• 风险评估
  • 依据《信息安全技术信息安全风险评估规范》GB_T 20984-2007,结合ISO/IEC 2700X,ISO/IEC 13335,SSE-CMM GB/T18336,OCTAVE等标准的内容,采用半定量半定性的分析方法,对信息系统资产进行全面的风险评估工作。分析信息资产威胁和脆弱性之间的相互关系,分别以资产和业务流程为核心完成其信息系统风险管理过程中的风险鉴定、分析、评价和处理等工作,评估重要业务应用系统自身存在的安全风险,评价业务安全风险承担能力,并给出风险等级,为客户提出建立风险管理建议。
  • 等级化风险评估
  • 针对系统情况,通过等级化风险评估服务方式,进行差距测评和风险分析,查找安全风险隐患,分析与等级保护标准的差距,编制《等级化风险评估服务报告》,清晰呈现客户系统的信息安全态势,为防范和化解信息安全风险,将风险控制在可接受的水平,最大限度地保障信息安全提供科学依据。
  • 安全测试
  • 在系统上线前根据行业安全最佳化实践的Checklist内容,检查操作系统、数据库、WebServer程序的各项配置和运行状态,对应用完全模拟黑客可能使用的攻击技术和漏洞发现技术,对目标系统的安全作深入的探测,发现系统最脆弱的环节。渗透测试能够直观的让管理人员知道自己网络及系统所面临的问题。
  • 安全检查
  • 根据客户业务战略、安全管理要求结合法规政策对协助客户对自身或下辖单位的重要系统、重点安全措施以及可能存在的高风险环节进行安全检查,通过这种定制化的安全检查能够迅速有效发现安全短板,从而有针对性地去解决。