产品亮点
本服务包含多个安全项目,保证安全评估覆盖更全面,同时可协助发掘持续改进的方向,并做到主动预防安全风险。服务多为高级服务,保证实施遵循最小影响原则、可控性原则、整体性原则、针对性原则。此外,用户更可以根据实际需求自行选择。
产品说明
安全月活动(12.23-1.23),每满10万减1万
| 服务类别 |
项目 |
| 物理安全评估 |
(1)机房安全评估:根据国家颁发的相关安全标准,对用户的核心机房进行物理安全评估,评估项目包括但不限于机房环境评估及机房管控评估。其中机房环境评估包括:
a.物理位置评估;
b.自然灾害承受能力评估;
c.抗干扰能力评估;
d.机房管控评估包括:
e.机房内视频监控覆盖评估;
f.机房出入管控评估;
(2)关键位置视频监控评估:对监控存放关键IT资产房间、核心系统主机机房的视频监控系统进行评估。评估从大楼外部至该类房间大门口的路径上,视频监控的覆盖面、监控的持续能力进行实地调研,验证视频监控系统是否满足长期监控关键房间的需求;
(3)根据以上两项评估内容,形成《物理安全评估报告》。综合分析用户的物理安全防护现状,总结当前物理环境安全管控的缺失,提出整改的意见与建议;
(4)此项服务需由具备ISO9000、ISO27001资质的公司提供。 |
| 主机脆弱性评估 |
(1)进行漏洞扫描,根据结果分析漏洞分布状况,评估应用组件与系统服务的安全状况,同时评估加固成本及代价,且提供加固建议;
(2)根据用户IT环境与业务状况,按照系统维度对漏洞扫描结果进行梳理,并按照以下的项目对每个系统的漏洞情况进行评估:
a.以单个系统为统计维度统计漏洞,整理每个系统的漏洞数量;b.按照IT架构的层次梳理漏洞,评估每个层次漏洞分布的情况;
c.按照应用类型、服务类型梳理漏洞,评估单个应用、服务的漏洞情况,甄别风险最高的系统应用、服务;
d.评估风险最高的主机漏洞,编排漏洞加固的优先级别;
e.提供合适用户实际情况的漏洞加固建议,评估加固漏洞所需要的成本与代价。
完成以上评估工作后,编制《主机脆弱性评估报告》
(3)此项工作需由具备CISP认证资质的人员进行实施,且服务公司需具备ISO9000、ISO27001资质。 |
| 操作系统安全评估 |
(1)系统服务安全、关键线程安全、防病毒系统稳健性、系统基线配置安全、弱口令扫描、关键系统补丁,根据检测结果,评估在用的各类操作系统在配置上的安全性,筛查由于配置参数不合规带来安全风险,分析修改配置带来的影响,提供整改建议;
(2)根据用户的IT环境与系统的实际状况,对操作系统基线的检测结果进行分析评估,按照以下罗列的项目进行合规性分析:
a.以单个系统为统计维度统计操作系统基线合规情况,梳理每个系统的基线不合规情况;
b.按照操作系统类型的维度整合基线不合规项,甄别操作系统配置管理的固有风险;
c.按照基线类别的维度统计分析各类别项目的不合规情况,甄别操作系统的配置风险;
d.按照用户的IT环境实际情况与业务应用的要求,提供基线整改建议与意见,并评估整改成本与风险;
e.对弱口令账号进行排查,识别弱口令最多的账号种类;
f.对主机防病毒系统的运作情况进行评估。
完成以上评估分析工作后,编制《操作系统安全评估报告》
(3)此项工作由具备CISP认证资质的人员进行实施,且服务公司需具备ISO9000、ISO27001资质; |
| 数据备份评估 |
(1)备份系统安全性评估高级服务:评估用户IT环境内现有的备份系统安全性,包括:备份主机的安全性、主机系统安全、账号安全、异地容灾机制、备份文件安全等等;
(2)备份策略合理性评估高级服务;
(3)备份映像有效性评估高级服务:对备份系统生成的备份映像进行合规性评估,评估内容有以下三项:
