网络安全服务是指适应整个安全管理的需要,为企业、政府提供全面或部分信息安全解决方案的服务。信息安全服务提供包含从高端的全面安全体系到细节的技术解决措施。主要分为安全运营类服务、安全评估类服务、安全培训类服务、安全运维类服务、安全规划咨询类服务5大类,为安全建设不同阶段的组织提供从评估到规划,再到持续安全运营的服务,以灵活匹配组织的安全服务需求。
一、安全运营类服务:安全运营、漏洞管理、威胁监测与主动响应、安全事件响应、安全通告;二、安全评估类服务:包括风险评估、渗透测试、漏洞扫描、基线核查、代码审计、APP检测、无线安全评估;二、安全运维类服务:包括,驻场服务、安全巡检、应急响应服务、应急演练服务、重大节会安全保障、远程支撑等。三、安全培训类服务:1、安全技术培训,包括安全漏洞扫描及挖掘、安全技术加固、安全配置核查、渗透测试等。2、安全管理培训,包括信息安全标准、等级保护建设、信息安全评估、安全管理体系等。3、新技术培训,包括云计算安全、大数据安全分析、移动安全、工控安全;四、安全运维类服务:安全日志分析与响应、安全加固、驻场运维、应急演练、应急响应。五、安全规划咨询类服务:包括等级保护合规设计与建设咨询服务、信息系统安全风险评估咨询服务、信息安全保障体系设计规划咨询服务、信息安全管理体系建设咨询服务。
01、风险评估概念
风险评估是指参照风险评估标准和管理规范,对组织资产的价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析,判断安全事件发生的概率以及可能造成的损失,提出风险管理 措施的过程。
融河矩媒风险评估服务是由用户组织,融河矩媒科技(北京)有限公司(以下简称“融河矩媒”)承担的网络与信息安全风险评估活动,具体活动内容包括评估用户信息系统安全现状,对信息资产面临的威胁、存在的脆弱性、现有防护措施及综合作用而带来风险的发生可能性和对资产造成的影响进行评估,而终提供全面性的风险评估报告。
02、风险评估服务方法
在风险评估过程中,将采用三种操作方法:基于知识的分析方法、定性分析和定量分析。通过综合使用三种评估方法,找出用户信息资产面临的脆弱性、威胁及其影响,以及 目前安全 水平与实际安全需求之间的差距。
03、风险服务评估内容
根据风险评估服务项目的实施复杂度、客户需求等因素,深信服科技为客户提供的风险评 估服务分为标准版风险评估服务和版风险评估服务。
(1)资产识别
资产是风险评估的评估对象,风险的所有重要因素都紧紧围绕着资产,而威胁性和脆 弱性都是针对资产客观存在的。风险评估的第一步是确定信息系统的资产,并明确资产的 价值,资产的价值是由用户在业务战略的实现过程中对资产的依赖性以及安全事件发生后对组织、供应商、合作伙伴、用户和其他利益相关方的影响程度来衡量的。资产的范围很广,对组织具有价值的信息或资源都是信息资产,使用深信服的自研工具(RAP、TSS 等)对包括:业务系统、服务器、安全设备、网络设备等进行自动化扫描发现、识别、评估。资产的识别和评估应当从关键业务开始,覆盖所有的资产,之后根据业务对资产的实际依赖程度进行区分是否为重要资产,脆弱性识别、威胁识别、风险分析等后期工作将只针对于重要资产进行识别。
高 级版风险评估服务内容的区别:
使用深信服自研工具扫描探测与人工访谈调研、文档审阅等方式收集资产,进行深入的信息资产识别时,主要收集以下几个方面的资产:业务应用(信息系统)、文档和数据(网络拓扑图、信息系统相关文档、信息系统数据库数据)、软硬件资产(服务器设备、安全设备、存储设备、系统软件、应用软件等)、物理环境(机房等)、组织管理(规章制度等)、人力资 源资产(组织架构、岗位职责等)。
(2)脆弱性评估
脆弱性是指资产中能被威胁所利用的弱点,它存在于物理环境、硬件、软件、业务系统等各个方面,这些都可能被各种安全威胁利用来侵害用户的资产,让资产的价值受损。各种脆弱
性自身并不会造成什么危害,只有在被各种安全威胁利用后才可能造成相应的危害。评估弱点
