2017年6月1日施行的《中华人民共和国网络安全法》,从法律层面明确网络运营者的相关职责。条文中要求网络运营者每年至少进行一次安全风险评估,从风险的角度全面发现网络与信息安全工作存在的不足和日常工作中难以察觉的安全隐患。风险评估在满足法律法规要求的同时也能让运营者清晰地了解到组织的安全现状,辅助组织管理层决策,降低安全事件发生的可能性,保障信息系统安全、稳定和可持续的运行。
服务目录
风险评估服务
一、服务描述:
依据安全风险评估国家标准GB/T20984,评估业务系统安全现状,对信息资产面临的威胁、存在的脆弱性、现有防护措施,以及综合作用而带来风险的可能性进行分析,最终提供信息系统安全规划建设方案。
二、服务内容:
1.资产识别:自动化资产排查,识别具备IP地址的IT资产及端口暴露情况,根据资产重要性赋值资产价值,区分重要性等级;
2.基线核查:对服务器等硬件设备及其承载的软件等级保护合规角度进行配置核查,检测网络设备的安全配置弱点和部分主机的安全配置错误等安全隐患,并根据可能产生的后果划定等级。
3.web漏扫:通过Web扫描器对Web前端与Web应用程序通信数据进行检查,检查Web应用程序,探测、分析其响应,发现潜在的安全问题和架构缺陷,并对中高危的漏洞进行人工确认,验证漏洞有效性,提出整改建议。通过扫描工具可识别出注入缺陷、跨站脚本攻击、非法链接跳转、信息泄露、异常处理等安全漏洞。并根据可能产生的后果划定等级。
4.主机漏扫:基于CVE、CNVD、CNNVD等漏洞数据库,通过扫描对指定的远程或者本地的网络设备、服务器、操作系统、数据库、中间件等进行安全弱点检测,通过扫描工具识别多种其中存在的安全漏洞,并根据可能产生的后果划定等级。
5.威胁识别:基于统一的威胁场景风险,即所有资产的威胁基本是一致的,为1。统一的威胁系数可简化评估模型,也不改变所有风险的等级及处置优先级。
6.风险分析:基于资产情况、漏洞及配置缺陷等因素结合判定组织可能存在的风险及风险级别并给出建议。
漏洞扫描服务
针对系统、设备、应用的脆弱性进行自动化检测,帮助企业或者组织来侦测、扫描和改善其信息系统面临的风险隐患;对识别出的能被入侵者用来非法进入网络或者非法获取信息资产的漏洞,提醒安全管理员,及时完善安全策略,降低安全风险。
渗透测试服务
在客户授权许可的情况下,资深安全专家将通过模拟黑客攻击的方式,利用主流的攻击技术对目标网络、系统、数据库进行模拟攻击测试,将发现的安全漏洞进行整理,给出详细说明,并针对每一安全漏洞提供相应的解决方法。
系统上线前检测服务
系统上线前进行脆弱性评估:通过web扫描,漏洞扫描、基线检查、漏洞验证等手段,识别业务系统安全脆弱性风险。防御能力评估:通过模拟黑客进行信息收集、应用及系统入侵,验证防御体系的安全防御能力。安全整改建议:基于安全评估结果分析系统安全风险和威胁,给出针对性的风险处理方案。
基线核查服务
避免人为疏忽或错误,或使用默认的安全配置,给业务系统安全造成风险,对重要服务器、应用系统、网络设备、安全设备等基于信息安全风险的角度进行安全配置检查,使业务系统的风险维持在可控范围内。
安全加固服务
根据系统要求,对主机操作系统、数据库及中间件等进行分析及修补,并对网络设备及安全设备脆弱性进行分析并加固。
应急演练
协助集团完善安全应急响应机制,完善安全应急响应预案,并根据实际情况,提供安全应急事件演练方案和应急演练。场景可为以下内容:网站篡改演练、内网传播型病毒攻击演练、模拟网络单点故障等。
应急响应
针对用户突发的信息安全事件,提供问题应急处置,恶意文件清除并协助恢复系统,针对问题进行入侵原因分析,找到攻击路径。