网络安全风险评估服务
北京国泰网信科技有限公司具有中国网络安全审查技术与认证中心信息安全风险评估二级资质,可为客户提供基于等级保护的评估工作,协助客户完成等保的测评和后期的监督检查。并可以结合客户行业的业务特点和系统现状对客户的整体信息系统进行安全风险评估,识别和评估信息资产的重要性、安全威胁的可能性、安全脆弱性的严重程度、以及安全控制措施的有效性等要素,对所有评估中发现的不可接受风险给出对应的安全处置和加固建议,协助客户提升对重要信息系统或者关键信息基础设施的安全风险管理和安全保障能力。
服务项目
客户在信息系统安全建设、整改时,我公司可提供基于等级保护要求和规范的等保评估工作,协助客户确定信息系统的安全保护现状和存在的安全问题。在信息系统运行维护过程中,可协助客户对信息系统安全管控能力进行考察和评价,从而判定客户信息系统是否具备相应等级安全保护能力。
对客户的资产进行基于表现形式的分类,并对资产从机密性、完整性、可用性三个维度进行评估分析,通过按照相关政策标准的一系列科学的资产分析方法最终达到明确客户资产重要性的目的。
通过开展对客户信息系统的调研梳理工作,从威胁来源和威胁表现形式两方面对客户信息系统所面临的威胁进行评估分析,最终实现对客户信息系统的威胁进行整理排序,明确高等级威胁的数量、种类、来源等结果。
通过对客户开展问卷调查、工具检测、人工核查、文档查阅等方式,从技术脆弱性(物理层、网络层、系统层、应用层等)和管理脆弱性(技术管理脆弱性、组织管理脆弱性)两方面对客户信息系统脆弱性的严重程度进行评估和识别。
通过模拟黑客可能使用的攻击技术和漏洞发现技术,对客户指定目标系统的安全做深入检测,从应用攻击入手,围绕业务系统进行逐步渗透攻击,尝试获取网络、应用、数据库的重要资源,寻找系统的薄弱点,并验证评估结果,最终提出有针对性的安全解决方案。由于采用可控制的、非破坏性的渗透测试,因此不会对被测试应用系统造成相对较大的影响。应用系统渗透测试服务的所有细节和风险,都会提前告知客户,且所有过程都在客户的控制下进行。
信息安全渗透测试内容
- 操作系统:对Windows、Solaris、Aix、Linux等操作系统本身进行渗透测试;
- 数据库系统:对MS-SQL、Oracle、MYSQL、SYBASE等数据库系统进行渗透测试;
- 应用系统:对各种应用系统,如ASP、CGI、JSP、PHP等网站应用进行渗透测试;
- 网络设备:对路由器、防火墙、入侵检测系统等网络设备进行渗透测试。
信息系统渗透测试类型
- 第一类型:互联网渗透测试,是通过互联网发起远程攻击,比其它类型的渗透测试更能说明漏洞的严重性;
- 第二类型:内网渗透测试,通过接入内部网络发起内部攻击。
微信公众号
