網絡安全等級保護測評
網絡安全等級保護是國家信息安全保障的基本制度
網絡安全等級保護是指對網絡( 含信息系統、數據)實施分等級保護、分等級監管。信息系統安全等級測評是驗證信息系統是否滿足相應安全保護等級的評估過程。網絡安全等級保護要求不同安全等級的信息系統應具有不同的安全保護能力。
信息安全等級
目前根據網絡、信息系統、網絡上的數據和信息的重要性劃分為了五個安全保護等級,從一級到五級,逐級增強。
第一級
信息系統受到破壞后,會對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益。
第二級
信息系統受到破壞后,會對公民、法人和其他組織的合法權益產生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全。
第三級
信息系統受到破壞后,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害。
第四級
信息系統受到破壞后,會對社會秩序和公共利益造成特別嚴重損害或者對國家安全造成嚴重損害。
第五級
信息系統受到破壞后,會對國家安全造成特別嚴重損害。
網絡安全等級保護流程
風險評估
針對客戶業務導向,結合國內外有關信息安全技術標準,幫助客戶及時準確發現業務運作中可能存在的信息安全和IT風險,提供全面有效的風險評估咨詢服務。
安全風險評估方案架構
服務質量保障
滲透測試
利用各種主流的攻擊技術對系統做模型攻擊測試,通過對系統進行遠程模擬攻擊和滲透性測試,結合代碼注入漏洞、命令執行漏洞、任意文件上傳漏洞、跨站腳本攻擊漏洞、任意文件下載漏洞等目前常見漏洞特性,對系統安全進行全面的安全檢查,以發現系統中存在的安全漏洞和風險點,驗證在當前安全防護措施下系統抵抗黑客攻擊的能力。
白盒法(White Box)
把測試對象看作一個打開的盒子,依據程序內部邏輯結構相關信息,設計或選擇測試用例,對程序所有邏輯路徑進行測試,通過在不同點檢查程序的狀態,確定實際的轉態是否與預期的狀態一致。 白盒測試,也叫結構測試或邏輯驅動測試。
黑盒法(Black Box)
把程序看作一個不能打開的黑盒子,在完全不考慮程序內部結構和內部特性的情況下在程序接口進行測試,檢查程序功能是否按照需求規格說明書的規定正常使用,程序是否能適當地接收輸入數據而產生正確的輸出信息。
網絡安全服務
安全監測
通過技術手段對網站進行漏洞掃描,檢測網頁是否存在漏洞、網頁是否掛馬、網頁有沒有被篡改、是否存在欺詐網站等,提醒網站管理員及時修復和加固,保障web網站的安全運行。
漏洞監測
精確檢測常見的SOL注入、跨站腳本、跨站請求偽造(CSRF)等代碼層漏洞,支持SQL注入專家檢測模式;支持常見WEB應用層安全漏洞的檢測;支持第三方應用組件(如:論壇、BLOG、編輯器)的識別與零日漏洞檢測
可用性監測
通過HTTP(S)請求、域名解析、Ping等方式分析響應時間,及時發現網站出現鏈路異常、訪問延遲、解析錯誤等情況
安全事件監測
精確對掛馬、暗鏈、內容變更和關鍵字監測,精確定位內容變更和關鍵字位
安全應急
在突發/重大信息安全事件后對包括計算機運行在內的業務運行進行維持或恢復,盡可能地減小和控制網絡安全事件的損失,提供有效的響應和恢復指導,并努力防止安全事件的發生。
本地應急
由網絡安全應急團隊指派安全應急工程師第一時間趕赴現場處理
遠程應急
僅當事件并非緊急時,客戶通過電話、Email、即時通信等方式請求安全事件響應,網絡安全應急團隊通過遠程方式為客戶解決問題;當確認無法通過遠程方式時,轉到本地應急響應相關流程
服務方式
安全咨詢
基于自有知識產權的風險管理與控制框架,結合對信息技術與信息安全相關標準/模型/規范的深刻理解,為客戶提供一系列信息安全風險規劃與咨詢服務。
安全培訓
依托多年積累的信息與網絡安全服務經驗,結合社會對信息與網絡安全人才的知識、技能要求,提供全面、專業、完善的網絡安全人才培養方案,以虛擬化技術為基礎,以課程內容為核心,集知識培訓、技能培訓、仿真演練、科研測試、攻防對抗、競賽比武、管理考核于一體,可持續培養網絡安全人才,滿足各行各業對網絡安全人才的需求。
線上教育
☆ 互聯網在線教學 ☆ 海量題庫練習 ☆ 模擬考試
線下教育
☆ 現場講座 ☆ 安全攻防實操訓練 ☆ 企業定制培訓
安全競賽
☆ 安全知識、技能競賽 ☆ 人才選拔
安全培訓
☆ 國家職業資格相關標準培訓 ☆ 行業技能認證培訓
源代碼審計
依據公共漏洞字典表、OWASP十大Web漏洞,以及設備、軟件廠商公布的漏洞庫,結合專業源代碼掃描工具對源代碼進行安全審計,提供源代碼安全現狀測評、定位源代碼安全漏洞、分析漏洞風險、給出修改建議等系列服務。
APP安全檢測
基于移動互聯網APP的開發與檢測經驗,對Andriod組件、權限管理、dex保護、數據安全以及對危險調試信息等常見的漏洞風險進行安全檢測。
