等保测评

一、工作介绍

信息系统安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段。

信息系统安全等级测评是验证信息系统是否满足相应安全保护等级的评估过程。信息系统安全等级保护要求不同安全等级的信息系统应具有不同的安全保护能力,一方面通过在安全技术和安全管理上选用与安全等级相适应的安全控制来实现;另一方面分布在信息系统中的安全技术和安全管理上不同的安全控制,通过连接、交互、依赖、协调、协同等相互关联关系,共同作用于信息系统的安全功能,使信息系统的整体安全功能与信息系统的结构以及安全控制间、层面间和区域间的相互关联关系密切相关。因此,信息系统安全等级测评在安全控制测评的基础上,还要包括系统整体测评。

二、等级保护测评工作流程:

信息系统安全等级保护测评工作共分为四项活动,即测评准备活动、方案编制活动、现场测评活动、分析与报告编制活动,基本工作流程下图如示:

风险评估

信息安全风险评估是信息系统安全保障机制建立过程中的一种评价方法,其结果为信息安全管理提供依据。风险评估将导出信息系统的安全需求,因此,所有信息安全建设都应该以风险评估为起点。信息安全建设的最终目的是服务于信息化,但其直接目的是为了控制安全风险。

服务介绍:

信息安全风险评估是一个识别、控制、降低或消除可能影响信息系统的安全风险的过程。中心检测遵照国家《信息安全风险评估规范》(GB/T 20984-2007)及等级保护系列规范,遵循ISO27001以及相关行业规范,从安全技术和安全管理两个层面入手,全面深入分析信息系统存在的脆弱性、威胁和风险,输出风险评估报告和风险处置建议。并进一步协助用户完成安全规划,有步骤有计划的提升用户的信息安全保障水平。中心检测风险评估服务根据服务内容不同,可以分解为网络安全评估、网站安全评估、应用系统安全评估等多种类型。

风险评估服务流程:

渗透测试

渗透测试概念:

渗透测试是通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全的一种评估方法。这个过程包括对系统的任何弱点、技术缺陷或漏洞的主动分析,这个分析是从一个攻击者可能存在的位置来进行的,并且从这个位置有条件主动利用安全漏洞。

渗透测试对象:
1、主机操作系统渗透

对Windows、Linux、Unix等操作系统本身进行渗透测试。

2、数据库系统渗透

对MS-SQL、Oracle、MySQL、Informix、Sybase、DB2、Access等数据库应用系统进行渗透测试。

3、应用系统渗透

对渗透目标提供的各种应用,如ASP、CGI、JAVA、PHP等组成的WWW应用进行渗透测试。

4、网络设备渗透

对各种防火墙、入侵检测系统、网络设备进行渗透测试。

渗透测试流程:

前期交互->情报搜集->威胁建模->漏洞分析->渗透攻击->报告编制

渗透测试参照标准:
ISECOM OSSTMM
NIST SP 800-42
OWASP TOP 10
WASC-TC
PTES
渗透测试对用户的价值:
验证入侵防护措施及系统的抗攻击能力。
验证漏洞扫描结果的准确性,找出误报的漏洞,确定漏洞真实的影响程度。
找出漏洞扫描系统无法检测出的漏洞,作为漏洞扫描的重要补充。
模拟黑客行为攻击系统,确定关键漏洞位置。
在发生入侵事件后结合渗透测试方法还原黑客入侵过程,找到问题根源。

安全监测

安全监测是通过实时监测网络或主机活动,监视分析用户和系统的行为,审计系统配置和漏洞,评估敏感系统和数据的完整性,识别攻击行为,对异常行为进行统计和跟踪,记录黑客行为等,有效地监视、控制和评估网络或主机系统,及时对安全事件进行相应的处理,保障系统和网络运行安全。

目前大部分单位虽然建立了安全保护机制,但难以形成对信息安全风险全面性的覆盖,实时监测、追踪和强化预防。

我中心提供专业化的安全监测服务,使客户单位可以通过动态监测有效地应对各类突发性事件。

服务内容:

1) 信息系统安全监测:定期对客户的网络设备、安全设备、主机系统进行安全巡检,及时修补安全漏洞和隐患,针对性的进行安全加固和优化服务;对网络异常、病毒和黑客入侵,启动紧急处理预案,迅速判断,定位问题,及时补救,消除隐患,帮助客户动态调整安全策略,提高系统整体安全性。

2) 网络流量安全监测:为客户设计内部网络流量安全管理,对异常的流量进行持续监控和完整分析。针对流量来源和目的,提供流量分析报表,进行网络性能分析并提供改善意见,减少失效时间,提升服务质量。

3) 网站安全防护监测:专为客户网站安全管理设计的安全监控体系,对WEB漏洞、网页木马、配置审计、FORM检测、中间人攻击等等,进行全面并深入的安全性防御和日常性安全检查,确保客户网站系统的安全性。

中心优势:

一、 管理:能够针对不同的攻击而提供正确的行动方案,能够保证及时、快速反应,能够为客户提供规范和详细监测相关知识的培训体系。

二、 技术:拥有专业的监测技术,能方便、快速到所有接入设备和系统中进行工作;并保证监控设备不会影响和干扰已有的安全设备和应用软件系统的正常使用,也不会引入新的安全隐患。专业的监测数据分析和处理技术,具有专家库和知识库支持客户的各种应急事件。

安全培训

概述:

安全培训,即人员的信息安全培训。是指由信息安全服务提供商,按照既定的安全培训体系或定制的课程内容,向客户集中的讲述课程内容的过程。

服务说明:

广州华南信息安全测评中心有着以信息安全领域教授为核心的教育培训团队,凭借丰富的培训经验,以信息安全为核心,提供信息安全基础知识培训、信息安全意识培训、等级保护相关培训、安全产品培训、安全技术培训、安全运维培训和CISP培训,亦可按照客户需求提供定制内容的培训。

服务价值:

通过信息安全培训,可有效提高信息安全方面发展态势;可有效提升客户的信息安全意识,提高系统安全运维能力。

应急响应支援

“安全应急响应”服务是及时、快捷的向客户提供专业的技术支持来抵抗攻击,进行安全修复,完善安全防护,并减少未来安全事件产生的可能性,保证信息系统安全运行。

服务内容:

我中心受全国信息网络安全协会联盟的委托,作为全国信息网络安全协会联盟应急响应服务中心,拥有丰富专业技能的专家队伍和专业的工具与方法,具备多年安全应急响应服务经验。根据事发单位应急支撑请求,提供应急救助服务,对信息安全事件进行紧急处理,包括网站、网络攻击事件、有害程序事件、信息破坏事件、信息内容安全事件、设备设施故障和灾难性事件等;承办网络与信息安全事件应急处理培训工作;协助客户单位做好网络与信息安全事件应急演练工作。

收到信息安全事件发生报告,我中心将会同信息系统单位,依据启用的应急预案处理安全事件,实施紧急处理,达到以下效果:

1) 控制事态发展,防控蔓延

采用各种技术手段,及时控制事态的发展,最大限度的防止事件的蔓延。

2) 快速的判断事件的性质和危害的程度

尽快的分析事件发生的根本原因,根据信息系统运行和承载的业务情况来分析,初步判断事件的影响,危害和可能波及的范围,及时提出解决的措施。

3) 做好事件发生、发展、处理的记录过程并留存证据,制定相关预案,防止此类事件再次发生。
响应流程: