从风险管理角度,运用科学的方法和手段分析信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施,防范和化解信息安全风险或将风险控制在可接受的水平,最大限度保障信息的安全性。面向各行各业可为客户提供满足监管机构要求;发现客户信息系统当前存在的安全风险;综合评价安全风险对信息系统整体造成的影响;为信息系统安全整改提供指导依据;为信息安全事件管理提供参考依据等服务。
风险评估服务产品由资产评估、威胁评估、脆弱性评估、风险综合分析、风险处置计划五个模块组成。
风险评估依据国家信息安全风险评估有关管理要求和技术标准,对信息系统的安全属性进行科学、公正的综合评价,为单位信息安全保障体系建立提供关键的评价方法和决策机制,实现各阶段安全目标:
规划阶段风险评估的目标是识别系统的业务战略,以支撑系统安全需求及安全战略等。规划阶段的评估应能够描述信息系统建成后对现有业务模式的作用,包括技术、管理等方面,并根据其作用确定系统建设应达到的安全目标。
设计阶段风险评估的目标是根据规划阶段所明确的系统运行环境、资产重要性,提出安全功能需求。设计阶段的风险评估结果应对设计方案中所提供的安全功能符合性进行判断,作为采购过程风险控制的依据。
实施阶段风险评估的目标是根据系统安全需求和运行环境对系统开发、实施过程进行风险识别,并对系统建成后的安全功能进行验证。根据设计阶段分析的威胁和制定的安全措施,在实施及验收时进行质量控制。
运行维护阶段风险评估的目标是了解和控制运行过程中的安全风险。评估内容包括信息系统的资产、面临威胁、自身脆弱性以及已有安全措施等各方面。
废弃阶段风险评估的目标是确保废弃资产及残留信息得到了适当的处置,并对废弃资产对组织的影响进行分析,以确定是否会增加或引入新的风险。
1)通过资产发现、脆弱点扫描等技术手段,对现有应用系统、网络、主机及工作环境进行全面的扫描发现和统计现有资产信息(包括设备、流程、制度等),从资产管理角度发现僵尸设备,从系统安全性角度发现隐藏的安全漏洞,了解系统的脆弱性;
根据资产发现的结果进行精准风险扫描,可针对特定漏洞实时进行全面排查,形成风险评估表,计算风险的严重性并加以改进和加固。经过上述一系列系统信息安全建设,能够在很大程度上提高信息系统的系统安全性和业务连续性。
2) 通过安全评估和脆弱性分析,制定适合企业客观条件、实际业务的安全策略、制度和目标;
通过安全风险评估,掌握信息系统的安全现状,提出安全解决建议;结合企业客观现状和业务需求,制定有针对性的安全策略和短期、长期可落地的信息安全目标;协助进行企业信息安全体系制度的建设与落地;提出有实际意义的信息安全体系建设方针;将安全评估的结果作为下一阶段工作的数据基础;完成安全加固工作;网络架构、主机安全、中间件及数据库安全、WEB安全和安全管理是安全评估的重点。