安全服務(wù)包
共 3476字,需瀏覽 7分鐘
·
2020-11-11 02:16
產(chǎn)品亮點(diǎn)
本服務(wù)包含多個安全項(xiàng)目,保證安全評估覆蓋更全面,同時可協(xié)助發(fā)掘持續(xù)改進(jìn)的方向,并做到主動預(yù)防安全風(fēng)險。服務(wù)多為高級服務(wù),保證實(shí)施遵循最小影響原則、可控性原則、整體性原則、針對性原則。此外,用戶更可以根據(jù)實(shí)際需求自行選擇。
產(chǎn)品說明
安全月活動(12.23-1.23),每滿10萬減1萬?
| 服務(wù)類別 | 項(xiàng)目 | |
| 物理安全評估 | (1)機(jī)房安全評估:根據(jù)國家頒發(fā)的相關(guān)安全標(biāo)準(zhǔn),對用戶的核心機(jī)房進(jìn)行物理安全評估,評估項(xiàng)目包括但不限于機(jī)房環(huán)境評估及機(jī)房管控評估。其中機(jī)房環(huán)境評估包括: a.物理位置評估; b.自然災(zāi)害承受能力評估; c.抗干擾能力評估; d.機(jī)房管控評估包括: e.機(jī)房內(nèi)視頻監(jiān)控覆蓋評估; f.機(jī)房出入管控評估; (2)關(guān)鍵位置視頻監(jiān)控評估:對監(jiān)控存放關(guān)鍵IT資產(chǎn)房間、核心系統(tǒng)主機(jī)機(jī)房的視頻監(jiān)控系統(tǒng)進(jìn)行評估。評估從大樓外部至該類房間大門口的路徑上,視頻監(jiān)控的覆蓋面、監(jiān)控的持續(xù)能力進(jìn)行實(shí)地調(diào)研,驗(yàn)證視頻監(jiān)控系統(tǒng)是否滿足長期監(jiān)控關(guān)鍵房間的需求; (3)根據(jù)以上兩項(xiàng)評估內(nèi)容,形成《物理安全評估報告》。綜合分析用戶的物理安全防護(hù)現(xiàn)狀,總結(jié)當(dāng)前物理環(huán)境安全管控的缺失,提出整改的意見與建議; (4)此項(xiàng)服務(wù)需由具備ISO9000、ISO27001資質(zhì)的公司提供。 |
|
| 主機(jī)脆弱性評估 | (1)進(jìn)行漏洞掃描,根據(jù)結(jié)果分析漏洞分布狀況,評估應(yīng)用組件與系統(tǒng)服務(wù)的安全狀況,同時評估加固成本及代價,且提供加固建議; (2)根據(jù)用戶IT環(huán)境與業(yè)務(wù)狀況,按照系統(tǒng)維度對漏洞掃描結(jié)果進(jìn)行梳理,并按照以下的項(xiàng)目對每個系統(tǒng)的漏洞情況進(jìn)行評估: a.以單個系統(tǒng)為統(tǒng)計維度統(tǒng)計漏洞,整理每個系統(tǒng)的漏洞數(shù)量;b.按照IT架構(gòu)的層次梳理漏洞,評估每個層次漏洞分布的情況; c.按照應(yīng)用類型、服務(wù)類型梳理漏洞,評估單個應(yīng)用、服務(wù)的漏洞情況,甄別風(fēng)險最高的系統(tǒng)應(yīng)用、服務(wù); d.評估風(fēng)險最高的主機(jī)漏洞,編排漏洞加固的優(yōu)先級別; e.提供合適用戶實(shí)際情況的漏洞加固建議,評估加固漏洞所需要的成本與代價。 完成以上評估工作后,編制《主機(jī)脆弱性評估報告》 (3)此項(xiàng)工作需由具備CISP認(rèn)證資質(zhì)的人員進(jìn)行實(shí)施,且服務(wù)公司需具備ISO9000、ISO27001資質(zhì)。 |
|
