致力于打造电子商务,信息安全的一流服务商

To focus on creating e-commerce, information security, first-class service providers

news center

新闻中心

深挖内部风险,保障信息安全——正舟信息安全风险评估服务

发布日期:2020年11月14日 浏览次数:

信息安全风险评估是信息安全保障工作的基础和重要环节,《国家信息化领导小组关于加强信息安全保障工作的意见(中办发[2003]27号)》,《关于开展信息安全风险评估工作的意见(国信办[2006]5号)》等政策都提出信息安全风险评估的必要性。2017年6月1日实施的《中华人民共和国网络安全法》中明确将信息安全安全风险评估工作上升为国家法律层面,为信息安全风险评估工作的推动发挥巨大作用。

 

山东正舟积极响应国家政策,推出信息安全风险评估服务,致力于保障信息安全建设和提高防范风险能力。

 

一、服务介绍

 

正舟信息安全风险评估服务是识别、控制、降低或消除可能影响信息系统的安全风险的过程。通过风险评估来识别风险大小,通过制定信息安全方针,选择适当的控制目标和方式对风险进行控制,使风险被避免、转移或降到可以被接受的水平。

 

二、用户需求

 

1、合规驱动:满足相关监管要求

 

——面对上级单位及监管单位的检查,通过风险评估识别安全脆弱性,提前做好安全加固。

 

2、业务驱动:有的放矢的安全建设指导

 

——业务层面(规划):组织内部的安全问题很多,信息安全工作应该优先开展哪一部分?如何衡量效率、成本和安全?未来安全建设如何规划?找到客户安全痛点,“按病吃药”,进行安全方案建设,合理投入;

——业务层面(现状):采购大量安全设备后,安全现状到底如何?通过风险评估服务进行针对性检查,让运营者清晰认识到自身环境的资产以及资产存在的脆弱性和威胁,充分了解自身的安全状态;

——业务层面(新增):新业务上线是否“带病上线”,通过风险评估服务进行全面检测。

 

3、重保驱动:重保前期安全检测

 

——如何在重保活动前有效预防?提前做好针对性加固,提前知悉安全入口。

 

4、事件驱动:安全事件预防,安全事件发生后深度分析检测并规避

 

——当安全事件发生后,简单的漏洞检测已经不能满足用户需求,需要通过整体风险评估,分析出业务层安全问题,并将业务风险进行计算,得出风险分析报告。

 

三、差距分析

 

1、用户侧

 

① 人员层面:缺乏专业的人员进行安全检测;

② 工具层面:缺乏专业的工具,且一次购买漏洞扫描设备成本高,后期使用运维压力大。

 

2、解决方案侧

 

背景:客户现有解决方案一般为采购安全设备或检查设备;

① 产品以防护为主:为什么防护?内网有哪些问题?用户对这些并不知情,部署大量设备后仍然出现安全事件;

② 检查设备包含漏洞扫描设备、基线核查设备、风险评估工具等,一次性投入高;且后期使用运维压力大,对人员要求高。

 

四、服务内容

 

1、资产识别

 

开展用户访谈和问卷调研,确定信息安全风险评估范围及具体系统。针对给出的系统,如业务系统、数据文档、软硬件资产、物理环境、组织管理等信息分类统计资产情况,进行深度资产识别。基于访谈、人工审核等方式,对已统计的资产进行核对,确保资产情况真实有效。

服务交付物:《资产识别表》

 

2、漏洞发现

 

① 使用web应用安全扫描,通过漏洞扫描工具,扫描Web应用层,检测常规的安全漏洞;

② 对于系统层的扫描,可以使用漏洞扫描工具,对业务系统的网络设备、主机、操作系统、数据库、中间件、应用软件进行全量漏洞扫描。

服务交付物:《XXX系统安全漏洞扫描报告》、《XXXIP地址段安全漏洞扫描报告》

 

3、基线核查

 

基于用户提供权限或管理人员的配合,对设备、数据库、中间件等安全配置进行脚本核查,并对结果导入基线检查平台,最终输入详细的安全报告。

服务交付物:《基线核查安全评估报告》

 

4、漏洞验证

 

对web安全和系统扫描,以及基线检查结果中存在的安全隐患,结合人工+工具进行漏洞验证,保障结果的准确率。根据识别到的脆弱性进行分析和利用,通过防火墙、IPS等设备日志分析外部恶意攻击等威胁,通过人工审核勘查物理环境、组织管理架构流程等分析内部威胁。

 

5、渗透测试(可选)

 

高级服务工程师在获得授权的情况下,以主流渗透工具结合提供的工具模拟黑客攻击为主要手段,发现常见的高中危漏洞为主要目标,将发现的安全漏洞进行整理,给出详细说明,针对每个安全漏洞提供相应的解决方法。并结合客户修复情况,协助客户针对修复后的漏洞进行复测验证。

服务交付物:《业务系统渗透测试报告》、《业务系统渗透测试复测报告》

 

6、风险分析

 

综合考虑资产本身的价值、威胁发生的几率、脆弱性的破坏力、现有的防护能力等因素,分析资产可能存在的安全风险,结合风险对业务战略的影响程度明确风险处置计划;根据资产识别、脆弱性评估、威胁评估、防护能力评估的输出结果进行风险分析后,通过 RAP 工具输出风险评估报告。风险评估报告是为用户提供符合业务需求的安全整改建议。

 

服务交付物:《XXX单位安全风险评估报告》

 

7、漏洞验证

 

组织总结会议对风险评估整体工作流程及结果进行总结,并输出针对性解决方案进行高层汇报。

 

服务交付物:《XXX安全建设解决方案》

 

五、服务工具 

 

1、TSS安全评估工具

 

功能:基于资产发现、基线核查、系统漏洞扫描、WEB漏洞扫描、弱口令扫描为一体的安全评估工具

工作模式:以软件安装包部署在专用工作站,需要结合USB-KEY授权使用。

 

2、RAP风险评估平台

 

功能:基于风险评估标准对风险要素进行综合分析,自动化输出评估报告的综合性网络安全风险评估支撑平台。

工作模式:以软件安装包部署在专用工作站,需要结合授权使用。

 

六、方案优势

 

山东正舟风险评估服务具有成熟的风险评估方案,成熟的工具和流程。能够根据不同用户的需求,提供专业有效的解决方案

 

Service phone
0533-3583100
山东省淄博市高新区柳泉北路西侧先进陶瓷产业创新园B座6楼
山东正舟信息技术有限公司版权所有 业务范围:电子商务平台建设电子商务平台运营内网信息安全文档数据加密数据文档安全高端网站建设企业微信公众平台建设淄博会展
友情链接: 齐贸通
QQ客服 问题建议

公告

诚聘

所有岗位应聘者,敬请拨打电话,预约面试时间。

详情请咨询人事部

电话:0533-3589281