智仁信息技术有限公司


We create the opportunities!


  安全服务>>安全评估服务

安全评估服务

 

  信息系统的安全风险,是指由于系统存在的脆弱性,人为或自然的威胁导致安全事件发生所造成的影响。信息安全安全评估,则是指依据国家有关信息安全技术标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过程,它要评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁源利用后所产生的实际负面影响,并根据安全事件发生的可能性和负面影响的程度来识别信息系统的安全风险。

 

  信息安全安全是信息安全保障体系建立过程中的重要的评价方法和决策机制。没有准确及时的风险评估,将使得各个机构无法对其信息安全的状况做出准确的判断。因此,风险评估应当成为各个机构建立信息安全保障体系的优先步骤。通过安全评估服务,客户可以获取以下价值:

  

  对客户信息系统安全的各个方面的当前潜在威胁、弱点和影响进行全面的评估


  通过安全评估,能够清晰地了解当前所面临的安全风险,清晰地了解信息系统的安全现状
  

  为下一步控制和降低安全风险、改善安全状况提供客观和翔实的依据

 

1.风险评估服务



  铱迅信息提供全面的分析评估服务以彻底检查和分析组织的信息基础设施,发现安全问题,以确定对信息系统采用什么程度的安全保障力度。

 

  风险评估是对待评估对象的信息系统的影响、威胁和脆弱性进行全方位评估,归纳并总结该系统所面临的安全风险,为后续的安全规划和建设提供决策依据。

 

  风险评估服务包括以下主要内容:

 

  组建风险评估小组,成员包括外部评估专家、组织的信息安全负责人、IT代表、业务部门代表、管理层代表等;


  按照组织的业务运作流程来识别需要保护的信息资产,并根据估价原则对信息资产进行估价;


  弱点识别及评估,包括技术性弱点和非技术性弱点;


  对可能存在的各项威胁进行识别和评估;


  利用既定的风险评估方法,结合资产、弱点和威胁三个要素,对已识别的风险进行评估,划分风险等级;


  识别并评估当前风险控制措施的有效性;


  建议风险处理措施和优先顺序。

 

2.技术安全评估

 

  一个组织的信息系统经常会面临内部和外部威胁的风险。随着黑客技术的日趋先进,没有这些黑客技术的经验与知识很难充分保护您的系统。

 

  铱迅信息利用积累的大量安全性行业经验和最先进的漏洞扫描技术,从内部和外部两个角度,对您的信息系统提供全面的评估。

 

  利用安全评估系统对您信息系统进行远程或本地的技术脆弱性评估,同事针对评估系统的报告进行漏洞分析,以确保正确识别安全问题的存在并减少其发生的可能性。

 

  技术安全评估服务包括以下主要内容:

 

  搜集必要的信息,为实施扫描做好准备,相关信息包括:


  网络拓扑结构;


  主机设备的分布和基本配置;


  IP地址分配;


  相关管理和操作人员;


  现有的相关策略;

 

  已经部署的安全控制措施(产品)。


  外部(外网)扫描,扫描内容包括(不限于): 
 

  网络服务开放端口扫描;


  域名信息攫取;


  whois信息攫取;


  网络、操作系统及应用程序漏洞扫描;


  Web服务器漏洞扫描;

 

  SNMP探测;


  其他扫描探测内容(包括LDAP、SQLServer、NetBIOS等)。


  内部(内网)扫描,内容包括:


  越过边界防护措施进行开放式扫描;


  对外部扫描效果及记录进行验证。 
 

  重点主机及防护工具审核,内容包括:

 

  对重点系统进行基于主机的扫描和检查;


  对现有的防护工具(防火墙、IDS)进行有效性验证。

 

  数据分析;


  编写并提交安全扫描报告,扫描报告应该体现:


  经过确认且经过严重级划分的漏洞;


  针对每项漏洞提出的解决对策。

 

3.渗透测试评估

 

  渗透测试(PenetrationTest)是指安全渗透测试者尽可能完整地模拟黑客使用的漏洞发现技术和攻击手段,对目标网络/系统/主机/应用的安全性作深入的探测,发现系统最脆弱的环节的过程。

 

  不过,经用户授权所进行的渗透测试与黑客所进行的渗透攻击测试是有一定的区别。授权所进行的渗透测试一般不会对客户的信息系统造成任何危害和损失,其目的只在于从信息系统的外部发现信息系统对外所呈现出的安全脆弱性并验证这些安全脆弱性的真实存在性,到此为止就不再进行进一步的渗透(即不进行后门植入等后续手段),并将这些所存在的脆弱性通告客户方,这是与黑客所进行的渗透测试的区别所在。

 

  此次客户渗透测试目的是让用户清晰了解目前网络的脆弱性、可能造成的影响,以便采取必要的防范措施。不过渗透测试并不能保证发现目标网络中的“所有”弱点,渗透测试只能是减少风险,但是不一定能绝对避免风险,因此渗透测试不能让系统达到绝对得安全,经过渗透测试后的系统被攻破是可能的,也是正常的。因此,渗透测试只是检测信息系统安全的一种方式,要保障系统的安全需要采取综合性的安全保障措施,才能使信息系统的安全达到较高的程度。

 

  从渗透测试中,客户能够得到的收益至少有:

 

  渗透测试可帮助客户发现其互联网系统的安全最短板,协助客户有效地了解目前降低风险的初始任务;


  渗透测试报告有助于客户管理者以案例形式说明目前互联网系统的安全现状,从而增强客户信息安全的认知程度,甚至提高客户在安全方面的预算;


   信息安全是一个整体工程,渗透测试还有助于客户中的所有成员意识到自己的岗位同样可能提高或降低风险,有助于内部安全的提升。