网络安全等级保护测评

网络安全等级保护是国家信息安全保障的基本制度

网络安全等级保护是指对网络( 含信息系统、数据)实施分等级保护、分等级监管。信息系统安全等级测评是验证信息系统是否满足相应安全保护等级的评估过程。网络安全等级保护要求不同安全等级的信息系统应具有不同的安全保护能力。

网络安全等级保护测评的意义

  • 01 自身安全

    信息系统运营、使用单位通过开展等级保护工作可以发现系统内部的安全隐患与不足之处,可通过安全整改提升系统的安全防护能力,降低被攻击的风险。

  • 信息系统运营单位在向外部客户提供业务服务时通过等保测评,能向客广及利益相关方展示信息系统安全性承诺,增强客户合作伙伴及利益相关方的信心。

  • 《网络安全法》和《信息安全等级保护管理办法》明确规定信息系统运营使用单位应当按照网络安全等级保护制度要求,履行安全保护义务,如果据不履行,将会受到相应处罚。




网络安全等级保护流程

风险评估

针对客户业务导向,结合国内外有关信息安全技术标准,帮助客户及时准确发现业务运作中可能存在的信息安全和IT风险,提供全面有效的风险评估咨询服务。

安全风险评估方案架构

服务质量保障

 

渗透测试

利用各种主流的攻击技术对系统做模型攻击测试,通过对系统进行远程模拟攻击和渗透性测试,结合代码注入漏洞、命令执行漏洞、任意文件上传漏洞、跨站脚本攻击漏洞、任意文件下载漏洞等目前常见漏洞特性,对系统安全进行全面的安全检查,以发现系统中存在的安全漏洞和风险点,验证在当前安全防护措施下系统抵抗黑客攻击的能力。

白盒法(White Box)

把测试对象看作一个打开的盒子,依据程序内部逻辑结构相关信息,设计或选择测试用例,对程序所有逻辑路径进行测试,通过在不同点检查程序的状态,确定实际的转态是否与预期的状态一致。 白盒测试,也叫结构测试或逻辑驱动测试。

黑盒法(Black Box)

把程序看作一个不能打开的黑盒子,在完全不考虑程序内部结构和内部特性的情况下在程序接口进行测试,检查程序功能是否按照需求规格说明书的规定正常使用,程序是否能适当地接收输入数据而产生正确的输出信息。

 

网络安全服务

安全监测

通过技术手段对网站进行漏洞扫描,检测网页是否存在漏洞、网页是否挂马、网页有没有被篡改、是否存在欺诈网站等,提醒网站管理员及时修复和加固,保障web网站的安全运行。


漏洞监测

精确检测常见的SOL注入、跨站脚本、跨站请求伪造(CSRF)等代码层漏洞,支持SQL注入专家检测模式;支持常见WEB应用层安全漏洞的检测;支持第三方应用组件(如:论坛、BLOG、编辑器)的识别与零日漏洞检测


可用性监测

通过HTTP(S)请求、域名解析、Ping等方式分析响应时间,及时发现网站出现链路异常、访问延迟、解析错误等情况


安全事件监测

精确对挂马、暗链、内容变更和关键字监测,精确定位内容变更和关键字位

 

安全应急

在突发/重大信息安全事件后对包括计算机运行在内的业务运行进行维持或恢复,尽可能地减小和控制网络安全事件的损失,提供有效的响应和恢复指导,并努力防止安全事件的发生。


本地应急

由网络安全应急团队指派安全应急工程师第一时间赶赴现场处理


远程应急

仅当事件并非紧急时,客户通过电话、Email、即时通信等方式请求安全事件响应,网络安全应急团队通过远程方式为客户解决问题;当确认无法通过远程方式时,转到本地应急响应相关流程


服务方式

安全咨询

基于自有知识产权的风险管理与控制框架,结合对信息技术与信息安全相关标准/模型/规范的深刻理解,为客户提供一系列信息安全风险规划与咨询服务。

安全培训

依托多年积累的信息与网络安全服务经验,结合社会对信息与网络安全人才的知识、技能要求,提供全面、专业、完善的网络安全人才培养方案,以虚拟化技术为基础,以课程内容为核心,集知识培训、技能培训、仿真演练、科研测试、攻防对抗、竞赛比武、管理考核于一体,可持续培养网络安全人才,满足各行各业对网络安全人才的需求。


线上教育

   ☆ 互联网在线教学
   ☆ 海量题库练习
   ☆ 模拟考试


线下教育

   ☆ 现场讲座
   ☆ 安全攻防实操训练
   ☆ 企业定制培训


安全竞赛

   ☆ 安全知识、技能竞赛
   ☆ 人才选拔


安全培训

   ☆ 国家职业资格相关标准培训
   ☆ 行业技能认证培训

源代码审计

依据公共漏洞字典表、OWASP十大Web漏洞,以及设备、软件厂商公布的漏洞库,结合专业源代码扫描工具对源代码进行安全审计,提供源代码安全现状测评、定位源代码安全漏洞、分析漏洞风险、给出修改建议等系列服务。




APP安全检测

基于移动互联网APP的开发与检测经验,对Andriod组件、权限管理、dex保护、数据安全以及对危险调试信息等常见的漏洞风险进行安全检测。