概述
针对企业用户的办公网风险评估是参照国际风险评估标准和管理规范,对企业办公网的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行综合分析监测,判断信息安全事件发生的概率以及可能造成的损失,从而分析总结出企业在办公网的薄弱点和信息安全需求。
风险评估框架
风险评估收益
通过风险评估强化网络安全,提升网络安全合规性,降低业务系统网络攻击风险。信息系统安全问题单凭技术是无法得到彻底解决的 它的解决涉及到政策法规、管理、标准、技术等方方面面,任何单一层次上的安全措施都不可能提供真正的全方位的安全信息系统安全问题的解决更应该站在系统工程的角度来考虑,在这项系统工程中,信息系统安全风险评估占有重要的地位,它是信息系统安全的基础和前提, 可以有效的减少人员和资金的巨大浪费。
风险评估内容
管理制度评估,对被评估单位的组织机构、资产分类、安全运行、访问控制、数据安全管理和应急响应等制度进行评估,以切实保证管理制度符合IT资产中的可用性、机密性和完整性的要求
物理环境评估,主要是针对用户机房/设备间进行评估,通过实地走访用户方的机房现场,参照机房环境安全建设方面的有关国家标准以及行业性规章要求的基础上,实地评估用户方各机房环境的物理安全状况,重点是审查安全措施的完备性。物理环境评估主要是通过对机房场地、电磁防护、访问控制、消防系统、接地与防雷击、防水与防潮、空调系统、供电系统、防静电等九大方面进行评估。
网络安全评估-网络架构评估 ,结合用户方的业务支撑需求,评估现有网络架构设计的合理性和安全性,对于网络架构中可能存在的各种安全隐患给出相应的改造建议。网络安全架构评估采用人工访谈与人工查看相结合的方式进行。
网络安全评估-网络设备评估
,网络设备评估主要针对路由器、交换机、防火墙等设备,涵盖思科、华为、中兴、天融信等品牌,利用蒙特卡罗游戏入口自主开发的信息安全检查平台,依据基线要求对现网设备进行配置核查,对存在的安全隐患进行分析验证,给出整改建议,确保网络设备的合规性。
Web系统安全评估 ,模拟黑客的攻击方法对系统和网络进行非破坏性质的攻击性测试,在保证整个渗透测试过程都在可以控制和调整的范围之内尽可能的获取目标信息系统的管理权限以及敏感信息,并将入侵的过程和细节产生报告给用户,由此证实用户系统所存在的安全威胁和风险,并能及时提醒安全管理员完善安全策略。Web系统评估分三个阶段:准备阶段、渗透阶段、复查阶段。
服务器数据评估,配置基线核查、高危漏洞扫描和日志管理三部分,涵盖Windows、Linux/Unix等操作系统,安全评估方式主要是工具检查和人工验证,其中蒙特卡罗游戏入口自主研发安全检查平台可以对服务器基线和高危漏洞进行检查。
数据库安全评估,配置基线核查、高危漏洞扫描和日志管理三部分,涵盖Oracle、My SQL、SQL Server等数据库,安全评估方式主要是工具检查和人工验证,其中蒙特卡罗游戏入口自主研发安全检查平台可以对数据库基线和高危漏洞进行检查。
典型案例
A公司风险评估
此次风险评估为A公司评估物理环境(机房)1处,信息系统网络1套,以及安全管理体系,共涉及网络及安全设备安全检查32台,服务器安全检查70台,数据库检查2套,终端设备60台。
B公司风险评估
此次风险评估为B公司完成物理环境(机房)1处,信息系统网络1套以及安全管理体系。 本次风险评估共涉及网络和安全设备安全检查43台,服务器安全检查9台,数据库检查5套,应用资产系统5套。