网络安全等级保护测评
融安云网(北京)技术有限公司依据国家信息安全等级保护规定,结合用户等级保护测评要求、行业安全应用特点及业务发展规划,提供定级备案、整改建设、等级测评、规划咨询及渗透测试等专业服务。一、等级保护三级测评:1.1、三级等级保护测评目标对用户指定的目标系统开展三级等保测评工作,验证系统
服务商信息:融安云网(北京)技术有限公司
开票主体:融安云网(北京)技术有限公司
支付方式:人工服务
点击查看华为云价格信息
- 商品详情
- 商品规格定价
- 服务支持
商品图片
商品详情
商品亮点
- 1、企业具有标准制定参与经历,对标准的理解更为充分。对等保测评环节有丰富指导经验,对等保整改有丰富的实践经验。企业主要专注于银行保险行业测评及咨询服务,2020年曾获银保监表扬信
- 2、大型案例众多,可为客户定制合规且保护客户投资的等保测评、安全规划及运行维护方案,目前提供服务一百家以上银行及保险用户,最终通过率100%。
- 3、在金融行业应用开发类、工程类项目的安全规划、体系建设及标准制定领域有长期实践,可结合国家政策、金融行业标准及用户特性提供针对性安全规划、体系建设及标准应用支撑
- 4、多次参加公安部组织的护网行动,具有丰富的网络安全攻防经验,服务可结合国内护网安全要求及历史经验,为用户针对性挖掘及整治信息系统安全风险。
- 5、企业具备专业稳定的信息安全人才体系,能为用户提供长期、专业、稳定的技术人才,除覆盖用户日常网络安全要求,同时可满足用户应急响应及重大保障的特殊需求。
商品参数
交付方式
人工服务
交付SLA
90自然日
服务监管
如您购买涉及服务监管的商品,您应在购买后进入买家中心提交需求并及时验收
涉及
开票主体
融安云网(北京)技术有限公司
操作系统
Windows/Linux/Unix/Android/iOS/其他
版本
V1.0
上架日期
2020-09-17
所属类别
安全服务
商品说明
一、等级保护三级测评:
1.1、三级等级保护测评目标
对用户指定的目标系统开展三级等保测评工作,验证系统的安全防护水平是否达到国家三级等级保护相关规定和标准的要求,协助用户获得国家认可的三级等保证书。
1.2、等级保护测评内容
根据国家等级保护相关标准,结合用户信息系统中指定系统的实际业务内容、重要程度及业务流程,参考上级公司及行业监管机构信息安全的总体要求下,融安云网对目标系统安全等级保护测评的内容包括但不限于以下内容:
安全技术测评:包括物理安全、网络安全、主机系统安全、应用安全和数据安全等五个方面的安全测评;
安全管理测评:安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全测评;
1.3、等级保护测评实施
(1)在对用户目标系统详细了解的基础上,编制针对性的等级保护测评整体方案,包括项目概述、等保测评范围和内容、项目实施流程、测试过程中需使用测试设备清单、时间安排、阶段性文档提交和验收标准等。
(2)提供详细测评人员的组成、资质及各自职责的划分。配置具有丰富经验的测评人员进行本次等级保护测评工作。
(3)服务过程中将为目标系统进行针对性的渗透测试,借鉴黑客攻击的手法和技巧,在可控的范围内对目标信息系统进行模拟测试,全面挖掘漏洞,等级保护测评实施过程中所使用到的各种工具软件由融安云网推荐,经用户确认后由融安云网提供并在测评中使用。将提供所使用的安全测评工具(软硬件型号、功能和性能描述)、使用的方式和时间、对环境和平台的要求以及使用可能对系统造成的风险等。
(4)对于在测评过程中采用的测评方法、测评所使用的工具、测评所覆盖的各方面,符合信息安全等级保护主管部门要求,包括但不仅包括网络隐患检测工具、数据库漏洞检测工具、应用安全检测工具、网站安全检测工具等。
(5)安全测评工具软件运行可能需要的硬件平台(如笔记本电脑、PC、工作站等)和操作系统软件等由融安云网推荐,经用户确认后由融安云网提供并在测评中使用。
(6)安全测评需要的运行环境(如场地、网络环境等)由用户提供,融安云网提供需要的运行环境的具体要求。
(7)融安云网为用户修订并完善安全制度及安全管理体系,由用户配合。
