安全评估服务

网杰信息在等保安全评估技术研究上有很深的技术积累，经过多年的技术研究和经验积累，网杰信息制定了一系列的安全评估 服务规范和实施流程，对网络和应用系统的安全漏洞、安全隐患、安全风险，进行探测、识别、控制、消除的全过程，它从风险管 理角度，运用科学的方法和社工手段，系统地分析网络与应用系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造 成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施。

安全评估服务通过网络安全评估、主机安全评估、应用系统安全评估、数据备份与恢复评估、物理环境安全评估、安全管理制 度评估、安全管理机构评估、人员安全管理评估、系统建设管理评估、系统运维管理评估等综合安全评估，主要分为以下几种技术 手段实现:

1.配置安全管理

通过对安全事件的分析，发现安全事件主要由3个方面引起，安全漏洞方面、安全配置方面，以及异常事件等方面。安全配置 通常都是由于人为的疏忽造成，主要包括了账号、口令、授权、日志、IP通信等方面内容，反映了系统自身的安全脆弱性。由安全 配置的不足可能带来非常多的安全隐患，因此对安全配置进行有效的检查和加固成为整体安全体系建设中的重要一环。配置安全评 估是网杰信息根据各行业自身安全建设要求、等级保护建设要求、国际安全通过规范要求、其他行业安全规范要求而形成的安全配 置规范的安全评估。通过配置核查，使安全检查过程达到自动化、标准化、持续化、可视化。它协助查找设备在安全配置中存在的 差距，并与安全整改与安全建设相结合，提升各类业务系统的安全防护能力和达到整体合规要求。

2.风险评估管理

风险评估是对待评估对象的信息系统的影响、威胁和脆弱性进行全方位评估，归纳并总结该系统所面临的安全风险，为后续的 安全规划和建设提供决策依据。网杰信息提供全面的分析评估服务以彻底检查和分析组织的信息基础设施，发现安全问题，以确定 对信息系统采用什么程度的安全保障力度。通过风险评估服务，客户可以获取以下价值：

1)对客户信息系统安全的各个方面的当前潜在威胁、弱点和影响进行全面的评估；

2)能够清晰地了解当前所面临的安全风险，清晰地了解信息系统的安全现状为；

3)下一步控制和降低安全风险、改善安全状况提供客观和翔实的依据。

图1 安全风险评估流程图

3.渗透测试服务

渗透测试（Penetration Test）是通过模拟恶意黑客可能使用的攻击技术和漏洞发现技术，对目标系统的安全作深入的探测， 来评估目标系统安全的一种评估方法。这个过程包括对系统的任何弱点、技术缺陷或漏洞的主动分析，这个分析是从一个攻击者可 能存在的位置来进行的，并且从这个位置有条件主动利用安全漏洞。渗透测试是一个渐进的并且逐步深入的过程，是一种专业的安 全服务。

渗透测试服务，需在用户的授权和监督下，以模拟黑客的攻击方法，对指定的网站和应用系统进行非破坏性的攻击测试，查找 存在的漏洞并给出详细的修复建议。渗透测试，除使用产品和工具扫描外，更重要的需要进行人工渗透，渗透内容包括但不限于以 下项，且需要对发现的漏洞进行验证和利用。

图2 渗透测试范围和内容

通过等保安全评估服务，综合国内外相关标准及相关指导，对客户重要信息系统所面临的信息安全风险进行识别和定性评估， 清晰地展现网络和重要信息系统当前的安全现状，准确分析存在的安全风险，提供精确的安全评估报告，并对所有评估发现的不可 接受风险给出对应的安全处置和加固建议，协助客户下一步控制和降低安全风险、信息安全建设等提供依据。