| 操作系統(tǒng)安全評估 | (1)系統(tǒng)服務(wù)安全、關(guān)鍵線程安全、防病毒系統(tǒng)穩(wěn)健性、系統(tǒng)基線配置安全、弱口令掃描、關(guān)鍵系統(tǒng)補(bǔ)丁,根據(jù)檢測結(jié)果,評估在用的各類操作系統(tǒng)在配置上的安全性,篩查由于配置參數(shù)不合規(guī)帶來安全風(fēng)險,分析修改配置帶來的影響,提供整改建議; (2)根據(jù)用戶的IT環(huán)境與系統(tǒng)的實(shí)際狀況,對操作系統(tǒng)基線的檢測結(jié)果進(jìn)行分析評估,按照以下羅列的項(xiàng)目進(jìn)行合規(guī)性分析: a.以單個系統(tǒng)為統(tǒng)計維度統(tǒng)計操作系統(tǒng)基線合規(guī)情況,梳理每個系統(tǒng)的基線不合規(guī)情況; b.按照操作系統(tǒng)類型的維度整合基線不合規(guī)項(xiàng),甄別操作系統(tǒng)配置管理的固有風(fēng)險; c.按照基線類別的維度統(tǒng)計分析各類別項(xiàng)目的不合規(guī)情況,甄別操作系統(tǒng)的配置風(fēng)險; d.按照用戶的IT環(huán)境實(shí)際情況與業(yè)務(wù)應(yīng)用的要求,提供基線整改建議與意見,并評估整改成本與風(fēng)險; e.對弱口令賬號進(jìn)行排查,識別弱口令最多的賬號種類; f.對主機(jī)防病毒系統(tǒng)的運(yùn)作情況進(jìn)行評估。 完成以上評估分析工作后,編制《操作系統(tǒng)安全評估報告》 (3)此項(xiàng)工作由具備CISP認(rèn)證資質(zhì)的人員進(jìn)行實(shí)施,且服務(wù)公司需具備ISO9000、ISO27001資質(zhì); |
|
| 數(shù)據(jù)備份評估 | (1)備份系統(tǒng)安全性評估高級服務(wù):評估用戶IT環(huán)境內(nèi)現(xiàn)有的備份系統(tǒng)安全性,包括:備份主機(jī)的安全性、主機(jī)系統(tǒng)安全、賬號安全、異地容災(zāi)機(jī)制、備份文件安全等等; (2)備份策略合理性評估高級服務(wù); (3)備份映像有效性評估高級服務(wù):對備份系統(tǒng)生成的備份映像進(jìn)行合規(guī)性評估,評估內(nèi)容有以下三項(xiàng): a.備份映像有效性:通過恢復(fù)演練驗(yàn)證備份映像的有效性; b.備份映像保留周期:評估備份保留時間與業(yè)務(wù)重要性是否匹配; c.備份副本加密:備份文件加密后的可行性 (4)備份副本加密安全評估高級服務(wù); (5)備份副本存放安全評估高級服務(wù); (6)備份映像保留周期評估高級服務(wù); (7)根據(jù)以上評估內(nèi)容,出具高級服務(wù)質(zhì)量的《數(shù)據(jù)備份安全評估報告》; (8)此項(xiàng)服務(wù)需由具備ISO9000、ISO27001資質(zhì)的公司提供。 |
|
| 網(wǎng)絡(luò)質(zhì)量評估 | (1)網(wǎng)絡(luò)數(shù)據(jù)監(jiān)控、網(wǎng)絡(luò)負(fù)載評估、網(wǎng)絡(luò)穩(wěn)定性評估,并對現(xiàn)有網(wǎng)絡(luò)架構(gòu)的安全性進(jìn)行評估,主要有:目標(biāo)網(wǎng)段的流量峰值、目標(biāo)網(wǎng)段的負(fù)載能力、目標(biāo)網(wǎng)段資產(chǎn)風(fēng)險、針對目標(biāo)網(wǎng)段的可疑行為等等; (2)對評估周期內(nèi)的流量分析日志進(jìn)行排查梳理,綜合網(wǎng)絡(luò)設(shè)備的負(fù)載,評估用戶的核心系統(tǒng)網(wǎng)絡(luò)運(yùn)行狀況,出具高級服務(wù)質(zhì)量的《網(wǎng)絡(luò)運(yùn)行質(zhì)量評估報告》; (3)此項(xiàng)工作需由具備HCIP或CCNP同等認(rèn)證資質(zhì)的人員進(jìn)行實(shí)施,且服務(wù)公司需具備ISO9000、ISO27001資質(zhì)。 |
|
| 系統(tǒng)權(quán)限安全評估 |
|
|
