一、信息安全等級(jí)保護(hù)咨詢
1��、服務(wù)背景
為了全面貫徹和落實(shí)《網(wǎng)絡(luò)安全法》����、《國(guó)務(wù)院關(guān)于大力推進(jìn)信息化發(fā)展和切實(shí)保障信息安全的若干意 見(jiàn)》(國(guó)發(fā)〔2012〕23號(hào))��、《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》(中辦發(fā)〔2003〕 27號(hào))��、《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》(國(guó)務(wù)院令第147號(hào))����、《信息安全等級(jí)保護(hù)管理辦法》(公通字〔2007〕43號(hào))����、等中央文件的精神和要求,在國(guó)家信息安全保障相關(guān)政策和標(biāo)準(zhǔn)的指導(dǎo)下,對(duì)等保備案系統(tǒng)進(jìn)行等級(jí)保護(hù)測(cè)評(píng)����。
通過(guò)對(duì)信息系統(tǒng)進(jìn)行等級(jí)保護(hù)測(cè)評(píng),了解和掌握信息系統(tǒng)的安全總體狀況�,發(fā)現(xiàn)存在的主要問(wèn)題和薄弱環(huán)節(jié),完善信息系統(tǒng)安全防護(hù)體系�,全面提升信息系統(tǒng)的安全防護(hù)水平,更好地保障信息系統(tǒng)的正常運(yùn)行����,達(dá)到國(guó)家信息安全對(duì)等級(jí)保護(hù)等相關(guān)政策、文件與標(biāo)準(zhǔn)的要求����。
2、服務(wù)流程
3��、測(cè)評(píng)依據(jù)
GB/T 22240-2008《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》
GB/T 22239-2008《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》
GB/T 28448-2012《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》
GB/T 28449-2012《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南》
二�、信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估
1、服務(wù)背景
信息安全風(fēng)險(xiǎn)評(píng)估是參照風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)和管理規(guī)范��,對(duì)信息系統(tǒng)的資產(chǎn)價(jià)值��、潛在威脅���、薄弱環(huán)節(jié)�、已采取的防護(hù)措施等進(jìn)行分析,判斷安全事件發(fā)生的概率以及可能造成的損失��,提出風(fēng)險(xiǎn)管理措施的過(guò)程��。當(dāng)風(fēng)險(xiǎn)評(píng)估應(yīng)用于IT領(lǐng)域時(shí)�����,就是對(duì)信息安全的風(fēng)險(xiǎn)評(píng)估�����。
風(fēng)險(xiǎn)評(píng)估從早期簡(jiǎn)單的漏洞掃描�����、人工審計(jì)��、滲透性測(cè)試這種類型的純技術(shù)操作�,逐漸過(guò)渡到目前普遍采用國(guó)際標(biāo)準(zhǔn)的BS7799、ISO17799�����、國(guó)家標(biāo)準(zhǔn)《信息系統(tǒng)安全等級(jí)評(píng)測(cè)準(zhǔn)則》等方法���,充分體現(xiàn)以資產(chǎn)為出發(fā)點(diǎn)�����、以威脅為觸發(fā)因素���、以技術(shù)/管理/運(yùn)行等方面存在的脆弱性為誘因的信息安全風(fēng)險(xiǎn)評(píng)估綜合方法及操作模型。
風(fēng)險(xiǎn)評(píng)估的目的是全面���、準(zhǔn)確的了解組織機(jī)構(gòu)的網(wǎng)絡(luò)安全現(xiàn)狀��,發(fā)現(xiàn)系統(tǒng)的安全問(wèn)題及其可能的危害�,為系統(tǒng)最終安全需求的提出提供依據(jù)���。準(zhǔn)確了解組織的網(wǎng)絡(luò)和系統(tǒng)安全現(xiàn)狀�����。
