信息安全风险评估是信息安全保障工作的基础和重要环节，《国家信息化领导小组关于加强信息安全保障工作的意见（中办发[2003]27号）》，《关于开展信息安全风险评估工作的意见（国信办[2006]5号）》等政策都提出信息安全风险评估的必要性。2017年6月1日实施的《中华人民共和国网络安全法》中明确将信息安全安全风险评估工作上升为国家法律层面，为信息安全风险评估工作的推动发挥巨大作用。

 

山东正舟积极响应国家政策，推出信息安全风险评估服务，致力于保障信息安全建设和提高防范风险能力。

 

一、服务介绍

 

正舟信息安全风险评估服务是识别、控制、降低或消除可能影响信息系统的安全风险的过程。通过风险评估来识别风险大小，通过制定信息安全方针，选择适当的控制目标和方式对风险进行控制，使风险被避免、转移或降到可以被接受的水平。

 

二、用户需求

 

1、合规驱动：满足相关监管要求

 

——面对上级单位及监管单位的检查，通过风险评估识别安全脆弱性，提前做好安全加固。

 

2、业务驱动：有的放矢的安全建设指导

 

——业务层面（规划）：组织内部的安全问题很多，信息安全工作应该优先开展哪一部分？如何衡量效率、成本和安全？未来安全建设如何规划？找到客户安全痛点，“按病吃药”，进行安全方案建设，合理投入；

——业务层面（现状）：采购大量安全设备后，安全现状到底如何？通过风险评估服务进行针对性检查，让运营者清晰认识到自身环境的资产以及资产存在的脆弱性和威胁，充分了解自身的安全状态；

——业务层面（新增）：新业务上线是否“带病上线”，通过风险评估服务进行全面检测。

 

3、重保驱动：重保前期安全检测

 

——如何在重保活动前有效预防？提前做好针对性加固，提前知悉安全入口。

 

4、事件驱动：安全事件预防，安全事件发生后深度分析检测并规避

 

——当安全事件发生后，简单的漏洞检测已经不能满足用户需求，需要通过整体风险评估，分析出业务层安全问题，并将业务风险进行计算，得出风险分析报告。

 

三、差距分析

 

1、用户侧

 

① 人员层面：缺乏专业的人员进行安全检测；

② 工具层面：缺乏专业的工具，且一次购买漏洞扫描设备成本高，后期使用运维压力大。

 

2、解决方案侧

 

背景：客户现有解决方案一般为采购安全设备或检查设备；

① 产品以防护为主：为什么防护？内网有哪些问题？用户对这些并不知情，部署大量设备后仍然出现安全事件；

② 检查设备包含漏洞扫描设备、基线核查设备、风险评估工具等，一次性投入高；且后期使用运维压力大，对人员要求高。

 

四、服务内容

 

1、资产识别

 

开展用户访谈和问卷调研，确定信息安全风险评估范围及具体系统。针对给出的系统，如业务系统、数据文档、软硬件资产、物理环境、组织管理等信息分类统计资产情况，进行深度资产识别。基于访谈、人工审核等方式，对已统计的资产进行核对，确保资产情况真实有效。

服务交付物：《资产识别表》

 

2、漏洞发现

 

① 使用web应用安全扫描，通过漏洞扫描工具，扫描Web应用层，检测常规的安全漏洞；

② 对于系统层的扫描，可以使用漏洞扫描工具，对业务系统的网络设备、主机、操作系统、数据库、中间件、应用软件进行全量漏洞扫描。

服务交付物：《XXX系统安全漏洞扫描报告》、《XXXIP地址段安全漏洞扫描报告》

 

3、基线核查

 

基于用户提供权限或管理人员的配合，对设备、数据库、中间件等安全配置进行脚本核查，并对结果导入基线检查平台，最终输入详细的安全报告。

服务交付物：《基线核查安全评估报告》

 

4、漏洞验证

 

对web安全和系统扫描，以及基线检查结果中存在的安全隐患，结合人工+工具进行漏洞验证，保障结果的准确率。根据识别到的脆弱性进行分析和利用，通过防火墙、IPS等设备日志分析外部恶意攻击等威胁，通过人工审核勘查物理环境、组织管理架构流程等分析内部威胁。

 

5、渗透测试（可选）

 

高级服务工程师在获得授权的情况下，以主流渗透工具结合提供的工具模拟黑客攻击为主要手段，发现常见的高中危漏洞为主要目标，将发现的安全漏洞进行整理，给出详细说明，针对每个安全漏洞提供相应的解决方法。并结合客户修复情况，协助客户针对修复后的漏洞进行复测验证。

服务交付物：《业务系统渗透测试报告》、《业务系统渗透测试复测报告》

 

6、风险分析

 

综合考虑资产本身的价值、威胁发生的几率、脆弱性的破坏力、现有的防护能力等因素，分析资产可能存在的安全风险，结合风险对业务战略的影响程度明确风险处置计划；根据资产识别、脆弱性评估、威胁评估、防护能力评估的输出结果进行风险分析后，通过 RAP 工具输出风险评估报告。风险评估报告是为用户提供符合业务需求的安全整改建议。

 

服务交付物：《XXX单位安全风险评估报告》

 

7、漏洞验证

 

组织总结会议对风险评估整体工作流程及结果进行总结，并输出针对性解决方案进行高层汇报。

 

服务交付物：《XXX安全建设解决方案》

 

五、服务工具 

 

1、TSS安全评估工具

 

功能：基于资产发现、基线核查、系统漏洞扫描、WEB漏洞扫描、弱口令扫描为一体的安全评估工具

工作模式：以软件安装包部署在专用工作站，需要结合USB-KEY授权使用。

 

2、RAP风险评估平台

 

功能：基于风险评估标准对风险要素进行综合分析，自动化输出评估报告的综合性网络安全风险评估支撑平台。

工作模式：以软件安装包部署在专用工作站，需要结合授权使用。

 

六、方案优势

 

山东正舟风险评估服务具有成熟的风险评估方案，成熟的工具和流程。能够根据不同用户的需求，提供专业有效的解决方案。