安全日常服务技术建议书-成都思维世纪科技有限责任公司.docVIP

思维世纪 业务安全风险评估服务 白皮书 成都思维世纪科技有限责任公司目 录 1 服务背景 1 2 服务必要性和重要性 1 3 服务内容 2 3.1 服务内容概述 2 3.2 资产梳理 2 3.3 网络安全评估 3 3.4 系统安全评估 3 3.5 WEB安全评估 4 3.6 安全管控评估 4 3.7 风险分析及整改 4 4 服务特点 5 服务背景 随着网络与信息技术的发展，信息在人们的生产、生活中扮演着越来越重要的角色，人类越来越依赖基于信息技术所创造出来的产品，网络与信息技术正逐步改变着人类的工作和生活方式。越来越多的政府、企业组织建立了依赖于网络的信息化系统，比如电子政务、电子商务、网上银行、网络办公等等。政府和企业在尽情享受网络与信息化系统带来的快捷方便的同时，也面临着各种复杂化和混合化的信息安全问题，如黑客攻击、蠕虫病毒、木马后门、间谍软件、僵尸网络、垃圾邮件、网络资源滥用（P2P下载、网游、视频等）等，极大地困扰着用户，给企业的信息网络造成极大破坏。 近年来，国家对信息安全问题高度重视，信息安全多次成为“两会”代表们热议的话题，全面做好信息安全工作，不仅是企业履行社会责任、保障客户权益和防范风险的需要，其重要性已上升到国家战略层面。 为了适应新形势下的安全防护要求，对于政府或企业组织来说，能否全面掌握和了解信息安全现状与所面临的各种安全风险，有针对性的采取安全防护措施，更显得尤为重要了。 服务必要性和重要性 传统的信息系统安全防护和建设是以某个安全问题的暂时解决为过程结束标志 ，这种模式被动、单一，缺少系统的考虑，带有很大盲目性，经常是花费不少、收效甚微，造成资金、人员的巨大浪费，已经远不能适应新形势下的信息系统安全防护的发展要求 思维世纪安全风险评估服务依托业务数据流和业务访问关系，采用“系统化、标准化、专业化”的评估流程和方法，并依据国际、国内有关安全技术标准，结合安全发展态势和轨迹，为客户提供全方位、覆盖全网全业务的安全风险评估。透过安全风险评估，能够全方位的了解各信息系统安全现状与所面临的安全威胁，明确各阶段的安全工作重点和安全工作目标，有针对性地、有序地进行各项日常信息安全工作和开展信息安全建设，保障信息系统安全、保障企业客户权益。 服务内容 服务内容概述 思维世纪秉着“专业、标准”的安全风险评估原则，组建了专业的安全风险评估服务团队，针对每项评估内容建立合理、有效的评估流程和方法，以求为客户提供高质、高效、有序、全方位的安全风险评估服务。风险评估服务以敏感信息保护为重点，通过各项工作。力求为客户最大限度的发现信息系统存在的安全问题，可能面临的安全风险，并提出整改或者优化建议，降低信息系统和数据面临的风险。 服务内容 资产梳理：对承载业务系统的所有信息资产、对应责任人及安全属性情况进行全面收集、梳理和分析。 网络安全评估：采用专业的网络安全评估工具，遵循标准化的网络安全评估流程，对承载业务数据流的所有网络设备节点进行评估和分析。 系统安全评估：采用人工和工具结合的方式，利用专业的安全评估工具对系统进行评估分析。 网站安全评估：采用专业的网站安全评估工具，基于WEB安全生命周期，定期对网站整体的安全防护手段进行梳理和分析 安全管控评估：依托于业务数据流和业务访问关系，对终端安全防护、数据传输等控制措施的有效性进行评估 风险分析及整改：根据标准模型综合风险分析，并全程协助甲方整改过程，提供专业安全建议。 二次评估：对整改后的重要问题进行评估，确保风险可控 资产梳理 工作内容 利用标准的资产梳理模版和专业的资产扫描工具，采用“一对一”调研和现场检测的方式，对承载业务系统的所有信息资产（包括：主机、网络设备、安全设备、应用软件、备份和存储设备等）的物理位置、对应责任人及安全属性（IP地址、操作系统类型、设备名称、设备型号等）情况进行全面收集、梳理和分析，并结合业务系统重要程度、资产遭受破坏后的影响程度等对资产进行赋值。 工作输出 信息系统资产列表 资产评估报告 网络安全评估 工作内容 采用专业的网络安全评估工具，遵循标准化的网络安全评估流程，对承载业务数据流的所有网络设备节点（包括各种类型的交换机、路由器、防火墙等）的安全域要求、安全配置情况、日志、流量等情况进行分析，并结合渗透测试，发现安全问题。 工作工具 Wireshark Sniffer 等 系统安全评估 工作内容 采用人工和工具结合的方式，利用专业的安全评估工具、标准的安全检查列表，制定合理的系统安全评估流程和实施方案，对信息系统内所有主机操作系统（包括WINDOWS平台主机、UNIX平台主机等），数据库系统（包括ORACLE、MYSQL等），中间件系统（包括WEBLOGIC、TOMCAT等）的安全漏洞、基线配置等情况进行