服務(wù)背景

隨著網(wǎng)絡(luò)與信息安全威脅的快速發(fā)展，國家對網(wǎng)絡(luò)與信息安全重視程度的日益提升，為更好滿足國家和行業(yè)的安全監(jiān)管要求及自身業(yè)務(wù)實際安全防護需求，關(guān)鍵信息基礎(chǔ)設(shè)施及其它機構(gòu)需要通過安全管理和技術(shù)手段及時掌握自身實際安全防護效果，做到安全投入有的放矢，切實達到預期效果。

服務(wù)內(nèi)容

1、滲透測試服務(wù)

滲透測試時通過模擬黑客思維和攻擊手段，對計算機業(yè)務(wù)系統(tǒng)的弱點、技術(shù)缺陷和漏洞進行探查評估。經(jīng)過客戶授權(quán)后，在不影響業(yè)務(wù)系統(tǒng)正常運行的條件下，滲透人員在黑客可能的不同位置，采取可控的方法、手段和工具，對某個特定的業(yè)務(wù)系統(tǒng)進行主動分析和測試，發(fā)現(xiàn)和挖掘業(yè)務(wù)系統(tǒng)中存在的弱點、技術(shù)缺陷或漏洞，輸出滲透測試報告，提交給業(yè)務(wù)系統(tǒng)所有者。業(yè)務(wù)系統(tǒng)的所有者根據(jù)滲透人員提供的滲透測試報告，可以清晰知曉業(yè)務(wù)系統(tǒng)中存在的安全隱患和問題。

適用范圍：任何有信息系統(tǒng)的各行業(yè)客戶均適用。

政策依據(jù)：

• 《中華人民共和國網(wǎng)絡(luò)安全法》

• 《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》

• 《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護測評要求》

服務(wù)目的：

• 能反映出真實的網(wǎng)絡(luò)與信息安全防護水平，輔助領(lǐng)導進行安全決策。

• 使客戶在當前網(wǎng)絡(luò)與信息安全強監(jiān)管的背景下，快速發(fā)現(xiàn)自身信息系統(tǒng)真實存在的、真正能夠引起重大事件的安全問題與隱患，盡最大限度避免受到監(jiān)管處罰。

2、風險評估服務(wù)

信息安全風險評估是信息安全保障的基礎(chǔ)性工作和重要環(huán)節(jié)，貫穿于網(wǎng)絡(luò)和信息系統(tǒng)建設(shè)運行的全過程。服務(wù)提供者通過對信息系統(tǒng)提供風險評估服務(wù)，系統(tǒng)地分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評估安全事件一旦發(fā)生可能造成的危害程度，提出有針對性的抵御威脅的防護對策和安全整改措施，防范和消除信息安全風險，或?qū)L險控制在可接受的水平，為網(wǎng)絡(luò)和信息安全保障提供科學依據(jù)。

適用范圍：任何有信息系統(tǒng)的各行業(yè)客戶均適用。

政策依據(jù)：

• 《中華人民共和國網(wǎng)絡(luò)安全法》

• 《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》

• 《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護測評要求》

• 《GB/T 20984-2007 信息安全技術(shù) 信息安全風險評估規(guī)范》

• 《GB/T 31509-2015 信息安全技術(shù) 信息安全風險評估實施指南》

服務(wù)目的：

• 使客戶全面了解自身面臨的威脅與潛在的脆弱性，輔助領(lǐng)導進行安全決策。

• 提出相應解決方案，幫助客戶整體提升網(wǎng)絡(luò)與信息安全的保障能力。