| 應(yīng)用安全評估 | (1)應(yīng)用滲透測試高級服務(wù) (2)應(yīng)用安全合規(guī)性評估高級服務(wù):根據(jù)應(yīng)用安全合規(guī)性標(biāo)準(zhǔn),對WEB應(yīng)用系統(tǒng)進(jìn)行安全評估,評估的項(xiàng)目包括應(yīng)用系統(tǒng)外部合規(guī)評估和應(yīng)用系統(tǒng)內(nèi)部合規(guī)評估; (3)數(shù)據(jù)泄露測試高級服務(wù):主要有以下三項(xiàng)測試: a.測試一:利用內(nèi)網(wǎng)終端,向目標(biāo)服務(wù)器群發(fā)起非授權(quán)訪問;通過內(nèi)網(wǎng)終端向指定外網(wǎng)終端進(jìn)行非授權(quán)傳輸數(shù)據(jù); b.測試二:通過外網(wǎng)終端,嘗試非授權(quán)接入內(nèi)網(wǎng);通過外網(wǎng)終端,向內(nèi)網(wǎng)目標(biāo)主機(jī)進(jìn)行滲透,奪取內(nèi)終端的管理員權(quán)限; c.測試三:通過外網(wǎng)終端,直接滲透后臺服務(wù)器,奪取服務(wù)器管理員權(quán)限;在指定服務(wù)器向指定外網(wǎng)終端進(jìn)行非授權(quán)傳輸數(shù)據(jù); (4)出具高級服務(wù)質(zhì)量的《內(nèi)網(wǎng)安全評估報告》; (5)此項(xiàng)服務(wù)工作需由具備ISO9000、ISO27001資質(zhì)的公司提供,且服務(wù)公司需具備ISO9000、ISO27001資質(zhì)。 |
|
| 安全評估總結(jié) | (1)整合以上各項(xiàng)的檢測結(jié)果,需要將各項(xiàng)評估報告的內(nèi)容進(jìn)行匯總整合,對每項(xiàng)風(fēng)險進(jìn)行綜合分析,評估從整體的角度評估用戶的IT安全現(xiàn)狀。羅列目前安全級別最高的風(fēng)險,分析其寄存的位置,風(fēng)險產(chǎn)生的原因,評估其對業(yè)務(wù)的影響,及加固耗費(fèi)的成本。羅列安全工作的缺失,后續(xù)優(yōu)化方向,及關(guān)鍵的促進(jìn)點(diǎn),提供信息安全工作的意見與建議對整體的安全狀況進(jìn)行分析; (2)出具高級服務(wù)質(zhì)量的《安全評估報告》; (3)此項(xiàng)工作需由具備CISA認(rèn)證資質(zhì)的人員進(jìn)行編寫,且服務(wù)公司需具備ISO9000、ISO27001資質(zhì)。 |
|
| 安全培訓(xùn) | (1)提供安全意識培訓(xùn)和等保基礎(chǔ)培訓(xùn)1次; (2)此項(xiàng)服務(wù)需由具備ISO9000、ISO27001資質(zhì)的公司提供。 |
|
| 應(yīng)急響應(yīng) | (1)每年對1次安全事件(病毒事件、數(shù)據(jù)泄露事件、非法入侵事件)進(jìn)行即時響應(yīng),趕赴現(xiàn)場處理安全事件(事件發(fā)生后12小時內(nèi)介入),進(jìn)行安全事件溯源,協(xié)助系統(tǒng)恢復(fù)正常運(yùn)行,提出安全加固建議(協(xié)議期內(nèi)若無安全事件發(fā)生仍舊收費(fèi)); (2)此項(xiàng)服務(wù)需由具備ISO9000、ISO27001資質(zhì)的公司提供。 |
?
產(chǎn)品參數(shù)
| 交付方式 | 服務(wù)類 |
| 依托云產(chǎn)品 | 其它 |
| 質(zhì)保時間 | 30天 |
| 交付時間 | 30天 |
售后支持范圍
服務(wù)范圍:詳見產(chǎn)品描述;
時間范圍:服務(wù)時長及響應(yīng)時間根據(jù)具體服務(wù)細(xì)項(xiàng)而定;
費(fèi)用范圍:選定所需服務(wù)后,自動核算價格,若無法判斷可隨時聯(lián)系售前咨詢溝通。
評論
圖片
表情