安全评估服务介绍

新上线安全测试：围绕应用系统的生命周期，在新应用系统投入运行前，从应用系统的应用、主机、运行逻辑、第三方组件以及合规性等方面，进行上线安全评估。根据评估的结果形成安全检测报告并提供解决方案，确保应用系统安全、平稳的运行。

安全体检：通过用户访谈和问卷调研识别客户的重要业务系统，进行脆弱性识别，针对已识别的脆弱性进行场景化风险分析并给出相应的场景解决方案。

安全评估服务 - 流程介绍

准备阶段：

1、确定评估范围：提出信息系统的目的、需求、规模和安全要求。

2、建立评估组织架构：责任人及编制信息安全评估方案及计划。

3、项目启动会议：讲解方案计划明晰责任及流程，输出会议纪要。

输出成果：《安全风险评估评估组织》、《保密协议书》、《信息安全风险评估方案与计划》、《安全风险评估工作启动会议纪要》等

资产识别：

1、资产收集：业务应用、文档和数据（网络拓扑、资产台账、相关文档及数据）、软硬件资产、物理环境（机房）、组织管理（规章制度）；

2、区分资产重要性：结合业务情况及实际依赖程度区分重要资产与非重要资产；

3、重要资产估值与确认。

输出成果：《资产识别表》、《重要资产估值表》等。

脆弱性威胁评估：

1、脆弱性评估：1）技术性弱点、2）操作性弱点、3）管理性弱点；

2、威胁评估：1）人员威胁、2）系统威胁、3）环境威胁、4）自然威胁；

输出成果：《脆弱性、威胁、风险分析表》、《潜伏威胁评估表》。

防护能力评估：

通过访谈途径识别现有的安全措施并评估其效力。重点分析场景：

1、漏洞利用防护；

2、身份认证；

3、监控审计；

4、应急备份；

5、其他。

输出成果：《防护能力评估表》。

风险分析：

1、风险分析方法；

2、风险等级划分；

3、不可接受风险划分；

4、风险统计。

输出成果：《脆弱性、威胁、风险分析表》。

风险处置：

针对不可接受风险提出相应的整改方案及计划完成时间。

输出成果：《安全风险评估报告》、《安全风险评估工作总结会议纪要》。

网络安全风险评估

网络安全所面临的问题？

1、对现阶段安全建设效果不明确；

2、对现阶段的安全缺陷及隐患不明确；

3、对后期安全建设没有方向。

1、已有控制措施识别及效力测试；

2、资产、威胁、脆弱性关联分析；

3、根据评估结果设计建设方案。

1、安全防护能力评估结果；

2、风险评估报告；

3、安全建设方案。

什么是定性分析方法

      定性分析方法是目前采用的主流的一种风险评估方法，它带有较强主观性，需要凭借分析者的经验和直觉，或者业界的标准和惯例，为风险管理诸要素（资产价值、威胁的可能性、现有安全防护的效力等）的大小或者高低程序定性分级，例如“极高”，“高”，“中”，”低“，”极低“五极。

      定性分析的操作方法可以多种多样，包含头脑风暴、检查列表、问卷、人员访谈、调查等。定性分析操作起来相对容易，定性分析要求分析者具备一定的经验和能力。