參照國際風險評(ping)估(gu)信(xin)息(xi)(xi)安(an)(an)(an)(an)全要素提取(qu)慣例(li)和(he)標準,調查(cha)分(fen)(fen)析用(yong)戶的已有策略,從(cong)管理(li)(li)、制(zhi)度(du)、落實情況、物理(li)(li)信(xin)息(xi)(xi)安(an)(an)(an)(an)全、人員信(xin)息(xi)(xi)安(an)(an)(an)(an)全、第(di)三方信(xin)息(xi)(xi)安(an)(an)(an)(an)全等(deng)等(deng)各方面(mian)來評(ping)估(gu)分(fen)(fen)析。調查(cha)業務流程,并對信(xin)息(xi)(xi)資產進行(xing)賦值和(he)等(deng)級劃分(fen)(fen);結合工(gong)具掃描、人工(gong)評(ping)估(gu)對系統、網絡、數據(ju)庫以及管理(li)(li)制(zhi)度(du)進行(xing)信(xin)息(xi)(xi)安(an)(an)(an)(an)全性(xing)評(ping)估(gu),并根據(ju)評(ping)估(gu)結果提供評(ping)估(gu)報告。
資產調查評(ping)估(gu)資產調查評(ping)估(gu)是整個信息安(an)(an)全(quan)(quan)服務的(de)基礎,因此在進行(xing)評(ping)估(gu)前(qian)需(xu)要對客戶(hu)單位所有資產(包(bao)括整個物理環境的(de)信息安(an)(an)全(quan)(quan)、操作系(xi)統(tong)、應(ying)用系(xi)統(tong)等)進行(xing)評(ping)估(gu)調查。天創公(gong)司安(an)(an)全(quan)(quan)顧問(wen)將根(gen)(gen)據(ju)(ju)客戶(hu)提供的(de)資產列表,結合信息安(an)(an)全(quan)(quan)需(xu)求分(fen)析報告對其進行(xing)有序的(de)分(fen)類和分(fen)級,根(gen)(gen)據(ju)(ju)資產的(de)重(zhong)要性(xing)提供相應(ying)級別的(de)保(bao)護(hu)。資產調查評(ping)估(gu)的(de)主要類別不信息系(xi)統(tong)相關聯(lian)的(de)資產示例有:
信息安全策略評估是便于分析用戶已經形成的信息安全策略是否能滿足符合實際的需求,同時充分的分析其策略的有效落實情況。
包括以下內容:
- 現有信息安全策略文檔分析
- 人員訪談&調查問卷
- 策略貫徹執行情況調查
- 信息安全管理策略調整
天創公司安全顧問審閱客戶單位信息網絡系統設計方案中的物理拓撲圖并進行現場勘察,對客戶整個網絡體系進行深入調研,以國際信息安全標準和框架為指導,從物理層、網絡層到應用層,全面的對網絡的結構、網絡協議、網絡流量、網絡規范性等多個方面進行深刻分析,對網絡現狀有點給予肯定,指出網絡現狀不足,同時提出信息安全保障體系建設解決方案。
工具掃描分析
天創公司安全顧問針對客戶單位的主機、網絡設備、數據庫等使用漏洞掃描工具進行脆弱性評估,得出網絡系統中存在的信息安全隱患和漏洞,同時根據客戶單位網絡實際情況提出信息安全建議。
人工評估分析
人工檢查客戶單位網絡中主機、網絡設備、數據庫等的配置以及相關機制進行評估,挖掘網絡系統的脆弱性。
包括以下內容:
- 信息安全配置檢查 系統管理和維護的正常配置,合理配置,及優化配置。例如系統目錄權限,賬號管理策略,文件系統配置,進程通信管理等。
- 信息安全機制檢查 信息安全機制的使用和正常配置,合理配置,及優化配置。例如日志及審計、備份不恢復,簽名不校驗,加密不通信,特殊授權及訪問控制等。
- 數據庫配置檢查
代碼信息安全評估
代碼信息安全評估可以檢測并報告客戶的應用程序代碼當前存在的遭黑客攻擊的危險可能性。天創公司安全顧問將通過應用掃描軟件和人工分析等手段對其進行深入分析,并提出相應的報告。
主要檢測的內容包括:惡意代碼的檢查、賬號信息安全檢查、注入檢查、跨站腳本注入檢查等。
應用系統評估
應用系統信息安全評估的目標是全方位的提高應用系統中的信息安全性。應用系統信息安全評估不僅僅是對網絡、主機和已采用信息安全產品的評估,還包括客戶或者者第三方為客戶業務開發的業務系統的信息安全評估,及在該應用系統內的操作和管理的信息安全評估等幾個方面,可觀綜合地反應客戶單位應用系統信息安全現狀,指出對客戶單位應用系統存在的信息安全風險因素,并提出全面的解決方案。
- 應用系統的基礎IT設施評估
- 應用平臺規劃設計階段評估
- 應用系統開發、測試階段評估
- 應用系統操作和管理信息安全評估
- 應用系統的數據流信息安全評估
滲透測試是完全模擬黑客可能使用的攻擊技術和漏洞發現技術,對目標系統的信息安全做身體的探測,發現系統最脆弱的環節。滲透測試能夠直觀的讓管理人員知道自己網絡所面臨的問題。
江蘇天創科技有限公司滲透測試小組利用各種主流攻擊技術對網絡、系統做模擬攻擊測試,以發現網絡、系統中存在的信息安全漏洞和風險點。企事業組織根據測試的結果,遵循相應信息安全策略制定合適的、不同優先級別的信息安全防護措施。
滲透測試服務主要包括如下內容:
- 敏感業務系統測試---針對客戶敏感業務系統(辦公系統、生成系統)進行滲透測試。
- 現有信息安全系統測試---針對客戶現有信息安全系統(防火墻、與有訪問控制系統等)進行滲透測試。