歡迎來到鉅優科技有限公司
服務熱線:010-82833770
歡迎來到鉅優科技有限公司
服務熱線:010-82833770
1、服務背景
為了全面貫徹和落實《網絡安全法》、《國務院關于大力推進信息化發展和切實保障信息安全的若干意 見》(國發〔2012〕23號)、《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發〔2003〕 27號)、《中華人民共和國計算機信息系統安全保護條例》(國務院令第147號)、《信息安全等級保護管理辦法》(公通字〔2007〕43號)、等中央文件的精神和要求,在國家信息安全保障相關政策和標準的指導下,對等保備案系統進行等級保護測評。
通過對信息系統進行等級保護測評,了解和掌握信息系統的安全總體狀況,發現存在的主要問題和薄弱環節,完善信息系統安全防護體系,全面提升信息系統的安全防護水平,更好地保障信息系統的正常運行,達到國家信息安全對等級保護等相關政策、文件與標準的要求。
2、服務流程
3、測評依據
GB/T 22240-2008《信息安全技術 信息系統安全等級保護定級指南》
GB/T 22239-2008《信息安全技術 信息系統安全等級保護基本要求》
GB/T 28448-2012《信息安全技術 信息系統安全等級保護測評要求》
GB/T 28449-2012《信息安全技術 信息系統安全等級保護測評過程指南》
1、服務背景
信息安全風險評估是參照風險評估標準和管理規范,對信息系統的資產價值、潛在威脅、薄弱環節、已采取的防護措施等進行分析,判斷安全事件發生的概率以及可能造成的損失,提出風險管理措施的過程。當風險評估應用于IT領域時,就是對信息安全的風險評估。
風險評估從早期簡單的漏洞掃描、人工審計、滲透性測試這種類型的純技術操作,逐漸過渡到目前普遍采用國際標準的BS7799、ISO17799、國家標準《信息系統安全等級評測準則》等方法,充分體現以資產為出發點、以威脅為觸發因素、以技術/管理/運行等方面存在的脆弱性為誘因的信息安全風險評估綜合方法及操作模型。
風險評估的目的是全面、準確的了解組織機構的網絡安全現狀,發現系統的安全問題及其可能的危害,為系統最終安全需求的提出提供依據。準確了解組織的網絡和系統安全現狀。
具有以下目的:
? 找出目前的安全策略和實際需求的差距
? 獲得目前信息系統的安全狀態
? 為制定組織的安全策略提供依據
? 提供組織網絡和系統的安全解決方案
? 為組織未來的安全建設和投入提供客觀數據
? 為組織安全體系建設提供詳實依據
? 此外還可以通過選擇可靠的安全產品通過合理步驟制定適合具體情況的安全策略及其管理規范,為建立全面的安全防護層次提供了一套完整、規范的指導模型。
2、實施流程
3、評估依據
? 風險評估國家標準和規范:
GB/T 20274-2006 《信息系統安全保障評估框架》
GB/T 20984-2007 《信息安全風險評估規范》
GB/T 18336-2001 《信息技術安全性評估準則》
GB 17859-1999 《計算機信息系統 安全保護等級劃分準則》
GB/T 22239-2008 《信息安全技術 信息系統安全等級保護基本要求》
GB/T 20271-2006 《信息安全技術 信息系統安全通用技術要求》
? 行業指導文件:
《商業銀行信息科技風險管理指引》
《銀監會電子銀行安全評估指引》
《銀監會電子銀行業務管理辦法》
《網上銀行系統信息安全通用規范》(JR/T 0068-2012)
靜態應用程序安全性測試,自動化識別在開發期間應用程序源代碼的安全漏洞和質量問題,查明源代碼漏洞的根本原因,提供詳盡的修復指導。我中心使用自動化源代碼掃描工具,可支持21種編程語言,700+漏洞類別(包括CVE、OWASP、公布漏洞庫),幫助開發人員的代碼編寫質量。
通過使用自動化應用安全掃描工具,對各類應用系統進行漏洞掃描,可覆蓋所有頁面及頁面元素。掃描項種類多達30+,包括HTTP響應分割、SQL注入、URL重定向濫用、XML屬性放大、XPath注入、操作系統命令、緩沖區溢出、拒絕服務、跨站點腳本編制、路徑遍歷、目錄索引、信息泄露等,其下依據不同類型的系統架構、中間件、數據庫等細化數千個掃描點。
在業務系統的設備入網,業務上線,日常運維、定期巡檢和設備下線整個生命周期的各個環節,檢查包括操作系統、網絡設備、數據庫、中間件在內的所有類型的設備與系統的安全配置是否達到最基本防護能力要求的基線。
針對APP(Android)的應用安全進行漏洞掃描測試,在企業允許的情況下,提供非破壞性的安全檢測技術服務,掃描項達50+。
