安全评估

安全评估是对系统、应用程序的安全性进行全面审查，需要进行风险评估，识别出可能造成危害的安全漏洞，并提出修复建议。安全评估的主要工作成果，是向管理层提高评估报告

资产调查分析
风险评估首先要了解自己企业里各项资产的作用，更据各设计信息的资产的重要程度不同，功能不同形式不同来进行分类。这对精确的评估风险的潜在影响是很必要有的。谐润科技将根据客户提供的资产列表，结合安全需求分析报告对其进行有序的分类及分级。
资产清单能帮助客户确保对资产实施有效的保护，也可以用于其它商业目的，如上市、金融保险等（资产评估）。编辑资产清单的过程是资产评估的一个重要方面。谐润科技将协助客户确定其资产及其相对价值和重要性。利用以上信息，根据资产的重要性和价值提供相应级别的保护。应该为每个信息系统的关联资产草拟并保存一份清单。
资源评估的主要类别与信息系统相关联的资产示例有：
>>信息资产：数据库和数据文件、系统文档、用户手册、培训材料、操作或支持步骤、连续性计划、退守计划、归档信息；
>>软件资产：应用程序软件、系统软件、开发工具以及实用程序；
>>物质资产：计算机设备（处理器、监视器、膝上型电脑、调制解调器）、通讯设备（路由器、PABX、传真机、应答机）、磁介质（磁带和磁盘）、其它技术设备（电源 、空调器）、家具、机房等；
>>其他设备：计算和通讯服务、常用设备，如后备电源、照明设备、电源、空调等。

业务系统分析
业务系统安全评估的目标是全方位的提供一个业务系统中的安全可见性，业务系统安全评估不仅仅是对网络、主机和已采用安全产品的评估，还包括客户或者第三方为客户业务开发的应用系统的安全评估，及在该业务系统内的操作和管理的安全评估等几个方面，客观综合地反应客户业务系统安全现状，指出对客户业务系统存在的安全风险，并提出全面的解决方案。
业务系统评估包括：
>>业务系统的基础IT设施评估
>>应用平台规划设计阶段
>>应用系统开发、测试阶段
>>应用系统操作和管理安全
>>业务系统的数据流安全

网络架构分析
工具扫描分析网络脆弱性分析将依据谐润科技的网络安全评估工具及人工检测的方式，通过工程师的综合分析发现网络的脆弱性，其包括防火墙设备、路由设备等其他网关设备的策略配置分析。其包括：
>>模拟入侵测试分析
>>脆弱性测试分析
>>工具测试分析
>>未知攻击风险分析

弱点评估分析
谐润科技的安全顾问使用网络安全评估工具及人工检测的方式，通过工程师的综合分析发现各类Windows/Unix主机的脆弱性，分析并确定主机系统的弱点。其包括：
>>模拟入侵测试分析
>>脆弱性测试分析
>>工具测试分析
>>未知攻击风险分析

数据库安全审计
通过制定数据库方面规范统一的安全基准，发现数据库系统存在的脆弱点，通过推行数据库安全策略文档来加强数据库系统的安全性，保护数据库系统的数据完整性、保密性与可靠性。

白客渗透测试
渗透测试服务用于验证在当前的安全防护措施下网络、系统抵抗黑客攻击的能力。谐润科技渗透测试小组利用各种主流的攻击技术对网络、系统做模拟攻击测试，以发现网络、系统中存在的安全漏洞和风险点。
企业、组织根据测试的结果遵循安全策略制定适合的、不同优先级别的安全防护措施。谐润科技渗透测试服务是经过授权的，也是有时间限制的。
渗透测试服务主要包括如下内容：
>>敏感业务系统测试–针对客户敏感业务系统（办公系统、生产系统等）进行渗透测试。
>>现有安全系统测试–针对客户现有安全系统（防火墙、专有访问控制系统等）进行渗透测试。

安全等级划分
确定信息系统的安全保护等级，是建设符合安全等级保护要求的信息系统，实施信息系统安全等级保护的基础。确定信息系统安全保护等级的基本步骤包括根据业务类别划分信息系统或子系统、分析信息系统或子系统承载业务的重要性和业务对信息系统或子系统的依赖性、确定信息系统或子系统安全保护等级以及对安全保护等级的调整，基本流程如下。