參照國際風(fēng)險評估安全要素提取慣例和標(biāo)準(zhǔn),調(diào)查分析用戶的已有策略,從管理、制度、落實情況、物理安全、人員安全、第三方安全等等各方面來評估分析。調(diào)查業(yè)務(wù)流程,并對信息資產(chǎn)進(jìn)行賦值和等級劃分;結(jié)合工具掃描、人工評估對系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)庫以及管理制度進(jìn)行安全性評估,最終完成信息安全風(fēng)險報告。具體內(nèi)容包括:
策略制度調(diào)查分析
策略制度調(diào)查是便于分析用于已經(jīng)形成的安全策略是否能滿足符合實際的需求,同時形成策略的同時我們也會充分的分析其策略的有效落實情況。包括以下內(nèi)容:
>>現(xiàn)有安全策略文檔分析
>>人員訪談&調(diào)查問卷
>>策略貫徹執(zhí)行情況調(diào)查
>>安全管理策略調(diào)整
安全需求分析
分析企業(yè)安全風(fēng)險的最佳方法是定期的進(jìn)行信息安全的風(fēng)險評估。安全需求分析可以幫助諧潤科技了解,和評估客戶的企業(yè)財產(chǎn)可能會遇到的風(fēng)險。要建立一個安全的防護(hù)體系,第一步就是要了解這些風(fēng)險。
資產(chǎn)調(diào)查分析
風(fēng)險評估首先要了解自己企業(yè)里各項資產(chǎn)的作用,更據(jù)各設(shè)計信息的資產(chǎn)的重要程度不同,功能不同形式不同來進(jìn)行分類。這對精確的評估風(fēng)險的潛在影響是很必要有的。諧潤科技將根據(jù)客戶提供的資產(chǎn)列表,結(jié)合安全需求分析報告對其進(jìn)行有序的分類及分級。
資產(chǎn)清單能幫助客戶確保對資產(chǎn)實施有效的保護(hù),也可以用于其它商業(yè)目的,如上市、金融保險等(資產(chǎn)評估)。編輯資產(chǎn)清單的過程是資產(chǎn)評估的一個重要方面。諧潤科技將協(xié)助客戶確定其資產(chǎn)及其相對價值和重要性。利用以上信息,根據(jù)資產(chǎn)的重要性和價值提供相應(yīng)級別的保護(hù)。應(yīng)該為每個信息系統(tǒng)的關(guān)聯(lián)資產(chǎn)草擬并保存一份清單。
資源評估的主要類別與信息系統(tǒng)相關(guān)聯(lián)的資產(chǎn)示例有:
>>信息資產(chǎn):數(shù)據(jù)庫和數(shù)據(jù)文件、系統(tǒng)文檔、用戶手冊、培訓(xùn)材料、操作或支持步驟、連續(xù)性計劃、退守計劃、歸檔信息;
>>軟件資產(chǎn):應(yīng)用程序軟件、系統(tǒng)軟件、開發(fā)工具以及實用程序;
>>物質(zhì)資產(chǎn):計算機(jī)設(shè)備(處理器、監(jiān)視器、膝上型電腦、調(diào)制解調(diào)器)、通訊設(shè)備(路由器、PABX、傳真機(jī)、應(yīng)答機(jī))、磁介質(zhì)(磁帶和磁盤)、其它技術(shù)設(shè)備(電源 、空調(diào)器)、家具、機(jī)房等;
>>其他設(shè)備:計算和通訊服務(wù)、常用設(shè)備,如后備電源、照明設(shè)備、電源、空調(diào)等。
業(yè)務(wù)系統(tǒng)分析
業(yè)務(wù)系統(tǒng)安全評估的目標(biāo)是全方位的提供一個業(yè)務(wù)系統(tǒng)中的安全可見性,業(yè)務(wù)系統(tǒng)安全評估不僅僅是對網(wǎng)絡(luò)、主機(jī)和已采用安全產(chǎn)品的評估,還包括客戶或者第三方為客戶業(yè)務(wù)開發(fā)的應(yīng)用系統(tǒng)的安全評估,及在該業(yè)務(wù)系統(tǒng)內(nèi)的操作和管理的安全評估等幾個方面,客觀綜合地反應(yīng)客戶業(yè)務(wù)系統(tǒng)安全現(xiàn)狀,指出對客戶業(yè)務(wù)系統(tǒng)存在的安全風(fēng)險,并提出全面的解決方案。
業(yè)務(wù)系統(tǒng)評估包括:
>>業(yè)務(wù)系統(tǒng)的基礎(chǔ)IT設(shè)施評估
>>應(yīng)用平臺規(guī)劃設(shè)計階段
>>應(yīng)用系統(tǒng)開發(fā)、測試階段
>>應(yīng)用系統(tǒng)操作和管理安全
>>業(yè)務(wù)系統(tǒng)的數(shù)據(jù)流安全
網(wǎng)絡(luò)架構(gòu)分析
工具掃描分析網(wǎng)絡(luò)脆弱性分析將依據(jù)諧潤科技的網(wǎng)絡(luò)安全評估工具及人工檢測的方式,通過工程師的綜合分析發(fā)現(xiàn)網(wǎng)絡(luò)的脆弱性,其包括防火墻設(shè)備、路由設(shè)備等其他網(wǎng)關(guān)設(shè)備的策略配置分析。其包括:
>>模擬入侵測試分析
>>脆弱性測試分析
>>工具測試分析
>>未知攻擊風(fēng)險分析
弱點評估分析
諧潤科技的安全顧問使用網(wǎng)絡(luò)安全評估工具及人工檢測的方式,通過工程師的綜合分析發(fā)現(xiàn)各類Windows/Unix主機(jī)的脆弱性,分析并確定主機(jī)系統(tǒng)的弱點。其包括:
