安全评估
参照国际风险评估信息安全要素提取惯例和标准,调查分析用户的已有策略,从管理、制度、落实情况、物理信息安全、人员信息安全、第三方信息安全等等各方面来评估分析。调查业务流程,并对信息资产进行赋值和等级划分;结合工具扫描、人工评估对系统、网络、数据库以及管理制度进行信息安全性评估,并根据评估结果提供评估报告。
资产调查评估资产调查评估是整个信息安全服务的基础,因此在进行评估前需要对客户单位所有资产(包括整个物理环境的信息安全、操作系统、应用系统等)进行评估调查。天创公司安全顾问将根据客户提供的资产列表,结合信息安全需求分析报告对其进行有序的分类和分级,根据资产的重要性提供相应级别的保护。资产调查评估的主要类别不信息系统相关联的资产示例有:
信息安全策略评估是便于分析用户已经形成的信息安全策略是否能满足符合实际的需求,同时充分的分析其策略的有效落实情况。
包括以下内容:
- 现有信息安全策略文档分析
- 人员访谈&调查问卷
- 策略贯彻执行情况调查
- 信息安全管理策略调整
天创公司安全顾问审阅客户单位信息网络系统设计方案中的物理拓扑图并进行现场勘察,对客户整个网络体系进行深入调研,以国际信息安全标准和框架为指导,从物理层、网络层到应用层,全面的对网络的结构、网络协议、网络流量、网络规范性等多个方面进行深刻分析,对网络现状有点给予肯定,指出网络现状不足,同时提出信息安全保障体系建设解决方案。
工具扫描分析
天创公司安全顾问针对客户单位的主机、网络设备、数据库等使用漏洞扫描工具进行脆弱性评估,得出网络系统中存在的信息安全隐患和漏洞,同时根据客户单位网络实际情况提出信息安全建议。
人工评估分析
人工检查客户单位网络中主机、网络设备、数据库等的配置以及相关机制进行评估,挖掘网络系统的脆弱性。
包括以下内容:
- 信息安全配置检查 系统管理和维护的正常配置,合理配置,及优化配置。例如系统目录权限,账号管理策略,文件系统配置,进程通信管理等。
- 信息安全机制检查 信息安全机制的使用和正常配置,合理配置,及优化配置。例如日志及审计、备份不恢复,签名不校验,加密不通信,特殊授权及访问控制等。
- 数据库配置检查
代码信息安全评估
代码信息安全评估可以检测并报告客户的应用程序代码当前存在的遭黑客攻击的危险可能性。天创公司安全顾问将通过应用扫描软件和人工分析等手段对其进行深入分析,并提出相应的报告。
主要检测的内容包括:恶意代码的检查、账号信息安全检查、注入检查、跨站脚本注入检查等。
应用系统评估
应用系统信息安全评估的目标是全方位的提高应用系统中的信息安全性。应用系统信息安全评估不仅仅是对网络、主机和已采用信息安全产品的评估,还包括客户或者者第三方为客户业务开发的业务系统的信息安全评估,及在该应用系统内的操作和管理的信息安全评估等几个方面,可观综合地反应客户单位应用系统信息安全现状,指出对客户单位应用系统存在的信息安全风险因素,并提出全面的解决方案。
- 应用系统的基础IT设施评估
- 应用平台规划设计阶段评估
- 应用系统开发、测试阶段评估
- 应用系统操作和管理信息安全评估
- 应用系统的数据流信息安全评估
渗透测试是完全模拟黑客可能使用的攻击技术和漏洞发现技术,对目标系统的信息安全做身体的探测,发现系统最脆弱的环节。渗透测试能够直观的让管理人员知道自己网络所面临的问题。
江苏天创科技有限公司渗透测试小组利用各种主流攻击技术对网络、系统做模拟攻击测试,以发现网络、系统中存在的信息安全漏洞和风险点。企事业组织根据测试的结果,遵循相应信息安全策略制定合适的、不同优先级别的信息安全防护措施。
渗透测试服务主要包括如下内容:
- 敏感业务系统测试---针对客户敏感业务系统(办公系统、生成系统)进行渗透测试。
- 现有信息安全系统测试---针对客户现有信息安全系统(防火墙、与有访问控制系统等)进行渗透测试。