a.备份映像有效性:通过恢复演练验证备份映像的有效性;
b.备份映像保留周期:评估备份保留时间与业务重要性是否匹配;
c.备份副本加密:备份文件加密后的可行性
(4)备份副本加密安全评估高级服务;
(5)备份副本存放安全评估高级服务;
(6)备份映像保留周期评估高级服务;
(7)根据以上评估内容,出具高级服务质量的《数据备份安全评估报告》;
(8)此项服务需由具备ISO9000、ISO27001资质的公司提供。 |
| 网络质量评估 |
(1)网络数据监控、网络负载评估、网络稳定性评估,并对现有网络架构的安全性进行评估,主要有:目标网段的流量峰值、目标网段的负载能力、目标网段资产风险、针对目标网段的可疑行为等等;
(2)对评估周期内的流量分析日志进行排查梳理,综合网络设备的负载,评估用户的核心系统网络运行状况,出具高级服务质量的《网络运行质量评估报告》;
(3)此项工作需由具备HCIP或CCNP同等认证资质的人员进行实施,且服务公司需具备ISO9000、ISO27001资质。 |
| 系统权限安全评估 |
(1)操作系统权限评估及数据库权限评估的高级服务,根据ISACA推荐的IT可审计职责分离矩阵,按照系统维度,对系统账号的权限分配进行安全评估,分析权限分配与岗位职责的冲突,评估越权风险;
(2)综合各类账号职责划分的情况,出具高级服务质量的《系统权限安全评估报告》;
(3)此项工作需由具备CISA认证资质的人员进行实施,且服务公司需具备ISO9000、ISO27001资质。 |
|
| 应用安全评估 |
(1)应用渗透测试高级服务
(2)应用安全合规性评估高级服务:根据应用安全合规性标准,对WEB应用系统进行安全评估,评估的项目包括应用系统外部合规评估和应用系统内部合规评估;
(3)数据泄露测试高级服务:主要有以下三项测试:
a.测试一:利用内网终端,向目标服务器群发起非授权访问;通过内网终端向指定外网终端进行非授权传输数据;
b.测试二:通过外网终端,尝试非授权接入内网;通过外网终端,向内网目标主机进行渗透,夺取内终端的管理员权限;
c.测试三:通过外网终端,直接渗透后台服务器,夺取服务器管理员权限;在指定服务器向指定外网终端进行非授权传输数据;
(4)出具高级服务质量的《内网安全评估报告》;
(5)此项服务工作需由具备ISO9000、ISO27001资质的公司提供,且服务公司需具备ISO9000、ISO27001资质。 |
| 安全评估总结 |
(1)整合以上各项的检测结果,需要将各项评估报告的内容进行汇总整合,对每项风险进行综合分析,评估从整体的角度评估用户的IT安全现状。罗列目前安全级别最高的风险,分析其寄存的位置,风险产生的原因,评估其对业务的影响,及加固耗费的成本。罗列安全工作的缺失,后续优化方向,及关键的促进点,提供信息安全工作的意见与建议对整体的安全状况进行分析;
(2)出具高级服务质量的《安全评估报告》;
(3)此项工作需由具备CISA认证资质的人员进行编写,且服务公司需具备ISO9000、ISO27001资质。 |
| 安全培训 |
(1)提供安全意识培训和等保基础培训1次;
(2)此项服务需由具备ISO9000、ISO27001资质的公司提供。 |
| 应急响应 |
(1)每年对1次安全事件(病毒事件、数据泄露事件、非法入侵事件)进行即时响应,赶赴现场处理安全事件(事件发生后12小时内介入),进行安全事件溯源,协助系统恢复正常运行,提出安全加固建议(协议期内若无安全事件发生仍旧收费);
(2)此项服务需由具备ISO9000、ISO27001资质的公司提供。 |
售后支持范围
售后服务范围为产品使用方面的技术支持,售后支持时间范围为合同期范围内
