一、四大服务体系
1、可管理安全服务
在提供传统安全产品及安全服务的基础上,逐步开展安全运营,用开放的安全平台连接卓越的产品和服务,洞察安全态势,为企业级用户提供小时级的闭环安全保障。
2、安全咨询服务
为客户进行全方位风险评估,帮助客户掌握安全现状与目标之间的差距、设计及落实安全体系、满足各种合规性要求、采取措施降低安全风险,进而提高安全管理实效、获取信息安全管理体系认证等。
3、安全评估服务
为保障客户信息系统的安全运行提供安全支持服务,通过系统漏洞评估、安全配置检查、渗透测试、日志审计、代码审核及安全加固服务提升系统的安全性,通过安全巡检、安全值守、应急响应保证系统的运行安全,提供全面的设备代维、安全外包方式的服务,使客户能够更加专注于自身业务的发展。
4、安全运维服务
提供信息安全意识培训、信息安全工程师认证培训、产品工程师培训、信息安全技术专项培训以及定制培训服务。
二、创新服务业的六大趋势
第一:新技术向新服务的转化
第二:新技术向新终端服务的转化
第三:服务设计成为新设计的关键
第四:一个服务企业要不断有加方的能力
第五:外包是一个很重要的发展趋势
第六:服务精细化
三、等级保护具体分级说明
| 级别 | 说明 |
|---|---|
| 一级 | 信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益 |
| 二级 | 信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全 |
| 三级 | 信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害 |
| 四级 | 信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害 |
| 五级 | 信息系统受到破坏后,会对国家安全造成特别严重损害 |
四、安全评估
1、安全风险评估
信息安全风险评估,是从风险管理角度,运用科学的方法和手段,系统地分析网络与信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施。并为防范和化解信息安全风险,或者将风险控制在可接受的水平,从而最大限度地保障网络和信息安全提供科学依据。
风险评估流程:
直接贴上我写的文档的截图吧,这个图不好设计:
2、安全威胁评估
| 种类 | 描述 |
|---|---|
| 软硬件故障 | 由于设备硬件故障、通讯链路中断、系统本身或软件Bug导致对业务高效稳定运行的影响 |
| 物理环境威胁 | 断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震等环境问题和自然灾害 |
| 无作为或操作失误 | 由于应该执行而没有执行相应的操作,或无意地执行了错误的操作,对系统造成影响 |
| 管理不到位 | 安全管理无法落实,不到位,造成安全管理不规范,或者管理混乱,从而破坏信息系统正常有序运行 |
| 恶意代码和病毒 | 具有自我复制、自我传播能力,对信息系统构成破坏的程序代码 |
| 越权或滥用 | 通过采用一些措施,超越自己的权限访问了本来无权访问的资源;或者滥用自己的职权,做出破坏信息系统的行为 |
| 黑客攻击技术 | 利用黑客工具和技术,例如侦察、密码猜测攻击、缓冲区溢出攻击、安装后门、嗅探、伪造和欺骗、拒绝服务攻击等手段对信息系统进行攻击和入侵 |
| 物理攻击 | 物理接触、物理破坏、盗窃 |
| 泄密 | 机密泄漏,机密信息泄漏给他人 |
| 篡改 | 非法修改信息,破坏信息的完整性 |
| 抵赖 | 不承认收到的信息和所作的操作和交易 |
安全威胁赋值
| 威胁等级 | 标识 | 定义 |
|---|---|---|
| 5 | 非常高 | 出现的频率很高(或≥1次/周);或在大多数情况下几乎不可避免;或可以证实经常发生过 |
| 4 | 高 | 出现的频率较高(或≥1次/月);或在大多数情况下很有可能会发生;或可以证实多次发生过 |
| 3 | 中 | 出现的频率中等(或>1次/半年);或在某种情况下可能会发生;或被证实曾经发生过 |
| 2 | 低 | 出现的频率较小;或一般不太可能发生;或没有被证实发生过 |
| 1 | 可忽略 | 威胁几乎不可能发生,仅可能在非常罕见和例外的情况下发生 |
3、安全脆弱性评估
脆弱性识别主要从技术和管理两个方面进行,技术脆弱性涉及物理层、网络层、系统层、应用层等各个层面的安全问题。管理脆弱性又可分为技术管理和组织管理两方面,前者与具体技术活动相关,后者与管理环境相关。
安全脆弱性评估
技术脆弱性
| 识别对象 | 识别内容 |
|---|---|
| 物理环境 | 从机房场地、机房防火、机房供配电、机房防静电、机房接地与防雷、电磁防护、通信线路的保护、机房区域防护、机房设备管理等方面进行识别 |
| 网络结构 | 从网络结构设计、边界保护、外部访问控制策略、内部访问控制策略、网络设备安全配置等方面进行识别 |
| 系统软件(包括操作系统及系统服务) | 从物理保护、用户账号、口令策略、资源共享、事件审计、访问控制、新系统配置(初始化)、注册表加固、网络安全、系统管理等方面进行识别 |
| 数据库软件 | 从补丁安装、鉴别机制、口令机制、访问控制、网络和服务设置、备份恢复机制、审计机制等方面进行识别 |
| 应用中间件 | 主要从协议安全以及交易完整性和数据完整性等方面进行识别 |
| 应用系统 | 审计机制、审计存储、访问控制策略、数据完整性、通信、鉴别机制、密码保护等方面进行识别 |
管理脆弱性
| 识别对象 | 识别内容 |
|---|---|
| 技术管理 | 物理和环境安全、通信与操作管理、访问控制、系统开发与维护、业务连续性 |
| 组织管理 | 安全策略、组织安全、资产分类与控制、人员安全、符合性 |
安全脆弱性赋值
| 等级 | 技术 | 攻击角度 | 管理控制 | 防范控制 | 脆弱性受威胁利用的难易程度 |
|---|---|---|---|---|---|
| 1(可忽略) | 技术方面存在着低等级缺陷,从技术角度很难被利用 | 对于攻击者来说,该漏洞目前还不能够被直接或者间接利用,或者利用的难度极高 | 组织管理中没有相关的薄弱环节,很难被利用 | 有规定,严格审核、记录、校验 | 很难被威胁利用 |
| 2(低) | 技术方面存在着低等级缺陷,从技术角度难以被利用 | 对于攻击者来说,该漏洞无法被直接利用(需要其他条件配合)或者利用的难度较高 | 组织管理中没有相应的薄弱环节,难以被利用 | 有规定,职责明确,有专人负责检查执行落实情况,有记录 | 难以被威胁利用 |
| 3(中) | 技术方面存在着一般缺陷,从技术角度可以被利用 | 可以配合其他条件被攻击者加以直接利用,或者该漏洞的利用有一定的难度 | 组织管理中没有明显的薄弱环节,可以被利用 | 有规定,定期检查落实,有记录 | 可以被威胁利用 |
| 4(高) | 技术方面存在着严重的缺陷,比较容易被利用 | 一个特定漏洞,可以配合其他条件被攻击者加以直接利用,或者该漏洞的利用有一定的难度 | 组织管理中存在着薄弱环节,比较容易被利用 | 有规定.执行完全靠人自觉 | 比较容易被威胁利用 |
| 5(很高) | 技术方面存在着非常严重的缺陷,很容易被利用 | 在没有任何保护措施的情况下,暴露于低安全级别网络上 | 组织管理中存在着明显的薄弱环节,并且很容易被利用 | 无人负责,无人过问 | 很容易被威胁利用 |
五、风险分析
