信息安全风险评估服务

服务概述

信息安全风险评估就是从风险管理角度，运用科学的方法和手段，系统的分析信息系统所面临的的威胁及存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施，为防范和化解信息安全风险，将风险控制在可接受的水平，最大限度的保障信息安全。

服务流程

第一步，准备阶段：风险评估的准备是整个风险评估过程有效性的保证。

①确定风险评估的目标
②确定风险评估的范围
③系统调研
④确定评估依据和方法

第二步，资产识别

机密性、完整性和可用性是评价资产的三个安全属性。风险评估中资产的价值不是以资产的经济价值来衡量，而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。安全属性达成程度的不同将使资产具有不同的价值，而资产面临的威胁、存在的脆弱性、以及已采用的安全措施都将对资产安全属性的达成程度产生影响。

第三步，威胁识别

威胁可以通过威胁主体、资源、动机、途径等多种属性来描述。造成威胁的因素可分为人为因素和环境因素。根据威胁的动机，人为因素又可分为恶意和非恶意两种。环境因素包括自然界不可抗的因素和其它物理因素。威胁作用形式可以是对信息系统直接或间接的攻击，在机密性、完整性或可用性等方面造成损害；也可能是偶发的、或蓄意的事件。

第四步，脆弱性识别

脆弱性是资产本身存在的，如果没有被相应的威胁利用，单纯的脆弱性本身不会对资产造成损害。而且如果系统足够强健，严重的威胁也不会导致安全事件发生，并造成损失。即，威胁总是要利用资产的脆弱性才可能造成危害。

第五步，风险分析

在完成了资产识别、威胁识别、脆弱性识别，以及对已有安全措施确认后，将采用适当的方法与工具确定威胁利用脆弱性导致安全事件发生的可能性。综合安全事件所作用的资产价值及脆弱性的严重程度，判断安全事件造成的损失对组织的影响，即安全风险。

第六步，风险评估报告输出

对整个风险评估过程和结果进行总结，详细说明被评估对象、风险评估方法、资产、威胁、脆弱性的识别结果、风险分析、风险统计、结论、整改建议等内容。

服务内容

对被评估信息系统进行渗透测试、基线检查、漏洞扫描、安全访谈等内容

1、渗透测试：通过渗透测试，发现客户网络、主机、系统、应用等存在的安全隐患
2、基线检查：通过基线检查，发现客户网络、主机、系统、应用等存在的错误配置、不符合项、弱口令等问题
3、漏洞扫描：通过漏洞扫描，发现客户网络、主机、系统、应用等存在的安全漏洞
4、安全访谈：通过安全访谈，对客户安全管理进行综合了解，发现存在的管理弱点

客户收益

客户可全面、准确的了解组织机构的网络安全现状，发现系统的安全问题及可能存在的危害，为系统最终安全需求提出可靠依据。

上一篇：第一页

下一篇：信息安全加固服务

信息安全服务

信息安全风险评估服务

服务概述

服务流程

服务内容

客户收益