(8)项目完成后必须提交完整的技术文档、测评报告、整改建议等,并负责对相关人员进行培训。
1.4、测评报告
融安云网对用户指定目标系统进行等级保护测评,形成相应的报告。
(1)融安云网在测评完成后,提供符合信息安全等级保护主管部门要求的信息系统安全等级保护测评符合性报告。
(2)对不符合信息安全等级保护有关管理规范和技术标准的,融安云网提供可行的信息系统整改建议,并指导用户完成整改。
(3)融安云网协助用户方办理信息系统安全等级保护备案手续等相关工作。
二、渗透测试:
2.1渗透测试服务内容
借鉴黑客攻击的手法和技巧,在可控的范围内对目标信息系统进行模拟测试,全面挖掘漏洞,出具渗透测试报告。
渗透测试方法包括但不限于信息收集、端口扫描、口令猜测、远程溢出、本地溢出、脚步测试、权限获取等。
2.2可服务目标
A、对外开放的互联网应用系统;
B、内部使用的内网应用系统;
C、整体内网网络环境。
2.3客户收益
A、清晰了解业务系统的安全情况;
B、提前发现问题,在问题造成损失之前予以修复;
C、满足政策及法律要求。
三、三级定级备案_差距分析_整改咨询:
3.1定级备案
依据《信息系统安全等级保护定级指南》要求协助用户进行目标系统定级,并编制系统《等级保护定级报告》和《备案表》。
3.2差距分析
根据客户信息系统基础调研信息,结合等级保护合规要求,对技术和管理体系两方面,通过人工核查、访谈、安全测试等方式对信息系统进行差距评估;
3.3整改咨询
分析用户目标系统与等保测评各项要求存在的差距,根据差距分析报告,协助客户完成整改详细实施方案、完善安管理体系整改,协助客户上线安全产品、配置策略、配置加固,协助客户完成系统测评工作,能够有效帮助用户顺利通过系统测评。
四、网络安全建设方案规划
基于等级保护测评的风险评估,结合用户等级保护要求、行业安全应用特点、上级或监管部门要求及业务发展规划,为客户制定符合企业发展规划的网络安全建设规划(短期、中期、长期)。
五、软件生命周期安全建设规范制定
针对软件顶层设计、软件开发、应用迭代、系统运行等阶段,结合用户需求及规划,制定覆盖软件全生命周期的安全建设规范。
(1)顶层设计阶段
顶层设计阶段根据国家法律法规、行业标准规范、业内攻击态势进行应用开发前的安全需求分析与设计。安全设计规范是对软件安全需求在业务功能中具体实现的详细描述。通过安全设计规范可确保开发的软件符合安全需求。在软件的安全设计规范中,要求软件系统的设计满足原则一、最小攻击面;原则二、默认安全性设置低使用率;原则三、权限最小化;原则四、立体纵深防御;原则五、引入失败安全处置;原则六、第三方系统零信任;原则七、业务隔离;原则八、 公开设计;原则九、简化系统设计;原则十、使用白名单等基本安全设计原则。
在制定安全设计规范时,将对软件系统进行攻击面评估、威胁建模、或者错误用例分析。通过这些方式来识别软件系统可能面临的威胁和风险。通过选择相应的安全技术来解决这些威胁点,主要的安全技术包括:身份认证、授权、审计、加密、数据验证等。
(2)软件开发阶段
开发的安全体系建设,一方面利于用户方更好的管理软件开发安全,另一方面帮助开发人员达成安全目标,减少工作量,提升安全水平。
①代码层面
严格遵守安全编码准则,验证输入,确保程序内部安全及组件调用安全,设置安全缓冲区,建立安全防御机制,同时对内部接口进行数据的检查校验,可对异常行为进行安全处理,避免拒绝服务攻击。
②数据层面
在数据的存储、传输及交互时采用不同加密方法。
③通信层面
建立安全通信机制,实施安全访问控制。
④测试环节
使用代码审计工具,实施渗透测试,进行安全策略调优及修补安全漏洞等安全加固,确保安全合规性。
(3)应用迭代阶段
应用迭代将产生二次开发及迭代测试,除了依据项目整体的开发安全以及全面测试规范,规范还应考虑二次开发可能导致的单体风险及系统风险,应用迭代开发过程中的测试需根据整体安全目标,制定科学的安全测试框架,对软件实现过程不断迭代添加的需求设置测试用例,均实施相关评审及科学验证。
(4)系统运行阶段
针对系统由测评机构进行等级保护测评,在系统运行阶段对系统进行实时监测,定期针对系统进行漏洞扫描、安全巡检、漏洞修补及安全策略调优,进行针对性的攻防演练及应急演练。
