组织现状

  • 监管法规要求
    《中华人民共和国网络安全法》三十一条、三十八条要求开展风险检测评估工作。
  • 病毒入侵影响
    频频爆发挖矿&勒索病毒、数据泄露、网站或服务器被入侵。
  • 业务损失影响
    轻则影响办公效率重则不能开展生产,企业商誉受损。
  • 资产不清晰
    应用业务涉及的IT资产、生命周期、安全风险及责任人无台账。
  • 风险不清楚
    缺乏有效的检测、审计手段,对自身安全建设及资产本身的弱点不够了解。

解决思路

通过“人机共智”的方式整合技术、专家和流程,帮助组织快速扩展安全管控能力,实现7*24小时持续监测【资产、漏洞、威胁、事件】四个网络安全风险核心要素,主动对发现的风险进行闭环处置,提升安全工作的效果及效率,减轻安全压力,帮助组织呈现安全工作价值。

持续有效

风险可控

安全合规 风险可控 能力提升 价值可视

主动闭环

资产 漏洞 威胁 事件

运营赋能

安全评估 资产管理 漏洞管理 威胁监测 主动响应 事件处置 安全培训 攻防对抗

人机共智

技术(平台+工具) 人员(T1/T2/T3) 流程(SOAR)

服务流程

  • 01

    资产梳理

    理清有效资产 识别评估方向

    > 业务系统梳理

    > 安全措施梳理

  • 02

    > 恶意文件查杀

    > Web日志分析

    异常状态检查 缺陷路径发现

    入侵检查
  • 03
    安全评估

    业务安全脆弱性评估 边界安全脆弱性评估

    >Web安全扫描

    >系统漏洞扫描

  • 04

    >安全风险加固及建议

    >安全事件处置

    安全脆弱性修复 风险应对及建议

    加固方案

信息安全评估服务 - 目录

  • 风险评估服务

    依据 GB/T20984 风险评估规范,对客户信息系统的资产、威胁、脆弱性、已有安全措施进行综合风险识别与分析,帮助客户掌控系统安全风险现状,并提供专业的安全解决方案和建议。
    漏洞检测服务
  • 漏洞检测服务

    供相应的安全整改建议。渗透测试服务:依据各行业渗透测试最佳实践,通过工具辅助,主要以人工测试的方式,对客户授权下的应用系统。
    漏洞检测服务
  • 基线核查服务

    结合国家和行业要求,通过工具+人工的方式对客户信息系统的资产进行安全基线核查与分析,并提供相应的安全整改建议。
    基线核查服务
  • 渗透测试服务

    依据各行业渗透测试最佳实践,通过工具辅助,主要以人工测试的方式,对客户授权下的应用系统进行非破坏性攻击测试。
    渗透测试服务
  • 安全巡检服务

    针对客户已有的业务系统及资产提供周期性上门安全检测服务,包含漏洞识别、基线核查、安全设备日志分析,并提供安全巡检报告。
    安全巡检服务
  • 新上线安全测试

    围绕应用系统的生命周期,在新应用系统投入运行前,从应用系统的应用、主机、运行逻辑、第三方组件以及合规性等方面,进行上线安全评估。根据评估的结果形成安全检测报告并提供解决方案,确保应用系统安全、平稳的运行。
    新上线安全测试
  • 安全体检

    通过用户访谈和问卷调研识别客户的重要业务系统,进行脆弱性识别,针对已识别的脆弱性进行场景化风险分析并给出相应的场景解决方案。
    安全体检
多面魔方 - 优势 整合行业优势资源 交付行业最佳实践
专业项目管理 资深评估专家 客制整改方案 服务需求定制
  • > 专业项目管理——专职项目经理制定严谨的安全评估服务计划,全程把控项目进度。
  • > 资深评估专家——资深专家指导管理评估流程及评估工作,保证安全评估服务的可靠性有效性。
  • > 客制整改方案——针对性、分阶段实施评估过程,根据阶段成果提出相关风险控制方案。
  • > 服务需求定制 ——结合自身服务需求,提供全部或模块化的安全评估服务以满足多样化的安全服务需求。

信息安全评估服务 - 流程

  • 阶段特征
    1、确定评估范围:提出信息系统的目的、需求、规模和安全要求。
    2、建立评估组织架构:责任人及编制信息安全评估方案及计划。
    3、项目启动会议:讲解方案计划明晰责任及流程,输出会议纪要。
  • 输出成果
    《安全风险评估评估组织》、《保密协议书》、《信息安全风险评估方案与计划》、《安全风险评估工作启动会议纪要》等
  • 阶段特征
    1、资产收集:业务应用、文档和数据(网络拓扑、资产台账、相关文档及数据)、软硬件资产、物理环境(机房)、组织管理(规章制度);
    2、区分资产重要性:结合业务情况及实际依赖程度区分重要资产与非重要资产;
    3、重要资产估值与确认。
  • 输出成果
    《资产识别表》、《重要资产估值表》等。
  • 阶段特征
    1、脆弱性评估:1)技术性弱点、2)操作性弱点、3)管理性弱点;
    2、威胁评估:1)人员威胁、2)系统威胁、3)环境威胁、4)自然威胁;
  • 输出成果
    《脆弱性、威胁、风险分析表》、《潜伏威胁评估表》。
  • 阶段特征
    通过访谈途径识别现有的安全措施并评估其效力。重点分析场景:
    1、漏洞利用防护;2、身份认证;3、通讯监听伪造;4、监控审计;5、应急备份;6、其他。
  • 输出成果
    《防护能力评估表》。
  • 阶段特征
    1、风险分析方法;
    2、风险等级划分;
    3、不可接受风险划分;
    4、风险统计。
  • 输出成果
    《脆弱性、威胁、风险分析表》。
  • 阶段特征
    针对不可接受风险提出相应的整改方案及计划完成时间。
  • 输出成果
    《安全风险评估报告》、《安全风险评估工作总结会议纪要》。

信息安全评估服务 - 价值

  • 避免业务安全隐患
    技术层面定性的分析系统的安全性,串联系统安全隐患点,有效验证其存在性及其可利用程度,避免因安全漏洞造成业务损失。
    01
  • 保证规划的合理和可行
    正确反映各风险对信息安全的不同影响,使规划的结果更合理可靠,使在 此基础上制定的计划具有现实的可行性。
    02
  • 选择最佳风险对策组合
    风险对策会付出一定代价,需将不同 风险对策的适用性与不同风险的后果 结合考虑,使不同风险选择适宜的风险对策,形成佳风险对策组合。
    03
服务客户

专业技术团队,评测目标中的不安全因素并协助企业进行修复,防患于未然。

  • 100+

    企业客户

  • 10+

    安全专家

  • 7

    *24小时

    热线咨询

  • <4

    小时

    现场应急

  • 指定认证合作伙伴
    指定认证合作伙伴
  • 终身技术支持
    终身技术支持
  • 终身技术支持
    专业技术团队
400-116-9959
在线留言
  • 姓名:
  • 电话:
  • 邮箱:
您的留言: