您好,歡迎來到易龍商務網!
發布時間:2021-09-05 07:44
【廣告】
安全評估服務主要包括哪些內容?
網絡安全評估:檢查網絡訪問控制策略合理性、探測高危端口、對以上發現的問題進行安全分析,并制定修復方案,指導客戶修復安全漏洞。
主機安全評估:探測主機操作系統和應用軟件的安全漏洞、發現操作系統和應用軟件的配置弱項、對以上發現的問題進行安全分析,并制定修復方案,指導客戶修復安全漏洞。
應用安全評:發現業務應用代碼層的安全漏洞、對以上發現的問題進行安全分析,并制定修復方案,指導客戶修復安全漏洞。
安全評估服務——安全評估流程
主要分為線上評估實施、數據分析整理、風險評估報告撰寫三個階段:
線上評估:本階段主要完成線上評估工作的實施,即通過資產調查、安全基線掃描、漏洞掃描、人員訪談等方式,了解業務系統的安全現狀,為風險分析提供資料。現狀評估階段主要的工作任務包括人員訪談、安全基線掃描、漏洞掃描等。
數據分析:本階段主要對現場評估階段采集的數據進行分析、整理,為風險評估報告的撰寫提供依據。
報告撰寫:本階段主要完成風險評估報告的撰寫、修訂。根據數據分析的結果撰寫評估報告,并針對業務系統存在的安全風險、安全隱患提供修復建議。與負責人進行溝通,對評估報告進行修訂。
輸出結果:《安全評估報告》
什么是威脅評估
威脅是指可能對資產或組織造成損害事故的潛在原因。作為風險評估的重要因素,威脅是一個客觀存在的事物,無論對于多么安全的信息系統,它都存在。
威脅評估采用的方法是問卷調查、問詢、數據取樣、日志分析。在這一過程中,首先要對組織需要保護的每一項關鍵資產進行威脅識別。在威脅評估過程中,應根據資產所處的環境條件和資產以前遭受威脅損害的情況來判斷,一項資產可能面臨著多個威脅,同樣一個威脅可能對不同的資產造成影響。識別出威脅由誰或什么事物引發以及威脅影響的資產是什么,即確認威脅的主體和客體。
風險評估需要做哪些準備工作
網絡安全風險評估前期,需要明確信息安全風險評估的范圍和對象,以及對象的特性和安全要求。被評估信息系統的使命、業務、組織結構、管理制度和技術平臺,以及國家、地區或行業的相關政策、法律、法規和標準都是該項工作的參考依據。主要任務有:
1、了解用戶安全需求、網絡結構和控制措施;
2、查找技術文檔中的技術缺陷、前后不一致之處;
3、制定現場測試實施計劃,準備相應的工作表單和測試工具;
4、調研現有的安全防護措施及其落實情況
