)構(gòu)需要定期進(jìn)行信息安全風(fēng)險評估，并及時開展風(fēng)險處置。

安全評估是信息系統(tǒng)安全的基礎(chǔ)性工作。它是傳統(tǒng)的風(fēng)險理論和方法在信息系統(tǒng)中的運用，能夠科學(xué)地分析和理解信息與信息系統(tǒng)在保密性、完整性、可用性等方面所面臨的風(fēng)險，并在風(fēng)險的減少、轉(zhuǎn)移和規(guī)避等風(fēng)險控制方法之間做出決策的過程。

安全評估將導(dǎo)出信息系統(tǒng)的安全需求。持續(xù)的安全評估工作成為檢查信息系統(tǒng)本身安全保密狀況的有力手段，并通過行政手段對信息系統(tǒng)產(chǎn)生積極影響，促進(jìn)企業(yè)加強(qiáng)信息安全建設(shè)。

參考標(biāo)準(zhǔn)

《信息安全技術(shù) 信息安全風(fēng)險評估方法》

GB/T 31509-2015《信息安全技術(shù)信息安全風(fēng)險評估實施指南》

評估內(nèi)容

分析準(zhǔn)備階段
確定項目評估范圍，調(diào)研客戶管理制度、主要業(yè)務(wù)系統(tǒng)和業(yè)務(wù)系統(tǒng)功能、網(wǎng)絡(luò)結(jié)構(gòu)與網(wǎng)絡(luò)環(huán)境。
現(xiàn)狀評估階段
通過信息系統(tǒng)資產(chǎn)識別，調(diào)研已有安全措施，確立組織的安全策略等活動，對信息系統(tǒng)進(jìn)行詳細(xì)的全面摸底，并完成信息資產(chǎn)列表和資產(chǎn)價值賦值。
威脅評估
從物理、網(wǎng)絡(luò)、主機(jī)、數(shù)據(jù)、應(yīng)用五個層面分析信息資產(chǎn)可能面臨的威脅及手段，評估威脅產(chǎn)生的范圍和影響力，并進(jìn)行賦值分析和列表。
脆弱性評估
面向信息資產(chǎn)，采用諸如安全訪談與檢查、系統(tǒng)漏洞掃描、WEB漏洞掃描、系統(tǒng)安全配置參數(shù)核查等多種脆弱性發(fā)現(xiàn)技術(shù)，充分發(fā)現(xiàn)信息系統(tǒng)的技術(shù)弱點、行為弱點和管理弱點，并進(jìn)行專家解讀和賦值，形成信息資產(chǎn)脆弱性清單和脆弱性賦值。
風(fēng)險分析階段
通過量化信息資產(chǎn)價值、脆弱性和威脅，采用標(biāo)準(zhǔn)風(fēng)險度量計算方法計算風(fēng)險，并根據(jù)風(fēng)險量化值分級排序，獲得信息系統(tǒng)風(fēng)險等級清單，進(jìn)行信息安全風(fēng)險象限分析。
風(fēng)險處置階段
在充分認(rèn)知和度量信息系統(tǒng)風(fēng)險的基礎(chǔ)上，結(jié)合經(jīng)驗分析，形成權(quán)威的安全評估報告，并對信息系統(tǒng)的風(fēng)險處置給出專家意見。

交付產(chǎn)物

《信息系統(tǒng)資產(chǎn)賦值表》《信息資產(chǎn)威脅列表》《信息資產(chǎn)脆弱性列表》《漏洞掃描分析報告》《滲透測試分析報告》《信息安全風(fēng)險評估報告》《信息安全風(fēng)險處置計劃》

適用群體

新建信息系統(tǒng)上線時，需了解安全狀態(tài)是否符合預(yù)期；
需要第三方評估報告證明自身安全建設(shè)有效性；
需要對信息系統(tǒng)安全水平進(jìn)行專家診斷，識別梳理信息資產(chǎn)、了解安全現(xiàn)狀和風(fēng)險、與主流通用標(biāo)準(zhǔn)、先進(jìn)安全技術(shù)是否具有差距性、獲得安全風(fēng)險規(guī)避措施建議。

客戶收益

信息系統(tǒng)安全防護(hù)獲得專家級診斷，充分認(rèn)知信息安全現(xiàn)狀
全面梳理和摸底信息資產(chǎn)，得到詳細(xì)信息資產(chǎn)列表、重要程度評價和賦值
掌握信息安全面臨威脅、存在的脆弱性和風(fēng)險
獲得信息安全風(fēng)險處置建議
獲得權(quán)威第三方公平、公證的信息系統(tǒng)安全評估報告

