|
|
|
|
|
|
近些年来,一方面,随着国内外信息安全事件频发,企业及个人信息泄漏严重。另一方面,国家对于信息安全的重视程度及监管力度也逐步提升。越来越多的企业都意识到解决企业信息安全问题迫在眉睫,有些企业通过加大信息安全的投资力度,部署最新的安全产品保障系统安全;有些企业通过进行安全技能培训,使员工掌握更多的信息安全知识及技能;有些企业大力加强企业信息安全体系的建设提高企业的安全管理等。然而这些企业却忽视了企业整个信息安全体系的最关键因素——“人员”!如果人员的信息安全意识不足,就容易给企业带来无法衡量的损失。因此提高员工的信息安全意识工作显得更为刻不容缓! 安言咨询根据多年信息安全咨询经验,以客户所关注的数据安全、物理环境安全、办公安全等角度出发,通过海报、屏幕保护、安全邮件、现场培训等表现形式准备了年度的信息安全意识产品。 意识宣贯的推荐内容 除此之外,安言咨询还可以客户提供防钓鱼训练、信息安全周、信息安全意识台历等信息安全意识产品。 图文宣传形式1(屏幕保护、海报、易拉宝): u 交付周期:每月一份、共12份。 u 交付计划:安言咨询向客户方每月提供一份或一次性交付12份图文形式的宣传材料。 u ...
随着我国信息化和信息安全保障工作的不断深入推进,以应急处理、风险评估、灾难恢复、系统测评、安全运维、安全审计、安全培训和安全咨询等为主要内容的信息安全服务在信息安全保障中的作用日益突出。加强和规范信息安全服务资质管理已成为信息安全管理的重要基础性工作。安言咨询对于这方面内容提供专业的咨询服务。 一、信息安全服务资质简介 信息安全服务资质是信息安全服务机构提供安全服务的一种资格,包括法律地位、资源状况、管理水平、技术能力等方面的要求。信息安全服务资质认证是依据国家法律法规、国家标准、行业标准和技术规范,按照认证基本规范及认证规则,对提供信息安全服务机构的信息安全服务资质进行评价。 应急处理服务是对影响计算机系统和网络安全的不当行为(事件)进行标识、记录、分类和处理,直到受影响的业务恢复正常运行的过程。(用1799概述里面一段一句的内容) 风险评估服务是从风险管理角度,运用科学的方法和手段,系统地分析网络与信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施,以求防范和化解信息安全风险,或将风险控制在可接受的水...
1.目标 模拟黑客入侵的技术手段对目标网络系统进行安全检查,找出目标系统是否存在可以被攻击者真实利用的漏洞以及由此引起的风险大小,从而为制定相应的应对措施与解决方案提供实际的依据。2.渗透测试流程 安言咨询说提供的渗透测试过程主要包括以下阶段: 方案制定。获取到客户的书面授权许可后,才进行渗透测试的实施。并且将实施范围、方法、时间、人员等具体的方案与客户进行交流,并得到客户的认同。在测试实施之前,安全顾问会做到让客户对渗透测试过程和风险的知晓,使随后的正式测试流程都在客户的控制下。 确定范围。客户根据自己的需要,确定本次项目的范围;允许使用的攻击手段,是否允许使用暴力破解、拒绝服务等手段。 信息收集。这包括:操作系统类型指纹收集;网络拓扑结构分析;端口扫描和目标系统提供的服务识别等。可以采用一些商业安全评估系统(如:ISS、极光等);免费的检测工具(NESSUS、Nmap等)进行收集。 测试实施。这是整个评估过程中花费时间最长的一个阶段,安全工程师利用端口扫描、漏洞扫描等工具对渗透测试的目标进行安全漏洞检查,并根据扫描结果筛选可以利用的...
源代码审计又称为白盒测试,主要原理就是代码审计人员根据系统的类型和实现的方式,找出与之相匹配的漏洞攻击类型,通过工具或者人工的方式尝试在代码中找到可能导致漏洞的代码。 所有的安全漏洞都是由计算机程序代码造成的,因此安言咨询从软件开发的角度入手,从程序的业务功能、技术架构、代码着手,才能全面、高效、有效的发掘安全漏洞。代码审计适用于对安全水准要求较高,已经做过一些黑盒安全措施的系统。通过全面深入的代码安全审计,可以有效覆盖黑盒测试的盲区,显著提高系统安全性。通过代码审计发掘安全漏洞具有以下优势: 全面覆盖 代码中包含了软件系统所有的功能和逻辑细节以及安全漏洞。通过自动化和人工结合的代码安全审计,可以实现接近于100%覆盖率的安全漏洞挖掘。 快捷高效 通过自动化工具,可以快速发掘大量潜在安全漏洞,再结合人工深度代码审计,并扩展和验证工具的发现,综合效率明显高于黑盒渗透测试。 易于修复 修复漏洞,就是修复代码中错误。代码安全审计,从代码中发现问题,并在报告中提供准确、直观的代码级修复方法,让开发人员轻松高效、水到渠成地...
随着互联网的发展和网络技术的不断进步,信息安全问题已经成为每一个企业运营管理中必须要考虑的一个问题。由于互联网的开放性、便捷性以及业务对于IT技术的依赖性,企业信息可由诸多方面的原因造成轻易外泄,给企业的正常运营带来安全隐患。企业在充分利用IT技术,享受信息传递的方便快捷的同时,降低企业信息安全风险显得尤为重要。 安言咨询根据ISO27001:2013版风险评估新要求,采用ISO 31000:2009《风险管理—原则与指南》(国际标准化组织ISO/IEC 于2009年11月15日发布的国际标准)作为为客户实施信息安全风险评估的主要标准依据。针对信息安全策略层面、信息安全管理层面、组织结构和管理制度层面和信息安全技术四个方面提供全面的风险评估过程,识别、分析和处置相关信息安全风险,形成综合性信息安全风险管理框架。 信息安全风险评估方法 安言咨询通过完整的信息安全风险评估可以更加深入地阐明客户方信息安全管理现状,企业业务运营的特定环境中存在的信息安全隐患,以及帮助客户形成信息安全风险库及评估模板,建立有效的风险管理工具,形成未来动态的、可持续改进的信息安全风险管理机制,进而帮助客户实现信息安全目标。通过对潜在信息安全风险进行量化分析和描...
信息安全保障人员认证( Certified Information Security Assurance Worker, CISAW)体系是中国信息安全认证中心( China Information Security Certification Center, ISCCC,简称:信安中心)历经六年磨砺,集约业界专家、企业精英、高校及研究机构学者参与打磨的针对信息安全保障不同专业技术方向、应用领域和保障岗位,依据国际标准IS0/IEC17024《人员认证机构通用要求》所建立的、不同层次的信息安全保障人员认证体系。2014年,为进一步落实习近平总书记在网络安全和信息化领导小组第一次工作会议上提出的加强国家信息人才队伍建设的指示,信安中心加大了推广力度,针对不同专业技术方向和行业应用领域授权了一批教学管理机构,主要从事CISAW的培训体系建设、教程开发、师资建设、培训组织机构和市场渠道推广工作。 软件安全开发保障人员认证是CISAW体系中的一个应用领域,主要认证对象为政府机关、各行业及企事业单位从事软件项目管理、设计、开发、测试、技术服务等管理和技术人员。 更多详细信息请点击右侧相关文档预览查看,谢谢!
版权所有©上海安言信息技术有限公司 2014-2015