具有以下目的:
? 找出目前的安全策略和實(shí)際需求的差距
? 獲得目前信息系統(tǒng)的安全狀態(tài)
? 為制定組織的安全策略提供依據(jù)
? 提供組織網(wǎng)絡(luò)和系統(tǒng)的安全解決方案
? 為組織未來(lái)的安全建設(shè)和投入提供客觀數(shù)據(jù)
? 為組織安全體系建設(shè)提供詳實(shí)依據(jù)
? 此外還可以通過(guò)選擇可靠的安全產(chǎn)品通過(guò)合理步驟制定適合具體情況的安全策略及其管理規(guī)范���,為建立全面的安全防護(hù)層次提供了一套完整���、規(guī)范的指導(dǎo)模型。
2���、實(shí)施流程
3�����、評(píng)估依據(jù)
? 風(fēng)險(xiǎn)評(píng)估國(guó)家標(biāo)準(zhǔn)和規(guī)范:
GB/T 20274-2006 《信息系統(tǒng)安全保障評(píng)估框架》
GB/T 20984-2007 《信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》
GB/T 18336-2001 《信息技術(shù)安全性評(píng)估準(zhǔn)則》
GB 17859-1999 《計(jì)算機(jī)信息系統(tǒng) 安全保護(hù)等級(jí)劃分準(zhǔn)則》
GB/T 22239-2008 《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》
GB/T 20271-2006 《信息安全技術(shù) 信息系統(tǒng)安全通用技術(shù)要求》
? 行業(yè)指導(dǎo)文件:
《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》
《銀監(jiān)會(huì)電子銀行安全評(píng)估指引》
《銀監(jiān)會(huì)電子銀行業(yè)務(wù)管理辦法》
《網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范》(JR/T 0068-2012)
三���、源代碼審計(jì)
靜態(tài)應(yīng)用程序安全性測(cè)試,自動(dòng)化識(shí)別在開(kāi)發(fā)期間應(yīng)用程序源代碼的安全漏洞和質(zhì)量問(wèn)題��,查明源代碼漏洞的根本原因����,提供詳盡的修復(fù)指導(dǎo)。我中心使用自動(dòng)化源代碼掃描工具�����,可支持21種編程語(yǔ)言����,700+漏洞類別(包括CVE���、OWASP��、公布漏洞庫(kù))���,幫助開(kāi)發(fā)人員的代碼編寫質(zhì)量����。
四����、應(yīng)用系統(tǒng)漏洞掃描測(cè)試
通過(guò)使用自動(dòng)化應(yīng)用安全掃描工具,對(duì)各類應(yīng)用系統(tǒng)進(jìn)行漏洞掃描�����,可覆蓋所有頁(yè)面及頁(yè)面元素�。掃描項(xiàng)種類多達(dá)30+,包括HTTP響應(yīng)分割����、SQL注入、URL重定向?yàn)E用��、XML屬性放大、XPath注入����、操作系統(tǒng)命令、緩沖區(qū)溢出�����、拒絕服務(wù)����、跨站點(diǎn)腳本編制、路徑遍歷����、目錄索引、信息泄露等���,其下依據(jù)不同類型的系統(tǒng)架構(gòu)�、中間件��、數(shù)據(jù)庫(kù)等細(xì)化數(shù)千個(gè)掃描點(diǎn)���。
五�、安全基線檢查
在業(yè)務(wù)系統(tǒng)的設(shè)備入網(wǎng),業(yè)務(wù)上線���,日常運(yùn)維��、定期巡檢和設(shè)備下線整個(gè)生命周期的各個(gè)環(huán)節(jié),檢查包括操作系統(tǒng)����、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫(kù)����、中間件在內(nèi)的所有類型的設(shè)備與系統(tǒng)的安全配置是否達(dá)到最基本防護(hù)能力要求的基線。
六����、APP安全掃描測(cè)試
針對(duì)APP(Android)的應(yīng)用安全進(jìn)行漏洞掃描測(cè)試,在企業(yè)允許的情況下���,提供非破壞性的安全檢測(cè)技術(shù)服務(wù)����,掃描項(xiàng)達(dá)50+���。
