风险评估服务

一 服务简介

风险评估服务具体内容包括用户信息系统安全现状，对信息资产面临的威胁、存在的脆弱性现有防护措施及综合作用而带来风险的发生可能性评估，最终提供全面的风险评估报告。

风险评估的目的是通过对用户组织进行全面了解和风险掌控评估，分析信息系统及其所依托的网络架构、网络设备、安全设备、中间件、数据库的安全现状，识别组织面临的网络与信息安全威胁和风险，明确采取何种有效措施，降低安全事件发生的可能性或者其所造成的影响，减少业务系统的脆弱性，从而将风险降低到可接受的水平。同时，全面掌握用户组织的安全防护水平，检验网络与信息安全规划建设的成效，为管理层加强网络与信息安全保护管理工作提供科学的决策依据。

二 服务优势

                                     标准化                   流程化                 知识库

                                 基于项目管理系统     基于项目管理系统     基于实践固化的知识库

                                 对风险评估服务项目  对风险评估服务项目   进行充分利用，

                                 进行全程过程控制、  进行全程过程控制、   包含了针对弱点威胁、

                                     监督评价            监督评价                  风险分析及风险处理

三 服务流程

理清有效资产 -->  异常状态检查 ---> 业务安全脆弱性识别 ---> 识别现有防护手段 ---> 风险轻重缓急指导 ---> 安全脆弱性修复

识别评估方向       缺陷路径发现         边界安全脆弱性识别         测试判断防护效果           风险计算                   风险应对建议

业务系统梳理       WEBSHELL检查       WEB安全扫描              已有安全控制措施           风险管理                   安全加固建议

安全措施梳理       恶意文件查杀           系统漏洞扫描                                                                                安全建设方案

                        WEB日志分析          系统基线检查

                                              系统状态分析           系统渗透测试

                                               威胁分析赋值           弱口令检测