时需要考虑两个因素,一个是弱点被威胁利用后产生影响或危害的严重程度,另一个是弱点的暴露程度,即被利用的容易程度。需要注意的是,弱点是威胁发生的直接条件,如果资产没有弱点或者弱点很轻微,威胁源就很难利用其损害资产,哪怕它的能力多高、动机多么强烈。评判脆弱性的级别不仅需要考虑被利用的破坏力,还需要考虑被利用的几率,经此分析出的 弱点才更符合用户的实际情况。主要工作如下:
漏洞扫描:使用 TSS 工具的漏洞扫描功能, 能够快速从内网和外网两个角度来查找网络结构、网络设备、服务器主机、数据和用户账号/口令等安全对象目标存在的安全漏洞,并给出 关于安全隐患的详细信息。
基线配置核查:使用 TSS 工具的基线配置核查功能,安全基线是一个信息系统的较小,即该信息系统比较基本需要满足的安全配置要求。基线核查是信息系统及所属设备等在特定时期内,根据自身需求、部署环境和承载业务要求应满足的基本安全配置,全面集中检查和 分析各类系统存在的本地安全配置问题。
高 级版风险评估服务内容的区别:
增加渗透测试:通过用户授权的前提上模拟黑客的攻击方法,检测系统抵抗攻击的能力。整个过程包括情报收集、威胁建模、漏洞分析、渗透攻击、汇总报告等环节。其中对系统的任何弱点、技术缺陷或漏洞的主动分析尤为关键,这个分析是从一个攻击者的位置和角度进行 的,更容易发现实际生产过程中危害较大的安全隐患及脆弱性利用路径及方式。
增加人工审核:通过人工的资料审阅、现场勘查、上机测试等方法,人为的对相关资料进行筛选核实与审批;人工审核可大幅度降低工具的误判率,并能发现一些自动化工具无法发现的一些管理层面、逻辑层面、工作流程层面的安全隐患。
增加调研访谈:调研访谈是针对特定环境下进行的一种信息安全内容的收集方式,针对用户现有的安全状态调研和安全措施发布了问卷或面对面交流沟通,通过问卷调查和人员访谈收集到相关信息后,可以分析出安全管理方面的建设现状及佐证安全技术建设的效果。
(3)威胁评估
威胁是指可能对资产或用户组织造成损害事故的潜在原因。作为安全风险评估的重要因 素,威胁是一个客观存在的事物,无论对于多么安全的信息系统都存在。威胁可能源于对用户组织直接或间接的攻击,例如非授权的泄露、篡改、删除等,对资产的保密性、完整性、可用性等方面造成损害。
用户需要对要保护的每一项关键信息资产进行威胁的识别。需要注意的是威胁总是不断变化的,尤其是业务环境与信息系统发生变化时。分析用户信息系统存在的威胁种类,确定威胁分类的标准;综合威胁来源、种类和其他因素后得出威胁列表;针对每项需要保护的信息资 产,尽可能全面的发现资产所面临的威胁。
高 级版风险评估服务内容的区别:
增加访谈调研:通过人员访谈方式与重要资产的所有人或管理人员面对面交流,直接获得重要资产曾经遭受过哪些具体威胁的破坏,或对一些安全事件表面现象进行分析后,间接获得 安全事件背后的威胁源头。
增加人工审核:通过查看相关服务器的安全日志、往年的风险评估报告及等级保护测评书、以及应急响应报告等方面的文档数据,从中发现攻击、入侵或非法访问等威胁信息。
(4)防护能力评估
在影响安全事件发生的内部条件中,除了资产的弱点,另一个就是组织现有的安全措施能否真正提供防护效果。识别已有的安全控制措施,分析安全措施的有效性,确定威胁利用弱点的实际可能性,一方面可以指出当前安全措施的不足,另一方面也可以避免重复投资。
(5)风险分析
风险是一种潜在的可能性,是指某个威胁利用脆弱性引起某项资产或多项资产的损害,从而直接或间接的引起用户业务战略受损,风险和资产、威胁、脆弱性等因素息息相关。综合考虑资产本身的价值、威胁发生几率、脆弱性的破坏力、现有防护能力等因素分析资产可能存在的安全风险,结合风险对业务战略的影响程度区别是否可以接受。
(6)风险评估报告
根据资产识别、脆弱性评估、威胁评估、防护能力评估的输出结果进行风险分析之后,通 过 RAP工具输出风险评估报告,风险评估报告中为用户提供符合业务需求的安全整改建议,从多角度多维度整改存在的安全问题,将用户的安全水平提升至更高的层次, 尽量避免风险的重 复性出现, 保障业务系统安全可靠运行。
04、风险评估服务范围
风险评估的服务范围为用户的信息系统及支撑信息系统的网络设备、安全设备、中间件、 数据库等信息化资产。