使得保障软件系统运行过程安全成为整个软件生命周期中的重要内容。及时发现软件系统在运行中的安全状态。对运行日志进行分析,发现其中的异常行为记录来判断软件系统的安全运行状态。还将要求通过对网络流量的分析来监测是否存在攻击行为。对于记录的日志内容,主要还是依据软件系统运行时记录的日志记录。此外,也包括操作系统、中间软件、安全设备等的日志记录。通过对多个来源的日志记录进行安全分析,基本可以达到实时监测到业务系统的运行状态。通过这样的安全监测方法,可以有效保障软件系统在运行时的安全性。除了对软件系统攻击行为的监测外,还需要对相关操作系统和中间软件的安全补丁情况进行监测。
(5)全生命周期安全培训
规范中将要求安全培训贯穿应用的全生命周期,包括对架构设计人员进行安全架构设计的培训,对开发人员进行安全编码的培训,对测试人员进行安全测试的培训,对运维人员进行安全运维的培训。除此之外,还报货对所有人员进行基本的安全意识相关的培训。除了基本的安全培训外,规范还将建议条件允许时对相关人员进行源码审计、渗透测试等专项培训。
六、等级保护二级测评:
等级保护二级测评参考的是国家等级保护二级的要求,相关服务的目标、内容及实施与“一等级保护三级测评”类同
七、二级定级备案_差距分析_整改咨询:
二级定级备案_差距分析_整改咨询参考的是国家等级保护二级的要求,相关定级、差距分析及整改咨询内容与“三、三级定级备案_差距分析_整改咨询”类同
八、等保三级测评综合服务
等保三级测评综合服务是指为客户提供基于三级等保的等保测评、渗透测试、差距分析、整改咨询、定级备案、安全建设规划及软件安全规范建设等综合性服务(各项服务内容详见一--五),不但可以满足系统关于等级保护三级测评的各项要求,还可通过渗透测试有效发现系统中存在的缺陷与风险,同时覆盖企业未来网络安全建设规划及应用软件生命周期安全规范建设的要求。
九、等保二级测评综合服务
等保二级测评综合服务是指为客户提供基于二级等保的等保测评、渗透测试、差距分析、整改咨询、定级备案、安全建设规划及软件安全规范建设等综合性服务(各项服务内容详见四--七),不但可以满足系统关于等级保护二级测评的各项要求,还可通过渗透测试有效发现系统中存在的缺陷与风险,同时覆盖企业未来网络安全建设规划及应用软件生命周期安全规范建设的要求。
1.1、三级等级保护测评目标
对用户指定的目标系统开展三级等保测评工作,验证系统的安全防护水平是否达到国家三级等级保护相关规定和标准的要求,协助用户获得国家认可的三级等保证书。
1.2、等级保护测评内容
根据国家等级保护相关标准,结合用户信息系统中指定系统的实际业务内容、重要程度及业务流程,参考上级公司及行业监管机构信息安全的总体要求下,融安云网对目标系统安全等级保护测评的内容包括但不限于以下内容:
安全技术测评:包括物理安全、网络安全、主机系统安全、应用安全和数据安全等五个方面的安全测评;
安全管理测评:安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全测评;
1.3、等级保护测评实施
(1)在对用户目标系统详细了解的基础上,编制针对性的等级保护测评整体方案,包括项目概述、等保测评范围和内容、项目实施流程、测试过程中需使用测试设备清单、时间安排、阶段性文档提交和验收标准等。
(2)提供详细测评人员的组成、资质及各自职责的划分。配置具有丰富经验的测评人员进行本次等级保护测评工作。
(3)服务过程中将为目标系统进行针对性的渗透测试,借鉴黑客攻击的手法和技巧,在可控的范围内对目标信息系统进行模拟测试,全面挖掘漏洞,等级保护测评实施过程中所使用到的各种工具软件由融安云网推荐,经用户确认后由融安云网提供并在测评中使用。将提供所使用的安全测评工具(软硬件型号、功能和性能描述)、使用的方式和时间、对环境和平台的要求以及使用可能对系统造成的风险等。
(4)对于在测评过程中采用的测评方法、测评所使用的工具、测评所覆盖的各方面,符合信息安全等级保护主管部门要求,包括但不仅包括网络隐患检测工具、数据库漏洞检测工具、应用安全检测工具、网站安全检测工具等。
