信息安全風險評估
市場需求
在信息系統上線階段���,由于部分機構僅注重系統功能和性能測試�,對于安全方面沒有進行安全評估測試�,導致信息系統帶著安全風險上線部署和運行����,給后期運維和機構業務開展帶來風險����。因此�,目前國內重要行業���、重要企業和機構的信息系統上線時��,有關監管機構以及企業內的IT部門�,都要求進行上線前的安全評估�,通過后才能部署運行��。
在信息系統運行階段�����,各類機構中也存在著大量信息系統及其賴以運行的基礎網絡�、處理的數據和信息��,由于其可能存在的技術漏洞和脆弱性���,以及信息安全管理中潛在的薄弱環節����,從而導致不同程度的信息安全風險����。引起機構業務風險和聲譽的降低����。因此����,機構需要定期進行信息安全風險評估����,并及時開展風險處置���。
評估內容
分析準備階段
確定項目評估范圍����,調研客戶管理制度��、主要業務系統和業務系統功能�、網絡結構與網絡環境�����。
現狀評估階段
通過信息系統資產識別�����,調研已有安全措施��,確立組織的安全策略等活動��,對信息系統進行詳細的全面摸底��,并完成信息資產列表和資產價值賦值�。
1)威脅評估
從物理�����、網絡���、主機�����、數據��、應用五個層面分析信息資產可能面臨的威脅及手段���,評估威脅產生的范圍和影響力�,并進行賦值分析和列表�。
2)脆弱性評估
面向信息資產�,采用諸如安全訪談與檢查�����、系統漏洞掃描���、WEB漏洞掃描���、系統安全配置參數核查等多種脆弱性發現技術��,充分發現信息系統的技術弱點�����、行為弱點和管理弱點�����,并進行專家解讀和賦值��,形成信息資產脆弱性清單和脆弱性賦值��。
風險分析階段
通過量化信息資產價值�����、脆弱性和威脅�,采用標準風險度量計算方法計算風險��,并根據風險量化值分級排序���,獲得信息系統風險等級清單�,進行信息安全風險象限分析�����。
風險處置階段
在充分認知和度量信息系統風險的基礎上�,結合經驗分析��,形成權威的風險評估報告�,并對信息系統的風險處置給出專家意見���。
信息安全風險評估步驟
評估交付
《信息系統資產賦值表》
《信息資產威脅列表》
《信息資產脆弱性列表》
《漏洞掃描分析報告》
《滲透測試分析報告》
《信息安全風險評估報告》
《信息安全風險處置計劃》
用戶收益
-- 信息系統安全防護獲得專家級診斷�����,充分認知信息安全現狀�;
-- 全面梳理和摸底信息資產���,得到詳細信息資產列表����、重要程度評價和賦值��;
-- 掌握信息安全面臨威脅��、存在的脆弱性和風險���;
-- 獲得信息安全風險處置建議�����;
-- 獲得權威第三方公平�、公證的信息系統安全評估報告����;
適用客戶
-- 新建信息系統上線時���,需要了解安全狀態是否符合預期的客戶����;
-- 需要第三方評估報告證明自身安全建設有效性���;
-- 需要對信息系統安全水平進行專家診斷��,識別梳理信息資產��、了解安全現狀和風險����、與主流通用標準�����、先進安全技術是否具有差距性����、獲得安全風險規避措施建議的客戶���。
滲透測試
市場需求
目前�,大部分的機構都針對信息安全采取了防護措施�����,但是這些措施到底是否真實有效�����,機構中的信息安全工作人員很難做出正確評估�����,迫切需要通過滲透測試�����,獨立檢測機構中信息安全策略的正確性和信息系統及基礎環境的風險�����,幫助用戶對目前機構中的網絡����、系統�����、應用的缺陷有相對直觀的認識和了解�����,并提供有價值的測試報告�����,提供給管理層評估����。
評估內容
滲透測試需要服務人員盡可能完整的模擬黑客使用的漏洞發現技術和攻擊手段����,從攻擊者的角度對目標網絡���、系統��、主機應用的安全性作為深入的非破壞性的探測����,發現系統最脆弱的環節����。滲透測試能夠以非常明顯����、直觀的結果反映出系統的安全現狀�����,其目的是能夠讓管理人員直觀的了解自己網絡和系統所面臨的問題�。
網絡方面:針對該系統所在網絡層進行網絡拓撲的探測���、路由測試���、防火墻規則試探�����、規避測試���、入侵檢測規則試探�、規避測試��、無線網安全�、不同網段Vlan之間的滲透�����、端口掃描等存在漏洞的發現和通過漏洞利用來驗證此種威脅可能帶來的損失或后果���,并提供避免或防范此類威脅���、風險或漏洞的具體改進或加固措施����。
系統方面:通過采用適當的測試手段����,發現測試目標在系統識別�����、服務識別�、身份認證�����、數據庫接口模塊���、系統漏洞檢測以及驗證等方面存在的安全隱患��,并給出該種隱患可能帶來的損失或后果�,并提供避免或防范此類威脅��、風險或漏洞的具體改進或加固措施����。
應用方面:通過采用適當測試手段��,發現測試目標在系統認證及授權��、代碼審查�����、被信任系統的測試�、文件接口模塊�����、應急流程測試���、信息安全����、報警響應等方面存在的安全漏洞,演示再現利用該漏洞可能造成的客戶資金損失�����,提供避免或防范此類威脅����、風險或漏洞的具體改進或加固措施����。
滲透測試階段內容
用戶收益
-- 協助用戶發現信息系統中存在的安全弱點����,協助企業有效的了解降低安全風險的重點和要點工作�;
-- 有效的�、有公信力的滲透測試報告���,有助于企業或部門增強信息安全工作的整體認知程度��,提升企業形象���。
源代碼審計
市場需求
根據Gartner統計數據顯示����,75%的黑客攻擊發生在應用層�����。而由NIST的統計顯示92%的安全漏洞屬于應用層�。因此�,應用軟件的自身的安全問題是用戶最為關心的問題���,需要在應用軟件開發和管理的各個層面共同努力解決��。
在應用軟件安全保障工作中�,源代碼審計越來越成為一種流行的技術�����,通過源代碼審計服務對軟件進行代碼安全檢測��,一方面可以找出潛在的風險��,從內部對軟件進行安全檢測����,提高代碼的安全性��,另一方面也可以進一步提高代碼的質量���。
評估內容
源代碼審計是從安全的角度對代碼進行安全測試評估�,服務結合豐富的安全知識��、編程經驗��、測試技術�,利用靜態分析和人工審核相結合的方法尋找代碼在架構和編碼上的安全缺陷�,在代碼行程軟件產品前將業務軟件的安全風險降低����。
1.準備階段
-- 代碼審計需求分析�����,制定檢測計劃��,獲取應用系統源代碼與設計文檔
-- 了解系統整體架構��,業務流程與實現邏輯
-- 搭建檢測環境�����,部署檢測工具
2.實施
-- 專業代碼審計工具掃描與檢測
-- 結合需求和設計文檔���,定位安全缺陷位置和內容
-- 分析驗證檢測結果
-- 人工審核
-- 確認業務風險
3.提交報告
-- 《代碼評估需求調研報告》
-- 《源代碼安全審計報告》
用戶收益
-- 代碼安全審計可以在發布代碼之前將代碼里面存在的問題報告出來�,避免將致命的漏洞或缺陷流轉到不受控制的狀態�����;
-- 在新產品推向市場時�����,可以保護企業品牌形象���。
市場
