你也使用过这款产品吗?欢迎分享你的见解
与大家分享你的见解、观点、比较或使用心得
雷达评级
A
用户规模
-
产品上线
-
安全月活动(12.23-1.23),每满10万减1万
服务类别 | 项目 | |
物理安全评估 | (1)机房安全评估:根据国家颁发的相关安全标准,对用户的核心机房进行物理安全评估,评估项目包括但不限于机房环境评估及机房管控评估。其中机房环境评估包括: a.物理位置评估; b.自然灾害承受能力评估; c.抗干扰能力评估; d.机房管控评估包括: e.机房内视频监控覆盖评估; f.机房出入管控评估; (2)关键位置视频监控评估:对监控存放关键IT资产房间、核心系统主机机房的视频监控系统进行评估。评估从大楼外部至该类房间大门口的路径上,视频监控的覆盖面、监控的持续能力进行实地调研,验证视频监控系统是否满足长期监控关键房间的需求; (3)根据以上两项评估内容,形成《物理安全评估报告》。综合分析用户的物理安全防护现状,总结当前物理环境安全管控的缺失,提出整改的意见与建议; (4)此项服务需由具备ISO9000、ISO27001资质的公司提供。 |
|
主机脆弱性评估 | (1)进行漏洞扫描,根据结果分析漏洞分布状况,评估应用组件与系统服务的安全状况,同时评估加固成本及代价,且提供加固建议; (2)根据用户IT环境与业务状况,按照系统维度对漏洞扫描结果进行梳理,并按照以下的项目对每个系统的漏洞情况进行评估: a.以单个系统为统计维度统计漏洞,整理每个系统的漏洞数量;b.按照IT架构的层次梳理漏洞,评估每个层次漏洞分布的情况; c.按照应用类型、服务类型梳理漏洞,评估单个应用、服务的漏洞情况,甄别风险最高的系统应用、服务; d.评估风险最高的主机漏洞,编排漏洞加固的优先级别; e.提供合适用户实际情况的漏洞加固建议,评估加固漏洞所需要的成本与代价。 完成以上评估工作后,编制《主机脆弱性评估报告》 (3)此项工作需由具备CISP认证资质的人员进行实施,且服务公司需具备ISO9000、ISO27001资质。 |
|
操作系统安全评估 | (1)系统服务安全、关键线程安全、防病毒系统稳健性、系统基线配置安全、弱口令扫描、关键系统补丁,根据检测结果,评估在用的各类操作系统在配置上的安全性,筛查由于配置参数不合规带来安全风险,分析修改配置带来的影响,提供整改建议; (2)根据用户的IT环境与系统的实际状况,对操作系统基线的检测结果进行分析评估,按照以下罗列的项目进行合规性分析: a.以单个系统为统计维度统计操作系统基线合规情况,梳理每个系统的基线不合规情况; b.按照操作系统类型的维度整合基线不合规项,甄别操作系统配置管理的固有风险; c.按照基线类别的维度统计分析各类别项目的不合规情况,甄别操作系统的配置风险; d.按照用户的IT环境实际情况与业务应用的要求,提供基线整改建议与意见,并评估整改成本与风险; e.对弱口令账号进行排查,识别弱口令最多的账号种类; f.对主机防病毒系统的运作情况进行评估。 完成以上评估分析工作后,编制《操作系统安全评估报告》 (3)此项工作由具备CISP认证资质的人员进行实施,且服务公司需具备ISO9000、ISO27001资质; |
|
数据备份评估 | (1)备份系统安全性评估高级服务:评估用户IT环境内现有的备份系统安全性,包括:备份主机的安全性、主机系统安全、账号安全、异地容灾机制、备份文件安全等等; (2)备份策略合理性评估高级服务; (3)备份映像有效性评估高级服务:对备份系统生成的备份映像进行合规性评估,评估内容有以下三项: a.备份映像有效性:通过恢复演练验证备份映像的有效性; b.备份映像保留周期:评估备份保留时间与业务重要性是否匹配; c.备份副本加密:备份文件加密后的可行性 (4)备份副本加密安全评估高级服务; (5)备份副本存放安全评估高级服务; (6)备份映像保留周期评估高级服务; (7)根据以上评估内容,出具高级服务质量的《数据备份安全评估报告》; (8)此项服务需由具备ISO9000、ISO27001资质的公司提供。 |
|
网络质量评估 | (1)网络数据监控、网络负载评估、网络稳定性评估,并对现有网络架构的安全性进行评估,主要有:目标网段的流量峰值、目标网段的负载能力、目标网段资产风险、针对目标网段的可疑行为等等; (2)对评估周期内的流量分析日志进行排查梳理,综合网络设备的负载,评估用户的核心系统网络运行状况,出具高级服务质量的《网络运行质量评估报告》; (3)此项工作需由具备HCIP或CCNP同等认证资质的人员进行实施,且服务公司需具备ISO9000、ISO27001资质。 |
|
系统权限安全评估 |
|
|
应用安全评估 | (1)应用渗透测试高级服务 (2)应用安全合规性评估高级服务:根据应用安全合规性标准,对WEB应用系统进行安全评估,评估的项目包括应用系统外部合规评估和应用系统内部合规评估; (3)数据泄露测试高级服务:主要有以下三项测试: a.测试一:利用内网终端,向目标服务器群发起非授权访问;通过内网终端向指定外网终端进行非授权传输数据; b.测试二:通过外网终端,尝试非授权接入内网;通过外网终端,向内网目标主机进行渗透,夺取内终端的管理员权限; c.测试三:通过外网终端,直接渗透后台服务器,夺取服务器管理员权限;在指定服务器向指定外网终端进行非授权传输数据; (4)出具高级服务质量的《内网安全评估报告》; (5)此项服务工作需由具备ISO9000、ISO27001资质的公司提供,且服务公司需具备ISO9000、ISO27001资质。 |
|
安全评估总结 | (1)整合以上各项的检测结果,需要将各项评估报告的内容进行汇总整合,对每项风险进行综合分析,评估从整体的角度评估用户的IT安全现状。罗列目前安全级别最高的风险,分析其寄存的位置,风险产生的原因,评估其对业务的影响,及加固耗费的成本。罗列安全工作的缺失,后续优化方向,及关键的促进点,提供信息安全工作的意见与建议对整体的安全状况进行分析; (2)出具高级服务质量的《安全评估报告》; (3)此项工作需由具备CISA认证资质的人员进行编写,且服务公司需具备ISO9000、ISO27001资质。 |
|
安全培训 | (1)提供安全意识培训和等保基础培训1次; (2)此项服务需由具备ISO9000、ISO27001资质的公司提供。 |
|
应急响应 | (1)每年对1次安全事件(病毒事件、数据泄露事件、非法入侵事件)进行即时响应,赶赴现场处理安全事件(事件发生后12小时内介入),进行安全事件溯源,协助系统恢复正常运行,提出安全加固建议(协议期内若无安全事件发生仍旧收费); (2)此项服务需由具备ISO9000、ISO27001资质的公司提供。 |
交付方式 | 服务类 |
依托云产品 | 其它 |
质保时间 | 30天 |
交付时间 | 30天 |
你也使用过这款产品吗?欢迎分享你的见解
与大家分享你的见解、观点、比较或使用心得