Theme Colors

信息安全评测与咨询业务


一、信息安全评测与咨询业务

勤智数码信息安全评测与咨询服务 

图1 :信息安全评测与咨询服务

勤智数码推出了系列的信息安全评测和咨询服务,服务体系紧紧围绕信息系统的生命周期,为信息系统的全生命周期的各个环节进行安全守护,其中业务应用安全评测是率先在我国推行的面向业务和应用系统的深度安全评测业务。

类别

项目

简介

1.评测类

1.1业务应用安全评测

紧紧围绕信息系统的业务安全,主要针对业务层面和应用层面,全面评估信息系统在业务流转、业务逻辑、业务交付等IT实现环节的安全风险,深度挖掘和识别应用层存在的安全漏洞,提升信息系统健壮性。

1.2信息安全风险评估(上线与运维阶段)

在系统上线和运维阶段,综合采用多种手段,如文档审查、漏洞扫描、渗透测试、配置检查、源代码审计等方法对信息系统进行安全检查。评估信息资产的威胁和脆弱性、度量风险,评测安全状态,提交信息安全风险评估报告,提供信息安全改进计划。

1.3其它专项评测

源代码审计

利用代码审计工具对软件源代码进行分析和评测,发现软件内部的潜在风险,提升代码质量。能够大大加强系统开发阶段的安全保障水平。

渗透测试

从攻击者角度,发现和挖掘信息系统存在的安全漏洞和安全隐患;检验当前安全控制措施的有效性,针对发现的信息安全风险及时进行整改,增强系统自身防御能力。

2.咨询类

2.1信息安全规划

制定信息安全战略与总体架构,设计与IT规划相一致的信息安全蓝图。制定信息安全规划具体措施,提出未来三至五年的运行支撑建设总体规划,定义保障改进项目群,进行项目投入产出分析,定义保障能力演进路线,制定项目建设时间计划。

2.2信息安全管理体系咨询(ISO27001)

基于企业业务现状以及建立信息安全策略和目标的需求。在整体业务风险框架内,根据ISO27001:2013标准,建立和实施信息安全管理体系(ISMS)以管理信息安全风险。体系建立过程采用“规划(Plan)-实施(Do)-检查(Check)-处置(Act)”方法论。

2.3信息科技风险评测暨管理体系咨询

通过对机构的全面了解和主要信息科技风险、控制措施的识别、分析,分别完成对信息科技固有风险水平和控制有效性的评测,最后考察信息科技剩余风险,对机构的整体风险状况进行评测。并通过建立完善的信息科技风险制度体系加以明确,通过建立科技风险监测指标体系与再评估实现对信息科技风险控制的持续改进。

2.4敏感信息防护体系咨询

提供解决敏感信息防护的整体控制方法,通过敏感信息调研与评估,从整体角度出发,自顶向下建立全面的敏感信息防护策略、制度、流程及技术体系。

 

一、业务应用安全评测

业务应用安全评测主要针对业务层面和应用层面,全面评估信息系统在业务流转、业务逻辑、业务交付等IT实现环节的安全风险,深度挖掘和识别应用层存在的安全漏洞,保证业务顺利开展。

1.1评测内容

► 评测内容

基于业务流程,重点关注于业务恶用和滥用、用户假冒、权限提升、敏感信息泄露、业务中断等风险,侧重业务的可控性、可靠性、合规性

► 评测范围

覆盖业务流程的全生命周期

--业务设计与实现、业务运行与管理

--业务间的接口和关联关系

--业务在信息系统层面的数据、数据处理活动及其关联关系

► 评测方法

  数据流分析/业务逻辑分析/ STRIDE模型/源代码审计等

勤智数码信息安全评测方法 

图2: 支付业务流程威胁分析

1.2基于资产的风险评估与业务应用安全评测对比

评估方法

对象

方法

特点

输出结果

传统信息安全风险评估

基于IT 资产,重点关注静态资产的威胁和脆弱性,特别是主机、数据库、服务器、中间件、网络等基础设施层面的漏洞与配置安全,侧重于信息的机密性、完整性和可用性

配置检查
漏洞扫描
渗透测试

复杂度较低
时间周期较短
涉及对象较少

主要针对基础支撑环境

业务应用安全评测

主要针对业务和应用层面,全面评估信息系统在业务流转、业务逻辑、业务交付等IT实现环节的安全风险,深度挖掘和识别应用层存在的安全漏洞,提升信息系统和业务的可控性、可靠性、合规性。

STRIDE模型
业务流分析
数据流分析

源代码审计

复杂度较高
时间周期较长
涉及对象较多

针对业务和应用层面风险

1.3. 用户收益

紧紧围绕用户业务场景实施业务应用安全评测,保障业务逻辑安全、业务数据安全、业务系统安全等,为业务良性开展提供有力依据;

面向业务系统的全生命周期有针对性部署各项评测服务,保障系统在架构设计、代码开发、业务实现等方面的安全防护,提升业务安全性。

三、常态化评测服务平台

随着信息安全工作越来越受到重视,许多企业都在积极开展相关标准规范的研究制定和业务应用系统的安全评估活动。但这些活动往往都是随着单个项目建设而开展的,许多企业每年的信息系统建设项目较多,每个项目开展一次安全评测活动既费时又费力,而且做了大量重复性和事务性工作,因而亟需建立常态化的信息安全评测服务平台,抽取信息系统安全评测工作的共性,形成标准化的规范、流程和服务平台,减少企业开展评测工作的复杂度和资金投入,并依此建立一套企业常态化的安全评测机制,形成可持续的信息安全保障支撑服务能力。