首页|退出
  分类导航
在线杀毒 手动杀毒
远程检测 本地检测
安全应急处置 系统补丁下载
司法鉴定 安全风险评估
相关标准 网络安全建设
安全等级保护评估
网吧综合业务  
数据异地备份  
DDOS防范处理  
安全企业邮箱  
   

 1:背景知识
    随着我国信息化的不断推进,国民经济和社会发展对网络和信息系统的依赖性越来越紧密,信息安全对国家经济、政治、文化和军事安全等方面的潜在影响力在逐步增大。国际上围绕信息获取、利用和控制的斗争日趋激烈,新技术应用越来越多,信息安全面临的问题将越来越复杂,信息安全保障的难度也会越来越大。如何以新的思路、新的机制和新的方法加强信息安全工作,主动应对挑战、系统防范风险,保障信息化持续、健康发展,维护国家和社会稳定,是当前摆在我们面前重要而紧迫的战略性课题。
信息安全保障的本质是风险管理,信息安全风险和事件不可能完全避免,关键在于如何控制、化解和规避。信息安全风险评估就是从风险管理的角度,运用科学的方法和手段,全面检测网络和信息系统存在的脆弱性,系统分析和评估安全防护水平,从而有针对性地提出抵御威胁的防护对策和整改措施,将风险控制在可接受的水平,最大限度地达到保障网络和信息安全的目的。


信息安全风险评估流程 
   风险评估包括系统调研、资产识别、威胁分析、脆弱性识别(包括现有控制措施确认)、风险综合分析以及风险控制计划六个阶段,其中脆弱性识别又具体分为物理环境安全、网络安全、系统软件安全、应用信息保护、运行安全、安全管理体系等6个方面的内容。
    系统调研是熟悉和了解组织和系统的基本情况,对组织IT战略,业务目标、业务类型和业务流程以及所依赖的信息系统基础架构的基本状况和安全需求等进行调研和诊断。
    资产识别主要参照ISO/IEC 17799的要求,围绕组织IT业务流程对信息系统的IT资产进行识别,包括对主要的硬件、软件和数据信息进行信息收集、分类、统计,形成资产列表;综合组织不同层面(管理层、中层、一般员工)对资产重要性的认识和业务信息流分析,对资产价值进行分级标识,确定重要资产列表。
    安全威胁分析主要针对已识别的系统重要资产,根据IT业务目标、模式、流程,信息系统基础架构、网络拓扑与边界等,从网络访问者、物理访问者、系统问题、自然灾害、其他问题五种威胁来源,同时区分非人力因素(自然因素)、管理因素、授权人员、非授权人员的原因,分析重要资产面临的威胁,对威胁的严重性(影响)进行分级标识。
    脆弱性识别主要针对信息系统重要资产面临的威胁来源,从物理层、网络层、系统层、应用层、管理层五个方面分别识别系统的安全薄弱点。物理层包括机房与设施安全、机房控制、环境与人员安全;网络层主要对网络拓扑结构、网络隔离与边界控制、主要网络设备安全配置、网络通信与传输安全等进行分析;系统层评估的对象是针对重要服务器操作系统及部分终端操作系统、数据库服务器系统;应用层从典型应用系统的信息流出发,评估信息处理流程中的各类安全机制;管理层主要针对现有的业务流程、策略文档进行评审,从运行控制、管理制度等方面评估系统的保障措施。综合上述各个层面的评估结果,对系统各主要资产的脆弱性被威胁利用的可能性和影响性进行分析,为安全风险评估提供重要依据。
    根据对系统资产识别,威胁分析,脆弱性评估的情况及收集的数据,定性和定量地评估系统安全现状及风险状况,评价现有保障措施的运行效能及对风险的抵御程度。并结合系统的IT战略和业务连续性目标,确定系统不可接受风险范围。
    最后,针对风险评估中识别的安全风险,特别是不可接受风险,制定风险控制和处理计划,选择有效的风险控制措施将残余风险控制在可接受范围内。

商务洽谈阶段:                              
                           项目跟踪及客户需求
                           编制方案及合同
                           方案审核
                           合同审核及登记
                           确定项目负责人
实施阶段:                                                 
                           项目启动及计划
                           现场诊断 
                           资产划分
                           威胁分析
                           脆弱性识别
                           风险综合分析
                           风险控制计划
                           风险评估报告
收尾阶段:      
                            项目总结交流
                            项目文件归档


 一、领先的检测技术
(一)完备的常规检测手段
1、物理安全性检测。主要是指对场所环境、电磁环境、网络布线、设备和媒体介质等方面的安全性检测。
2、网络安全性检测。主要是指对网络的设备、结构、交换和网管系统以及安全防护系统等方面的安全性检测。
3、系统安全性检测。主要是指对操作系统和数据库系统等方面的安全性检测。
4、应用安全性检测。主要是指对网络一般应用服务系统和专业应用服务系统的安全性检测。
5、管理安全性检测。主要是指对信息系统技术管理、行政管理、运行管理等方面的安全性检测。
(二)特有的深度检测手段
6、密码安全性检测。主要是指对认证、算法、密钥管理、安全协议等密码方面的安全性检测。
7、远程渗透性验证。主要是指对网络与信息系统可能存在的漏洞和缺陷实施本地或远程渗透性验证。
此外,本中心还拥有硬件(智能卡、板卡、芯片)安全性检测、无线局域网安全性检测、电磁泄漏安全性检测、移动通信安全性检测等特殊的检测手段。
二、先进的评估模式
依据国家相关法规标准,借鉴国内外评估技术,我们建立了一套实用的动态检测与静态评估相结合、定量计算与定性分析相结合、常规手段与深度检测相结合的综合性风险评估模式。
三、科学的技术规范
为了保证信息安全风险评估的科学性、客观性、规范性,中心根据在实践中积累的经验,将检测评估工作逐项分解,全部工作表格化、制式化、责任化和程序化,形成了一套科学的技术规范。
四、严格的管理制度
本着对被评估单位负责的精神,公司建立了一套严格的评估管理制度,如:检测设备,进场前实施安全性自测,进场后由被评估方验测;检测人员,在检测过程中实施封闭化管理;检测项目,均须征得被评估方同意;检测文档,登记造册,专人管理,确保被评估信息系统的安全。
五、雄厚的技术力量
公司现有专业技术人员30余人,是一支可靠、作风过硬、技术精湛的专业团队。
六、优质的技术服务
本着“服务至上、诚信为本”的宗旨,公司竭诚为用户提供优质、安全、可靠的信息安全风险评估服务。


受理表单后,24小时内将与客户进行确认或预约上门服务

技术支持:  深圳市计算机安全应急服务中心
广东安证计算机司法鉴定所
版权所有 2008-2009 © 中国网络安全保障服务网 All Right Reserved
粤ICP备09101699号-1  

粤公网安备 44030502000970号