安全评估

信息安全评估是信息安全生命周期中的一个重要环节，是对企业的网络拓扑结构、重要服务器的位置、带宽、协议、硬件、与Internet的接口、防火墙的配置、安全管理措施及应用流程等进行全面的安全分析，并提出安全风险分析报告和改进建议书。

信息安全评估具有如下作用：

1. 明确企业信息系统的安全现状。进行信息安全评估后，可以让企业准确地了解自身的网络、各种应用系统以及管理制度规范的安全现状，从而明晰企业的安全需求。
2. 确定企业信息系统的主要安全风险。在对网络和应用系统进行信息安全评估并进行风险分级后，可以确定企业信息系统的主要安全风险，并让企业选择避免、降低、接受等风险处置措施。
3. 指导企业信息系统安全技术体系与管理体系的建设。对企业进行信息安全评估后，可以制定企业网络和系统的安全策略及安全解决方案，从而指导企业信息系统安全技术体系（如部署防火墙、入侵检测与漏洞扫描系统、防病毒系统、数据备份系统、建立公钥基础设施PKI等）与管理体系（安全组织保证、安全管理制度及安全培训机制等）的建设。

信息系统面临各种各样的复杂的情况，有可能存在多种的安全问题：

• 网络的安全规划存在问题
• 系统存在的安全漏洞
• 网络配置的错误
• 安全产品配置的隐患
• 用户口令的存在的隐患
• 不安全协议的应用
• 软件中的Bug
• 管理制度的不完善
• 工作人员安全意识不高
• ...

不论哪一个环节出现问题，都有可能带来严重的安全问题，影响到信息系统的安全。针对用户面临的各种安全问题，我们凭借多年的安全技术和安全管理的经验，根据用户的实际需求，专门针对网络的局部或整体进行安全评估或从技术或管理的角度进行评估。
安全评估服务可以分为以下几种：

1. 整体的安全评估；
2. 主机的安全评估；
3. 应用系统的安全评估；
4. 管理的安全评估;

专业安全评估服务对目标系统通过工具扫描和人工检查，进行专业安全的技术评定，并根据评估结果提供评估报告。

安全评估工作的流程大体上可以分为以下几个阶段：

1. 收集原始信息
2. 漏洞扫描评估与渗透性测试评估
3. 入侵检测评估
4. 分析管理制度
5. 给出评估报告