市場需求
評估內(nèi)容
用戶收益

市場需求

目前，大部分的機(jī)構(gòu)都針對信息安全采取了防護(hù)措施，但是這些措施到底是否真實有效，機(jī)構(gòu)中的信息安全工作人員很難做出正確評估，迫切需要通過滲透測試，獨立檢測機(jī)構(gòu)中信息安全策略的正確性和信息系統(tǒng)及基礎(chǔ)環(huán)境的風(fēng)險，幫助用戶對目前機(jī)構(gòu)中的網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用的缺陷有相對直觀的認(rèn)識和了解，并提供有價值的測試報告，提供給管理層評估。

評估內(nèi)容

滲透測試需要服務(wù)人員盡可能完整的模擬黑客使用的漏洞發(fā)現(xiàn)技術(shù)和攻擊手段，從攻擊者的角度對目標(biāo)網(wǎng)絡(luò)、系統(tǒng)、主機(jī)應(yīng)用的安全性作為深入的非破壞性的探測，發(fā)現(xiàn)系統(tǒng)最脆弱的環(huán)節(jié)。滲透測試能夠以非常明顯、直觀的結(jié)果反映出系統(tǒng)的安全現(xiàn)狀，其目的是能夠讓管理人員直觀的了解自己網(wǎng)絡(luò)和系統(tǒng)所面臨的問題。

網(wǎng)絡(luò)方面
針對該系統(tǒng)所在網(wǎng)絡(luò)層進(jìn)行網(wǎng)絡(luò)拓?fù)涞奶綔y、路由測試、防火墻規(guī)則試探、規(guī)避測試、入侵檢測規(guī)則試探、規(guī)避測試、無線網(wǎng)安全、不同網(wǎng)段Vlan之間的滲透、端口掃描等存在漏洞的發(fā)現(xiàn)和通過漏洞利用來驗證此種威脅可能帶來的損失或后果，并提供避免或防范此類威脅、風(fēng)險或漏洞的具體改進(jìn)或加固措施。
了解更多
系統(tǒng)方面
通過采用適當(dāng)?shù)臏y試手段，發(fā)現(xiàn)測試目標(biāo)在系統(tǒng)識別、服務(wù)識別、身份認(rèn)證、數(shù)據(jù)庫接口模塊、系統(tǒng)漏洞檢測以及驗證等方面存在的安全隱患，并給出該種隱患可能帶來的損失或后果，并提供避免或防范此類威脅、風(fēng)險或漏洞的具體改進(jìn)或加固措施。
了解更多
應(yīng)用方面
通過采用適當(dāng)測試手段，發(fā)現(xiàn)測試目標(biāo)在系統(tǒng)認(rèn)證及授權(quán)、代碼審查、被信任系統(tǒng)的測試、文件接口模塊、應(yīng)急流程測試、信息安全、報警響應(yīng)等方面存在的安全漏洞,演示再現(xiàn)利用該漏洞可能造成的客戶資金損失，提供避免或防范此類威脅、風(fēng)險或漏洞的具體改進(jìn)或加固措施。
了解更多
實施準(zhǔn)備
1、滲透測試方案及計劃;
2、滲透測試方案的風(fēng)險規(guī)避。
信息搜集
1、域名及IP分布;
2、網(wǎng)絡(luò)拓?fù)?、設(shè)備及操作系統(tǒng);
3、端口及服務(wù);
4、應(yīng)用系統(tǒng)情況;
5、最新漏洞情況;
6、其他信息。
滲透實施
1、獲取目標(biāo)系統(tǒng)權(quán)限;
2、利用漏洞或后門木馬植入，獲取控制;
3、跳板滲透，進(jìn)一步擴(kuò)展攻擊成果;
4、獲取敏感信息數(shù)據(jù)和資源。

用戶收益

專業(yè)的保障團(tuán)隊
協(xié)助用戶發(fā)現(xiàn)信息系統(tǒng)中存在的安全弱點，協(xié)助企業(yè)有效的了解降低安全風(fēng)險的重點和要點工作
檢測機(jī)制全面
有效的、有公信力的滲透測試報告，有助于企業(yè)或部門增強(qiáng)信息安全工作的整體認(rèn)知程度，提升企業(yè)形象