安全評估及滲透測試-

市場需求
參考标準
評估内容
交付産物
适用(use)群體
客戶收益

市場需求

在(exist)信息系統上(superior)線階段，由于(At)部分機構僅注重系統功能和(and)性能測試，對安全方面沒有進行安全評估測試，導緻信息系統帶着安全風險上(superior)線部署運行，給後期運維和(and)機構業務開展帶來(Come)風險。因此，目前國(country)内重要(want)行業、重要(want)企業和(and)機構的(of)信息系統上(superior)線時(hour)，有關監管機構以(by)及企業内的(of)IT部門，都要(want)求進行上(superior)線前的(of)安全評估，通過後才能部署運行。

在(exist)信息系統運行階段，各類機構中也存在(exist)着大(big)量信息系統及其賴以(by)運行的(of)基礎網絡、處理的(of)數據和(and)信息，由于(At)其可能存在(exist)的(of)技術漏洞和(and)脆弱性，以(by)及信息安全管理中潛在(exist)的(of)薄弱環節，從而導緻不(No)同程度的(of)信息安全風險。引起機構業務風險和(and)聲譽的(of)降低。因此，機構需要(want)定期進行信息安全風險評估，并及時(hour)開展風險處置。

安全評估是(yes)信息系統安全的(of)基礎性工作(do)。它是(yes)傳統的(of)風險理論和(and)方法在(exist)信息系統中的(of)運用(use)，能夠科學地(land)分析和(and)理解信息與信息系統在(exist)保密性、完整性、可用(use)性等方面所面臨的(of)風險，并在(exist)風險的(of)減少、轉移和(and)規避等風險控制方法之間做出(out)決策的(of)過程。

安全評估将導出(out)信息系統的(of)安全需求。持續的(of)安全評估工作(do)成爲(for)檢查信息系統本身安全保密狀況的(of)有力手段，并通過行政手段對信息系統産生(born)積極影響，促進企業加強信息安全建設。

參考标準

《信息安全技術信息安全風險評估方法》

GB/T 31509-2015《信息安全技術信息安全風險評估實施指南》

評估内容

分析準備階段
确定項目評估範圍，調研客戶管理制度、主要(want)業務系統和(and)業務系統功能、網絡結構與網絡環境。
現狀評估階段
通過信息系統資産識别，調研已有安全措施，确立組織的(of)安全策略等活動，對信息系統進行詳細的(of)全面摸底，并完成信息資産列表和(and)資産價值賦值。
威脅評估
從物理、網絡、主機、數據、應用(use)五個(indivual)層面分析信息資産可能面臨的(of)威脅及手段，評估威脅産生(born)的(of)範圍和(and)影響力，并進行賦值分析和(and)列表。
脆弱性評估
面向信息資産，采用(use)諸如安全訪談與檢查、系統漏洞掃描、WEB漏洞掃描、系統安全配置參數核查等多種脆弱性發現技術，充分發現信息系統的(of)技術弱點、行爲(for)弱點和(and)管理弱點，并進行專家解讀和(and)賦值，形成信息資産脆弱性清單和(and)脆弱性賦值。
風險分析階段
通過量化信息資産價值、脆弱性和(and)威脅，采用(use)标準風險度量計算方法計算風險，并根據風險量化值分級排序，獲得信息系統風險等級清單，進行信息安全風險象限分析。
風險處置階段
在(exist)充分認知和(and)度量信息系統風險的(of)基礎上(superior)，結合經驗分析，形成權威的(of)安全評估報告，并對信息系統的(of)風險處置給出(out)專家意見。

交付産物

《信息系統資産賦值表》《信息資産威脅列表》《信息資産脆弱性列表》《漏洞掃描分析報告》《滲透測試分析報告》《信息安全風險評估報告》《信息安全風險處置計劃》

适用(use)群體

新建信息系統上(superior)線時(hour)，需了(Got it)解安全狀态是(yes)否符合預期；
需要(want)第三方評估報告證明自身安全建設有效性；
需要(want)對信息系統安全水平進行專家診斷，識别梳理信息資産、了(Got it)解安全現狀和(and)風險、與主流通用(use)标準、先進安全技術是(yes)否具有差距性、獲得安全風險規避措施建議。