(5)安全测评工具软件运行可能需要的硬件平台(如笔记本电脑、PC、工作站等)和操作系统软件等由融安云网推荐,经用户确认后由融安云网提供并在测评中使用。
(6)安全测评需要的运行环境(如场地、网络环境等)由用户提供,融安云网提供需要的运行环境的具体要求。
(7)融安云网为用户修订并完善安全制度及安全管理体系,由用户配合。
(8)项目完成后必须提交完整的技术文档、测评报告、整改建议等,并负责对相关人员进行培训。
1.4、测评报告
融安云网对用户指定目标系统进行等级保护测评,形成相应的报告。
(1)融安云网在测评完成后,提供符合信息安全等级保护主管部门要求的信息系统安全等级保护测评符合性报告。
(2)对不符合信息安全等级保护有关管理规范和技术标准的,融安云网提供可行的信息系统整改建议,并指导用户完成整改。
(3)融安云网协助用户方办理信息系统安全等级保护备案手续等相关工作。
二、渗透测试:
2.1渗透测试服务内容
借鉴黑客攻击的手法和技巧,在可控的范围内对目标信息系统进行模拟测试,全面挖掘漏洞,出具渗透测试报告。
渗透测试方法包括但不限于信息收集、端口扫描、口令猜测、远程溢出、本地溢出、脚步测试、权限获取等。
2.2可服务目标
A、对外开放的互联网应用系统;
B、内部使用的内网应用系统;
C、整体内网网络环境。
2.3客户收益
A、清晰了解业务系统的安全情况;
B、提前发现问题,在问题造成损失之前予以修复;
C、满足政策及法律要求。
三、三级定级备案_差距分析_整改咨询:
3.1定级备案
依据《信息系统安全等级保护定级指南》要求协助用户进行目标系统定级,并编制系统《等级保护定级报告》和《备案表》。
3.2差距分析
根据客户信息系统基础调研信息,结合等级保护合规要求,对技术和管理体系两方面,通过人工核查、访谈、安全测试等方式对信息系统进行差距评估;
3.3整改咨询
分析用户目标系统与等保测评各项要求存在的差距,根据差距分析报告,协助客户完成整改详细实施方案、完善安管理体系整改,协助客户上线安全产品、配置策略、配置加固,协助客户完成系统测评工作,能够有效帮助用户顺利通过系统测评。
四、网络安全建设方案规划
基于等级保护测评的风险评估,结合用户等级保护要求、行业安全应用特点、上级或监管部门要求及业务发展规划,为客户制定符合企业发展规划的网络安全建设规划(短期、中期、长期)。
五、软件生命周期安全建设规范制定
针对软件顶层设计、软件开发、应用迭代、系统运行等阶段,结合用户需求及规划,制定覆盖软件全生命周期的安全建设规范。
(1)顶层设计阶段
顶层设计阶段根据国家法律法规、行业标准规范、业内攻击态势进行应用开发前的安全需求分析与设计。安全设计规范是对软件安全需求在业务功能中具体实现的详细描述。通过安全设计规范可确保开发的软件符合安全需求。在软件的安全设计规范中,要求软件系统的设计满足原则一、最小攻击面;原则二、默认安全性设置低使用率;原则三、权限最小化;原则四、立体纵深防御;原则五、引入失败安全处置;原则六、第三方系统零信任;原则七、业务隔离;原则八、 公开设计;原则九、简化系统设计;原则十、使用白名单等基本安全设计原则。
在制定安全设计规范时,将对软件系统进行攻击面评估、威胁建模、或者错误用例分析。通过这些方式来识别软件系统可能面临的威胁和风险。通过选择相应的安全技术来解决这些威胁点,主要的安全技术包括:身份认证、授权、审计、加密、数据验证等。
(2)软件开发阶段
开发的安全体系建设,一方面利于用户方更好的管理软件开发安全,另一方面帮助开发人员达成安全目标,减少工作量,提升安全水平。
①代码层面
严格遵守安全编码准则,验证输入,确保程序内部安全及组件调用安全,设置安全缓冲区,建立安全防御机制,同时对内部接口进行数据的检查校验,可对异常行为进行安全处理,避免拒绝服务攻击。
②数据层面
在数据的存储、传输及交互时采用不同加密方法。
③通信层面
建立安全通信机制,实施安全访问控制。
④测试环节
使用代码审计工具,实施渗透测试,进行安全策略调优及修补安全漏洞等安全加固,确保安全合规性。
(3)应用迭代阶段
