风险评估

发现和挖掘潜在的安全威胁

评估内容

资产识别

识别并评估关键的信息资产。

威胁识别

识别威胁,衡量威胁的可能性。

脆弱性识别

识别并评估各类弱点,包括技术性弱点和管理性弱点。

现有安全措施确认

对已采取的安全措施进行识别并对控制措施的有效性进行确认。

风险计算和分析

对资产的重要性、脆弱性进行识别,识别可能造成安全时间的威胁,根据资产价值及脆弱性程度计算安全事件发生后的风险值。

风险决策和安全建议

根据信息系统及其信息的价值和威胁以及受影响的范围,以及信息系统生命周期的各个阶段的关键点进行科学有效的风险控制。

评估方法

远程评估

实施人员在远程对目标环境进行评估测试。

现场评估

实施人员在现场对目标环境进行评估测试,包括不限于访谈、实测、验证等。

上线测试

对新应用系统上线前进行安全检测工作,检测内容包括针对系统安全性、保密性、稳定性存在的隐患进行评估,范围包括不限于:身份鉴别、访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范、资源控制等。

回归测试

漏洞修复后,对修复方案和结果进行有效性评估,分析修复方案,验证漏洞修复结果,汇总漏洞修复方案评估结果,标注漏洞修复结果,更新并发送测试报告。

渗透测试

模拟黑客攻击对业务系统进行安全性测试,包括不限于内外网渗透、社会工程学渗透、业务逻辑漏洞渗透等,比黑客更早发现可导致企业数据泄露、资产受损、数据被篡改等漏洞,并协助企业进行修复。

评估对象

安全管理评估

对现有的安全管理进行访谈调研,并结合技术评估真实的反映出对用户单位的信息安全管理措施落地情况及现状,包括不限于安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等方面。

物理和环境安全评估

包括物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等方面。

网络和通讯评估

包括网络架构、通讯传输、边界防护、访问控制、入侵防范、恶意代码防范、安全审计、集中管控等方面。

设备和计算安全评估

包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、资源控制等方面。

应用和数据安全评估

包括身份鉴别、访问控制、安全审计、软件容错、资源控制、数据完整性、数据保密性、数据备份和恢复、剩余信息保护、个人信息保护等方面。

云环境安全评估

包括基础设置位置、虚拟化安全保护、镜像和快照保护、云服务商选择、云计算环境管理等方面。

移动安全评估

App安全评估,针对App的安全性进行的评估,分析App体系结构、设计思想和功能模块,从中发现可能的安全隐患; 源代码审计,通过强大的安全分析引擎及安全漏洞检测规则,全面挖掘出系统源代码中存在的安全漏洞、性能缺陷、编码规范等问题,有效避免因安全漏洞导致的安全事故及风险; 移动应用渗透测试,通过专业的应用安全渗透测试标准体系,检验移动应用系统和业务逻辑的脆弱性和有效性,从黑客思维和调试角度出发,对程序安全、数据安全、业务逻辑安全、系统环境安全等内容进行静、动态的人工分析,获取应用安装卸载过程、用户数据输入、存储处理、网络传输以及所处系统环境等方面的安全隐患。

物联网、工业控制系统安全评估

对固件的安全审计、基础设施、协议安全等方面的评估,包括安全软件选择与管理防护评估、配置和补丁管理防护、边界安全、物理和环境安全、身份认证防护、远程访问安全防护评估、安全监测和应急预案演练防护、资产安全、数据安全、供应链安全、落实责任防护等方面。