安全評估及滲透測試-

市場需求
參考标準
評估内容
交付産物
适用(yòng)群體
客戶收益

市場需求

在信息系統上(shàng)線階段，由于部分機構僅注重系統功能(néng)和(hé)性能(néng)測試，對(duì)安全方面沒有進行安全評估測試，導緻信息系統帶着安全風(fēng)險上(shàng)線部署運行，給後期運維和(hé)機構業務開(kāi)展帶來(lái)風(fēng)險。因此，目前國内重要行業、重要企業和(hé)機構的信息系統上(shàng)線時(shí)，有關監管機構以及企業内的IT部門(mén)，都要求進行上(shàng)線前的安全評估，通過後才能(néng)部署運行。

在信息系統運行階段，各類機構中也(yě)存在着大(dà)量信息系統及其賴以運行的基礎網絡、處理(lǐ)的數據和(hé)信息，由于其可能(néng)存在的技術漏洞和(hé)脆弱性，以及信息安全管理(lǐ)中潛在的薄弱環節，從(cóng)而導緻不同程度的信息安全風(fēng)險。引起機構業務風(fēng)險和(hé)聲譽的降低(dī)。因此，機構需要定期進行信息安全風(fēng)險評估，并及時(shí)開(kāi)展風(fēng)險處置。

安全評估是信息系統安全的基礎性工(gōng)作(zuò)。它是傳統的風(fēng)險理(lǐ)論和(hé)方法在信息系統中的運用(yòng)，能(néng)夠科學地分析和(hé)理(lǐ)解信息與信息系統在保密性、完整性、可用(yòng)性等方面所面臨的風(fēng)險，并在風(fēng)險的減少、轉移和(hé)規避等風(fēng)險控制方法之間做出決策的過程。

安全評估将導出信息系統的安全需求。持續的安全評估工(gōng)作(zuò)成爲檢查信息系統本身安全保密狀況的有力手段，并通過行政手段對(duì)信息系統産生積極影響，促進企業加強信息安全建設。

參考标準

《信息安全技術信息安全風(fēng)險評估方法》

GB/T 31509-2015《信息安全技術信息安全風(fēng)險評估實施指南》

評估内容

分析準備階段
确定項目評估範圍，調研客戶管理(lǐ)制度、主要業務系統和(hé)業務系統功能(néng)、網絡結構與網絡環境。
現(xiàn)狀評估階段
通過信息系統資産識别，調研已有安全措施，确立組織的安全策略等活動，對(duì)信息系統進行詳細的全面摸底，并完成信息資産列表和(hé)資産價值賦值。
威脅評估
從(cóng)物理(lǐ)、網絡、主機、數據、應用(yòng)五個層面分析信息資産可能(néng)面臨的威脅及手段，評估威脅産生的範圍和(hé)影響力，并進行賦值分析和(hé)列表。
脆弱性評估
面向信息資産，采用(yòng)諸如安全訪談與檢查、系統漏洞掃描、WEB漏洞掃描、系統安全配置參數核查等多種脆弱性發現(xiàn)技術，充分發現(xiàn)信息系統的技術弱點、行爲弱點和(hé)管理(lǐ)弱點，并進行專家解讀和(hé)賦值，形成信息資産脆弱性清單和(hé)脆弱性賦值。
風(fēng)險分析階段
通過量化信息資産價值、脆弱性和(hé)威脅，采用(yòng)标準風(fēng)險度量計(jì)算(suàn)方法計(jì)算(suàn)風(fēng)險，并根據風(fēng)險量化值分級排序，獲得信息系統風(fēng)險等級清單，進行信息安全風(fēng)險象限分析。
風(fēng)險處置階段
在充分認知(zhī)和(hé)度量信息系統風(fēng)險的基礎上(shàng)，結合經驗分析，形成權威的安全評估報(bào)告，并對(duì)信息系統的風(fēng)險處置給出專家意見。

交付産物

《信息系統資産賦值表》《信息資産威脅列表》《信息資産脆弱性列表》《漏洞掃描分析報(bào)告》《滲透測試分析報(bào)告》《信息安全風(fēng)險評估報(bào)告》《信息安全風(fēng)險處置計(jì)劃》

适用(yòng)群體

新建信息系統上(shàng)線時(shí)，需了(le)解安全狀态是否符合預期；
需要第三方評估報(bào)告證明(míng)自(zì)身安全建設有效性；
需要對(duì)信息系統安全水(shuǐ)平進行專家診斷，識别梳理(lǐ)信息資産、了(le)解安全現(xiàn)狀和(hé)風(fēng)險、與主流通用(yòng)标準、先進安全技術是否具有差距性、獲得安全風(fēng)險規避措施建議(yì)。

