電話:400-100-6757
安全服務
安全評估

      參照國際(ji)風險(xian)評(ping)(ping)(ping)估(gu)(gu)信(xin)(xin)(xin)息(xi)(xi)安全要素提取慣例和(he)標準,調查(cha)分析用戶的(de)已有策略,從(cong)管理(li)、制(zhi)度(du)、落(luo)實(shi)情況、物理(li)信(xin)(xin)(xin)息(xi)(xi)安全、人員信(xin)(xin)(xin)息(xi)(xi)安全、第三方信(xin)(xin)(xin)息(xi)(xi)安全等等各方面來評(ping)(ping)(ping)估(gu)(gu)分析。調查(cha)業務流程,并(bing)(bing)對信(xin)(xin)(xin)息(xi)(xi)資(zi)產進行賦值和(he)等級劃分;結合(he)工具掃描、人工評(ping)(ping)(ping)估(gu)(gu)對系統、網絡、數據(ju)庫(ku)以及管理(li)制(zhi)度(du)進行信(xin)(xin)(xin)息(xi)(xi)安全性評(ping)(ping)(ping)估(gu)(gu),并(bing)(bing)根(gen)據(ju)評(ping)(ping)(ping)估(gu)(gu)結果(guo)提供評(ping)(ping)(ping)估(gu)(gu)報告。

 

      資(zi)產(chan)(chan)(chan)調(diao)查(cha)評(ping)估資(zi)產(chan)(chan)(chan)調(diao)查(cha)評(ping)估是(shi)整個信(xin)(xin)息(xi)安(an)(an)(an)全(quan)服(fu)務的基礎,因此(ci)在(zai)進行評(ping)估前需(xu)要對客(ke)戶(hu)單位所有資(zi)產(chan)(chan)(chan)(包括整個物理環境的信(xin)(xin)息(xi)安(an)(an)(an)全(quan)、操作(zuo)系統、應用系統等)進行評(ping)估調(diao)查(cha)。天創公司安(an)(an)(an)全(quan)顧問將根據客(ke)戶(hu)提供的資(zi)產(chan)(chan)(chan)列表(biao),結合信(xin)(xin)息(xi)安(an)(an)(an)全(quan)需(xu)求分(fen)(fen)析報告對其進行有序(xu)的分(fen)(fen)類和分(fen)(fen)級,根據資(zi)產(chan)(chan)(chan)的重要性提供相(xiang)應級別的保護。資(zi)產(chan)(chan)(chan)調(diao)查(cha)評(ping)估的主(zhu)要類別不信(xin)(xin)息(xi)系統相(xiang)關(guan)聯的資(zi)產(chan)(chan)(chan)示例有:

 
信息安全策略評估
      信息安全策略評估是便于分析用戶已經形成的信息安全策略是否能滿足符合實際的需求,同時充分的分析其策略的有效落實情況。
      包括以下內容:
  • 現有信息安全策略文檔分析
  • 人員訪談&調查問卷
  • 策略貫徹執行情況調查
  • 信息安全管理策略調整
網絡架構檢測評估
      天創公司安全顧問審閱客戶單位信息網絡系統設計方案中的物理拓撲圖并進行現場勘察,對客戶整個網絡體系進行深入調研,以國際信息安全標準和框架為指導,從物理層、網絡層到應用層,全面的對網絡的結構、網絡協議、網絡流量、網絡規范性等多個方面進行深刻分析,對網絡現狀有點給予肯定,指出網絡現狀不足,同時提出信息安全保障體系建設解決方案。
工具掃描分析
      天創公司安全顧問針對客戶單位的主機、網絡設備、數據庫等使用漏洞掃描工具進行脆弱性評估,得出網絡系統中存在的信息安全隱患和漏洞,同時根據客戶單位網絡實際情況提出信息安全建議。
人工評估分析
      人工檢查客戶單位網絡中主機、網絡設備、數據庫等的配置以及相關機制進行評估,挖掘網絡系統的脆弱性。
      包括以下內容:
  • 信息安全配置檢查
  • 系統管理和維護的正常配置,合理配置,及優化配置。例如系統目錄權限,賬號管理策略,文件系統配置,進程通信管理等。
  • 信息安全機制檢查
  • 信息安全機制的使用和正常配置,合理配置,及優化配置。例如日志及審計、備份不恢復,簽名不校驗,加密不通信,特殊授權及訪問控制等。
  • 數據庫配置檢查
      數據庫文件和口令設置等。
代碼信息安全評估
      代碼信息安全評估可以檢測并報告客戶的應用程序代碼當前存在的遭黑客攻擊的危險可能性。天創公司安全顧問將通過應用掃描軟件和人工分析等手段對其進行深入分析,并提出相應的報告。
主要檢測的內容包括:惡意代碼的檢查、賬號信息安全檢查、注入檢查、跨站腳本注入檢查等。
應用系統評估
      應用系統信息安全評估的目標是全方位的提高應用系統中的信息安全性。應用系統信息安全評估不僅僅是對網絡、主機和已采用信息安全產品的評估,還包括客戶或者者第三方為客戶業務開發的業務系統的信息安全評估,及在該應用系統內的操作和管理的信息安全評估等幾個方面,可觀綜合地反應客戶單位應用系統信息安全現狀,指出對客戶單位應用系統存在的信息安全風險因素,并提出全面的解決方案。
  • 應用系統的基礎IT設施評估
  • 應用平臺規劃設計階段評估
  • 應用系統開發、測試階段評估
  • 應用系統操作和管理信息安全評估
  • 應用系統的數據流信息安全評估
滲透測試
      滲透測試是完全模擬黑客可能使用的攻擊技術和漏洞發現技術,對目標系統的信息安全做身體的探測,發現系統最脆弱的環節。滲透測試能夠直觀的讓管理人員知道自己網絡所面臨的問題。
江蘇天創科技有限公司滲透測試小組利用各種主流攻擊技術對網絡、系統做模擬攻擊測試,以發現網絡、系統中存在的信息安全漏洞和風險點。企事業組織根據測試的結果,遵循相應信息安全策略制定合適的、不同優先級別的信息安全防護措施。
滲透測試服務主要包括如下內容:
  • 敏感業務系統測試---針對客戶敏感業務系統(辦公系統、生成系統)進行滲透測試。
  • 現有信息安全系統測試---針對客戶現有信息安全系統(防火墻、與有訪問控制系統等)進行滲透測試。
滲透測試是經過授權的,也是有時間限制的。