金融【项目名称:安全评估服务项目】
项目需求分析
ZZZX有限责任公司成立于2010年9月,公司以“依托市场、植根市场、服务市场”为经营理念,致力于成为国内权威、国际上具有影响力的信用信息综合服务商。在《网络安全法》以及金融行业相关政策和标准的指导下,针对新的安全形势,通过安全评估服务及时发现信息化内部存在的脆弱性;针对脆弱面进行修复,提升安全防御等级,规避安全事件提升安全等级。
安全评估服务内容
| 类别 | 项目 | 服务项 | 内容详细说明 | 服务范围 | 交付物 |
| 安全检查服务 | 安全检测服务 | 资产梳理 | 通过安全访谈和调研、资产梳理工具,梳理信息资产和业务环境状况,针对重要业务系统制定评估详细方案 | 本地机房、阿里云 | 《资产台账》 《基线核查报告》 《漏洞扫描报告》 《设备安全检查报告》 |
| 防护体系梳理 | 对现有防护措施进行梳理,对安全防护能力进行差距分析 | ||||
| 互联网出口检测 | 排查非必要的互联网出口,减少互联网暴露面,减少威胁入侵途径 | ||||
| 漏洞扫描 | 通过对数据库、操作系统、中间件和应用系统的安全漏洞检测和研判,对识别出的能被入侵者用来非法进入网络或者非法获取信息资产的漏洞,提醒安全管理员,及时完善安全策略,降低安全风险 | ||||
| 弱口令检查 | 依据单位资产台账,完成应用账户、管理员账户、系统账户的默认口令和弱口令检查,对发现的隐患口令依据口令相关策略进行整改 | ||||
| 安全配置核查 | 通过该服务使业务系统的风险维持在可控范围内。避免人为疏忽或错误,或使用默认的安全配置,给业务系统安全造成风险,而制定安全检查标准,并且采取必要的安全检查措施,使业务系统达到相对的安全指标要求 | ||||
| 设备巡检 | 对安全设备状态、版本、策略、漏洞等进行常规检查,发现安全隐患,加固资产薄弱点 | ||||
| 加固处置建议 | 对风险排查工作发现的安全隐患进行修复,添加防护措施,优化防护策略 | ||||
| 渗透测试服务 | 渗透测试 | 在客户授权许可的情况下,资深安全专家将通过模拟黑客攻击的方式,对企业的网站或在线平台进行全方位渗透入侵测试,提前发现系统潜在的各种高危漏洞和安全威胁。整改完成后协助进行系统复测 | 官网、TBS相关系统、外网邮箱、OA系统 | 《渗透测试报告》 | |
| 总结 | 输出报告与整改建议 | 根据上述安全检查结果,编写安全风险风险评估报告;根据报告中涉及的风险脆弱性等情况提供合理化的安全解决方案 | 《安全检查报告》 |
评估交付开展计划
客户收益
- 明确了内外部的资产整体风险态势。通过前期漏洞扫描、渗透测试、基线核查、弱口令排查等整体安全评估工作,整体识别出资产的脆弱性态势,明确防护能力的缺口和弱项。
- 评估业务风险,提供有效安全加固:通过渗透测试、安全评估等服务,帮助深入发现系统存在的安全隐患,因而提供有效的不断迭代的安全加固方案。