客戶收益

信息系統安全防護獲得專家級診斷，充分認知(zhī)信息安全現(xiàn)狀
全面梳理(lǐ)和(hé)摸底信息資産，得到(dào)詳細信息資産列表、重要程度評價和(hé)賦值
掌握信息安全面臨威脅、存在的脆弱性和(hé)風(fēng)險
獲得信息安全風(fēng)險處置建議(yì)
獲得權威第三方公平、公證的信息系統安全評估報(bào)告

市場需求
評估内容
用(yòng)戶收益

市場需求

目前，大(dà)部分的機構都針對(duì)信息安全采取了(le)防護措施，但(dàn)是這(zhè)些(xiē)措施到(dào)底是否真實有效，機構中的信息安全工(gōng)作(zuò)人員很(hěn)難做出正确評估，迫切需要通過滲透測試，獨立檢測機構中信息安全策略的正确性和(hé)信息系統及基礎環境的風(fēng)險，幫助用(yòng)戶對(duì)目前機構中的網絡、系統、應用(yòng)的缺陷有相對(duì)直觀的認識和(hé)了(le)解，并提供有價值的測試報(bào)告，提供給管理(lǐ)層評估。

評估内容

滲透測試需要服務人員盡可能(néng)完整的模拟黑客使用(yòng)的漏洞發現(xiàn)技術和(hé)攻擊手段，從(cóng)攻擊者的角度對(duì)目标網絡、系統、主機應用(yòng)的安全性作(zuò)爲深入的非破壞性的探測，發現(xiàn)系統最脆弱的環節。滲透測試能(néng)夠以非常明(míng)顯、直觀的結果反映出系統的安全現(xiàn)狀，其目的是能(néng)夠讓管理(lǐ)人員直觀的了(le)解自(zì)己網絡和(hé)系統所面臨的問題。

網絡方面
針對(duì)該系統所在網絡層進行網絡拓撲的探測、路由測試、防火牆規則試探、規避測試、入侵檢測規則試探、規避測試、無線網安全、不同網段Vlan之間的滲透、端口掃描等存在漏洞的發現(xiàn)和(hé)通過漏洞利用(yòng)來(lái)驗證此種威脅可能(néng)帶來(lái)的損失或後果，并提供避免或防範此類威脅、風(fēng)險或漏洞的具體改進或加固措施。
了(le)解更多
系統方面
通過采用(yòng)适當的測試手段，發現(xiàn)測試目标在系統識别、服務識别、身份認證、數據庫接口模塊、系統漏洞檢測以及驗證等方面存在的安全隐患，并給出該種隐患可能(néng)帶來(lái)的損失或後果，并提供避免或防範此類威脅、風(fēng)險或漏洞的具體改進或加固措施。
了(le)解更多
應用(yòng)方面
通過采用(yòng)适當測試手段，發現(xiàn)測試目标在系統認證及授權、代碼審查、被信任系統的測試、文(wén)件接口模塊、應急流程測試、信息安全、報(bào)警響應等方面存在的安全漏洞,演示再現(xiàn)利用(yòng)該漏洞可能(néng)造成的客戶資金(jīn)損失，提供避免或防範此類威脅、風(fēng)險或漏洞的具體改進或加固措施。
了(le)解更多
實施準備
1、滲透測試方案及計(jì)劃;
2、滲透測試方案的風(fēng)險規避。
信息搜集
1、域名及IP分布;
2、網絡拓撲、設備及操作(zuò)系統;
3、端口及服務;
4、應用(yòng)系統情況;
5、最新漏洞情況;
6、其他(tā)信息。
滲透實施
1、獲取目标系統權限;
2、利用(yòng)漏洞或後門(mén)木(mù)馬植入，獲取控制;
3、跳闆滲透，進一步擴展攻擊成果;
4、獲取敏感信息數據和(hé)資源。

用(yòng)戶收益

專業的保障團隊
協助用(yòng)戶發現(xiàn)信息系統中存在的安全弱點，協助企業有效的了(le)解降低(dī)安全風(fēng)險的重點和(hé)要點工(gōng)作(zuò)
檢測機制全面
有效的、有公信力的滲透測試報(bào)告，有助于企業或部門(mén)增強信息安全工(gōng)作(zuò)的整體認知(zhī)程度，提升企業形象