>>模擬入侵測試分析
>>脆弱性測試分析
>>工具測試分析
>>未知攻擊風(fēng)險分析
數(shù)據(jù)庫安全審計
通過制定數(shù)據(jù)庫方面規(guī)范統(tǒng)一的安全基準(zhǔn),發(fā)現(xiàn)數(shù)據(jù)庫系統(tǒng)存在的脆弱點,通過推行數(shù)據(jù)庫安全策略文檔來加強(qiáng)數(shù)據(jù)庫系統(tǒng)的安全性,保護(hù)數(shù)據(jù)庫系統(tǒng)的數(shù)據(jù)完整性、保密性與可靠性。
白客滲透測試
滲透測試服務(wù)用于驗證在當(dāng)前的安全防護(hù)措施下網(wǎng)絡(luò)、系統(tǒng)抵抗黑客攻擊的能力。諧潤科技滲透測試小組利用各種主流的攻擊技術(shù)對網(wǎng)絡(luò)、系統(tǒng)做模擬攻擊測試,以發(fā)現(xiàn)網(wǎng)絡(luò)、系統(tǒng)中存在的安全漏洞和風(fēng)險點。
企業(yè)、組織根據(jù)測試的結(jié)果遵循安全策略制定適合的、不同優(yōu)先級別的安全防護(hù)措施。諧潤科技滲透測試服務(wù)是經(jīng)過授權(quán)的,也是有時間限制的。
滲透測試服務(wù)主要包括如下內(nèi)容:
>>敏感業(yè)務(wù)系統(tǒng)測試–針對客戶敏感業(yè)務(wù)系統(tǒng)(辦公系統(tǒng)、生產(chǎn)系統(tǒng)等)進(jìn)行滲透測試。
>>現(xiàn)有安全系統(tǒng)測試–針對客戶現(xiàn)有安全系統(tǒng)(防火墻、專有訪問控制系統(tǒng)等)進(jìn)行滲透測試。
安全等級劃分
確定信息系統(tǒng)的安全保護(hù)等級,是建設(shè)符合安全等級保護(hù)要求的信息系統(tǒng),實施信息系統(tǒng)安全等級保護(hù)的基礎(chǔ)。確定信息系統(tǒng)安全保護(hù)等級的基本步驟包括根據(jù)業(yè)務(wù)類別劃分信息系統(tǒng)或子系統(tǒng)、分析信息系統(tǒng)或子系統(tǒng)承載業(yè)務(wù)的重要性和業(yè)務(wù)對信息系統(tǒng)或子系統(tǒng)的依賴性、確定信息系統(tǒng)或子系統(tǒng)安全保護(hù)等級以及對安全保護(hù)等級的調(diào)整,基本流程如下。
第一步:識別信息系統(tǒng)/子系統(tǒng)
信息系統(tǒng)或子系統(tǒng)識別的目標(biāo)是確定進(jìn)行不同安全保護(hù)要求的單元,從而確定它們的安全保護(hù)等級。
第二步:分析信息系統(tǒng)承載業(yè)務(wù)重要性和業(yè)務(wù)對系統(tǒng)依賴度
信息系統(tǒng)或子系統(tǒng)承載業(yè)務(wù)重要性和業(yè)務(wù)對信息系統(tǒng)或子系統(tǒng)依賴度主要分析信息系統(tǒng)承載的業(yè)務(wù)及數(shù)據(jù)的特性,確定影響信息系統(tǒng)的主要因素,提出信息系統(tǒng)或子系統(tǒng)的安全保護(hù)需求。不同的信息系統(tǒng)或子系統(tǒng)由于承載的業(yè)務(wù)和數(shù)據(jù)不同,其遭到破壞后帶來的損失和產(chǎn)生的影響不同,應(yīng)在第一步工作的基礎(chǔ)上,依次分析劃分后的信息系統(tǒng)或子系統(tǒng)承載的業(yè)務(wù)特性,對影響信息系統(tǒng)或子系統(tǒng)等級的主要因素進(jìn)行賦值,并對多項賦值進(jìn)行分析,得到最終合理的賦值結(jié)果,正確反映信息系統(tǒng)或子系統(tǒng)的安全保護(hù)需求和影響范圍。
第三步:確定信息系統(tǒng)/子系統(tǒng)安全保護(hù)等級
根據(jù)對影響等級的重要因素的賦值,得到信息系統(tǒng)或子系統(tǒng)的業(yè)務(wù)數(shù)據(jù)安全性要求和業(yè)務(wù)處理連續(xù)性要求,確定業(yè)務(wù)數(shù)據(jù)安全性等級和業(yè)務(wù)處理連續(xù)性等級,依據(jù)業(yè)務(wù)數(shù)據(jù)安全性等級和業(yè)務(wù)處理連續(xù)性等級最終確定信息系統(tǒng)或子系統(tǒng)的安全保護(hù)等級。
第四步:安全保護(hù)等級的調(diào)整
安全保護(hù)等級調(diào)整的目標(biāo)是為信息系統(tǒng)的決策者或上級主管部門根據(jù)系統(tǒng)的特殊需求,對第三步確定的信息系統(tǒng)或子系統(tǒng)的安全保護(hù)等級進(jìn)行調(diào)整提供指導(dǎo)。等級調(diào)整后,應(yīng)重新分析信息系統(tǒng)/子系統(tǒng)承載業(yè)務(wù)重要性和業(yè)務(wù)對信息系統(tǒng)/子系統(tǒng)依賴性,重新確定信息系統(tǒng)的業(yè)務(wù)數(shù)據(jù)安全等級和業(yè)務(wù)處理連續(xù)性等級,從而確定信息系統(tǒng)的安全保護(hù)要求的組合。