首頁|退出
  分類導航
在線殺毒 手動殺毒
遠程檢測 本地檢測
安全應急處置 系統補丁下載
司法鑒定 安全風險評估
相關標準 網絡安全建設
安全等級保護評估
網吧綜合業務  
數據異地備份  
DDOS防范處理  
安全企業郵箱  
   

 1:背景知識
    隨著我國信息化的不斷推進,國民經濟和社會發展對網絡和信息系統的依賴性越來越緊密,信息安全對國家經濟、政治、文化和軍事安全等方面的潛在影響力在逐步增大。國際上圍繞信息獲取、利用和控制的斗爭日趨激烈,新技術應用越來越多,信息安全面臨的問題將越來越復雜,信息安全保障的難度也會越來越大。如何以新的思路、新的機制和新的方法加強信息安全工作,主動應對挑戰、系統防范風險,保障信息化持續、健康發展,維護國家和社會穩定,是當前擺在我們面前重要而緊迫的戰略性課題。
信息安全保障的本質是風險管理,信息安全風險和事件不可能完全避免,關鍵在于如何控制、化解和規避。信息安全風險評估就是從風險管理的角度,運用科學的方法和手段,全面檢測網絡和信息系統存在的脆弱性,系統分析和評估安全防護水平,從而有針對性地提出抵御威脅的防護對策和整改措施,將風險控制在可接受的水平,最大限度地達到保障網絡和信息安全的目的。


信息安全風險評估流程 
   風險評估包括系統調研、資產識別、威脅分析、脆弱性識別(包括現有控制措施確認)、風險綜合分析以及風險控制計劃六個階段,其中脆弱性識別又具體分為物理環境安全、網絡安全、系統軟件安全、應用信息保護、運行安全、安全管理體系等6個方面的內容。
    系統調研是熟悉和了解組織和系統的基本情況,對組織IT戰略,業務目標、業務類型和業務流程以及所依賴的信息系統基礎架構的基本狀況和安全需求等進行調研和診斷。
    資產識別主要參照ISO/IEC 17799的要求,圍繞組織IT業務流程對信息系統的IT資產進行識別,包括對主要的硬件、軟件和數據信息進行信息收集、分類、統計,形成資產列表;綜合組織不同層面(管理層、中層、一般員工)對資產重要性的認識和業務信息流分析,對資產價值進行分級標識,確定重要資產列表。
    安全威脅分析主要針對已識別的系統重要資產,根據IT業務目標、模式、流程,信息系統基礎架構、網絡拓撲與邊界等,從網絡訪問者、物理訪問者、系統問題、自然災害、其他問題五種威脅來源,同時區分非人力因素(自然因素)、管理因素、授權人員、非授權人員的原因,分析重要資產面臨的威脅,對威脅的嚴重性(影響)進行分級標識。
    脆弱性識別主要針對信息系統重要資產面臨的威脅來源,從物理層、網絡層、系統層、應用層、管理層五個方面分別識別系統的安全薄弱點。物理層包括機房與設施安全、機房控制、環境與人員安全;網絡層主要對網絡拓撲結構、網絡隔離與邊界控制、主要網絡設備安全配置、網絡通信與傳輸安全等進行分析;系統層評估的對象是針對重要服務器操作系統及部分終端操作系統、數據庫服務器系統;應用層從典型應用系統的信息流出發,評估信息處理流程中的各類安全機制;管理層主要針對現有的業務流程、策略文檔進行評審,從運行控制、管理制度等方面評估系統的保障措施。綜合上述各個層面的評估結果,對系統各主要資產的脆弱性被威脅利用的可能性和影響性進行分析,為安全風險評估提供重要依據。
    根據對系統資產識別,威脅分析,脆弱性評估的情況及收集的數據,定性和定量地評估系統安全現狀及風險狀況,評價現有保障措施的運行效能及對風險的抵御程度。并結合系統的IT戰略和業務連續性目標,確定系統不可接受風險范圍。
    最后,針對風險評估中識別的安全風險,特別是不可接受風險,制定風險控制和處理計劃,選擇有效的風險控制措施將殘余風險控制在可接受范圍內。

商務洽談階段:                              
                           項目跟蹤及客戶需求
                           編制方案及合同
                           方案審核
                           合同審核及登記
                           確定項目負責人
實施階段:                                                 
                           項目啟動及計劃
                           現場診斷 
                           資產劃分
                           威脅分析
                           脆弱性識別
                           風險綜合分析
                           風險控制計劃
                           風險評估報告
收尾階段:      
                            項目總結交流
                            項目文件歸檔


 一、領先的檢測技術
(一)完備的常規檢測手段
1、物理安全性檢測。主要是指對場所環境、電磁環境、網絡布線、設備和媒體介質等方面的安全性檢測。
2、網絡安全性檢測。主要是指對網絡的設備、結構、交換和網管系統以及安全防護系統等方面的安全性檢測。
3、系統安全性檢測。主要是指對操作系統和數據庫系統等方面的安全性檢測。
4、應用安全性檢測。主要是指對網絡一般應用服務系統和專業應用服務系統的安全性檢測。
5、管理安全性檢測。主要是指對信息系統技術管理、行政管理、運行管理等方面的安全性檢測。
(二)特有的深度檢測手段
6、密碼安全性檢測。主要是指對認證、算法、密鑰管理、安全協議等密碼方面的安全性檢測。
7、遠程滲透性驗證。主要是指對網絡與信息系統可能存在的漏洞和缺陷實施本地或遠程滲透性驗證。
此外,本中心還擁有硬件(智能卡、板卡、芯片)安全性檢測、無線局域網安全性檢測、電磁泄漏安全性檢測、移動通信安全性檢測等特殊的檢測手段。
二、先進的評估模式
依據國家相關法規標準,借鑒國內外評估技術,我們建立了一套實用的動態檢測與靜態評估相結合、定量計算與定性分析相結合、常規手段與深度檢測相結合的綜合性風險評估模式。
三、科學的技術規范
為了保證信息安全風險評估的科學性、客觀性、規范性,中心根據在實踐中積累的經驗,將檢測評估工作逐項分解,全部工作表格化、制式化、責任化和程序化,形成了一套科學的技術規范。
四、嚴格的管理制度
本著對被評估單位負責的精神,公司建立了一套嚴格的評估管理制度,如:檢測設備,進場前實施安全性自測,進場后由被評估方驗測;檢測人員,在檢測過程中實施封閉化管理;檢測項目,均須征得被評估方同意;檢測文檔,登記造冊,專人管理,確保被評估信息系統的安全。
五、雄厚的技術力量
公司現有專業技術人員30余人,是一支可靠、作風過硬、技術精湛的專業團隊。
六、優質的技術服務
本著“服務至上、誠信為本”的宗旨,公司竭誠為用戶提供優質、安全、可靠的信息安全風險評估服務。


受理表單后,24小時內將與客戶進行確認或預約上門服務

技術支持:  深圳市計算機安全應急服務中心
廣東安證計算機司法鑒定所
版權所有 2008-2009 © 中國網絡安全保障服務網 All Right Reserved
粵ICP備09101699號-1  

粵公網安備 44030502000970號

   
31选7中奖规则及奖金