信息安全風險評估

市場需求

在信息系統上線階段，由于部分机构仅注重系统功能和性能测试，对于安全方面没有进行安全评估测试，导致信息系统带着安全风险上线部署和运行，给后期运维和机构业务开展带来风险。因此，目前国内重要行业、重要企业和机构的信息系统上线时，有关监管机构以及企业内的IT部门，都要求进行上线前的安全评估，通过后才能部署运行。

在信息系統運行階段，各类机构中也存在着大量信息系统及其赖以运行的基础网络、处理的数据和信息，由于其可能存在的技术漏洞和脆弱性，以及信息安全管理中潜在的薄弱环节，从而导致不同程度的信息安全风险。引起机构业务风险和声誉的降低。因此，机构需要定期进行信息安全风险评估，并及时开展风险处置。

評估內容

分析準備階段

確定項目評估範圍，调研客户管理制度、主要业务系统和业务系统功能、网络结构与网络环境。

現狀評估階段

通過信息系統資產識別，调研已有安全措施，确立组织的安全策略等活动，对信息系统进行详细的全面摸底，并完成信息资产列表和资产价值赋值。

1）威胁评估

從物理、网络、主机、数据、应用五个层面分析信息资产可能面临的威胁及手段，评估威胁产生的范围和影响力，并进行赋值分析和列表。

2）脆弱性评估

面向信息資產，采用诸如安全访谈与检查、系统漏洞扫描、WEB漏洞扫描、系统安全配置参数核查等多种脆弱性发现技术，充分发现信息系统的技术弱点、行为弱点和管理弱点，并进行专家解读和赋值，形成信息资产脆弱性清单和脆弱性赋值。

風險分析階段

通過量化信息資產價值、脆弱性和威胁，采用标准风险度量计算方法计算风险，并根据风险量化值分级排序，获得信息系统风险等级清单，进行信息安全风险象限分析。

風險處置階段

在充分認知和度量信息系統風險的基礎上，结合经验分析，形成权威的风险评估报告，并对信息系统的风险处置给出专家意见。

信息安全風險評估步驟

評估交付

《信息系统资产赋值表》

《信息资产威胁列表》

《信息资产脆弱性列表》

《漏洞扫描分析报告》

《渗透测试分析报告》

《信息安全风险评估报告》

《信息安全风险处置计划》

用戶收益

-- 信息系统安全防护获得专家级诊断，充分认知信息安全现状；

-- 全面梳理和摸底信息资产，得到详细信息资产列表、重要程度评价和赋值；

-- 掌握信息安全面临威胁、存在的脆弱性和风险；

-- 获得信息安全风险处置建议；

-- 获得权威第三方公平、公证的信息系统安全评估报告；

適用客戶

-- 新建信息系统上线时，需要了解安全状态是否符合预期的客户；

-- 需要第三方评估报告证明自身安全建设有效性；

-- 需要对信息系统安全水平进行专家诊断，识别梳理信息资产、了解安全现状和风险、与主流通用标准、先进安全技术是否具有差距性、获得安全风险规避措施建议的客户。

滲透測試

市場需求

目前，大部分的机构都针对信息安全采取了防护措施，但是这些措施到底是否真实有效，机构中的信息安全工作人员很难做出正确评估，迫切需要通过渗透测试，独立检测机构中信息安全策略的正确性和信息系统及基础环境的风险，帮助用户对目前机构中的网络、系统、应用的缺陷有相对直观的认识和了解，并提供有价值的测试报告，提供给管理层评估。

評估內容

滲透測試需要服務人員儘可能完整的模擬黑客使用的漏洞發現技術和攻擊手段，从攻击者的角度对目标网络、系统、主机应用的安全性作为深入的非破坏性的探测，发现系统最脆弱的环节。渗透测试能够以非常明显、直观的结果反映出系统的安全现状，其目的是能够让管理人员直观的了解自己网络和系统所面临的问题。

網絡方面：针对该系统所在网络层进行网络拓扑的探测、路由测试、防火墙规则试探、规避测试、入侵检测规则试探、规避测试、无线网安全、不同网段Vlan之间的渗透、端口扫描等存在漏洞的发现和通过漏洞利用来验证此种威胁可能带来的损失或后果，并提供避免或防范此类威胁、风险或漏洞的具体改进或加固措施。

系統方面：通过采用适当的测试手段，发现测试目标在系统识别、服务识别、身份认证、数据库接口模块、系统漏洞检测以及验证等方面存在的安全隐患，并给出该种隐患可能带来的损失或后果，并提供避免或防范此类威胁、风险或漏洞的具体改进或加固措施。

應用方面：通过采用适当测试手段，发现测试目标在系统认证及授权、代码审查、被信任系统的测试、文件接口模块、应急流程测试、信息安全、报警响应等方面存在的安全漏洞,演示再现利用该漏洞可能造成的客户资金损失，提供避免或防范此类威胁、风险或漏洞的具体改进或加固措施。

滲透測試階段內容

用戶收益

-- 协助用户发现信息系统中存在的安全弱点，协助企业有效的了解降低安全风险的重点和要点工作；

-- 有效的、有公信力的渗透测试报告，有助于企业或部门增强信息安全工作的整体认知程度，提升企业形象。

源代碼審計

市場需求

根據Gartner统计数据显示，75%的黑客攻击发生在应用层。而由NIST的统计显示92%的安全漏洞属于应用层。因此，应用软件的自身的安全问题是用户最为关心的问题，需要在应用软件开发和管理的各个层面共同努力解决。

在應用軟件安全保障工作中，源代码审计越来越成为一种流行的技术，通过源代码审计服务对软件进行代码安全检测，一方面可以找出潜在的风险，从内部对软件进行安全检测，提高代码的安全性，另一方面也可以进一步提高代码的质量。

評估內容

源代碼審計是從安全的角度對代碼進行安全測試評估，服务结合丰富的安全知识、编程经验、测试技术，利用静态分析和人工审核相结合的方法寻找代码在架构和编码上的安全缺陷，在代码行程软件产品前将业务软件的安全风险降低。

1.准备阶段

-- 代码审计需求分析，制定检测计划，获取应用系统源代码与设计文档

-- 了解系统整体架构，业务流程与实现逻辑

-- 搭建检测环境，部署检测工具

2.实施

-- 专业代码审计工具扫描与检测

-- 结合需求和设计文档，定位安全缺陷位置和内容

-- 分析验证检测结果

-- 人工审核

-- 确认业务风险

3.提交报告

-- 《代码评估需求调研报告》

-- 《源代码安全审计报告》

用戶收益

-- 代码安全审计可以在发布代码之前将代码里面存在的问题报告出来，避免将致命的漏洞或缺陷流转到不受控制的状态；

-- 在新产品推向市场时，可以保护企业品牌形象。