【正文】 ...................................................................16. 服務(wù)評估方法 ............................................................................................................................17. 訪談?wù){(diào)研 ..........................................................................................................................17. 人工審計 ..........................................................................................................................17. 工具掃描 ..........................................................................................................................18. 滲透測試 ..........................................................................................................................18. 服務(wù)評估范圍 ............................................................................................................................19. 技術(shù)評估 ..........................................................................................................................19. 管理評估 ..........................................................................................................................20第 4 章 啟明星辰信息安全服務(wù)產(chǎn)品流程 ........................................................................................21. 服務(wù)流程藍(lán)圖 ............................................................................................................................225 / 53. 服務(wù)流程階段 ............................................................................................................................22. 服務(wù)啟動 ..........................................................................................................................22. 資產(chǎn)評估 ..........................................................................................................................23. 威脅評估 ..........................................................................................................................24. 脆弱評估 ..........................................................................................................................26. 風(fēng)險分析 ..........................................................................................................................27. 風(fēng)險處置 ..........................................................................................................................29. 服務(wù)驗收 ..........................................................................................................................30. 服務(wù)流程管理 ............................................................................................................................30. 管理概述 ..........................................................................................................................30. 管理組成 ..........................................................................................................................31第 5 章 啟明星辰信息安全服務(wù)產(chǎn)品優(yōu)勢 ........................................................................................33. 公司整體優(yōu)勢 ............................................................................................................................33. 服務(wù)發(fā)展優(yōu)勢 ............................................................................................................................34. 服務(wù)資質(zhì)優(yōu)勢 ............................................................................................................................35. 團隊保障優(yōu)勢 ............................................................................................................................36第 6 章 啟明星辰信息安全服務(wù)成功案例 ........................................................................................37. 重點案例列表 ............................................................................................................................38. 重點案例簡介 ............................................................................................................................39. 金融案例 ..........................................................................................................................39. 電信案例 ..........................................................................................................................39. 能源案例 ..........................................................................................................................40. 政府案例 ..........................................................................................................................40第 7 章 附錄術(shù)語定義 ........................................................................................................................41第 1 章第 1 章 風(fēng)險評估的重要性. 風(fēng)險評估背景隨著政府部門、企事業(yè)單位以及各行各業(yè)對信息系統(tǒng)依賴程度的日益增強，信息安全問題受到普遍關(guān)注。國家部委、各省信息辦依據(jù)中辦發(fā) 2022 5 號、9 號文件，開展重要行業(yè)安全風(fēng)險評估工作。第 2 章第 2 章第 2 章第 2 章第 2 章第 2 章第 2 章 啟明星辰信息安全服務(wù)產(chǎn)品介紹. 服務(wù)產(chǎn)品概述 啟明星辰信息安全風(fēng)險評估服務(wù) 信息安全風(fēng)險永遠(yuǎn)存在，安全產(chǎn)品不能解決所有的問題。啟明星辰信息安全風(fēng)險評估服務(wù)基于技術(shù)方面的安全評估、基于管理方面管理評估和綜合兩者的全面評估，客戶可以全面了解組織內(nèi)部的信息安全狀況，盡早發(fā)現(xiàn)存在的問題。作為風(fēng)險評估的重要因素，威脅是一個客觀存在的事物，無論對于多么安全的信息系統(tǒng)，它都存在。在評估中，從技術(shù)脆弱性和安全管理脆弱性兩個方面進行脆弱性檢查。對不可接受的風(fēng)險應(yīng)根據(jù)導(dǎo)致該風(fēng)險的脆弱性制定風(fēng)險處理計劃。. 脆弱性賦值列表綜合報告的子報告，描述出通過安全管理調(diào)查、工具掃描、手工檢查進行專業(yè)分析后，總結(jié)出評估范圍內(nèi)業(yè)務(wù)資產(chǎn)自身存在的脆弱性。認(rèn)識自身存在的脆弱性不足，能夠有目的性的進行補遺整改。通過對安全風(fēng)險的分析和識別，同時平衡安全風(fēng)險與安全成本，啟明公司提供專業(yè)的信息安全規(guī)劃和建設(shè)建議，對于客戶未來的信息安全工作，提供重要參考和依據(jù)。對進行收集文檔進行深入分析，梳理業(yè)務(wù)系統(tǒng)安全現(xiàn)狀。. 工具掃描? 工具自動評估是用各種商用安全評估系統(tǒng)或掃描器，根據(jù)其內(nèi)置的評估內(nèi)容、測試方法、評估策略及相關(guān)數(shù)據(jù)庫信息，從系統(tǒng)內(nèi)部對主機、網(wǎng)絡(luò)、數(shù)據(jù)庫等系統(tǒng)進行一系列的設(shè)置檢查，使其可預(yù)防潛在安全風(fēng)險問題，如弱口令、用戶權(quán)限設(shè)置、用戶帳戶設(shè)置、關(guān)鍵文件權(quán)限設(shè)置、路徑設(shè)置、密碼設(shè)置、網(wǎng)絡(luò)服務(wù)配置、應(yīng)用程序的可信性、服務(wù)器設(shè)置以及其他含有攻擊隱患的可疑點等。該方法也越來越受到國際/國內(nèi)信息安全業(yè)界的認(rèn)可和重視。21 / 53應(yīng)用系統(tǒng)評估? 評估對象：應(yīng)用中間件（IIS、APACHE、TOMCAT、Weblogic 等）和應(yīng)用系統(tǒng)軟件? 評估內(nèi)容：從審計機制、審計存儲、訪問控制策略、數(shù)據(jù)完整性、通信、鑒別機制、密碼保護、腳本漏洞等方面進行識別評估。因此，他們的知識結(jié)構(gòu)和工作能力直接影響到信息系統(tǒng)其他層面的安全。組織實施風(fēng)險評估是一種戰(zhàn)略性的考慮，其結(jié)果將受到組織的業(yè)務(wù)戰(zhàn)略、業(yè)務(wù)流程、安全需求、系統(tǒng)規(guī)模和結(jié)構(gòu)等方面的影響。? 獲得支持上述所有內(nèi)容確定后，應(yīng)形成較為完整的風(fēng)險評估實施方案，得到客戶管理者的支持、批準(zhǔn)；對管理層和技術(shù)人員進行傳達，在組織范圍就風(fēng)險評估相關(guān)內(nèi)容進行培訓(xùn)，以明確有關(guān)人員在風(fēng)險評估中的任務(wù)。等級 標(biāo)識 描述5 很高 非常重要，其安全屬性破壞后可能對組織造成非常嚴(yán)重的損失。根據(jù)威脅的動機，人為因素又可分為惡意和非惡意兩種。威脅主要依據(jù)其出現(xiàn)頻率來賦值：等級 標(biāo)識 定義5 很高 ? 出現(xiàn)的頻率很高（或≥1 次/周） ；或在大多數(shù)情況下幾乎不可避27 / 53免；或可以證實經(jīng)常發(fā)生過。脆弱性識別的依據(jù)可以是國際或國家安全標(biāo)準(zhǔn)，也可以是行業(yè)規(guī)范、應(yīng)用流程的安