客戶收益

信息系統安全防護獲得專家級診斷，充分認知信息安全現狀
全面梳理和(and)摸底信息資産，得到(arrive)詳細信息資産列表、重要(want)程度評價和(and)賦值
掌握信息安全面臨威脅、存在(exist)的(of)脆弱性和(and)風險
獲得信息安全風險處置建議
獲得權威第三方公平、公證的(of)信息系統安全評估報告

市場需求
評估内容
用(use)戶收益

市場需求

目前，大(big)部分的(of)機構都針對信息安全采取了(Got it)防護措施，但是(yes)這(this)些措施到(arrive)底是(yes)否真實有效，機構中的(of)信息安全工作(do)人(people)員很難做出(out)正确評估，迫切需要(want)通過滲透測試，獨立檢測機構中信息安全策略的(of)正确性和(and)信息系統及基礎環境的(of)風險，幫助用(use)戶對目前機構中的(of)網絡、系統、應用(use)的(of)缺陷有相對直觀的(of)認識和(and)了(Got it)解，并提供有價值的(of)測試報告，提供給管理層評估。

評估内容

滲透測試需要(want)服務人(people)員盡可能完整的(of)模拟黑客使用(use)的(of)漏洞發現技術和(and)攻擊手段，從攻擊者的(of)角度對目标網絡、系統、主機應用(use)的(of)安全性作(do)爲(for)深入的(of)非破壞性的(of)探測，發現系統最脆弱的(of)環節。滲透測試能夠以(by)非常明顯、直觀的(of)結果反映出(out)系統的(of)安全現狀，其目的(of)是(yes)能夠讓管理人(people)員直觀的(of)了(Got it)解自己網絡和(and)系統所面臨的(of)問題。

網絡方面
針對該系統所在(exist)網絡層進行網絡拓撲的(of)探測、路由測試、防火牆規則試探、規避測試、入侵檢測規則試探、規避測試、無線網安全、不(No)同網段Vlan之間的(of)滲透、端口掃描等存在(exist)漏洞的(of)發現和(and)通過漏洞利用(use)來(Come)驗證此種威脅可能帶來(Come)的(of)損失或後果，并提供避免或防範此類威脅、風險或漏洞的(of)具體改進或加固措施。
了(Got it)解更多
系統方面
通過采用(use)适當的(of)測試手段，發現測試目标在(exist)系統識别、服務識别、身份認證、數據庫接口模塊、系統漏洞檢測以(by)及驗證等方面存在(exist)的(of)安全隐患，并給出(out)該種隐患可能帶來(Come)的(of)損失或後果，并提供避免或防範此類威脅、風險或漏洞的(of)具體改進或加固措施。
了(Got it)解更多
應用(use)方面
通過采用(use)适當測試手段，發現測試目标在(exist)系統認證及授權、代碼審查、被信任系統的(of)測試、文件接口模塊、應急流程測試、信息安全、報警響應等方面存在(exist)的(of)安全漏洞,演示再現利用(use)該漏洞可能造成的(of)客戶資金損失，提供避免或防範此類威脅、風險或漏洞的(of)具體改進或加固措施。
了(Got it)解更多
實施準備
1、滲透測試方案及計劃;
2、滲透測試方案的(of)風險規避。
信息搜集
1、域名及IP分布;
2、網絡拓撲、設備及操作(do)系統;
3、端口及服務;
4、應用(use)系統情況;
5、最新漏洞情況;
6、其他(he)信息。
滲透實施
1、獲取目标系統權限;
2、利用(use)漏洞或後門木馬植入，獲取控制;
3、跳闆滲透，進一(one)步擴展攻擊成果;
4、獲取敏感信息數據和(and)資源。

用(use)戶收益

專業的(of)保障團隊
協助用(use)戶發現信息系統中存在(exist)的(of)安全弱點，協助企業有效的(of)了(Got it)解降低安全風險的(of)重點和(and)要(want)點工作(do)
檢測機制全面
有效的(of)、有公信力的(of)滲透測試報告，有助于(At)企業或部門增強信息安全工作(do)的(of)整體認知程度，提升企業形象