電話:400-100-6757
安全服務
安全評估

      參照國際風險評估信息安全要素提取慣例和標準,調查分析用戶的已有策略,從管理、制度、落實情況、物理信息安全、人員信息安全、第三方信息安全等等各方面來評估分析。調查業務流程,并對信息資產進行賦值和等級劃分;結合工具掃描、人工評估對系統、網絡、數據庫以及管理制度進行信息安全性評估,并根據評估結果提供評估報告。

 

      資產調查評估資產調查評估是整個信息安全服務的基礎,因此在進行評估前需要對客戶單位所有資產(包括整個物理環境的信息安全、操作系統、應用系統等)進行評估調查。天創公司安全顧問將根據客戶提供的資產列表,結合信息安全需求分析報告對其進行有序的分類和分級,根據資產的重要性提供相應級別的?;?。資產調查評估的主要類別不信息系統相關聯的資產示例有:

 
信息安全策略評估
      信息安全策略評估是便于分析用戶已經形成的信息安全策略是否能滿足符合實際的需求,同時充分的分析其策略的有效落實情況。
      包括以下內容:
  • 現有信息安全策略文檔分析
  • 人員訪談&調查問卷
  • 策略貫徹執行情況調查
  • 信息安全管理策略調整
網絡架構檢測評估
      天創公司安全顧問審閱客戶單位信息網絡系統設計方案中的物理拓撲圖并進行現場勘察,對客戶整個網絡體系進行深入調研,以國際信息安全標準和框架為指導,從物理層、網絡層到應用層,全面的對網絡的結構、網絡協議、網絡流量、網絡規范性等多個方面行深刻分析,對網絡現狀有點給予肯定,指出網絡現狀不足,同時提出信息安全保障體系建設解決方案。
工具掃描分析
      天創公司安全顧問針對客戶單位的主機、網絡設備、數據庫等使用漏洞掃描工具行脆弱性評估,得出網絡系統中存在的信息安全隱患漏洞,同時根據客戶單位網絡實際情況提出信息安全建議。
人工評估分析
      人工檢查客戶單位網絡中主機、網絡設備、數據庫等的配置以及相關機制行評估,挖掘網絡系統的脆弱性。
      包括以下內容:
  • 信息安全配置檢查
  • 系統管理維護的正常配置,合理配置,及優化配置。例如系統目錄權限,賬號管理策略,文件系統配置,程通信管理等。
  • 信息安全機制檢查
  • 信息安全機制的使用正常配置,合理配置,及優化配置。例如日志及審計、備份不恢復,簽名不校驗,加密不通信,特殊授權及訪問控制等。
  • 數據庫配置檢查
      數據庫文件口令設置等。
代碼信息安全評估
      代碼信息安全評估可以檢測并報告客戶的應用程序代碼當前存在的遭黑客攻擊的危險可能性。天創公司安全顧問將通過應用掃描軟件人工分析等手段對其行深入分析,提出相應的報告。
主要檢測的內容包括:惡意代碼的檢查、賬號信息安全檢查、注入檢查、跨站腳本注入檢查等。
應用系統評估
      應用系統信息安全評估的目標是全方位的提高應用系統中的信息安全性。應用系統信息安全評估不僅僅是對網絡、主機已采用信息安全產品的評估,還包括客戶或者者第三方為客戶業務開的業務系統的信息安全評估,及在該應用系統內的操作管理的信息安全評估等幾個方面,可觀綜合地反應客戶單位應用系統信息安全現狀,指出對客戶單位應用系統存在的信息安全風險因素,提出全面的解決方案。
  • 應用系統的基礎IT設施評估
  • 應用平臺劃設計階段評估
  • 應用系統開、測試階段評估
  • 應用系統操作管理信息安全評估
  • 應用系統的數據流信息安全評估
滲透測試
      滲透測試是完全模擬黑客可能使用的攻擊技術漏洞現技術,對目標系統的信息安全做身體的探測,現系統最脆弱的環節。滲透測試能夠直觀的讓管理人員知道自己網絡所面臨的問題。
江蘇天創科技有限公司滲透測試小組利用各種主流攻擊技術對網絡、系統做模擬攻擊測試,以發現網絡、系統中存在的信息安全漏洞風險點。企事業組織根據測試的結果,遵循相應信息安全策略制定合適的、不同優先級別的信息安全防護措施。
滲透測試服務主要包括如下內容:
  • 敏感業務系統測試---針對客戶敏感業務系統(辦公系統、生成系統)行滲透測試。
  • 現有信息安全系統測試---針對客戶現有信息安全系統(防火墻、與有訪問控制系統等)行滲透測試。
滲透測試是經過授權的,也是有時間限制的。