标准依据
参考国家标准及行业内如 CVE(Common Vulnerabilities and Exposures)等漏洞库发布的相关标准与规范,对系统脆弱性进行检测与评估。
服务内容
信息资产是具有价值的信息或资源,机密性、完整性和可用性是评价资产的三个安全属性。脆弱性检测评估内容模块主要包括以下几方面:
| 类型 |
内容 |
方式 |
| 数据层面 |
业务分析、逻辑合理性 |
人工分析 |
| 应用层面 |
Web容器、中间件、数据库 |
工具、手工 |
| 主机层面 |
通用的Windows和Unix系统日志,包括:应用程序日志、系统日志、安全日志等。 |
工具、手工 |
| 网络层面 |
网络设备日志、安全日志 |
工具、手工 |
| 管理层面 |
工作制度、业务流程、操作规范、人员安全 |
查阅分析、咨询建议 |
| 物理层面 |
主机设备、网络设备、安全设备、主机外设、配电设备、防雷设备、温控设备、湿控设备、电源线路、通讯线路 |
人工实地勘察 |
信息资产分类表
| 分类 |
一般描述 |
| 数据资产 |
以物理或电子的方式记录的数据,如文件资料、电子数据等。
文件资料类包括公文、合同、操作单、项目文档、记录、传真、财务报告、发展计划、应急预案、本部门产生的日常数据,以及各类外来流入文件等。
电子数据类如制度文件、管理办法、体系文件、技术方案及报告、工作记录、表单、配置文件、拓扑图、系统信息表、用户手册、数据库数据、操作和统计数据、开发过程中的源代码等。
|
| 软件资产 |
公司信息处理设施(服务器,台式机,笔记本,存储设备等)上安装使用的各种软件,用于处理、存储或传输各类信息,包括系统软件、应用软件(有后台数据库并存储应用数据的软件系统)、工具软件(支持特定工作的软件工具)、桌面软件(日常办公所需的桌面软件包)等。例如:操作系统、数据库应用程序、网络软件、办公应用系统、业务系统程序、软件开发工具等。
|
| 实物资产 |
各种与业务相关的IT物理设备或使用的硬件设施,用于安装已识别的软件、存放有已识别的数据资产或对部门业务有支持作用。包括主机设备、存储设备、网络设备、安全设备、计算机外设、可移动设备、移动存储介质、布线系统等。
|
| 人员资产 |
各种对已识别的数据资产、软件资产和实物资产进行使用、操作和支持(也就是对业务有支持作用)的人员角色。如管理人员、业务操作人员、技术支持人员、开发人员、运行维护人员、保障人员、普通用户、外包人员、有合同约束的保安、清洁员等。
|
| 服务资产 |
各种以购买方式获取的,或者需要支持部门特别提供的、能够对其他已识别资产的操作起支持作用(即对业务有支持作用)的服务。如产品技术支持、运行维护服务、桌面帮助服务、内部基础服务、网络接入服务、安保(例如监控、门禁、保安等)、呼叫中心、监控、咨询审计、基础设施服务(供水、供热、供电)等。
|