技术为本
赢在交付
zp829@sczd.net
028-61352770
028-61352770
信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段。
信息系统安全等级测评是验证信息系统是否满足相应安全保护等级的评估过程。信息安全等级保护要求不同安全等级的信息系统应具有不同的安全保护能力,一方面通过在安全技术和安全管理上选用与安全等级相适应的安全控制来实现;另一方面分布在信息系统中的安全技术和安全管理上不同的安全控制,通过连接、交互、依赖、协调、协同等相互关联关系,共同作用于信息系统的安全功能,使信息系统的整体安全功能与信息系统的结构以及安全控制间、层面间和区域间的相互关联关系密切相关。因此,信息系统安全等级测评在安全控制测评的基础上,还要包括系统整体测评。
安全风险评估就是从风险管理角度,运用科学的方法和手段,系统地分析网络与信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施。风险评估工作贯穿信息系统整个生命周期,包括规划阶段、设计阶段、实施阶段、运行阶段、废弃阶段等。被评估单位可根据风险评估结果防范和化解信息安全风险,或者将风险控制在可接受的水平,为最大限度地保障网络和信息安全提供科学依据。
风险评估内容:
渗透测试是对网站和服务器的全方位安全测试,通过模拟黑客攻击的手法,切近实战,检测系统安全状况,然后进行评估形成系统安全报告。这种渗透测试也被称为黑盒测试,类似于军队的“实战演习”,在没有网站代码和服务器权限的情况下,从公开访问的外部向内网核心区域进行安全渗透。
渗透测试内容:
无线网络渗透测试、网络设备渗透测试、应用系统渗透测试、主机操作系统渗透测试、数据库系统渗透测试。
对网络系统中的关键软/硬件设备,如操作系统、服务器、客户机、路由器、交换机和防火墙的安全性进行了分析,并针对这些设备由于设计缺陷造成的漏洞及管理员的误操作带来的安全隐患等指出加固的方法,其目的是从整体上提高网络的安全防御能力。
