023-68616163
风险评估 返回列表 >
发布时间:2017-06-09    点击数:10540
  通过结合客户行业的业务特点和系统现状,对客户的整体信息系统进行安全风险评估,识别和评估信息资产的重要性、安全威胁的可能性、安全脆弱性的严重程度、以及安全控制措施的有效性等要素,对所有评估发现的不可接受风险给出对应的安全处置和加固建议,协助客户提升对重要信息系统的安全风险管理和安全保障能力。
风险评估模型
  安全渗透测试概
  信息安全渗透测试是通过模拟黑客可能使用的攻击技术和漏洞发现技术,对客户指定目标系统的安全作深入检测,从应用攻击入手,围绕业务系统进行逐步渗透攻击,尝试获取网络、应用、数据库的重要资源,寻找系统的薄弱点,并验证评估结果,最终提出有针对性的安全解决方案。      由于采用可控制的、非破坏性的渗透测试,因此不会对被测试应用系统造成严重的影响。应用系统渗透测试服务的所有细节和风险,都会提前告知客户,并且所有过程都在客户的控制下进行。  信息安全渗透测试内容
  ♦   操作系统:对Windows、Solaris、Aix、Linux等操作系统本身进行渗透测试;
  ♦   数据库系统:对MS-SQL、Oracle、MYSQL、SYBASE等数据库系统进行渗透测试;
  ♦   应用系统:对各种应用系统,如ASP、CGI、JSP、PHP等网站应用进行渗透测试;
  ♦   网络设备:对路由器、防火墙、入侵检测系统等网络设备进行渗透测试。
  信息系统渗透测试类型
  第一类型:互联网渗透测试,是通过互联网发起远程攻击,比其他类型的渗透测试更能说明漏洞的严重性;
  第二类型:政务外网渗透测试,通过接入北京市政务外网发起远程攻击;
  第三类型:内网渗透测试,通过接入内部网络发起内部攻击。


风险评估流程