一���、信息安全等級保護咨詢
1��、服務(wù)背景
為了全面貫徹和落實《網(wǎng)絡(luò)安全法》��、《國務(wù)院關(guān)于大力推進信息化發(fā)展和切實保障信息安全的若干意 見》(國發(fā)〔2012〕23號)、《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》(中辦發(fā)〔2003〕 27號)、《中華人民共和國計算機信息系統(tǒng)安全保護條例》(國務(wù)院令第147號)��、《信息安全等級保護管理辦法》(公通字〔2007〕43號)�����、等中央文件的精神和要求�����,在國家信息安全保障相關(guān)政策和標(biāo)準(zhǔn)的指導(dǎo)下����,對等保備案系統(tǒng)進行等級保護測評。
通過對信息系統(tǒng)進行等級保護測評���,了解和掌握信息系統(tǒng)的安全總體狀況��,發(fā)現(xiàn)存在的主要問題和薄弱環(huán)節(jié)����,完善信息系統(tǒng)安全防護體系�����,全面提升信息系統(tǒng)的安全防護水平,更好地保障信息系統(tǒng)的正常運行�����,達到國家信息安全對等級保護等相關(guān)政策��、文件與標(biāo)準(zhǔn)的要求�����。
2�、服務(wù)流程
3����、測評依據(jù)
GB/T 22240-2008《信息安全技術(shù) 信息系統(tǒng)安全等級保護定級指南》
GB/T 22239-2008《信息安全技術(shù) 信息系統(tǒng)安全等級保護基本要求》
GB/T 28448-2012《信息安全技術(shù) 信息系統(tǒng)安全等級保護測評要求》
GB/T 28449-2012《信息安全技術(shù) 信息系統(tǒng)安全等級保護測評過程指南》
二、信息系統(tǒng)安全風(fēng)險評估
1��、服務(wù)背景
信息安全風(fēng)險評估是參照風(fēng)險評估標(biāo)準(zhǔn)和管理規(guī)范����,對信息系統(tǒng)的資產(chǎn)價值、潛在威脅��、薄弱環(huán)節(jié)��、已采取的防護措施等進行分析,判斷安全事件發(fā)生的概率以及可能造成的損失�,提出風(fēng)險管理措施的過程。當(dāng)風(fēng)險評估應(yīng)用于IT領(lǐng)域時����,就是對信息安全的風(fēng)險評估。
風(fēng)險評估從早期簡單的漏洞掃描���、人工審計�����、滲透性測試這種類型的純技術(shù)操作����,逐漸過渡到目前普遍采用國際標(biāo)準(zhǔn)的BS7799�����、ISO17799�、國家標(biāo)準(zhǔn)《信息系統(tǒng)安全等級評測準(zhǔn)則》等方法,充分體現(xiàn)以資產(chǎn)為出發(fā)點���、以威脅為觸發(fā)因素�����、以技術(shù)/管理/運行等方面存在的脆弱性為誘因的信息安全風(fēng)險評估綜合方法及操作模型���。
風(fēng)險評估的目的是全面���、準(zhǔn)確的了解組織機構(gòu)的網(wǎng)絡(luò)安全現(xiàn)狀,發(fā)現(xiàn)系統(tǒng)的安全問題及其可能的危害�����,為系統(tǒng)最終安全需求的提出提供依據(jù)�。準(zhǔn)確了解組織的網(wǎng)絡(luò)和系統(tǒng)安全現(xiàn)狀���。
具有以下目的:
? 找出目前的安全策略和實際需求的差距
? 獲得目前信息系統(tǒng)的安全狀態(tài)
? 為制定組織的安全策略提供依據(jù)
? 提供組織網(wǎng)絡(luò)和系統(tǒng)的安全解決方案
? 為組織未來的安全建設(shè)和投入提供客觀數(shù)據(jù)
? 為組織安全體系建設(shè)提供詳實依據(jù)
? 此外還可以通過選擇可靠的安全產(chǎn)品通過合理步驟制定適合具體情況的安全策略及其管理規(guī)范�,為建立全面的安全防護層次提供了一套完整�、規(guī)范的指導(dǎo)模型。
2�����、實施流程
3�����、評估依據(jù)
? 風(fēng)險評估國家標(biāo)準(zhǔn)和規(guī)范:
GB/T 20274-2006 《信息系統(tǒng)安全保障評估框架》
GB/T 20984-2007 《信息安全風(fēng)險評估規(guī)范》
GB/T 18336-2001 《信息技術(shù)安全性評估準(zhǔn)則》
GB 17859-1999 《計算機信息系統(tǒng) 安全保護等級劃分準(zhǔn)則》
GB/T 22239-2008 《信息安全技術(shù) 信息系統(tǒng)安全等級保護基本要求》
GB/T 20271-2006 《信息安全技術(shù) 信息系統(tǒng)安全通用技術(shù)要求》
? 行業(yè)指導(dǎo)文件:
《商業(yè)銀行信息科技風(fēng)險管理指引》
《銀監(jiān)會電子銀行安全評估指引》
《銀監(jiān)會電子銀行業(yè)務(wù)管理辦法》
《網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范》(JR/T 0068-2012)
三、源代碼審計
靜態(tài)應(yīng)用程序安全性測試�,自動化識別在開發(fā)期間應(yīng)用程序源代碼的安全漏洞和質(zhì)量問題,查明源代碼漏洞的根本原因��,提供詳盡的修復(fù)指導(dǎo)�。我中心使用自動化源代碼掃描工具,可支持21種編程語言��,700+漏洞類別(包括CVE���、OWASP���、公布漏洞庫),幫助開發(fā)人員的代碼編寫質(zhì)量���。
四�、應(yīng)用系統(tǒng)漏洞掃描測試
通過使用自動化應(yīng)用安全掃描工具�,對各類應(yīng)用系統(tǒng)進行漏洞掃描,可覆蓋所有頁面及頁面元素�����。掃描項種類多達30+,包括HTTP響應(yīng)分割��、SQL注入����、URL重定向濫用、XML屬性放大�����、XPath注入��、操作系統(tǒng)命令����、緩沖區(qū)溢出�����、拒絕服務(wù)���、跨站點腳本編制���、路徑遍歷�����、目錄索引����、信息泄露等��,其下依據(jù)不同類型的系統(tǒng)架構(gòu)���、中間件�、數(shù)據(jù)庫等細(xì)化數(shù)千個掃描點�。
五、安全基線檢查
在業(yè)務(wù)系統(tǒng)的設(shè)備入網(wǎng)�����,業(yè)務(wù)上線�����,日常運維�、定期巡檢和設(shè)備下線整個生命周期的各個環(huán)節(jié),檢查包括操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備���、數(shù)據(jù)庫�����、中間件在內(nèi)的所有類型的設(shè)備與系統(tǒng)的安全配置是否達到最基本防護能力要求的基線��。
六��、APP安全掃描測試
針對APP(Android)的應(yīng)用安全進行漏洞掃描測試����,在企業(yè)允許的情況下�����,提供非破壞性的安全檢測技術(shù)服務(wù)��,掃描項達50+��。