应用迭代将产生二次开发及迭代测试,除了依据项目整体的开发安全以及全面测试规范,规范还应考虑二次开发可能导致的单体风险及系统风险,应用迭代开发过程中的测试需根据整体安全目标,制定科学的安全测试框架,对软件实现过程不断迭代添加的需求设置测试用例,均实施相关评审及科学验证。
(4)系统运行阶段
针对系统由测评机构进行等级保护测评,在系统运行阶段对系统进行实时监测,定期针对系统进行漏洞扫描、安全巡检、漏洞修补及安全策略调优,进行针对性的攻防演练及应急演练。
使得保障软件系统运行过程安全成为整个软件生命周期中的重要内容。及时发现软件系统在运行中的安全状态。对运行日志进行分析,发现其中的异常行为记录来判断软件系统的安全运行状态。还将要求通过对网络流量的分析来监测是否存在攻击行为。对于记录的日志内容,主要还是依据软件系统运行时记录的日志记录。此外,也包括操作系统、中间软件、安全设备等的日志记录。通过对多个来源的日志记录进行安全分析,基本可以达到实时监测到业务系统的运行状态。通过这样的安全监测方法,可以有效保障软件系统在运行时的安全性。除了对软件系统攻击行为的监测外,还需要对相关操作系统和中间软件的安全补丁情况进行监测。
(5)全生命周期安全培训
规范中将要求安全培训贯穿应用的全生命周期,包括对架构设计人员进行安全架构设计的培训,对开发人员进行安全编码的培训,对测试人员进行安全测试的培训,对运维人员进行安全运维的培训。除此之外,还报货对所有人员进行基本的安全意识相关的培训。除了基本的安全培训外,规范还将建议条件允许时对相关人员进行源码审计、渗透测试等专项培训。
六、等级保护二级测评:
等级保护二级测评参考的是国家等级保护二级的要求,相关服务的目标、内容及实施与“一等级保护三级测评”类同
七、二级定级备案_差距分析_整改咨询:
二级定级备案_差距分析_整改咨询参考的是国家等级保护二级的要求,相关定级、差距分析及整改咨询内容与“三、三级定级备案_差距分析_整改咨询”类同
八、等保三级测评综合服务
等保三级测评综合服务是指为客户提供基于三级等保的等保测评、渗透测试、差距分析、整改咨询、定级备案、安全建设规划及软件安全规范建设等综合性服务(各项服务内容详见一--五),不但可以满足系统关于等级保护三级测评的各项要求,还可通过渗透测试有效发现系统中存在的缺陷与风险,同时覆盖企业未来网络安全建设规划及应用软件生命周期安全规范建设的要求。
九、等保二级测评综合服务
等保二级测评综合服务是指为客户提供基于二级等保的等保测评、渗透测试、差距分析、整改咨询、定级备案、安全建设规划及软件安全规范建设等综合性服务(各项服务内容详见四--七),不但可以满足系统关于等级保护二级测评的各项要求,还可通过渗透测试有效发现系统中存在的缺陷与风险,同时覆盖企业未来网络安全建设规划及应用软件生命周期安全规范建设的要求。
销售对象
全部用户
商品定价
Step阶梯定价
商品价格=订购区间数量1*区间规格单价1+订购区间数量2*区间规格单价2。
举例:通话费率为不超过3分钟的部分按0.3元/分钟,超过3分钟的部分按0.2元/分钟;如果用户通话8分钟,收取的费用为3*0.3+5*0.2=1.9元。
Tier阶梯计价
商品价格=订购数量*数量所属区间单价。
举例:通话费率为不超过3分钟则0.3元/分钟,若超过3分钟则0.2元/分钟;如果用户通话2分钟,收取的费用为2*0.3=0.6元;如果用户通话8分钟,收取的费用为8*0.2=1.6元。
线性定价
商品价格=订购数量*单价。
简单定价
商品价格为页面呈现价格。
服务支持
使用指南
网络安全等级保护测评服务(华为云)2.pdf
下载
平台支持范围
售后服务时间:5 * 8小时 售后服务内容:提供现场技术支持、重大时期保障、远程技术支持、安全应急处置及信息安全通告等售后服务。服务人员:等保测评师(高级测评师、中级测评师和初级测评师)、专业渗透测试工程师(逆向工程师、渗透工程师)、网络工程师、服务器工程师、数据库工程师、软件开发工程师及软件测试工程师等 服务热线:010-88840780 服务邮箱:service@rongannet.com
商品服务协议
订购此商品即为您同意《 商品服务协议》